CN113190841A

CN113190841A - 一种使用差分隐私技术防御图数据攻击的方法

Info

Publication number: CN113190841A
Application number: CN202110458613.XA
Authority: CN
Inventors: 程绍银; 杜文涛; 孙启彬
Original assignee: University of Science and Technology of China USTC
Current assignee: University of Science and Technology of China USTC
Priority date: 2021-04-27
Filing date: 2021-04-27
Publication date: 2021-07-30

Abstract

本发明公开了一种使用差分隐私技术防御图数据攻击的方法，包括：对于待保护的图模型，收集其中的原始图数据；采用差分隐私技术，对原始图数据进行无偏估计处理；利用处理后的图数据进行图模型的训练，获得具备防御图数据攻击能力的图模型。上述方法：一方面，不会增加服务器和用户之间的通信开销，在实际场景中方便部署，无需额外硬件设施；另一方面，基本不影响模型原本任务的精确性，同时能够使得攻击效果有所减弱。

Description

一种使用差分隐私技术防御图数据攻击的方法

技术领域

本发明涉及图数据攻击防御技术领域，尤其涉及一种使用差分隐私技术防御图数据攻击的方法。

背景技术

近年来人工智能掀起了一波又一波浪潮，AI逐步进入人们生活的方方面面。在追逐 AI的同时却忽略了一点，AI是靠数据来喂的，而且是大量优质数据。现实生活中，除了少数巨头公司能够满足，绝大多数企业都存在数据量少，数据质量差的问题，不足以支撑人工智能技术的实现；同时国内外监管环境也在逐步加强数据保护，陆续出台相关政策，因此数据在安全合规的前提下自由流动，成了大势所趋；在用户和企业角度下，商业公司所拥有的数据往往都有巨大的潜在价值。

传统的深度学习方法被应用在提取欧氏空间数据的特征方面取得了巨大的成功，但许多实际应用场景中的数据是从非欧式空间生成的，传统的深度学习方法在处理非欧式空间数据上的表现却仍难以使人满意。例如，在电子商务中，一个基于图(Graph)的学习系统能够利用用户和产品之间的交互来做出非常准确的推荐，但图的复杂性使得现有的深度学习算法在处理时面临着巨大的挑战。这是因为图是不规则的，每个图都有一个大小可变的无序节点，图中的每个节点都有不同数量的相邻节点，导致一些重要的操作(例如卷积) 在图像(Image)上很容易计算，但不再适合直接用于图。此外，现有深度学习算法的一个核心假设是数据样本之间彼此独立。然而，对于图来说，情况并非如此，图中的每个数据样本(节点)都会有边与图中其他实数据样本(节点)相关，这些信息可用于捕获实例之间的相互依赖关系。近年来，人们对深度学习方法在图上的扩展越来越感兴趣。在多方因素的成功推动下，研究人员借鉴了卷积网络、循环网络和深度自动编码器的思想，定义和设计了用于处理图数据的神经网络结构，由此一个新的研究热点——“图神经网络 (GraphNeural Networks，GNN)”应运而生。

随着GNN的研究扩展，针对GNN模型的攻击也越来越多，包括：基于子图的后门攻击，图重构攻击和属性推理攻击等，下面针对这三种攻击做简要介绍。

1、基于子图的后门攻击(Backdoor Attacks to Graph Neural Networks)。

这是在图分类任务中进行的攻击。在模型训练之前，向训练数据中注入后门(训练图的子图)，从而得到Backdoored GNN model。攻击者能够毒化部分训练图，即在要毒化的图中注入后门，并将毒化后的图标签改为敌手选择的标签。在测试时，为了达到攻击目的，攻击者能够在测试图中注入后门。后门攻击示意图如下图1所示。

攻击效果：Backdoored GNN Model对于不含后门的测试图预测结果没有影响，对于含有后门的测试图会预测成敌手指定的标签。

具体攻击方法：以Bitcoin数据集为例(658graphs，2classes)。1)敌手选择后门：通过生成随机图的方式产生子图。即限定子图数和边数目，通过ER、SW、PA生成图方法产生子图。2)注入后门：在要毒化的图中随机选择n个点(后门点数)，并将其边结构替换成后门边结构。当训练图没有注入的子图大时，用后门替换此训练图。

参数主要有3个：后门子图大小、子图密度、毒化训练集的比例。如下图2所示，后门子图大小与攻击成功率呈正比关系，对Clean Acc和Backdoor Acc影响不大。如图3所示，子图密度与攻击成功率呈正比关系，对Clean acc和Backdoor acc影响不大。如图4所示，毒化训练集的比例与攻击成功率呈正比关系，对Clean acc和Backdoor acc影响不大。实验中设置子图大小为平均图节点数的20％，子图密度是0.8，攻击比例是5％。其中，CleanAcc表示在未被后门干扰数据集上训练而得的图分类器在不含后门的数据集上的分类准确性；Backdoor Acc表示在包含后门的数据集上训练而得的图分类器在不含后门的数据集上的分类准确性。

2、图重构攻击(Graph Reconstruction Attack)。

给定部分节点和节点嵌入，敌手的目的是重构此子图结构，也就是重构出邻接矩阵。假设敌手知道部分辅助子图G_aux，这是从相同分布的目标图G_target中取样得到。敌手通过两个阶段进行图的重构，敌手通过辅助图训练图自编码器模型，在通过内积乘法重构辅助子图的连接信息。损失函数是使重构的邻接矩阵与辅助图的邻接矩阵距离最小。

在进行攻击时，将图卷积视为encoder(编码)操作，通过节点嵌入的内积乘作为decoder(解码)操作。给定公开的节点嵌入，敌手通过获得的攻击模型，将节点嵌入decoder，重构出目标图的邻接矩阵。攻击方法如下图5所示。

边预测攻击：图重构的特殊情况，只考虑两个节点。对于两个节点i和j，敌手从预测邻接矩阵中查看是否存在边，这种攻击的成功率主要根据目标矩阵的精度。

3、属性预测攻击(Attribute Inference Attack)。

给定辅助子图的节点嵌入和相关节点的敏感属性，敌手要预测公开图嵌入的相关节点的敏感属性。这是一个比较实际的假设，因为一小部分用户的确确实在其个人资料上公开了他们的信息，而其他用户则更喜欢将此类信息保密，例如性别和位置。

在进行属性推理攻击的情况下，使用F1评分来评估召回率和准确性之间的平衡，实验结果如下表1。

表1属性预测攻击下LDP防御效果表格

目前，针对GNN模型的各类攻击的防御效果还有待改善，因此，有必要研发新的防御方案。

发明内容

本发明的目的是提供一种使用差分隐私技术防御图数据攻击的方法，在不影响图模型原本任务的精确性的基础上，减弱攻击的准确性。

本发明的目的是通过以下技术方案实现的：

一种使用差分隐私技术防御图数据攻击的方法，包括：

对于待保护的图模型，收集其中的原始图数据；

采用差分隐私技术，对原始图数据进行无偏估计处理；

利用处理后的图数据进行图模型的训练，获得具备防御图数据攻击能力的图模型。

由上述本发明提供的技术方案可以看出，一方面，不会增加服务器和用户之间的通信开销，在实际场景中方便部署，无需额外硬件设施；另一方面，基本不影响模型原本任务的精确性，同时能够使得攻击效果有所减弱。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明背景技术提供的基于子图的后门攻击示意图；

图2为本发明背景技术提供的后门大小与攻击成功率关系；

图3为本发明背景技术提供的子图密度与攻击成功率关系；

图4为本发明背景技术提供的毒化训练集的比例与攻击成功率关系；

图5为本发明背景技术提供的边预测攻击模型示意图；

图6为本发明实施例提供的一种使用差分隐私技术防御图数据攻击的方法的流程图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

在深度学习、联邦学习中，差分隐私被证明可以有效抵抗后门攻击、属性推理攻击等。但是在图数据中，还没有类似的工作证明差分隐私在图数据中同样有效。因此，本发明第一次在针对基于图数据的后门攻击、图重构攻击(边预测)以及属性预测攻击中，尝试使用差分隐私进行防御，此处的差分隐私为节点特征层面上的本地化差分隐私。

本发明实施例提供的一种使用差分隐私技术防御图数据攻击的方法，实验性后门防御，在一些基准图数据集上表现良好。实验的原理是：通过对原始图数据进行差分隐私处理，使得后门对模型的影响得到抑制。方案中有两种途径可以引入差分隐私：节点特征层面和图的边结构层面。如图6所示，为该方法的的流程图，主要流程包括：

步骤1、对于待保护的图模型，收集其中的原始图数据。

本发明实施例中，执行主体可以为一个服务器(Server)；本步骤中，通过服务器与用户(Clients)之间的交互，收集原始图数据，实施步骤可以为：

1)向待保护的图模型所涵盖的用户(数据拥有者)发送差分隐私中的隐私预算。本领域技术人员可以理解，图模型中的原始图数据主要是指节点特征数据与相应的边结构，节点特征数据可以从相关用户侧得到，服务器掌握全局的拓扑信息，即边结构信息。。

2)接收用户根据隐私预算使用LDP处理(Local Differential Privacy，本地化差分隐私)的节点特征数据。

本发明实施例中，对于没有特征的节点以节点度的独热(one-hot)编码作为节点特征数据，此时引入差分隐私相当于对于单个类别属性的独热编码进行差分隐私处理。

本步骤的伪代码如下：

Phase 1:(data collection)

Server:send privacy budgets∈to clients

Clients:send perturbed node features to server.

本领域技术人员可以理解，用户端利用LDP技术处理节点特征数据的流程可参照常规技术实现。考虑到后续面对的节点包含多维数据特征，因此，此阶段可以使用Multi-bit的 LDP算法，即在多维数据上进行本地化差分隐私处理。LDP算法可参考论文“Collecting and Analyzing Data from Smart Device Userswith Local DifferentialPrivacy”。

下面简述Clients端数据处理流程：

对于节点u，我们假设其包含d维特征x_u，经过LDP算法处理后要发送给服务器的数据为

由

的具体过程可以通过如下算法：

Algorithm 1:Multi-Bit LDP

输入：原始特征向量x∈[α,β]^d；隐私预算∈>0；参数范围α、β；取样参数m∈{1,2,...,d}

输出：扰动后的特征向量x^*∈{-1,0,1}^d

伪代码：

1：S是一个包含m个值的集合，从集合{1,2,...,d}中均匀随机取样

2 for i∈{1,2,…,d}do

3 s_i＝1 if i∈S otherwise s_i＝0

4 ti～Bernoulli(1/(e^(∈/m)+1)+(x_i-α)/(β-α)*(e^(∈/m)-1)/(e^(∈/ m)+1))

5

6 end

7 return

步骤2、采用差分隐私技术，对原始图数据进行无偏估计处理。

LDP包含了数据本地处理和服务器端无偏估计处理这两个步骤，前述步骤中，用户本地扰动节点特征数据后，将扰动后的节点特征数据发送给服务器。服务器收到扰动后的数据后需要进行无偏估计处理，以保证后续分析任务的准确性。

本步骤的优选实施方法如下：

首先，服务器端对收到的节点特征数据进行处理，公式为：

其中，

是利用LDP算法本地处理后的节点特征数据、x′_u是服务器对节点特征做的无偏估计结果，d为节点特征的维数，m为节点特征中需要扰动的维数，节点特征中的每一维都在区间[α,β]中，α、β分别为设定的区间下限值、上限值； ∈为服务器选定的隐私预算，e是自然常数。

上述处理是节点特征的无偏估计，通过上述处理可以保持数据的可用性。

之后，对节点的边进行差分隐私处理，具体可以通过对边信息的邻接矩阵进行差分处理。

步骤3、利用处理后的图数据进行图模型的训练，获得具备防御图数据攻击能力的图模型。

本步骤中，采用现有技术直接对图模型进行训练，训练的数据为前述步骤2处理后的图数据，具体的训练方案不做赘述。

本步骤的伪代码如下：

为了便于理解，下面结合具体的应用场景进行说明。

银行旨在鼓励对客户社区结构进行公开研究。为此，首先要匿名化网络(记为网络a) 中的所有客户，然后共享匿名化的网络。但是，有兴趣了解特定客户之间的财务互动(例如汇款)的攻击者可以尝试访问另一个公共社交网络，并找到可能与网络a中的客户重叠的一组用户(例如，通过利用位置等公共用户个人资料)。然后，可以使用简单的图属性 (例如节点度分布和三角形计数)来识别特定的客户(例如，客户A是度为5且在1个三角形内的唯一节点，客户B是度为2且在度内的唯一节点1个三角形)。因此，攻击者自信地知道客户A和客户B的身份以及他们之间存在财务往来的事实，这严重损害了客户的隐私并构成了潜在的危机。

通过本发明上述方案对原始图数据进行差分隐私处理后，与原网络在全局结构上比较相似，但是关于隐私保护，要求生成的网络中的信息不能自信地揭示原始网络中是否存在任何单独的链接(例如，攻击者可能仍会识别网络(b)中的客户A和B，但他们的个人链接结构已更改)，从而减弱攻击准确性。

相对于现有技术而言，本发明实施例以上方案主要具有如下有益效果：

1)第一个提出了在图节点特征和边层面分别做差分隐私处理以进行图数据攻击防御的方案，即结合了本地化差分隐私技术和图结构差分隐私技术。

2)所提出的方案不会增加服务器和用户之间的通信开销。

3)所提出的方案在一些基准图数据集上表现良好：在合适的选择隐私预算后，加入 DP后基本不影响模型原本任务的精确性，同时攻击效果有所减弱。

4)相比较于可信执行环境，所提方案在实际场景中方便部署，无需额外硬件设施。

为了更为直观的体现本发明上述方案的效果，还进行了验证实验。

表2为，本发明上述方案在MATUG数据集上的训练效果统计。此处以GIN模型(属于GNN模型的一种)为例，可以看出在合适的选择隐私预算后，加入DP(DifferentialPrivacy，即差分隐私)后基本不影响模型原本任务的精确性，同时攻击效果有所减弱。

表2差分隐私对GIN模型的分类影响

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，上述实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims

1.一种使用差分隐私技术防御图数据攻击的方法，其特征在于，包括：

对于待保护的图模型，收集其中的原始图数据；

采用差分隐私技术，对原始图数据进行无偏估计处理；

2.根据权利要求1所述的一种使用差分隐私技术防御图数据攻击的方法，其特征在于，所述对于待保护的图模型，收集其中的原始图数据包括：节点特征数据与边信息；

其中，边信息通过节点拓扑信息得到；

节点特征数据通过如下方式得到：向待保护的图模型所涵盖的用户发送差分隐私中的隐私预算；接收用户根据隐私预算使用LDP处理的节点特征数据。

3.根据权利要求2所述的一种使用差分隐私技术防御图数据攻击的方法，其特征在于，对于没有特征的节点以节点度的独热编码作为节点特征数据。

4.根据权利要求2或3所述的一种使用差分隐私技术防御图数据攻击的方法，其特征在于，采用差分隐私技术，对原始图数据进行无偏估计处理包括：

首先，对节点特征数据进行处理，公式为：

其中，

是利用LDP处理后的节点特征数据、x′_u是对节点特征做的无偏估计结果，d为节点特征的维数，m为节点特征中需要扰动的维数，节点特征中的每一维都在区间[α,β]中，α、β分别为设定的区间下限值、上限值；∈为服务器选定的隐私预算，e是自然常数；

之后，对节点的边进行差分隐私处理。