一种基于图纯化的中毒防御方法、系统、电子设备、介质

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于图纯化的中毒防御方法、系统、电子设备、介质。

背景技术

随着深度学习的兴起，图神经网络作为一种被广泛应用于图数据处理的工具已经在图表示学习领域中获得了令人瞩目的成绩，它可以对非规则的图结构数据进行高效的分析和处理，并可以有效地应用于下游现实应用中(例如推荐系统、分子结构分析、交通流量预测、诈骗节点识别等)，且其效率与质量较传统的图分析方法更为优秀。因此，图神经网络的安全性是保障这些实际任务可以顺利完成的关键。假如图神经网络存在漏洞，则可能引发一些严重的后果，例如：在社交网络中，一则虚假消息不能被正确检测，将会导致谣言的散播，从而影响社会稳定；在电子商务中，网络水军的评论将会对正常用户造成困扰甚至是误导；在通信网络中，一个节点的异常则有可能导致整个通信网络的瘫痪。

现有的研究表明，图神经网络容易受到中毒攻击的影响，即当图神经网络模型的训练数据遭受污染或恶意攻击时，经过训练的图神经网络的性能可能大幅下降，从而导致下游应用的分析出错。因此，如何提高对中毒攻击的防御能力时研究的热点。

针对上述问题，现有技术中不同的防御策略总的来说可以分为两类：针对数据转换的防御和针对图模型结构的防御。针对数据转换的防御方法主要通过不同节点间的相似度指标进行图纯化，然而这种方式可能会存在一些关键信息丢失的风险；针对图模型结构的防御方法主要是利用注意力机制、高斯分布吸收噪声、蒸馏等方式完成，但是这类方法存在针对性不强、防御代价较高等缺点。因此，如何提高中毒攻击的防御能力、降低防御代价和提高防御对象的多元化在现实应用中具有重要的实际意义。

发明内容

针对现有技术不足，本发明提出了一种基于图纯化的中毒防御方法、系统、电子设备、介质。

为实现上述发明目的，本发明的技术方案为：本发明实施例的第一方面提供了一种基于图纯化的中毒防御方法，，所述方法具体包括以下子步骤：

步骤1：基于原始图构建邻接矩阵A，对邻接矩阵A进行奇异值分解，经奇异值过滤后对原始图进行重构，获得纯化图与更新的邻接矩阵

步骤2：构建图神经网络，将原始图和纯化图分别对输入至图神经网络进行特征提取，获得原始图节点嵌入向量和纯化图节点嵌入向量；

步骤3：基于注意力机制对原始图节点嵌入向量和纯化图节点嵌入向量进行加权；

步骤4：利用图神经网络对加权后的节点嵌入向量进行分类，输出置信度，并利用置信度进行标签平滑；

步骤5：使用经平滑后的标签训练图神经网络模型，利用训练好的图神经网络模型进行对图中毒攻击的防御。

进一步地，对邻接矩阵A进行奇异值分解的公式如下：

A＝UΣV

其中，U＝AA

进一步地，经奇异值过滤后对原始图进行重构，获得纯化图与更新的邻接矩阵

根据预设的k值，在主对角线元素[λ

将获得的

其中，⊙表示逐元素相乘。δ(g)为连边选择函数，

进一步地，所述图神经网络为双层图卷积网络。

进一步地，获得原始图节点嵌入向量和纯化图节点嵌入向量的过程包括：

双层图卷积网络提取节点嵌入向量的公式如下：

其中，

根据上述公式，使用构建好的图卷积网络模型对原始图和纯化图进行特征提取，获得原始图节点嵌入向量Z

进一步地，，所述步骤3中基于注意力机制，对原始图节点嵌入向量和纯化图节点嵌入向量进行加权的过程包括：

使用双线性模型作为注意力机制计算的打分函数，公式如下：

s(Z

其中，W为自适应的参数矩阵；

基于注意力机制，在节点t的嵌入向量上第i维的注意力权重为：

其中，m为节点嵌入向量的维数；

最终得到带有注意力机制的加权节点嵌入向量Z

α为

进一步地，所述步骤4中利用置信度进行标签平滑的过程包括：

图神经网络模型提取到的加权节点嵌入向量输入到一个基于2层的多层感知机的分类器中，获得分类器对节点预测的输出置信度：然后根据置信度P和节点的独热标签矩阵Y进行标签平滑操作；

首先针对节点t，提取置信度P中预测概率最大的类别k及其对应的概率

其中，

最终计算经过平滑后的标签为：

其中，ρ为控制平滑度的放缩因子。

本发明实施例的第二方面提供了一种基于图纯化的中毒防御系统，用于实现上述的基于图纯化的中毒防御方法，所述系统包括：

纯化图重构模块，基于原始图构建邻接矩阵A，对邻接矩阵A进行奇异值分解，经奇异值过滤后对原始图进行重构，获得纯化图与更新的邻接矩阵

节点嵌入向量获取模块，将原始图和纯化图分别对输入至图神经网络进行特征提取，获得原始图节点嵌入向量和纯化图节点嵌入向量；

节点嵌入向量加权模块，基于注意力机制对节点嵌入向量获取模块输出的原始图节点嵌入向量和纯化图节点嵌入向量进行加权；

标签平滑模块，利用图神经网络对加权后的节点嵌入向量进行分类，输出置信度，并利用置信度进行标签平滑；

中毒防御模块，使用经平滑后的标签训练图神经网络模型，利用训练好的图神经网络模型进行对图中毒攻击的防御。

本发明实施例的第三方面提供了一种电子设备，包括存储器和处理器，所述存储器与所述处理器耦接；其中，所述存储器用于存储程序数据，所述处理器用于执行所述程序数据以实现上述的基于图纯化的中毒防御方法。

本发明实施例的第四方面提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述的基于图纯化的中毒防御方法。

与现有技术相比，本发明具有的有益效果至少包括：本发明提供的基于图纯化的中毒防御方法，首先，对输入的图对应的邻接矩阵进行奇异值分解，通过奇异值过滤的方法对图进行重构，获得经过纯化的图；其次，构建图神经网络对原图和经过纯化的图进行特征提取；然后，引入注意力机制获得加权节点嵌入；再次，利用获得的加权节点嵌入输入到分类器模型中，将输出置信度进行标签平滑；最后，利用训练好的图神经网络模型进行对图中毒攻击的防御。提高了对中毒攻击的防御能力。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的基于图纯化的中毒防御方法流程图；

图2为本发明实施例提供的基于图纯化的中毒防御方法整体流程框架示意图；

图3为本发明实施例提供的基于图纯化的中毒防御系统的示意图；

图4为本发明实施例提供的一种电子设备的示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本发明可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面结合附图，对本发明进行详细说明。在不冲突的情况下，下述的实施例及实施方式中的特征可以相互组合。

如图1和图2所示，本发明实施例提出了一种基于图纯化的中毒防御方法(本发明中的图神经网络模型以图卷积网络模型为例)，所述方法具体包括以下步骤：

步骤1，基于原始图构建邻接矩阵A，对邻接矩阵A进行奇异值分解，通过奇异值过滤选择从大到小排序的前k个奇异值，然后对原始图进行重构，获得纯化图与更新的邻接矩阵

首先，将输入的原始图图对应的邻接矩阵A进行奇异值分解，公式如下：

A＝UΣV

其中，U＝AA

其次，根据预设的k值，为主对角线元素([λ

其中，⊙表示逐元素相乘。δ(g)为连边选择函数，

步骤2，构建图神经网络，将原始图和纯化图分别对输入至图神经网络进行特征提取，获得相应的节点嵌入向量。

示例性地，此处以双层图卷积网络模型在节点分类任务上的应用为例，构建图卷积网络模型，其提取的节点嵌入向量如下：

其中，

进一步地，根据公式(3)，使用构建好的图卷积网络模型对原始图和纯化图进行特征提取，公式如下：

最终获得原始图和纯化图对应的节点嵌入向量Z

步骤3，引入注意力机制，将提取的原始图和纯化图的节点嵌入向量进行加权计算；

此处使用双线性模型作为注意力机制计算的打分函数，公式如下：

s(Z

其中，W为自适应的参数矩阵。

则在节点t的嵌入向量上第i维的注意力权重为：

其中，m为节点嵌入向量的维数。

最终得到带有注意力机制的加权节点嵌入向量Z

α为

步骤4，使用图神经网络模型对经过加权计算后的节点嵌入进行分类，获得输出置信度，利用置信度进行标签平滑。

进一步地，将此时图神经网络模型提取到的加权节点嵌入向量输入到一个基于多层感知机(MLP)的分类器中(此处以2层多层感知机为例)，获得分类器对节点预测的输出置信度：

P＝softmax(MLP(Z

其中，W

根据公式(6)获得输出置信度P，然后根据置信度P和节点的one-hot标签矩阵Y进行标签平滑操作。

首先针对节点t，提取置信度P中预测概率最大的类别k及其对应的概率P

其中，

最终计算经过平滑后的标签为：

其中，ρ为控制平滑度的放缩因子，为常数。

步骤5，使用经过平滑后的标签训练图神经网络模型，利用训练好的图神经网络模型进行对图中毒攻击的防御。

使用经过平滑后的标签训练图卷积网络模型，构建损失函数的公式如下：

其中，V

本发明实施例还提供了一种基于图纯化的中毒防御系统，用于实现上述的基于图纯化的中毒防御方法，所述系统包括：

纯化图重构模块，基于原始图构建邻接矩阵A，对邻接矩阵A进行奇异值分解，经奇异值过滤后对原始图进行重构，获得纯化图与更新的邻接矩阵

节点嵌入向量获取模块，将原始图和纯化图分别对输入至图神经网络进行特征提取，获得原始图节点嵌入向量和纯化图节点嵌入向量。

节点嵌入向量加权模块，基于注意力机制对节点嵌入向量获取模块输出的原始图节点嵌入向量和纯化图节点嵌入向量进行加权。

标签平滑模块，利用图神经网络对加权后的节点嵌入向量进行分类，输出置信度，并利用置信度进行标签平滑。

中毒防御模块，使用经平滑后的标签训练图神经网络模型，利用训练好的图神经网络模型进行对图中毒攻击的防御。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上实施例仅用于说明本发明的设计思想和特点，其目的在于使本领域内的技术人员能够了解本发明的内容并据以实施，本发明的保护范围不限于上述实施例。所以，凡依据本发明所揭示的原理、设计思路所作的等同变化或修饰，均在本发明的保护范围之内。