本發(fā)明公開了一種基于節(jié)點(diǎn)投票機(jī)制的圖神經(jīng)網(wǎng)絡(luò)模型黑盒攻擊裝置及方法，涉及人工智能信息安全技術(shù)領(lǐng)域，具體來說，包括以下步驟：獲取圖數(shù)據(jù)及超參數(shù)；初始化節(jié)點(diǎn)投票能力、投票得分、不同節(jié)點(diǎn)間邊的投票權(quán)重；節(jié)點(diǎn)從其鄰居獲得投票分?jǐn)?shù)并為鄰居投票；根據(jù)節(jié)點(diǎn)投票分?jǐn)?shù)，迭代選擇分?jǐn)?shù)高的節(jié)點(diǎn)作為每輪選出的節(jié)點(diǎn)；將每輪所選節(jié)點(diǎn)的投票能力置0，并對所選節(jié)點(diǎn)鄰居的投票能力進(jìn)行衰減；選出滿足約束條件的節(jié)點(diǎn)，進(jìn)而生成攻擊節(jié)點(diǎn)集合；依據(jù)節(jié)點(diǎn)分類任務(wù)相關(guān)的領(lǐng)域知識構(gòu)造擾動向量，對集合進(jìn)行擾動，從而生成擾動圖；利用擾動圖對模型進(jìn)行攻擊。本發(fā)明通過利用圖的拓?fù)湫畔?，并結(jié)合節(jié)點(diǎn)投票機(jī)制，進(jìn)一步提升基于節(jié)點(diǎn)選擇黑盒攻擊的精度。

技術(shù)領(lǐng)域

本發(fā)明涉及人工智能信息安全技術(shù)領(lǐng)域，特別是涉及一種基于節(jié)點(diǎn)投票機(jī)制的圖神經(jīng)網(wǎng)絡(luò)模型黑盒攻擊裝置及方法。

背景技術(shù)

近年來，圖神經(jīng)網(wǎng)絡(luò)模型在網(wǎng)絡(luò)節(jié)點(diǎn)識別、推薦系統(tǒng)、社交網(wǎng)絡(luò)等領(lǐng)域已經(jīng)得到了廣泛的應(yīng)用，大多數(shù)研究人員比較關(guān)注模型的性能(如預(yù)測準(zhǔn)確率)，卻忽視了模型的魯棒性?，F(xiàn)有的圖神經(jīng)網(wǎng)絡(luò)模型很容易遭到“對抗樣本”的攻擊，例如圖神經(jīng)網(wǎng)絡(luò)黑盒對抗攻擊，即使在無法獲取圖神經(jīng)網(wǎng)絡(luò)模型架構(gòu)及參數(shù)的前提下，也能夠通過在圖上添加微小的擾動(如有限的刪邊、加邊等)生成對抗樣本，導(dǎo)致圖神經(jīng)網(wǎng)絡(luò)模型識別節(jié)點(diǎn)類型的錯(cuò)誤率顯著增加。因此，圖神經(jīng)網(wǎng)絡(luò)對抗攻擊的研究是很有必要的，它不僅可以幫助進(jìn)一步地理解圖神經(jīng)網(wǎng)絡(luò)模型以及提升模型的魯棒性，而且對設(shè)計(jì)更加魯棒的圖神經(jīng)網(wǎng)絡(luò)模型具有重要的研究意義，同時(shí)在社交網(wǎng)絡(luò)、金融等領(lǐng)域也有著重要的應(yīng)用價(jià)值。

目前圖神經(jīng)網(wǎng)絡(luò)模型中黑盒對抗攻擊主流策略包括：使用代理模型、基于節(jié)點(diǎn)選擇。使用代理模型實(shí)現(xiàn)的黑盒攻擊，不僅需要與攻擊模型進(jìn)行交互查詢，還需要對代理模型進(jìn)行訓(xùn)練，耗費(fèi)大量資源。而基于節(jié)點(diǎn)選擇實(shí)現(xiàn)的黑盒攻擊則避免了上述問題，其思路如下，通過對圖的拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)一套規(guī)則來實(shí)現(xiàn)攻擊節(jié)點(diǎn)選擇，然后針對攻擊節(jié)點(diǎn)的屬性進(jìn)行擾動，進(jìn)而生成擾動圖去攻擊目標(biāo)模型。基于節(jié)點(diǎn)選擇黑盒攻擊的難點(diǎn)在于如何設(shè)計(jì)一套有效的規(guī)則，才能實(shí)現(xiàn)通過拓?fù)浣Y(jié)構(gòu)來選擇出有效的攻擊節(jié)點(diǎn)。因此，考慮一種更嚴(yán)格、更現(xiàn)實(shí)的基于節(jié)點(diǎn)選擇的黑盒攻擊更具有挑戰(zhàn)性，不需要與攻擊模型進(jìn)行交互查詢，而且消耗的資源相對較少。

已有的基于節(jié)點(diǎn)選擇的黑盒對抗攻擊使用狀態(tài)轉(zhuǎn)移矩陣來選擇攻擊節(jié)點(diǎn)，需要對矩陣進(jìn)行冪次處理，導(dǎo)致計(jì)算量較大的問題，而對所選攻擊節(jié)點(diǎn)鄰居只做簡單的歸0處理，且未考慮不同節(jié)點(diǎn)之間邊的傳遞概率，導(dǎo)致所選節(jié)點(diǎn)代表性不強(qiáng)、擾動傳播范圍小等問題。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)存在的不足，本發(fā)明基于節(jié)點(diǎn)投票機(jī)制設(shè)計(jì)了一套規(guī)則，充分考慮上述問題，使得所選節(jié)點(diǎn)更具代表性、擾動傳播范圍更大，而且計(jì)算量較小。本發(fā)明的目的在于提供一種基于節(jié)點(diǎn)投票機(jī)制的圖神經(jīng)網(wǎng)絡(luò)模型黑盒攻擊裝置，本發(fā)明的另一目的在于提供一種基于節(jié)點(diǎn)投票機(jī)制的圖神經(jīng)網(wǎng)絡(luò)模型黑盒攻擊方法，該方法可以有效提升黑盒攻擊方法的成功率。

為達(dá)到所述目的，本發(fā)明一方面提供了一種基于節(jié)點(diǎn)投票機(jī)制的圖神經(jīng)網(wǎng)絡(luò)模型黑盒攻擊裝置，包括：

S11：輸入模塊，獲取圖數(shù)據(jù)G以及對抗攻擊過程中涉及的各種條件約束；

S12：初始化模塊，為圖G中每個(gè)節(jié)點(diǎn)初始化其投票得分和投票能力，為圖G中不同節(jié)點(diǎn)之間的邊初始化投票權(quán)重；

S13：攻擊節(jié)點(diǎn)選擇模塊，基于節(jié)點(diǎn)投票機(jī)制迭代選擇攻擊節(jié)點(diǎn)，生成攻擊節(jié)點(diǎn)集合S；

S14：節(jié)點(diǎn)特征擾動構(gòu)造模塊，依據(jù)節(jié)點(diǎn)分類任務(wù)相關(guān)的領(lǐng)域知識來構(gòu)造擾動向量，對攻擊節(jié)點(diǎn)集合S進(jìn)行攻擊，輸出擾動后的圖G′；

S15：攻擊模塊，利用擾動后的圖G′對圖神經(jīng)網(wǎng)絡(luò)模型進(jìn)行攻擊。

上述技術(shù)方案中，所述初始化模塊S12中，所述每個(gè)節(jié)點(diǎn)初始化投票得分和投票能力具體表示為：(vs_i,va_i)，初始化方式如下，