文摘

并成为一个重要的组成部分在现实生活中,很多研究安全问题和安全。最近,为图结构的特点,并对抗攻击节点分类暴露,和自动攻击方法,如快速梯度攻击(FGA)和NETTACK开发为每个节点的攻击,也可以用于多节点攻击顺序。然而,由于忽视不同每个节点攻击之间的扰动影响,上述顺序法并不能保证一个全球所有目标节点攻击的成功率,在固定预算的扰动。在本文中,我们提出一个平行敌对攻击框架节点分类。我们重新设计新的nonconstraint损失函数和目标函数和约束扰动,分别。通过构造交叉和补充机制的扰动,然后整合节点filtering-based P-FGA P-NETTACK在一个统一的框架,最终实现并行敌对攻击。实验数据集政治家并Polblogs与详细分析进行显示我们的方法的有效性。

1。介绍

随着互联网和信息技术的发展,一个新兴的网络空间(1),指相互依存的全球网络信息技术基础设施、电信网络、计算机处理系统,覆盖现在的大多数方面我们的日常生活中。等空间,一个非常重要的和详细的表征,各种新兴的社交网络(例如,Facebook, Twitter,微信,TikTok)的新的革命极大地推动网络互连和相互依存关系,以及社会关系和信息传播(2,3]。

社交网络被称为并简而言之。由于人气,数十亿的用户并分享他们的个人资料和联系朋友和家人通过各种设备和应用程序。自从并可以抽象为一个简单的节点和边的图的特征,许多研究人员努力研究并做出了贡献,基于图和相应的服务与方法(4- - - - - -8]。最常应用的任务之一在图形数据节点分类,目的是预测剩余节点的标签在一个大型图表和几个节点的类标签9]。例如,我们可以利用节点分类预测政治家如自由派和保守派的政治标签,根据他们并相互作用。

近年来对节点分类,图像卷积网络(GCN) [10,11图),一种神经网络(GNN) [12,13)基于深度学习,已经显示出巨大的潜力。不幸的是,这种政府通讯也为网络攻击打开一扇新的大门。发现对手的攻击之下,通过添加或删除的一些边缘的扰动,他们注意到感到不安14]。此外,自动攻击方法开发探索有效扰动包括约束和nonconstraint扰动。约束扰动是指边缘扰动满足特定需求,如节点度分布的图(15]。Nonconstraint扰动意味着免费的扰动。因此,攻击速度梯度(FGA) (16]和NETTACK [17分别是典型nonconstraint和约束方法。上面的方法使每个节点的攻击,以及多节点攻击顺序。然而,由于忽视不同每个节点攻击之间的扰动影响,上述顺序法并不能保证一个全球所有目标节点攻击的成功率,在固定预算的扰动。图1显示顺序和并行攻击之间的差异在一个激励的例子。1号,2和3节点,这次袭击的目标是改变他们的类标签通过改变图结构扰动,包括边缘添加和删除。我们可以看到,由于把边缘从边缘之外的努力在1号节点的攻击,二号和三号节点攻击顺序攻击浪费边缘扰动,导致1号节点攻击失败全球攻击成功率的2/3,而并行攻击考虑摄动影响而有更高的攻击成功率较低的预算。

在这项工作中,我们是第一个以并行方式执行多节点攻击通过整合两个方法P-FGA和P-NETTACK在袭击一个统一的框架。基于nonconstraint FGA P-FGA我们重新设计一个新的损失函数,采用CW-loss [18)来代替CE-loss。P-NETTACK,我们利用代理的最大金额损失随着新目标函数支持并行攻击。此外,我们应用一个节点过滤机制P-NETTACK P-FGA,过滤掉那些成功攻击的节点从目标节点集。提取后常见的扰动,我们还提供一个随机扰动来填补预算的补充。

我们实验的政治家并集Polblogs [191222个节点和16714边,显示我们的方法的有效性。我们发现,我们的方法可以实现高攻击的成功率(ASR)71.5%的最低的扰动预算的1/5 ( 是所有目标节点的度的总和),这是超过15%高于NETTACK或FGA,仍然保持满意的检验统计量为0.005。过滤机制可以大大提高ASR,平均增加近20%。我们总结的贡献如下:(1)我们给第一个试图提出一个多节点并行敌对攻击分类框架节点在图结构,并基于考虑每个节点之间的扰动影响的攻击。(2)节点filtering-based nonconstraint P-FGA和节点filtering-based约束P-NETTACK提出,我们将它们集成到一个统一的多节点并行攻击框架,通过构建交叉和扰动机制的补充。(3)我们评估我们的方法经验真实数据集的政治家并Polblogs。基于并行攻击图上的1222个节点和16714年的边缘,我们揭示和验证的有效性方法相比,连续攻击的攻击强度和隐匿性的攻击。

剩下的论文结构如下:部分2介绍了预赛和问题定义。部分3提出了一种多节点并行攻击框架。部分4我们的实验报告和评估Polblogs政治家并数据集。节5,我们将讨论相关工作。最后,部分6总结了本文的工作。

2。预赛和问题定义

2.1。图的结构并

在现实并中,一个人能有一个与他人交互操作如下:评论、新任命,等等。这样的交互可以量化和合格的,从不同的测量不同。为简单起见,我们假设我们只使用一个无向未加权的边缘来表示一个交互作用的存在,并构造图结构(见图2)。此外,我们简单地假设一个节点只有一个分类标签,和我们不关注多个free-label用户配置文件或granularity-based层次用户配置文件(20.在本文的攻击场景。因此,并图,我们有一个三倍 包括节点集V,标签设置C,相邻矩阵一个,在这 , ( ),一个显示如下:

2.2。图卷积网络

作为一种GNN政府通讯是一个极其强大的神经网络体系结构的深度学习图产生有用的功能网络中的节点表示。给定一个 ,我们可以部分删除一些节点的标签( = null)获得一个新的 节点分类的目的是学会一个函数 ,每个节点映射 一个类( = 0)。

我们使用一个两层的GCN近似函数 : 在哪里 , 是相邻矩阵 输入的图像 添加了self-loops通过单位矩阵 , 矩阵的程度吗 , 节点是一个矩阵的特征向量。图的节点没有特征属性, 可以设置为一个单位矩阵吗 是可训练的第一和第二层次的权重矩阵,分别和 是一个ReLU激活函数。semisupervised节点分类的最优参数 学会了通过最小化叉损失在所有标签的例子: 在哪里 与标签节点的集合,即训练集, 给定节点的真实标签吗 , 指定类的概率是 到节点

2.3。问题定义

考虑到攻击目标 和扰动的预算 ,多节点攻击之下可以被看作如下优化问题: 在哪里 , ,其他的

公式(4)显示了目标函数,旨在找到最优邻矩阵。当误分类的总和为所有目标节点是最大的,这意味着最成功的多节点的攻击。公式(5)和(6)应满足的约束条件。公式(5)要求的数量优势扰动不超过 (一个预定义的常数)。公式(6)的约束,任何边缘扰动必须链接到目标节点的攻击。

3所示。多节点并行攻击框架

我们多节点并行攻击框架如图3。首先,给定一个原始图 中定义的部分2.1,我们训练的政府通讯节点分类任务,我们获得 ,所有节点都贴上预测和记录 成测试结果地面真理。然后,给出一个目标节点集 ,我们利用P-FGA P-NETTACK扰乱原始图,攻击目标节点 在每个迭代nonconstraint P-FGA方法,基于GCN-gradient相邻矩阵的信息 ,我们选择的节点 最大梯度的绝对值进行扰动(边删除或边添加),生成新的敌对的图 由发电机。约束P-NETTACK在每个迭代中,确保保持扰动不显明的,保护重要结构特性,我们首先计算候选扰动集 以确保类似的节点度分布微扰后执行。然后,根据我们的设计的目标函数,从候选人扰动集,我们贪婪地选择最优扰动 ,获得最高的目标分数,生成一个新的敌对的图吗 由发电机。

后的过滤机制,每个微扰P-FGA或P-NETTACK,新的预测标签应该与测试的结果来确定攻击的效果。对于那些成功攻击的节点,这样的机制从目标节点集过滤出来 形成一个新的目标节点集 ,忽视这些节点在下一个梯度/目标函数计算和扰动的选择。重复这样的过程直到扰动预算 是达到了。 分别基于P-FGA和P-NETTACK扰动集。集成 并生成统一的扰动,我们提供了一个十字路口机制提取共同的扰动,扰动补充机制来填补扰动预算 最后,综合扰动集 是用于实现有效的多节点并行敌对攻击。

3.1。P-FGA方法

在我们P-FGA,适应多节点的攻击,我们重新设计一个新的损失函数 为攻击目标 ,拥有CW-loss [18取代CE-loss和考虑所有目标节点(见方程(7))。

基于后梯度原始FGA的想法,基于新的损失函数 对于多节点的攻击,我们首先计算偏导数的元素 的邻接矩阵 并进一步得到梯度矩阵 ,和它的元素 可以通过计算

考虑到邻接矩阵是对称的,其梯度矩阵也应该是对称的,因此,我们有 在哪里 形式 一个更大的多节点的价值损失函数 对应于目标节点的预测结果更糟糕 和扰动沿边缘方向的梯度可以更快的局部损失增加。也就是说,对于一个积极的梯度 ,添加一对节点之间的边 可以增加损失。同样,负梯度 ,删除的边缘也会增加损失。

然而,由于相邻矩阵 是二进制离散和 ,并不是所有的边都可以摄动以及梯度的方向。例如,对于两个节点 谁有正/负梯度(即 )同时连接/断开连接(例如, ),我们不能进一步添加/删除边缘梯度的方向。因此,我们设计方程(9);对于一个积极的梯度 , , 是正的;当 , 是负的。同样,负梯度 , , 是正的;当 , 是负的。只有积极的 允许添加/删除的边缘梯度的方向。然后,对于边缘添加或删除,我们选择最优边缘 , ,的最大 ,和相邻矩阵 是更新的 通过改变相应的值( )不同的二进制值(见方程(10))。

P-FGA给出算法的伪代码1

输入: ,攻击目标 ,摄动的预算
输出:微扰组
(1) 火车GCN模型 在原始图
(2) 初始化
(3) 初始化摄动设置
(4)
(5) / / GCN-based梯度计算
(6) 计算多节点目标损失函数
(7) 构造 基于 :
, ,
(8) / /摄动的选择
(9) 选择 在哪里 ,有最大的
(10) / /摄动执行
(11) 获得邻接矩阵 通过
(12) 生成一个新的敌对的图
(13) 添加
(14) 结束
(15) 返回
3.2。P-NETTACK方法

在约束P-NETTACK,我们使用测试数据 来确定我们产生敌对的图 和原始图 有类似的节点度分布pow-law分布呢 ,在这 表示一定程度的概率 , 是指尺度参数。测试数据 可以根据以下公式计算。

在方程(11), 最低度节点必须被视为幂律的测试,然后呢 是包含列表节点的多重集度,在哪里 节点的程度吗 (21]。方程(12)用来评估对数似 为样例 (22]。然后,我们可以通过方程(最终检验统计量13)。类似于NETTACK,我们只接受敌对的图 的度分布满足 从而获得候选人扰动集 在我们的P-NETTACK,扰动在边缘 必须连接到目标节点的攻击。

有效地选择最优扰动 ,NETTACK利用一个线性替代模型 近似非线性模型之下 通过删除激活函数 计算如下:

在我们P-NETTACK,给定一个攻击目标 ,我们利用单一代理损失的总和 作为新代理损失支持多节点攻击: 在哪里 的值是类 给该节点 的代理模型。多节点评分函数评估获得的多节点代理损失后添加/删除一条边 被定义为 在哪里 是更新的 通过 在NETTACK贪婪的近似方案之后,在每次迭代中,我们选择具有最高价值的最优扰动候选人微扰的多节点评分函数集 来执行。上述过程包括候选人微扰计算,确定最优扰动,扰动重复执行,直到微扰的预算 是达到了。P-NETTACK给出算法的伪代码2

输入: ,攻击目标 ,摄动的预算
输出:微扰组
(1) 火车代理模型 在原始图 获得
(2) 初始化
(3) 初始化摄动设置
(4)
(5) 构建有效的候选人扰动集
(6) 选择 最大的多节点评分函数值
(7) 获得邻接矩阵 通过
(8) 生成一个新的敌对的图
(9) 添加
(10) 结束
(11) 返回
3.3。过滤机制

在本部分中,我们提出一种过滤机制,过滤掉目标节点成功攻击的目标节点集。每次扰动后,过滤机制,我们获得一个过滤攻击目标 ,用于下一次迭代。如果没有节点 ,这意味着所有目标节点受到攻击成功,我们重置攻击目标 原始的攻击目标 算法的伪代码给出了过滤机制3

输入:摄动图 ,攻击目标 ,节点分类模型
输出:过滤攻击目标
(1) 初始化
(2) 每一个
(3) 预测的标签 通过
(4) 如果 地面真理不等于预测结果然后
(5) 删除 / /过滤
(6) 结束
(7) 如果 然后
(8) / /重置
(9) 返回
3.4。十字路口和补充机制

在本节中,我们构造扰动的十字路口和补充机制。考虑到微扰集 在一个固定的微扰的预算 ,我们首先利用交叉机制提取他们共同的扰动 一般来说,常见的扰动的数量小于扰动预算 因此,我们应该提供一个微扰补充机制来填补预算。

我们表示 组成的扰动 但不是在 同样的, 包含的扰动 但不是在 之间的区别是 的数量 此外,我们使用一个辅助因素 控制附加扰动的比例 特别,我们随机选择 扰动的 ,分别将它们添加到 ,形成最终的统一扰动集。扰动的十字路口的伪代码和补充机制给出了算法4

输入: , ,辅助因素 ,摄动的预算
输出:
(1) 执行的交集 获得
(2) 如果 然后
(3) 获得
(4) 获得
(5) 计算
(6) 随机加的 扰动的
(7) 随机加的 扰动的
(8) 返回

4所示。实验

4.1。数据集和环境

我们使用著名的政治家并Polblogs [19)作为我们的实验数据集来评估我们的方法。总结了基本统计信息表1被认为是,只有最大的连接组件。我们随机选择20%的节点数据集作为训练标记节点。测试集由剩余的未标记的节点。

我们也给我们的实验环境配置表2

4.2。目标参数和基线

GCN作为攻击目标是构建基于Github上的程序(https://github.com/tkipf/gcn)。我们火车模型最多200时代用亚当(23学习速率为0.01。我们初始化权重使用Glorot和Bengio[描述的初始化24)和相应的输入特征向量(行)正常化。

我们比较建议攻击方法和综合先进的敌对的攻击方法包括FGA和NETTACK。我们使用的代码基线由作者提供。(我)FGA(16)提取的梯度两两节点基于对抗的网络,然后选择两个节点最大绝对链接梯度意识到对手的网络攻击和更新。(2)NETTACK(17)设计对抗攻击基于静态代理模型和贪婪地选择最优扰动通过保留一个图表的主要结构特点。(3)随机攻击随机扰乱边缘与目标节点。

5。评估

5.1。评价指标
5.1.1。攻击的成功率(ASR)

ASR的数量的比例是成功攻击节点到目标节点的总数,可以计算如下: 在哪里 表示成功地攻击节点和数量 是攻击目标。

5.1.2中。平均攻击速度(AAS)

原子吸收光谱法是指平均运行时间的攻击,它可以计算如下: 在哪里 表示目标的总攻击时间 , 摄动的预算。

5.1.3。检验统计量

检验统计量 是用来评估攻击隐匿性(见方程(13)),衡量原始图和对抗性的图形之间的结构差异。一个更小的 意味着的度分布对抗图更类似于原始图的,因此,扰动更不显明的。

5.2。ASR分析

在我们的实验中,每个攻击目标包括五个目标节点,和他们所有的人都在原来正确的测试集分类图。我们将扰动预算分成五个层次根据度的总和所有目标节点的攻击目标 ,也就是说, , , , ,

从表中我们可以看出3,对于每一个 ,我们比较ASR之间PP-NETTACK (k= 1),Pfga (k= 0)、NETTACK FGA、和随机攻击P 是最好的价值,我们的统一方法。从算法4,我们知道如果k= 1,我们统一方法可以简化为P-NETTACK;如果k= 0,我们可以简化为P-FGA统一方法。P∗ASR值最高为0.715,0.880,1,1 , ,分别。当有相当低的预算 ,人造硅视网膜的P 超过15%高于NETTACK或FGA。P-NETTACK (k= 1)和P-FGA (k= 0)有极其密切的值为所有预算 4显示了视觉对比表3

在表4我们可以看到, , ,我们的方法达到最高ASR值为0.715 (k= 0.5),0.880 (k= 0.7),和0.987 (k分别为= 0.8)。在 ,对于许多k设置,ASR值可以达到1。例如,在 ,ASR = 1时k= 0.1,0.2,0.3,0.4,0.5,0.7。图5显示了详细的ASR随着变化k增量。

5.3。测试统计数据 分析

从表中我们可以看出5P-NETTACK (k= 1)最低 值为0.003,0.005,0.005,0004 , ,分别。尽管P-NETTACK (k= 1)和NETTACK有相同的约束机制, P-NETTACK值(k= 1)总是低于NETTACK。P-FGA (k= 0)和FGA没有强制约束, 值非常高,继续增加的增量 6显示了视觉对比表5

在表6,我们可以看到, ,的增量k,测试数据 继续减少,对更好的结果。图7清楚地显示了 随着变化k增量。

5.4。原子吸收光谱法分析

从表中我们可以看出7,P-NETTACK是最耗时的敌对的攻击方法,平均每个攻击的11.17秒。因为候选人扰动的P-NETTACK大于NETTACK,原子吸收光谱法NETTACK P-NETTACK比这高得多。相反,P-FGA FGA有极其密切的原子吸收值,分别为0.17和0.14年代。

5.5。过滤机理分析

在表8,我们可以看到, ,过滤机制可以大大提高ASR,平均增加近20%。P-FGA, ASR的值 是高于P-FGA(没有过滤) 因此,我们可以看到过滤机制P-NETTACK和P-FGA中扮演一个非常重要的角色。

6.1。政治家并分析

在过去的几年里,社交媒体已经成为一个重要的政治沟通渠道,吸引了大量的研究。亚当和反光19]分析了政治博客在此期间两个月前的2004年美国总统大选,测量之间的互动程度,自由派和保守派的博客和揭示许多有趣的差异等两个社区连接模式和讨论的话题。卡顿等。25)提出了一个社会天文台,它专注于公共的Facebook资料187年德国政客们从五个联邦党,观察他们如何与选民互动,测量情绪的政客们和他们的追随者的区别,并分析网络言论的模式不同的政党。施蒂格利茨和Dang-Xuan26)提出了一个社交媒体分析框架在政治背景下,针对不断收集、存储、监控、分析和总结政治相关的用户生成内容从不同的社会媒体来获得更深的洞察政治话语在社会媒体。

然而,很少有研究关注的安全分析政治家并包括政治家标签分类从对立的角度攻击图。相比之下,我们专注于研究安全问题的政治家并基于图结构,针对政府通讯模型的政治家标签分类。有趣的是,政治家并非常脆弱,攻击成本相当便宜的只有删除一些现有的交互或添加一些新的交互。作为一个政治家和公民之间重要的沟通桥梁,政治家的安全分析并应高度重视。

6.2。对手的攻击图

最近,一些研究调查了对手的攻击图结构的神经网络。Zugner et al。17]了敌对的攻击之下的存在在节点分类任务中,通过轻微修改图结构或节点归因导致误分类的目标节点。戴et al。27]研究测试时间不属预定目标的敌对攻击节点分类任务和图分类(28基于强化学习的任务。除了白盒攻击的情况下,他们还扩展他们的攻击方法变为实际的黑盒和限制黑箱攻击场景。Zhang et al。29日)系统地研究知识的脆弱性图嵌入第一次。通过添加或删除的事实知识图,他们摧毁了关系预测模型基于代表知识图嵌入方法包括TransE [30.]和RESCAL [31日),这也是第一个调查对异构敌对攻击图。陈等人。16)探讨了敌对攻击节点分类任务和社区检测任务(32基于GCN-based梯度信息。

然而,大多数工作大约敌对攻击节点分类只关注了每个节点的攻击,旨在实现一个目标节点的误分类。虽然,每个节点的攻击方法,多节点攻击可以顺序地执行,不同的扰动影响每个节点攻击被忽视。相比之下,我们的并行攻击方法,认为所有目标节点和扰动影响同时,更适合多节点的攻击。此外,作为第一个提出并行攻击图的结构,我们的工作可以提供一个灵感敌对攻击其他任务并行的方式,如平行敌对攻击预测多个链接。

除了上述好处之外,我们的方法的主要缺点是耗时的,特别是P-NETTACK(见表7),由于原因,在每个迭代中,越来越多的候选人扰动纳入计算与顺序每个节点的攻击。解决方案之一是开发更多计算有效的测试统计功能和评分功能。另一方面,提出了一种扰动过滤机制来减少多节点组候选人扰动的大小也是一个有效的方法。此外,我们的方法不考虑由于图形的约束(33),如attribution-based节点相似性约束(34)和归因同现约束(17]。并行多节点敌对攻击属性图和异构信息网络(HIN) [35仍需要进一步探索。

7所示。结论

在本文中,我们提出一个多节点并行敌对攻击分类框架节点在图结构,并基于考虑每个节点之间的扰动影响的攻击。通过重新设计新的nonconstraint损失函数和目标函数和约束扰动,分别摄动和构造交叉和补充机制,我们整合nonconstraint P-FGA和约束P-NETTACK攻击一个统一的框架。基于政治家并Polblogs 1222个节点和16714年的边缘,我们评估攻击成功率,测试数据,和普通攻击速度的方法。我们的方法显示了71.5%的高攻击的成功率最低的扰动预算的1/5 ,保持满意的检验统计量为0.005。

这项工作塞维作为第一步采取安全分析在政治家并多节点并行敌对攻击。预计激发一系列的后续研究,包括但不限于(1)对抗攻击预测多个链接;(2)更具体的防御设计和实现。

数据可用性

Polblogs可以获得的数据集http://networkrepository.com/polblogs.php

的利益冲突

作者宣称没有利益冲突有关的出版。

确认

这项研究得到了国家自然科学基金(61972025、61972025和61972025,U1811264, 61966009),中国国家重点研发项目(2020 yfb1005604和2020 yfb2103800),基础研究基金中国中央大学(2018 jbz103和2019 rc008)和广西重点实验室的可信软件(KX201902)。