徐慧玲,宣 琦,陳晉音

1(浙江工業(yè)大學(xué) 信息工程學(xué)院,杭州 310012) 2(浙江工業(yè)大學(xué) 網(wǎng)絡(luò)空間安全研究院,杭州 310012)

1 引 言

圖分類(lèi),即根據(jù)網(wǎng)絡(luò)拓?fù)湫畔㈩A(yù)測(cè)圖的類(lèi)標(biāo)簽問(wèn)題,近年來(lái)在不同的實(shí)際領(lǐng)域中有著廣泛的應(yīng)用,例如欺詐檢測(cè)[1-4],惡意軟件檢測(cè)[5-8]和蛋白質(zhì)分析[9]等等.圖是由各種節(jié)點(diǎn)通過(guò)不同的連接方式所構(gòu)成,只有結(jié)構(gòu)化的數(shù)據(jù)信息,沒(méi)有像節(jié)點(diǎn)樣本那樣固有的、天然的特征表示,因此圖分類(lèi)的核心在于挖掘圖特有的表征信息,具體通過(guò)圖核或圖神經(jīng)網(wǎng)絡(luò)(Graph Neural Network,GNN)等方法計(jì)算其特征向量.其中,基于圖核的方法旨在設(shè)計(jì)一個(gè)核函數(shù)來(lái)度量圖結(jié)構(gòu)空間中的相似性.由于現(xiàn)有的大多數(shù)圖核都集中在小的局部模式上,通常無(wú)法識(shí)別屬于不同類(lèi)的圖子結(jié)構(gòu).因此,一些工作集中于頻繁子圖的研究和發(fā)現(xiàn),并自然地將圖結(jié)構(gòu)學(xué)習(xí)問(wèn)題轉(zhuǎn)化為傳統(tǒng)的有監(jiān)督學(xué)習(xí)問(wèn)題,從而使各種神經(jīng)網(wǎng)絡(luò)應(yīng)用于圖分類(lèi).使用神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)數(shù)據(jù)驅(qū)動(dòng)的圖形表示正在興起.

盡管GNN在圖分類(lèi)任務(wù)中具有顯著的表現(xiàn),但近年來(lái)越來(lái)越多的研究表明它非常容易受到惡意攻擊.根據(jù)攻擊策略來(lái)劃分,主要有如下4類(lèi)攻擊方法:隨機(jī)攻擊、梯度攻擊、強(qiáng)化學(xué)習(xí)攻擊以及后門(mén)攻擊.這些攻擊方法都是屬于拓?fù)涔舻姆懂?這主要是因?yàn)樵趫D分類(lèi)任務(wù)上,拓?fù)浣Y(jié)構(gòu)上的攻擊相較于特征攻擊會(huì)更簡(jiǎn)單有效.Tang等[10]開(kāi)發(fā)了一個(gè)代理模型,通過(guò)梯度信息生成對(duì)抗樣本并最終探討了圖神經(jīng)網(wǎng)絡(luò)的脆弱性.Chen等[11]開(kāi)發(fā)了基于生成對(duì)抗網(wǎng)絡(luò)(GAN)的GraphAttacker,用于攻擊包含圖分類(lèi)的3種不同的圖分析任務(wù).在強(qiáng)化學(xué)習(xí)的影響下,RL-S2V[12]和ReWatt[13]馬爾可夫決策過(guò)程(MDP)作為對(duì)抗策略進(jìn)而愚弄圖分類(lèi)的目標(biāo)模型.此外,張等[14]和席等[15]受圖像后門(mén)攻擊的啟發(fā),將后門(mén)攻擊引入到圖分類(lèi)中.為了安全抵御圖分類(lèi)攻擊的蓄意侵?jǐn)_,處理數(shù)據(jù)[16,17]或優(yōu)化模型[18,19]是目前較通用的防御策略.但這些防御方法大多是對(duì)輸入數(shù)據(jù)進(jìn)行統(tǒng)一防御,(無(wú)論是未被攻擊的樣本還是被攻擊的樣本,都會(huì)被一起執(zhí)行防御操作).本質(zhì)上,這些方法沒(méi)有識(shí)別對(duì)抗樣本的能力,對(duì)干凈樣本也會(huì)統(tǒng)一實(shí)行防御操作,進(jìn)而導(dǎo)致其下游圖分析任務(wù)的結(jié)果也會(huì)受到非預(yù)期的影響.因此越來(lái)越多的學(xué)者逐漸開(kāi)始關(guān)注對(duì)抗樣本的檢測(cè)問(wèn)題[20-23].

對(duì)抗樣本檢測(cè)目前僅僅在節(jié)點(diǎn)分類(lèi)任務(wù)中[22,23]有所發(fā)展;主要通過(guò)探索對(duì)抗連邊(或節(jié)點(diǎn))和干凈連邊(或節(jié)點(diǎn))之間的差異來(lái)保護(hù)GNN模型.Xu等[22]使用鏈路預(yù)測(cè)作為數(shù)據(jù)預(yù)處理過(guò)程來(lái)檢測(cè)潛在的惡意連邊.為了檢測(cè)大型圖上的異常節(jié)點(diǎn),Ioannidis等[23]設(shè)計(jì)了一個(gè)圖隨機(jī)抽樣和一致性框架(GraphSAC).圖對(duì)抗檢測(cè)和節(jié)點(diǎn)對(duì)抗檢測(cè)是兩個(gè)不同的問(wèn)題,節(jié)點(diǎn)對(duì)抗檢測(cè)的思路和方法不適用于圖對(duì)抗檢測(cè).這是因?yàn)楣?jié)點(diǎn)級(jí)樣本具有其固有的特征信息,可以通過(guò)鄰居節(jié)點(diǎn)信息的變化來(lái)探尋攻擊的軌跡和目標(biāo).但是對(duì)于圖級(jí)對(duì)抗樣本檢測(cè),不僅需要統(tǒng)籌分析攻擊前后每個(gè)圖內(nèi)部的拓?fù)浣Y(jié)構(gòu)變化,還須兼顧圖與圖之間的本質(zhì)差異.相較于節(jié)點(diǎn)對(duì)抗檢測(cè),圖對(duì)抗檢測(cè)更抽象也更復(fù)雜.如何權(quán)衡和取舍每個(gè)圖中節(jié)點(diǎn)和連邊的信息,探尋被攻擊圖類(lèi)別變化的規(guī)律,是圖級(jí)對(duì)抗樣本檢測(cè)的難點(diǎn)所在.

本文主要研究拓?fù)涔粝?基于圖分類(lèi)任務(wù)的對(duì)抗檢測(cè)問(wèn)題.通過(guò)特征壓縮對(duì)抗檢測(cè)學(xué)習(xí)輸入樣本在特征變換前后的差異浮動(dòng)范圍,然后以此作為判別器的核,當(dāng)輸入樣本超出該界定范圍時(shí)判斷為對(duì)抗樣本,反之為干凈樣本.但是因?yàn)楝F(xiàn)實(shí)世界中大多數(shù)網(wǎng)絡(luò)是稀疏的,所以引入子圖網(wǎng)絡(luò)(Subgraph Network,SGN[24])擴(kuò)充特征信息,提出了聯(lián)合和動(dòng)態(tài)對(duì)抗檢測(cè).

這項(xiàng)工作的主要貢獻(xiàn)總結(jié)如下:

1)提出了一個(gè)新的基于圖分類(lèi)任務(wù)的對(duì)抗樣本檢測(cè)問(wèn)題,研究了拓?fù)涔艉吞右莨粝碌膱D級(jí)對(duì)抗檢測(cè)工作;

2)構(gòu)造了特征壓縮對(duì)抗檢測(cè)模型和聯(lián)合動(dòng)態(tài)對(duì)抗檢測(cè)模型,核心是使用檢測(cè)判別器學(xué)習(xí)對(duì)抗圖和干凈圖之間的差異度量指標(biāo);

3)使用3種圖分類(lèi)攻擊算法,在3個(gè)生物化學(xué)數(shù)據(jù)集上開(kāi)展消融實(shí)驗(yàn).其中聯(lián)合動(dòng)態(tài)對(duì)抗檢測(cè)的檢測(cè)率高達(dá)90%,檢測(cè)效果最為顯著.

2 圖分類(lèi)對(duì)抗樣本檢測(cè)算法

2.1 圖分類(lèi)

在本文中,使用G={A,F}來(lái)表示一個(gè)基本圖樣本,其中A∈{0,1}n×n表示鄰接矩陣,F∈Rn×d表示節(jié)點(diǎn)特征矩陣.n和d分別表示節(jié)點(diǎn)總數(shù)和特征維度.g={G0,G1,…,G|φ|}表示原始未被攻擊的總圖集,yi∈y為對(duì)應(yīng)每個(gè)圖Gi的類(lèi).|Φ|是總圖數(shù).圖分類(lèi)的映射函數(shù)為fθ:g→y.θ為圖分類(lèi)器f的模型參數(shù).使用交叉熵定義圖分類(lèi)模型的損失函數(shù)如下:

(1)

通過(guò)損失函數(shù)更新最優(yōu)模型參數(shù)θ*如下:

θ*=argminθLmodel

(2)

2.2 攻擊設(shè)定

因?yàn)閳D深度學(xué)習(xí)模型的預(yù)測(cè)能力是由圖中所固有的關(guān)系數(shù)據(jù)決定的,所以拓?fù)鋽_動(dòng)攻擊方法比特征擾動(dòng)攻擊方法更有效.因此,本文假設(shè)不存在特征擾動(dòng).拓?fù)涔羰峭ㄟ^(guò)修改輸入圖的鄰接矩陣來(lái)愚弄圖分類(lèi)器:

(3)

(4)

通常,在攻擊實(shí)施時(shí)會(huì)增加修改限制,這要求修改的邊數(shù)不應(yīng)超過(guò)預(yù)算約束Δ:

(5)

2.3 稠密網(wǎng)絡(luò)對(duì)抗樣本檢測(cè)

2.3.1 特征壓縮

在數(shù)據(jù)預(yù)處理階段,特征提取和特征降維是提高模型表征能力的重要手段.特征提取主要是從數(shù)據(jù)中發(fā)現(xiàn)有用的特征,而數(shù)據(jù)降維主要是在不降低模型精度的情況下減少無(wú)關(guān)特征的數(shù)量.當(dāng)使用機(jī)器學(xué)習(xí)來(lái)訓(xùn)練數(shù)據(jù)集時(shí),可能會(huì)遇到成千上萬(wàn)的特征.隨著數(shù)據(jù)量的增加,分析結(jié)果的準(zhǔn)確性會(huì)有很大提高,但同時(shí)也會(huì)變得很難處理.此時(shí),必須想出一種方法來(lái)減少特征,并將高維數(shù)據(jù)轉(zhuǎn)換為低維數(shù)據(jù).在特征降維中,主成分分析(Principal Component Analysis,PCA[25])引用是經(jīng)典且實(shí)用的方法之一.主成分分析實(shí)際上是一種投影技術(shù),它將多維數(shù)據(jù)映射到低維空間,使映射的特征空間數(shù)據(jù)相互正交,從而留下可區(qū)分的低維數(shù)據(jù)特征.

2.3.2 特征壓縮對(duì)抗檢測(cè)

在現(xiàn)實(shí)世界中,為了使攻擊更具隱匿性,絕大多數(shù)攻擊者通過(guò)使用向原始網(wǎng)絡(luò)添加連邊的方式來(lái)生成各種對(duì)抗樣本.與未被攻擊的圖相比,對(duì)抗網(wǎng)絡(luò)的模型softmax層輸出概率分布p會(huì)有較大差異.特征壓縮對(duì)抗檢測(cè)主要利用主成分分析(PCA)作為特征重構(gòu)方法,如果模型對(duì)重構(gòu)輸入的預(yù)測(cè)與其對(duì)原始輸入的預(yù)測(cè)之間的差異度量指標(biāo)值超過(guò)閾值,則檢測(cè)判別器將該輸入識(shí)別為對(duì)抗樣本;否則,被認(rèn)為是干凈樣本.對(duì)抗檢測(cè)模型中的判別器通過(guò)學(xué)習(xí)對(duì)抗樣本和干凈樣本之前的差異來(lái)設(shè)定區(qū)分閾值,從而作為檢測(cè)輸入樣本是否具有對(duì)抗性的評(píng)判標(biāo)準(zhǔn).具體而言,主要使用原始預(yù)測(cè)向量和特征壓縮預(yù)測(cè)向量之間的差值來(lái)計(jì)算L1范數(shù)作為度量指標(biāo):

(6)

其中,由圖分類(lèi)器生成的預(yù)測(cè)向量p表示輸入x屬于某個(gè)類(lèi)別的概率分布.x(P)是對(duì)輸入樣本特征壓縮后的預(yù)測(cè)向量.‖·‖1表示L1范數(shù).D=(p(x)-p(x(P)))表示差異向量.abs為絕對(duì)值運(yùn)算符.本文期望通過(guò)計(jì)算被攻擊樣本和干凈樣本的差異度量指標(biāo)g發(fā)現(xiàn)二者的不同,從而找到區(qū)分它們的內(nèi)在規(guī)則.理論上,PCA降低了高維數(shù)據(jù)的維數(shù),不僅可以節(jié)省計(jì)算成本和運(yùn)行時(shí)間,而且可以滿足實(shí)際任務(wù)的基本要求.因此當(dāng)面對(duì)一個(gè)稠密和龐大的網(wǎng)絡(luò)時(shí),使用基于降維的對(duì)抗檢測(cè)方法是一種不錯(cuò)的選擇.但是,該方法無(wú)法處理稀疏網(wǎng)絡(luò)樣本檢測(cè),因?yàn)樗鼤?huì)使本就特征信息稀缺的網(wǎng)絡(luò)丟失大量的原始圖信息.

2.4 復(fù)雜網(wǎng)絡(luò)聯(lián)合對(duì)抗樣本檢測(cè)

2.4.1 子圖網(wǎng)絡(luò)

研究網(wǎng)絡(luò)的子結(jié)構(gòu),如子圖,是理解和分析網(wǎng)絡(luò)的有效途徑.實(shí)際上,子圖是網(wǎng)絡(luò)的基本結(jié)構(gòu)元素.特定子圖的頻繁出現(xiàn)可以揭示網(wǎng)絡(luò)的拓?fù)浣换ツＪ?因此可以被用來(lái)區(qū)分不同的社區(qū)和各種網(wǎng)絡(luò).本文引用的子圖網(wǎng)絡(luò)通過(guò)提取原始網(wǎng)絡(luò)的核心部分來(lái)重構(gòu)保留子圖交互的新網(wǎng)絡(luò).該網(wǎng)絡(luò)變換方式可以補(bǔ)充原有網(wǎng)絡(luò),有效擴(kuò)展網(wǎng)絡(luò)的特性,有利于后續(xù)基于結(jié)構(gòu)的算法的設(shè)計(jì)和應(yīng)用.一階子圖是將原始網(wǎng)絡(luò)中的一條邊定義為一個(gè)獨(dú)立的子圖.而一階子圖網(wǎng)絡(luò)由所有一階子圖組成,其中一階子圖是其節(jié)點(diǎn),子圖之間的連接形成新的邊.開(kāi)放三角形是構(gòu)造二階子圖網(wǎng)絡(luò)的基本子圖單元,如果兩個(gè)開(kāi)放三角形連接,則二階SGN中的兩個(gè)對(duì)應(yīng)節(jié)點(diǎn)連接.

2.4.2 聯(lián)合對(duì)抗檢測(cè)

由于現(xiàn)實(shí)世界中的大多數(shù)網(wǎng)絡(luò)都是稀疏矩陣,子圖網(wǎng)絡(luò)可以用來(lái)擴(kuò)展網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),補(bǔ)充原始網(wǎng)絡(luò)的基本信息.鑒于此,引入子圖重構(gòu)來(lái)拓展網(wǎng)絡(luò)密度和特征信息,具體來(lái)說(shuō),使用一階子圖來(lái)重建特征,期望擴(kuò)大對(duì)抗樣本和干凈樣本之間的差距.聯(lián)合對(duì)抗檢測(cè)模型的判別公式如下:

(7)

其中,x(1)表示一階子圖網(wǎng)絡(luò),p(x(1))是對(duì)輸入樣本一節(jié)子圖重構(gòu)后的預(yù)測(cè)向量.一般來(lái)說(shuō),干凈樣本的g值較低,也就是說(shuō),重建前后的原始樣本幾乎沒(méi)有差異.但是,對(duì)抗樣本的g值更高,因?yàn)樽訄D重構(gòu)的目的就是放大攻擊者修改的痕跡.基于以上,就可以在干凈樣本和對(duì)抗樣本之間選擇一個(gè)合適的閾值作為判別核心閾值.

圖1 聯(lián)合對(duì)抗檢測(cè)模型Fig.1 Joint adversarial detection model

實(shí)際上,即使可以針對(duì)特定類(lèi)型的攻擊開(kāi)發(fā)適當(dāng)?shù)膶?duì)抗檢測(cè)模型,也無(wú)法預(yù)測(cè)攻擊者將使用哪種攻擊策略來(lái)污染樣本并破壞任務(wù).為了應(yīng)對(duì)這一挑戰(zhàn),將一階子圖重構(gòu)和二階子圖網(wǎng)絡(luò)相結(jié)合,構(gòu)建了一個(gè)聯(lián)合對(duì)抗檢測(cè)模型(如圖1所示).此外,在此基礎(chǔ)上,還可以將特征壓縮融合進(jìn)來(lái).更具體地說(shuō),使用g(x,x(P)),g(x,x(1))和g(x,x(2))之間的最大距離作為對(duì)抗樣本的聯(lián)合差異度量指標(biāo)gjiont,進(jìn)而構(gòu)造聯(lián)合對(duì)抗檢測(cè)模型的判別器:

gjiont=max(g(x,x(P)),g(x,x(1)),g(x,x(2))

(8)

目前,聯(lián)合對(duì)抗樣本檢測(cè)可以有效地檢測(cè)多種基于圖分類(lèi)任務(wù)生成的對(duì)抗樣本.在實(shí)際的聯(lián)合對(duì)抗樣本檢測(cè)模型中,只考慮使用一階子圖網(wǎng)絡(luò)和二階子圖網(wǎng)絡(luò)轉(zhuǎn)換網(wǎng)絡(luò)特征,不考慮高階子圖重構(gòu).這是因?yàn)槿A及以上的子圖網(wǎng)絡(luò)更復(fù)雜也更耗時(shí).此外,一階和二階子圖重構(gòu)可以滿足為圖分類(lèi)任務(wù)生成的大多數(shù)對(duì)抗樣本檢測(cè)的要求.與高階子圖網(wǎng)絡(luò)相比,它構(gòu)造簡(jiǎn)單,易于實(shí)現(xiàn),具有較低的時(shí)間復(fù)雜度和計(jì)算量.但是max算子的引入往往會(huì)導(dǎo)致對(duì)合法輸入樣本進(jìn)行最具破壞性的特征重構(gòu),這將大大提高假陽(yáng)性率.

2.4.3 聯(lián)合動(dòng)態(tài)雙重優(yōu)化檢測(cè)

為了應(yīng)對(duì)更加復(fù)雜多變的對(duì)抗攻擊,研究聯(lián)合動(dòng)態(tài)雙重優(yōu)化檢測(cè)是很有必要的,可以更靈活地檢測(cè)干凈樣本和對(duì)抗樣本之間的差異信息.動(dòng)態(tài)對(duì)抗檢測(cè)方法不同于上述使用概率分布向量直接計(jì)算差異度量指標(biāo)的方法,它引入了一個(gè)機(jī)器學(xué)習(xí)模型來(lái)動(dòng)態(tài)學(xué)習(xí)對(duì)抗樣本和干凈樣本之間的差異向量信息.使用模型學(xué)習(xí)到的閾值能夠保證最大限度的正確劃分對(duì)抗樣本和干凈樣本.通過(guò)這種方法,可以更好地處理由一些非常復(fù)雜的圖數(shù)據(jù)結(jié)構(gòu)引起的閾值浮動(dòng)問(wèn)題.然而,隨著圖神經(jīng)網(wǎng)絡(luò)的引入,勢(shì)必將會(huì)帶來(lái)一些新的額外的魯棒性問(wèn)題和時(shí)間復(fù)雜度問(wèn)題,這需要進(jìn)一步探索和研究.

3 實(shí)驗(yàn)結(jié)果與分析

3.1 實(shí)驗(yàn)基本設(shè)置

3.1.1 數(shù)據(jù)集

為了綜合評(píng)估對(duì)抗檢測(cè)器的有效性,采用了常用的3種生物化學(xué)數(shù)據(jù)集:MUTAG[26],DHFR[27],BZR[28].各數(shù)據(jù)集的統(tǒng)計(jì)信息匯總在表1中.MUTAG數(shù)據(jù)集包含188種致突變芳香族和雜芳香族硝基化合物,根據(jù)它們是否對(duì)細(xì)菌有致突變影響進(jìn)行標(biāo)記.BZR是苯二氮卓受體405個(gè)配體的數(shù)據(jù)集.DHFR數(shù)據(jù)集是一組756種二氫葉酸還原酶抑制劑.

表1 數(shù)據(jù)集Table 1 Dataset

3.1.2 攻擊方法

下面將介紹本文涉及的3種不同的攻擊策略設(shè)置:隨機(jī)攻擊、梯度攻擊和強(qiáng)化學(xué)習(xí)攻擊[12].

1)隨機(jī)攻擊是最簡(jiǎn)單的黑盒攻擊方法,它隨機(jī)地增刪網(wǎng)絡(luò)連邊.雖然這種方法很隨意,但有時(shí)它能達(dá)到一定的攻擊效果.

2)梯度攻擊是最常用的白盒攻擊算法之一,其梯度信息

是通過(guò)損失函數(shù)的偏導(dǎo)數(shù)獲得的.然后采用貪婪算法選取梯度最大的邊緣作為攻擊目標(biāo).

3)基于強(qiáng)化學(xué)習(xí)的攻擊方法是一種黑盒攻擊,需要目標(biāo)模型的預(yù)測(cè)標(biāo)簽信息.采用Q學(xué)習(xí)策略和有限時(shí)域馬爾可夫決策過(guò)程作為攻擊手段.

每個(gè)攻擊方法在同一數(shù)據(jù)集上具有相同數(shù)量的可修改邊.例如,MUTAG數(shù)據(jù)集中的所有攻擊方法都要求每個(gè)圖修改10條邊.但對(duì)于其他數(shù)據(jù)集,圖形的結(jié)構(gòu),例如邊的數(shù)量,則完全不同.因此,對(duì)于不同的數(shù)據(jù)集,需要修改邊的數(shù)量是不同的.此外,還對(duì)每種攻擊方法的超參數(shù)進(jìn)行了相應(yīng)的調(diào)整,以生成高置信度的對(duì)抗樣本.

3.2 對(duì)抗檢測(cè)實(shí)驗(yàn)

3.2.1 基本實(shí)驗(yàn)步驟

本文實(shí)驗(yàn)采用五折交叉驗(yàn)證,即20%的圖數(shù)據(jù)集作為訓(xùn)練集,剩余80%作為測(cè)試集.檢測(cè)模型的訓(xùn)練階段是使用未被攻擊的原始數(shù)據(jù)集訓(xùn)練檢測(cè)模型,目的是學(xué)習(xí)得到一個(gè)識(shí)別對(duì)抗樣本的最優(yōu)閾值.最后訓(xùn)練結(jié)束,輸入待測(cè)試數(shù)據(jù)集,測(cè)試對(duì)抗檢測(cè)模型的準(zhǔn)確性.模型的訓(xùn)練迭代次數(shù)為5次.特征壓縮對(duì)抗檢測(cè)以及聯(lián)合對(duì)抗檢測(cè)判別器的閾值選取范圍是訓(xùn)練集中圖樣本的差異度量指標(biāo)值向上浮動(dòng)5%～10%.迭代選取最優(yōu)的閾值作為判別器的檢測(cè)標(biāo)準(zhǔn).

使用學(xué)習(xí)的閾值測(cè)試以下兩組樣本的檢測(cè)率:成功對(duì)抗樣本,失敗對(duì)抗樣本.成功對(duì)抗樣本是指被攻擊后能夠成功跨越?jīng)Q策邊界線的樣本,也就是使模型分類(lèi)錯(cuò)誤的樣本;失敗對(duì)抗樣本是指被攻擊后未越過(guò)決策邊界線的樣本,樣本的分類(lèi)結(jié)果在攻擊后不會(huì)改變.區(qū)分成功和失敗對(duì)抗樣本是很有必要的,因?yàn)闄z測(cè)失敗對(duì)抗樣本有助于及時(shí)發(fā)現(xiàn)攻擊者的不良意圖,并提前做好預(yù)防措施,防患于未然.

3.2.2 消融實(shí)驗(yàn)

如圖2所示,在3個(gè)數(shù)據(jù)集上進(jìn)行了對(duì)抗樣本檢測(cè)模型的消融實(shí)驗(yàn).共5種作為對(duì)比實(shí)驗(yàn)的對(duì)抗檢測(cè)模型分別是對(duì)抗訓(xùn)練檢測(cè)器(AT)、特征壓縮對(duì)抗檢測(cè)器(PCA-AD)、子圖拓展對(duì)抗檢測(cè)器(SGN-AD)、聯(lián)合對(duì)抗檢測(cè)器(Jiont-AD)和動(dòng)態(tài)對(duì)抗檢測(cè)器(Dynamic-AD).成功對(duì)抗(樣本)檢測(cè)率表示為SADR(Successful Adversarial Detection Rate),失敗對(duì)抗(樣本)檢測(cè)率表示為FADR(Failed Adversarial Detection Rate).SADR是成功對(duì)抗樣本中檢測(cè)成功的樣本所占比率,FADR是失敗對(duì)抗樣本中檢測(cè)成功的樣本所占比率.

如圖2(a)～圖2(c)所示,聯(lián)合及動(dòng)態(tài)對(duì)抗檢測(cè)的成功對(duì)抗樣本檢測(cè)效果最優(yōu),PCA-AD和SCN-AD次之,而AT的檢測(cè)率最低.由于與其他4種方法相比,對(duì)抗訓(xùn)練檢測(cè)的整體檢測(cè)效果較差,這也從實(shí)驗(yàn)數(shù)據(jù)上論證了對(duì)抗訓(xùn)練檢測(cè)在面對(duì)復(fù)雜多變的對(duì)抗圖和干凈圖時(shí),很難學(xué)習(xí)到二者的關(guān)鍵差異信息.此外,特征壓縮對(duì)抗檢測(cè)在很大程度上會(huì)犧牲原始數(shù)據(jù)的一些固有信息,從而導(dǎo)致遺漏了部分對(duì)抗圖和干凈圖的差異信息,所以會(huì)對(duì)檢測(cè)效果產(chǎn)生不好的影響.尤其是在檢測(cè)較稀疏的網(wǎng)絡(luò)時(shí),如圖2(a)中MUTAG數(shù)據(jù)集的檢測(cè)結(jié)果,特征壓縮對(duì)抗檢測(cè)的效果差強(qiáng)人意.如圖2(c)和圖2(e)所示,PCA-AD對(duì)BZR數(shù)據(jù)集具有更好的檢測(cè)效果,這是因?yàn)锽ZR數(shù)據(jù)集相對(duì)于MUTAG數(shù)據(jù)集中的網(wǎng)絡(luò)更稠密.而子圖拓展對(duì)抗檢測(cè)與特征壓縮對(duì)抗檢測(cè)相反,本質(zhì)上它可以擴(kuò)充網(wǎng)絡(luò),極大地豐富稀疏網(wǎng)絡(luò),從而使特征增多.相應(yīng)地,子圖拓展對(duì)抗檢測(cè)在MUTAG數(shù)據(jù)集上表現(xiàn)較好.而當(dāng)數(shù)據(jù)集過(guò)于稠密時(shí).如BZR數(shù)據(jù)集,子圖網(wǎng)絡(luò)重構(gòu)產(chǎn)生過(guò)多的信息冗余反而會(huì)使檢測(cè)效果下降.

不同階次的子圖重構(gòu)和特征壓縮都有各自適合的檢測(cè)場(chǎng)景.對(duì)于不同的攻擊方式和不同的數(shù)據(jù)集,需要找到相應(yīng)的最優(yōu)檢測(cè)方案.由于往往無(wú)法事先預(yù)測(cè)攻擊者的具體攻擊手段,因此設(shè)計(jì)聯(lián)合檢測(cè)系統(tǒng)可以有效應(yīng)對(duì)這一挑戰(zhàn).聯(lián)合檢測(cè)器的本質(zhì)是特征壓縮和子圖重構(gòu)的融合互補(bǔ),綜合二者的優(yōu)點(diǎn)可以更好地應(yīng)對(duì)各種不同數(shù)據(jù)集的對(duì)抗樣本檢測(cè).通過(guò)消融實(shí)驗(yàn)和對(duì)比分析,證實(shí)了聯(lián)合和動(dòng)態(tài)檢測(cè)器的綜合檢測(cè)能力優(yōu)于其他3種檢測(cè)器.聯(lián)合及動(dòng)態(tài)檢測(cè)器在所有數(shù)據(jù)集上的SADR均大于80%,高達(dá)90%以上,可有效檢測(cè)成功對(duì)抗樣本.而失敗對(duì)抗樣本FADR卻很低,只有10%～20%.實(shí)質(zhì)上,失敗對(duì)抗樣本不會(huì)改變?cè)紭颖镜恼_預(yù)測(cè)標(biāo)簽,也就是不影響目標(biāo)分類(lèi)任務(wù).所以成功對(duì)抗樣本檢測(cè)是檢測(cè)工作中的重要組成部分,成功對(duì)抗樣本檢測(cè)率是檢測(cè)模型的主要衡量指標(biāo).而研究失敗對(duì)抗樣本檢測(cè)是為了提前感知攻擊者的惡意干擾動(dòng)作,本文的檢測(cè)模型現(xiàn)階段還不能很好地檢測(cè)攻擊者攻擊失敗所產(chǎn)生的樣本,希望在未來(lái)的工作中可以實(shí)現(xiàn).

實(shí)際數(shù)據(jù)集中經(jīng)常出現(xiàn)類(lèi)不平衡,即負(fù)樣本比正樣本多得多(反之亦然),測(cè)試數(shù)據(jù)中正樣本和負(fù)樣本的分布也可能隨時(shí)間而變化.因此,分析了檢測(cè)器的AUC值,即ROC曲線下的面積.ROC有一個(gè)很好的特點(diǎn):當(dāng)測(cè)試集中陽(yáng)性和陰性樣本的分布發(fā)生變化時(shí),ROC曲線可以保持不變.如圖3所示,聯(lián)合對(duì)抗檢測(cè)和動(dòng)態(tài)對(duì)抗檢測(cè)的AUC值在每個(gè)數(shù)據(jù)集下都較高,這表明聯(lián)合對(duì)抗檢測(cè)和動(dòng)態(tài)對(duì)抗檢測(cè)模型具有良好的預(yù)測(cè)價(jià)值.

3.2.3 不同干擾下的對(duì)抗檢測(cè)實(shí)驗(yàn)

在表2中,對(duì)梯度攻擊在不同干擾率下的成功對(duì)抗樣本進(jìn)行對(duì)抗檢測(cè)實(shí)驗(yàn).作為基準(zhǔn)檢測(cè)方法,對(duì)抗訓(xùn)練檢測(cè)AT以成功對(duì)抗樣本作為先驗(yàn)知識(shí),訓(xùn)練對(duì)抗訓(xùn)練模型,使其具有檢測(cè)對(duì)抗樣本的能力.表中顯示,所有檢測(cè)模型的成功對(duì)抗樣本檢測(cè)率SADR隨著受攻擊干擾率的增加而增加.這是因?yàn)樵诠粲行У那疤嵯?當(dāng)干擾率增加時(shí),即允許攻擊者干擾的預(yù)算越大時(shí),對(duì)抗樣本會(huì)被破壞得越“明顯”,檢測(cè)對(duì)抗樣本也就會(huì)變得越“輕松”.其中聯(lián)合及動(dòng)態(tài)對(duì)抗檢測(cè)模型的檢測(cè)效果最好,子圖拓展對(duì)抗檢測(cè)次之,而特征壓縮檢測(cè)模型和對(duì)抗訓(xùn)練檢測(cè)模型的檢測(cè)效果相對(duì)較差.

當(dāng)擾動(dòng)率逐漸增大時(shí),對(duì)抗訓(xùn)練檢測(cè)的成功對(duì)抗樣本檢測(cè)率增長(zhǎng)最快,這表明對(duì)抗訓(xùn)練檢測(cè)模型更傾向于學(xué)習(xí)被修改擾動(dòng)得更大的那些攻擊樣本的特征.但在實(shí)際場(chǎng)景中,為了提高攻擊的隱蔽性,往往會(huì)嚴(yán)格限制攻擊預(yù)算/干擾率,因此在干擾率不高的情況下,對(duì)抗訓(xùn)練檢測(cè)的檢測(cè)效果會(huì)變得糟糕,聯(lián)合及動(dòng)態(tài)檢測(cè)會(huì)更適合.

3.2.4 特征分析和可解釋性

如圖4所示,繪制了對(duì)抗樣本和干凈樣本的差異度量指標(biāo)散點(diǎn)圖,圖4(a)、(c)分別是MUTAG和DHFR數(shù)據(jù)集下,子圖重構(gòu)對(duì)抗檢測(cè)下的差異度量指標(biāo)散點(diǎn)圖.而剩下的圖4(b)、(d)是特征壓縮對(duì)抗檢測(cè)下的差異度量標(biāo)散點(diǎn)圖.綜合觀察可以發(fā)現(xiàn),在通過(guò)檢測(cè)模型后,對(duì)抗樣本和干凈樣本可以尋找到一個(gè)區(qū)分閾值來(lái)作為其判別依據(jù).當(dāng)沒(méi)有攻擊者的相關(guān)信息時(shí),通過(guò)計(jì)算原始干凈樣本的差異度量指標(biāo)作為衡量標(biāo)準(zhǔn),也可以實(shí)現(xiàn)對(duì)抗樣本檢測(cè).如圖4(a)和(b)所示,對(duì)比觀察同一數(shù)據(jù)集下,子圖重構(gòu)以及特征壓縮后的樣本差異度量指標(biāo)分布,可以發(fā)現(xiàn)在MUTAG數(shù)據(jù)集和DHFR數(shù)據(jù)集中,子圖重構(gòu)后的對(duì)抗樣本與干凈樣本之間的分布差距會(huì)更大,分界也會(huì)更清晰.

圖4 差異度量指標(biāo)散點(diǎn)圖Fig.4 Scatter diagram of difference measurement indicators

圖5 檢測(cè)模型的特征分析Fig.5 Feature analysis of detection model

通過(guò)觀察圖5(a)和(b),發(fā)現(xiàn)經(jīng)過(guò)一階子圖和二階子圖重構(gòu)之后,被污染的對(duì)抗圖和干凈的原始圖之間的特征差值ΔV都會(huì)被逐階放大.由于本文攻擊使用添加邊的方法(事實(shí)上,絕大多數(shù)攻擊都是通過(guò)添加邊實(shí)現(xiàn)的),經(jīng)子圖重構(gòu)后的網(wǎng)絡(luò)節(jié)點(diǎn)和連邊的平均數(shù)量大大增加.同時(shí)鄰接矩陣的最大特征值和其他兩個(gè)特征也被不同程度地放大.因此,子圖變換可以擴(kuò)大對(duì)抗樣本與干凈樣本之間的差距,使隱藏的對(duì)抗樣本顯露出來(lái).引入子圖重構(gòu)是檢測(cè)對(duì)抗樣本的有效方法.特定子圖的頻繁出現(xiàn)可以補(bǔ)充原始稀疏網(wǎng)絡(luò),有效擴(kuò)展網(wǎng)絡(luò)的固有特性,揭示對(duì)抗網(wǎng)絡(luò)與原始網(wǎng)絡(luò)的潛在差異信息.

3.2.5 自適應(yīng)攻擊和檢測(cè)

上述的所有實(shí)驗(yàn)都假設(shè)攻擊者預(yù)先不知道本文所使用的對(duì)抗檢測(cè)方法.這里將考慮自適應(yīng)攻擊,即假設(shè)攻擊者擁有檢測(cè)框架的全部信息.為了成功攻擊本文的檢測(cè)模型,自適應(yīng)攻擊者不僅要使原始圖分類(lèi)器產(chǎn)生錯(cuò)誤的輸出,而且還需要逃避對(duì)抗檢測(cè)機(jī)制的檢測(cè).具體而言,所生成的對(duì)抗樣本除了要成功越過(guò)圖分類(lèi)模型的決策邊界線,還有使其通過(guò)檢測(cè)模型的差異度量指標(biāo)值低于檢測(cè)判別器的閾值.

圖6 自適應(yīng)攻擊下的成功對(duì)抗樣本檢測(cè)結(jié)果Fig.6 Detection results of successful attack examples under adaptive attacks

如圖6(a)所示,是上述在不同梯度攻擊擾動(dòng)下的成功對(duì)抗樣本檢測(cè)結(jié)果,圖6(b)和(c)分別是針對(duì)特征壓縮和子

圖重構(gòu)對(duì)抗檢測(cè)生成的梯度攻擊樣本.其中,圖6(a)和(b)對(duì)比發(fā)現(xiàn)特征降維對(duì)抗檢測(cè)(PCA-AD)在對(duì)應(yīng)的PCA自適應(yīng)攻擊(P-GA)面前,效果很差.同樣的,圖6(a)和(c)反映了子圖網(wǎng)絡(luò)對(duì)抗檢測(cè)器(SGN-AD)很難處理基于子圖擴(kuò)展的自適應(yīng)攻擊(S-GA).但綜合來(lái)看,聯(lián)合對(duì)抗檢測(cè)和動(dòng)態(tài)對(duì)抗檢測(cè)的檢測(cè)結(jié)果僅略有波動(dòng),檢測(cè)效果幾乎沒(méi)受影響.

由于聯(lián)合和動(dòng)態(tài)對(duì)抗檢測(cè)融合了特征降維和子圖網(wǎng)絡(luò)的信息,因此僅面向單一攻擊對(duì)象的自適應(yīng)攻擊效果甚微.在此,本文初步設(shè)計(jì)的攻擊者目前僅對(duì)單一特征變換的對(duì)抗檢測(cè)方法進(jìn)行擾動(dòng).此外,本文也嘗試在攻擊策略中同時(shí)加入特征壓縮和子圖擴(kuò)展,但效果不理想,運(yùn)行速度極慢,現(xiàn)階段無(wú)法實(shí)現(xiàn).通過(guò)上述實(shí)驗(yàn)結(jié)果,證實(shí)了可以使用聯(lián)合或動(dòng)態(tài)檢測(cè)器來(lái)防御自適應(yīng)攻擊,從而更全面地保護(hù)圖分類(lèi)模型.

4 結(jié)束語(yǔ)

本文主要研究基于圖分類(lèi)任務(wù)的對(duì)抗樣本檢測(cè)問(wèn)題.通過(guò)對(duì)圖結(jié)構(gòu)數(shù)據(jù)進(jìn)行特征變換和對(duì)比分析,設(shè)計(jì)了特征壓縮對(duì)抗檢測(cè)模型.為了提高其綜合檢測(cè)性能,適應(yīng)多種攻擊策略,在原有的基礎(chǔ)上融合了子圖重構(gòu),提出了聯(lián)合和動(dòng)態(tài)對(duì)抗檢測(cè).經(jīng)過(guò)對(duì)比實(shí)驗(yàn)和自適應(yīng)攻擊等,證實(shí)了該檢測(cè)能夠?qū)舻母蓴_動(dòng)作有所感應(yīng),并能有效檢測(cè)出成功攻擊的圖級(jí)對(duì)抗樣本,從而提高圖分類(lèi)器模型魯棒性.但是目前只考慮了各種逃逸攻擊下的對(duì)抗檢測(cè),本文所提出的檢測(cè)模型并不適用于訓(xùn)練階段所實(shí)施的中毒攻擊.因此在接下來(lái)的工作中,會(huì)重點(diǎn)關(guān)注和研究圖神經(jīng)網(wǎng)絡(luò)在中毒攻擊下的圖分類(lèi)對(duì)抗樣本檢測(cè).