[发明专利]一种基于生成式对抗网络的图神经网络模型防御方法及装置

说明书

本发明公开了一种基于生成式对抗网络的图神经网络模型防御方法，其特征在于，包括：根据接收的对抗样本数据对应的第一邻接矩阵，对第一图卷积模型进行训练，同时得到第一节点嵌入向量；基于生成式对抗网络构建训练系统，得到第二节点嵌入向量；构建训练系统的损失函数，利用第一损失函数和第二损失函数对训练系统进行训练，确定重构邻接矩阵模型；将对抗网络图像的节点嵌入向量输入至重构邻接矩阵模型得到重构邻接矩阵，将重构邻接矩阵输入干净样本数据训练的图卷积模型，使得所述图卷积模型能够正确分类。本发明还提供了一种基于生成式对抗网络的图神经网络模型防御装置，该装置能够有效地减弱对抗性扰动，提高图神经网络对对抗攻击的鲁棒性。

技术领域

本发明属于网络安全技术领域，具体涉及一种基于生成式对抗网络的图神经网络模型防御方法。

背景技术

随着互联网的发展，海量数据的产生已经远超出人工计算的能力范围，此外如何对这些数据进行合理分析和有效利用也是一个关键问题。深度学习的出现可以在已知信息有限的情况下，对整体数据进行合理分析和推断，极大地减轻了人工标注的工作量，并且能简便有效地分析数据。而实际生产生活中，很多数据可以被建模为图，例如社交网络中，节点通常是一些个体或者团体组织，个人与个人之间是否存在联系，两者的关系紧密程度等构成了图中节点与节点之间的连边关系(包括权重、方向等)。而图神经网络是处理这一类数据的有效工具之一，它可以通过将图数据的高维特征用低维嵌入向量进行表示，从而使下游应用(如节点分类、图分类、链路预测等)变得简单可行。而图神经网络模型生成的嵌入向量的质量直接关乎下游应用的质量。

随着对图神经网络的研究开展，图神经网络对对抗攻击的脆弱性也获得了研究者的关注。对抗攻击是一种人为设置的，并且经过精心设计的一些扰动。现有的对抗攻击的主要方式由对图中的连边进行添加或删减、修改节点的属性特征或向图中添加虚假节点。对抗攻击生成的扰动往往是隐蔽却具有威胁性的。在现实生活中这类扰动也是常见的，例如在金融交易网络中，低信用客户与一些高信用客户产生一些较小金额的交易(即产生连边关系)则可能有效地提高系统对其判定的信用等级；在存在电信诈骗的网络中，诈骗者通过与正常用户的正常通话隐藏自己的身份而不被系统检测。这些攻击将给人们的生产生活带来安全隐患。

针对上述问题，研究者提出了不同的防御策略，例如在训练过程中随机丢弃一些连边进行对抗训练来达到防御的效果，但是随机性限制了其效果；根据节点特征的相似度对不相似节点间的连边进行删除从而达到去除对抗扰动的效果，然而这种方法受限于已有的知识。因此，如何对图数据中的对抗扰动进行有效去除，并且保证主任务的性能不下降，对提高图神经网络的鲁棒性和安全性具有重要的现实意义。

发明内容

本发明提供了一种基于生成式对抗网络的图神经网络防御方法。该防御方法基于生成式对抗网络，通过对输入图数据进行合理重构来对数据中潜在的对抗性扰动进行剔除，从而提高图神经网络模型对对抗攻击的鲁棒性。

实施例提供的一种基于生成式对抗网络的图神经网络模型防御方法，包括：

(1)根据接收的对抗样本数据对应的第一邻接矩阵，利用交叉熵损失函数，对第一图卷积模型进行训练，同时得到第一节点嵌入向量；

(2)基于生成式对抗网络构建训练系统，包括生成器和判别器，生成器包括第一图卷积模型和解码器，将输入的第一节点嵌入向量通过解码器解码得到第二邻接矩阵，向第二邻接矩阵添加选择权重矩阵得到第三邻接矩阵，所述第三邻接矩阵为重构邻接矩阵，将第三邻接矩阵输入到第一图卷积模型，得到第二节点嵌入向量；判别器包括至少一个全连接网络，用于对生成的第二节点嵌入向量的质量进行评分；

(3)构建训练系统的损失函数，根据第一节点嵌入向量通过判别器输出的第一判别信息，根据第二节点嵌入向量通过判别器输出的第二判别信息，第一判别信息与第二判别信息构建第一损失函数；第二判别信息，第一节点嵌入向量和第二节点嵌入向量的均方差构建第二损失函数；