[发明专利]一种使用差分隐私技术防御图数据攻击的方法

说明书

本发明公开了一种使用差分隐私技术防御图数据攻击的方法，包括：对于待保护的图模型，收集其中的原始图数据；采用差分隐私技术，对原始图数据进行无偏估计处理；利用处理后的图数据进行图模型的训练，获得具备防御图数据攻击能力的图模型。上述方法：一方面，不会增加服务器和用户之间的通信开销，在实际场景中方便部署，无需额外硬件设施；另一方面，基本不影响模型原本任务的精确性，同时能够使得攻击效果有所减弱。

技术领域

本发明涉及图数据攻击防御技术领域，尤其涉及一种使用差分隐私技术防御图数据攻 击的方法。

背景技术

近年来人工智能掀起了一波又一波浪潮，AI逐步进入人们生活的方方面面。在追逐 AI的同时却忽略了一点，AI是靠数据来喂的，而且是大量优质数据。现实生活中，除了少数巨头公司能够满足，绝大多数企业都存在数据量少，数据质量差的问题，不足以支撑人工智能技术的实现；同时国内外监管环境也在逐步加强数据保护，陆续出台相关政策，因此数据在安全合规的前提下自由流动，成了大势所趋；在用户和企业角度下，商业公司所拥有的数据往往都有巨大的潜在价值。

传统的深度学习方法被应用在提取欧氏空间数据的特征方面取得了巨大的成功，但许 多实际应用场景中的数据是从非欧式空间生成的，传统的深度学习方法在处理非欧式空间 数据上的表现却仍难以使人满意。例如，在电子商务中，一个基于图(Graph)的学习系 统能够利用用户和产品之间的交互来做出非常准确的推荐，但图的复杂性使得现有的深度 学习算法在处理时面临着巨大的挑战。这是因为图是不规则的，每个图都有一个大小可变 的无序节点，图中的每个节点都有不同数量的相邻节点，导致一些重要的操作(例如卷积) 在图像(Image)上很容易计算，但不再适合直接用于图。此外，现有深度学习算法的一 个核心假设是数据样本之间彼此独立。然而，对于图来说，情况并非如此，图中的每个数据样本(节点)都会有边与图中其他实数据样本(节点)相关，这些信息可用于捕获实例 之间的相互依赖关系。近年来，人们对深度学习方法在图上的扩展越来越感兴趣。在多方 因素的成功推动下，研究人员借鉴了卷积网络、循环网络和深度自动编码器的思想，定义 和设计了用于处理图数据的神经网络结构，由此一个新的研究热点——“图神经网络 (GraphNeural Networks，GNN)”应运而生。

随着GNN的研究扩展，针对GNN模型的攻击也越来越多，包括：基于子图的后门攻击， 图重构攻击和属性推理攻击等，下面针对这三种攻击做简要介绍。

1、基于子图的后门攻击(Backdoor Attacks to Graph Neural Networks)。

这是在图分类任务中进行的攻击。在模型训练之前，向训练数据中注入后门(训练图 的子图)，从而得到Backdoored GNN model。攻击者能够毒化部分训练图，即在要毒化的图中注入后门，并将毒化后的图标签改为敌手选择的标签。在测试时，为了达到攻击目的，攻击者能够在测试图中注入后门。后门攻击示意图如下图1所示。

攻击效果：Backdoored GNN Model对于不含后门的测试图预测结果没有影响，对于 含有后门的测试图会预测成敌手指定的标签。

具体攻击方法：以Bitcoin数据集为例(658graphs，2classes)。1)敌手选择后门：通过生成随机图的方式产生子图。即限定子图数和边数目，通过ER、SW、PA生成图方法 产生子图。2)注入后门：在要毒化的图中随机选择n个点(后门点数)，并将其边结构替 换成后门边结构。当训练图没有注入的子图大时，用后门替换此训练图。