CN112287997A - 一种基于生成式对抗网络的深度图卷积模型防御方法 - Google Patents

Abstract

本发明公开了一种基于生成式对抗网络的深度图卷积模型防御方法，包括：(1)基于生成式对抗网络构建多策略生成器和相似判别器，多策略生成器包括提取原始图样本的低维嵌入特征的图特征提取器和用于基于低维嵌入特征和扩维矩阵重构对抗图样本的图重构器；相似判断器用于判断输入图样本的真实概率；(2)对多策略生成器和相似判别器进行对抗迭代训练，以生成具有攻击扰动效果且与原始图样本高相似的对抗图样本；(3)基于图卷积网络构建防御分类器，利用原始图样本和对抗图样本对防御分类模型进行预训练和防御训练，训练结束的防御分类器作为最终防御模型；(4)将图样本输入至最终防御模型，实现具有防御对抗攻击的识别和分类任务。

Description

一种基于生成式对抗网络的深度图卷积模型防御方法

技术领域

本发明属于网络安全技术领域，具体涉及一种基于生成式对抗网络的深度图卷积模型防御方法。

背景技术

现代生活被各种网络数据包围，这些网络数据用于表示很多领域的数据，例如社交网络，通信网络，生物网络，交易网络等。为了将复杂多样的网络数据以直观的数据形式表达，研究人员们大多将网络数据以图数据的形式描述。图嵌入方法将图中的节点和连边信息映射到低维欧几里得空间，从而实现了现实世界中的图分析任务。深度图卷积模型是最成功的图嵌入方法之一，已在各种应用中显示出令人鼓舞的结果，例如节点分类，图分类，链接预测和社区检测。深度图卷积模型学习到的图结构的低维表征，这直接决定了下游任务的性能，因此近来受到越来越多的关注。

深度图卷积模型作为一种深度模型，相比一般基于矩阵分解、随机游走的图嵌入算法，具有更强的学习图结构的低维表征的能力。随着深度图卷积模型的进一步研究与应用，深度图卷积模型的安全性也逐渐得到研究人员的重视。许多研究人员已经注意到，在图分析任务中，通过删减少量网络节点、修改部分节点链接、节点属性的方法，可以成功欺骗深度图卷积模型，从而导致下游的网络分析任务出现错误。这种负面结果严重阻碍了图分析模型的适用性，从而导致结果不直观和不可靠，这为攻击者利用这些漏洞提供了可乘之机。例如，攻击者可以通过向社交网络中的用户添加与虚假用户的连接，从而隐藏该用户的社交关系；为交易网络中的钓鱼节点创建一些虚假交易记录从而避免钓鱼节点被检测出来。这些恶意攻击都会给现实生活中的网络安全带来严重影响。

为了提高深度图卷积模型的鲁棒性，增强深度图神经网络防御网络攻击的能力，Dai等人在论文《Adversarial Attack on Graph Structured Data》针对网络对抗攻击算法提出了一种简单的对抗训练机制(AT)，该方法在防御对抗性攻击的每个训练步骤中，简单地在全局随机删除节点连边。然而，在大多数情况下，这种随机性很难保证防御的有效性如何更有针对性地防御敌对者对网络的攻击，在提高深度图卷积模型的鲁棒性，提升下游任务的性能方面有着重要的实践意义。

发明内容

本发明的目的就是提供一种基于生成式对抗网络的深度图卷积模型防御方法，通过交替训练基于生成式对抗网络构建的多策略生成器和相似性判别器、防御分类器。利用原始图样本与多策略生成器生成的对抗图样本来提升相似性判别器对二者的判别能力，将原始图样本与对抗图样本作为输入依次训练防御分类器，将最终训练得到的防御分类器作为目标防御模型，来提高目标防御模型在进行分类任务时对于对抗性攻击的防御能力。

为实现上述发明目的，本发明提供以下技术方案：

一种基于生成式对抗网络的深度图卷积模型防御方法，包括以下步骤：

基于生成式对抗网络构建多策略生成器和相似判别器，所述多策略生成器用于基于原始图样本生成对抗图样本，具体包括图特征提取器和图重构器，利用图特征提取器提取原始图样本的低维嵌入特征，利用图重构器基于低维嵌入特征和扩维矩阵重构图样本作为对抗图样本；所述相似判断器用于判断输入图样本的真实概率；

对多策略生成器和相似判别器进行对抗迭代训练，以生成具有攻击扰动效果且与原始图样本高相似的对抗图样本；

基于图卷积网络构建防御分类器，利用原始图样本对防御分类器进行预训练，利用对抗图样本对防御分类器进行防御训练，训练结束的防御分类器作为最终用于防御攻击的深度图卷积模型；

将测试图样本输入至深度图卷积模型，实现具有防御对抗攻击的识别和分类任务；

所述深度图卷积模型防御方法适用于社交网络、通信网络、生物网络或交易网络的分类任务或识别任务的防御，对应的原始图样本和测试图样本分别为社交网络图、通信网络图、生物网络图或交易网络图。

与现有技术相比，本发明具有的有益效果至少包括：

本发明提供的基于生成式对抗网络的深度图卷积模型防御方法，基于生成式对抗网络构建多策略生成器和相似判别器生成大量带有指定攻击扰动的对抗图样本，尽可能拟合这些对抗图样本以覆盖深度图卷积网络在处理这类带扰动的图样本时的盲区，增强深度图卷积模型的鲁棒性，防止深度图卷积模型用于社交网络、通信网络、生物网络或交易网络的分类任务或识别任务的对抗攻击，达到防御对抗攻击的效果，提升分类任务或识别任务的准确度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。

图1是实施例提供的基于生成式对抗网络的深度图卷积模型防御方法的流程框图；

图2是实施例提供的策略生成器生成对抗图样本示意图；

图3是实施例提供的相似判别器判别输入图样本的真实概率的步骤示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

为了增强用于社交网络、通信网络、生物网络或交易网络的分类任务或识别任务的深度图卷积模型对于对抗性攻击的鲁棒性，以提高分类任务或识别任务的准确性。实施例提供了一种基于生成式对抗网络的深度图卷积模型防御方法，如图1所示，该深度图卷积模型防御方法包括以下步骤：

步骤1，基于生成式对抗网络构建多策略生成器

和相似判别器D。

本实施例中，如图2所示，采用多策略生成器

用于基于原始图样本生成对抗图样本，具体包括图特征提取器和图重构器，利用图特征提取器提取原始图样本的低维嵌入特征，利用图重构器基于低维嵌入特征和扩维矩阵重构图样本作为对抗图样本。

图特征提取器采用图卷积网络，用来学习图样本的低维嵌入特征。图卷积网络将卷积运算扩展到空间域中的图数据，第l+1个隐藏层H^(l+1)定义为：

其中，

是原始图样本网络的邻接矩阵，

是添加自连接的无向网络G的邻接矩阵，I_N是无向网络G的自连边矩阵，

是

的度值矩阵。将节点属性X＝{0,1}^N×D作为图卷积第一层的输入，即H⁽⁰⁾＝X，W^(l)是第l层的可训练权重矩阵，σ(·)是激活函数，通常采用Relu函数。

所述图特征提取器采用2层图卷积网络来学习图样本的d维嵌入特征Z∈R^N×d：

f(·)和σ(·)分别是softmax函数与Relu函数，W⁽⁰⁾∈R^N×H，W⁽¹⁾∈R^H×d分别为输入层-隐层和隐层-输出层的网络参数；

以损失函数L_min作为优化目标，对图卷积网络进行迭代优化直到收敛，以收敛时输出层的输出作为图样本的低维嵌入特征Z；

其中，A表示图样本的邻接矩阵，X表示图样本的节点属性，Z_lk(A,X)表示第l节点属于第k个类标的置信度，由图卷积网络的输出层输出得到，也就是当嵌入特征的维度d＝|F|时，由公式(2)计算出的节点分类置信度，T_s是带类标的节点集合，F＝[τ₁,…,τ_|F|]表示节点类标集合，若第l个节点v_l属于第k个类标τ_k，则Y_lk＝1，否则Y_lk＝0。

本实施例中，图重构器用于基于低维嵌入特征和扩维矩阵重构图样本作为对抗图样本。具体地，图重构器中，设计两个扩维矩阵

与

分别用于重构邻接矩阵A'与节点属性X'，该扩维矩阵

与

在图重构器被训练的时候得以优化更新。

其中，Z∈R^N×d表示图样本经过图特征提取器得到的低维嵌入特征，上标T表示矩阵的转置，

表示sigmoid函数，用于将重构后的初始数据值映射到[0-1]，

表示松弛操作，用于将邻接矩阵A'与节点属性X'转化为只有0或1的离散数据；

根据邻接矩阵A'与节点属性X'重构图样本G'(A',X)、G'(A,X')、G'(A',X')，统称为对抗图样本G'，其中，A和X分别表示原始图样本的邻接矩阵和节点属性。如图2所示的对抗图样本G'是根据邻接矩阵A'和节点属性X构建的对抗图样本G'(A',X)，深色箭头表示对抗图样本中相比原始样本添加的连边，虚线箭头表示删除的连边，节点标签为Y。

本实施例中，相似判断器D用于判断输入图样本的真实概率，也即是判别输入图样本是原始图样本还是对抗图样本。如图3所示，具体地，相似判断器包括三个多层感知机和融合单元，三个多层感知机MLP_A、MLP_X、MLP_Z的输入分别是图样本的邻接矩阵A、节点属性X以及图样本的低维嵌入特征Z，并分别计算基于邻接矩阵A、节点属性X、低维嵌入特征Z判定的输入图样本的真实概率，利用融合单元融合三个真实概率，确定输入图样本的最终真实概率。在具体实施方式中，多层感知机采用单层感知机。

具体地，每个多层感知机的输出层通过一个sigmoid函数输出一个在[0,1]范围的一维数值以表示输入数据判定为真实的概率，多层感知机MLP(MLP为MLP_A、MLP_X、MLP_Z)的统称，的通用隐藏层与输出层定义为：

其中，分别以Z、A和X作为对应MLP的输入h⁽⁰⁾，

和b^(l)表示第l层MLP的可训练参数与偏置项。

综合三种输入A、X、Z的多层感知机MLP_A、MLP_X、MLP_Z的真实概率，得到输入图样本的最终判定真实概率为：

D(A,X)∈[0,1]表示输入图样本G＝(A,X)判别为真实样本的概率，值越高表明判别为真实样本的概率越高。

步骤2，对多策略生成器和相似判别器进行对抗迭代训练，以生成具有攻击扰动效果且与原始图样本高相似的对抗图样本。

多策略生成器生成对抗图样本时，根据初始扩维矩阵

根据不同的修改策略生成初始的对抗图样本。相似判别器判别输入样本的真实概率时，将原始图样本G＝(A,X)与生成的初始对抗图样本G'作为相似判别器D的输入，并计算输入图样本判别为真实样本的概率D(G)和D(G′)。

本实施例中，对多策略生成器和相似判别器进行对抗迭代训练包括优化相似判别器和优化多策略生成器，具体包括：

优化相似判别器时，以公式(7)为优化目标，最大化原始图样本与生成对抗样本判别为真的概率差异，来优化相似判别器的网络参数；

其中，G～p_real表示原始图样本G来自于原始样本集p_real，

表示原始图样本G'来自于多策略生成器生成的对抗图样本集

D(G)表示相似判别器将原始图样本G的分类置信度，D(G′)表示相似判别器将对抗图样本G'的分类置信度，

表示logD(G)的数学期望，

表示log(1-D(G'))的数学期望。

优化多策略生成器时，训练过后的相似判别器作为反馈使多策略生成器尽量生成能让相似判别器判断为真实样本的对抗图样本。为了产生具有一定攻击扰动的对抗样本，利用训练得到图特征提取器产生对抗扰动反馈，结合相似判别器的反馈，一同指导多策略生成器的优化，具体地，以公式(8)为优化目标，来优化多策略生成器的网络参数，具体包括图特征提取器的网络参数和图重构器采用的扩维矩阵；

其中，D(G′)表示相似判别器对对抗图样本G′的分类置信度，T_tar是目标扰动节点集合，节点v_t∈T_tar为目标扰动节点集合中的第t个目标节点，F＝[τ₁,…,τ_|F|]表示网络节点类标集合，若第t个目标节点v_t属于第k个类标τ_k，则Y_tk＝1，否则Y_tk＝0，Z′_tk(G′)表示针对t个目标节点关于第k个类标产生的对抗图样本经过图特征提取器提取的低维嵌入特征；

对于不同的扰动目标节点，每次以公式(7)与公式(8)作为共同的优化目标对多策略生成器与相似判别器进行训练，提取收敛时多策略生成器的输出G'_t作为第t个目标节点对应的对抗图样本，完成后开始生成下一个具有不同扰动目标节点的对抗图样本。

步骤3，基于图卷积网络构建防御分类器，利用原始图样本和对抗图样本对防御分类器进行预训练和防御训练，得到最终用于防御攻击的深度图卷积模型。

本实施例中，采用步骤1中结构相同、参数不同的图卷积网络(GCN)作为防御分类器C。具体地，防御分类器C根据公式(9)计算输入图样本G的预测类标置信度Z_c∈R^N×|F|：

其中，f(·)和σ(·)分别是softmax函数与Relu函数，W_c ⁽⁰⁾∈R^N×H，W_c ⁽¹⁾∈R^H×|F|分别为防御分类器中输入层-隐层和隐层-输出层的模型参数，得到节点分类置信度输出Z_c∈R^{N ×|F|}＝C(A,X)。Z_c的第i行

表示节点v_i的分类置信度。

利用原始图样本G＝(A,X)对防御分类器进行预训练时，以函数L_c1最小作为优化目标，利用原始图样本对防御分类器进行迭代优化，直到收敛，提取收敛时的网络参数作为防御分类器的参数；

其中，A表示图样本的邻接矩阵，X表示图样本的节点属性，

表示第l节点属于第k个类标的置信度，由防御分类模型的输出层输出得到，T_s是带类标的节点集合，F＝[τ₁,…,τ_|F|]表示节点类标集合，若第l个节点v_l属于第k个类标τ_k，则Y_lk＝1，否则Y_lk＝0。

利用对抗图样本对防御分类器进行防御训练时，以函数L_c2最小为优化目标，来优化防御分类器参数：

其中，T_tar是目标扰动节点集合，节点v_t∈T_tar为目标扰动节点集合中的一个节点，F＝[τ₁,…,τ_|F|]表示网络节点类标集合，若第t个目标节点v_t属于第k个类标τ_k，则Y_tk＝1，否则Y_tk＝0，

是针对t个节点关于第k个类标产生的对抗图样本经过防御分类器输出的分类置信度。

在整体模型交替训练的过程中，多策略生成器与相似判别器交替训练得到第t个目标节点对应的扰动对抗样本G'_t，将扰动对抗样本G'_t作为防御分类器的输入来实现防御训练。

利用原始图样本和对抗图样本对防御分类器进行预训练和防御训练结束后，得到最终用于防御攻击的深度图卷积模型。

步骤4，将测试图样本输入至深度图卷积模型，实现具有防御对抗攻击的识别和分类任务。

本实施例中，深度图卷积模型防御方法适用于社交网络、通信网络、生物网络或交易网络的分类任务或识别任务的防御，对应的原始图样本和测试图样本分别为社交网络图、通信网络图、生物网络图或交易网络图。

在大多数情况下，社交网络中，节点表示用户，连边表示不同用户间存在的某种关系，例如交往关系，推荐关系等；通信网络中，节点表示通信站点，连边表示不同站点间的通信情况；生物网络中，节点表示某种原子/分子/化学结构，连边表示原子/分子/化学结构存在的连接关系；交易网络中，节点表示用户账户，连边表示不同用户间产生的交易。

上述提供的基于生成式对抗网络的深度图卷积模型防御方法，基于生成式对抗网络构建多策略生成器和相似判别器生成大量带有指定攻击扰动的对抗图样本，尽可能拟合这些对抗图样本以覆盖深度图卷积网络在处理这类带扰动的图样本时的盲区，增强深度图卷积模型的鲁棒性，防止深度图卷积模型用于社交网络、通信网络、生物网络或交易网络的分类任务或识别任务的对抗攻击，达到防御对抗攻击的效果，提升分类任务或识别任务的准确度。

以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的最优选实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于生成式对抗网络的深度图卷积模型防御方法，其特征在于，包括以下步骤：

基于生成式对抗网络构建多策略生成器和相似判别器，所述多策略生成器用于基于原始图样本生成对抗图样本，具体包括图特征提取器和图重构器，利用图特征提取器提取原始图样本的低维嵌入特征，利用图重构器基于低维嵌入特征和扩维矩阵重构图样本作为对抗图样本；所述相似判断器用于判断输入图样本的真实概率；

对多策略生成器和相似判别器进行对抗迭代训练，以生成具有攻击扰动效果且与原始图样本高相似的对抗图样本；

基于图卷积网络构建防御分类器，利用原始图样本对防御分类器进行预训练，利用对抗图样本对防御分类器进行防御训练，训练结束的防御分类器作为最终用于防御攻击的深度图卷积模型；

将测试图样本输入至深度图卷积模型，实现具有防御对抗攻击的识别和分类任务；

所述深度图卷积模型防御方法适用于社交网络、通信网络、生物网络或交易网络的分类任务或识别任务的防御，对应的原始图样本和测试图样本分别为社交网络图、通信网络图、生物网络图或交易网络图。

2.如权利要求1所述的基于生成式对抗网络的深度图卷积模型防御方法，其特征在于，所述图特征提取器采用图卷积网络，用来学习图样本的低维嵌入特征，以损失函数L最小作为优化目标，对图卷积网络进行迭代优化直到收敛，以收敛时输出层的输出作为图样本的低维嵌入特征Z；

其中，A表示图样本的邻接矩阵，X表示图样本的节点属性，Z_lk(A,X)表示第l节点属于第k个类标的置信度，由图卷积网络的输出层输出得到，T_s是带类标的节点集合，F＝[τ₁,…,τ_|F|]表示节点类标集合，若第l个节点v_l属于第k个类标τ_k，则Y_lk＝1，否则Y_lk＝0。

3.如权利要求1所述的基于生成式对抗网络的深度图卷积模型防御方法，其特征在于，所述图特征提取器采用2层图卷积网络。

4.如权利要求1所述的基于生成式对抗网络的深度图卷积模型防御方法，其特征在于，所述图重构器中，设计两个扩维矩阵

与

分别用于重构邻接矩阵A'与节点属性X'：

其中，Z表示图样本经过图特征提取器得到的低维嵌入特征，上标T表示矩阵的转置，

表示sigmoid函数，用于将重构后的初始数据值映射到[0-1]，

表示松弛操作，用于将邻接矩阵A'与节点属性X'转化为只有0或1的离散数据；

根据邻接矩阵A'与节点属性X'重构图样本G'(A',X)、G'(A,X')、G'(A',X')，统称为对抗图样本G'，其中，A和X分别表示原始图样本的邻接矩阵和节点属性。

5.如权利要求1所述的基于生成式对抗网络的深度图卷积模型防御方法，其特征在于，所述相似判断器包括三个多层感知机和融合单元，三个多层感知机的输入分别是图样本的邻接矩阵、节点属性以及图样本的低维嵌入特征，并分别计算基于邻接矩阵、节点属性、低维嵌入特征判定的输入图样本的真实概率，利用融合单元融合三个真实概率，确定输入图样本的最终真实概率。

6.如权利要求5所述的基于生成式对抗网络的深度图卷积模型防御方法，其特征在于，所述多层感知机采用单层感知机。

7.如权利要求1所述的基于生成式对抗网络的深度图卷积模型防御方法，其特征在于，对多策略生成器和相似判别器进行对抗迭代训练包括优化相似判别器和优化多策略生成器，具体包括：

优化相似判别器时，以公式(3)为优化目标，最大化原始图样本与生成对抗样本判别为真的概率差异，来优化相似判别器的网络参数；

其中，G～p_real表示原始图样本G来自于原始样本集p_real，

表示原始图样本G'来自于多策略生成器生成的对抗图样本集

D(G)表示相似判别器将原始图样本G的分类置信度，D(G′)表示相似判别器将对抗图样本G'的分类置信度，

表示logD(G)的数学期望，

表示log(1-D(G'))的数学期望；

优化多策略生成器时，以公式(4)为优化目标，来优化多策略生成器的网络参数，具体包括图特征提取器的网络参数和图重构器采用的扩维矩阵；

其中，D(G′)表示相似判别器对对抗图样本的分类置信度，T_tar是目标扰动节点集合，节点v_t∈T_tar为目标扰动节点集合中的第t个目标节点，F＝[τ₁,…,τ_|F|]表示网络节点类标集合，若第t个目标节点v_t属于第k个类标τ_k，则Y_tk＝1，否则Y_tk＝0，Z′_tk(G′)表示针对t个目标节点关于第k个类标产生的对抗图样本经过图特征提取器提取的低维嵌入特征；

对于不同的扰动目标节点，每次以公式(3)与公式(4)作为共同的优化目标对多策略生成器与相似判别器进行训练，提取收敛时多策略生成器的输出G'_t作为第t个目标节点对应的对抗图样本，完成后开始生成下一个具有不同扰动目标节点的对抗图样本。

8.如权利要求1所述的基于生成式对抗网络的深度图卷积模型防御方法，其特征在于，利用原始图样本对防御分类器进行预训练时，以函数L_c1最小作为优化目标，优化防御分类器参数：

其中，A表示图样本的邻接矩阵，X表示图样本的节点属性，

表示第l节点属于第k个类标的置信度，由防御分类模型的输出层输出得到，T_s是带类标的节点集合，F＝[τ₁,…,τ_|F|]表示节点类标集合，若第l个节点v_l属于第k个类标τ_k，则Y_lk＝1，否则Y_lk＝0。

9.如权利要求1所述的基于生成式对抗网络的深度图卷积模型防御方法，其特征在于，利用对抗图样本对防御分类器进行防御训练时，以函数L_c2最小为优化目标，来优化防御分类器参数：

其中，T_tar是目标扰动节点集合，节点v_t∈T_tar为目标扰动节点集合中的一个节点，F＝[τ₁,…,τ_|F|]表示网络节点类标集合，若第t个目标节点v_t属于第k个类标τ_k，则Y_tk＝1，否则Y_tk＝0，

是针对t个节点关于第k个类标产生的对抗图样本经过防御分类器输出的分类置信度。

Images