基于特征拓扑融合的黑盒图对抗攻击方法

1.本发明涉及人工智能信息安全技术领域，具体涉及一种基于特征拓扑融合的黑盒图对抗攻击方法。


背景技术：

2.在现实场景中，诸如互联网、知识图谱、化学分子、蛋白质等都属于图数据。图数据，即包含图的数据，图数据中的节点表示事物，边表示事物之间的关系。数据之间的关系无处不在，往往比数据本身更重要。因此，近期有很多与图数据相关的任务得到了人们的关注，例如节点分类、图分类、链路预测等。自图神经网络的概念提出之后，越来越多的人们投入到图结构和节点属性表示中去，进而提出了各种图神经网络框架，这在很大程度上推动了图机器学习的发展。
3.但是，图神经网络也面临着像其他深度学习一样的问题，对初始样本添加非随机微小扰动模型性能急剧下降，这种现象称为对抗攻击，由此产生的样本叫做对抗样本。在图对抗攻击中最常见的攻击手段是对图结构和节点属性进行扰动，在扰动约束范围内使模型性能下降。由于这些潜在严重后果的存在，给模型带来了安全隐患。所以对抗攻击成为图深度学习模型部署前鲁棒性评估的重要手段。
4.现有黑盒图对抗攻击的主流策略包括：基于伪梯度的攻击方法和基于节点重要性的攻击方法。其中基于伪梯度的攻击方法分为两种：替代模型和零阶优化。替代模型是利用与目标模型的交互信息训练得到的，攻击者将替代模型视为白盒模型进行攻击，并利用成功攻击替代模型的扰动去攻击目标模型，进而使目标模型性能下降；零阶优化是在目标模型输出矩阵已知的情况下，利用有限差分方法近似模型梯度，进而根据近似梯度寻找对抗扰动。基于节点重要性的攻击方法是选出图数据中影响力大的节点，对其节点特征进行扰动使其分类出现错误，进而利用其影响力使图中更多节点分类出现错误。
5.在基于伪梯度的攻击方法中，攻击者需要与目标模型交互获得标签信息，因此不是严格意义上的黑盒图对抗攻击。而且伪梯度可能与目标模型的真实梯度有差距，那么利用伪梯度找到的扰动可能无法对目标模型构成有效攻击。基于节点重要性的黑盒图对抗攻击虽然能避免上述问题，但其在选定攻击节点的过程中主要依赖节点拓扑结构信息，缺少对节点特征信息的考虑，难以选出攻击性强的节点。


技术实现要素：

6.本发明的目的是提供一种基于特征拓扑融合的黑盒图对抗攻击方法，这样选出的节点在拓扑结构和节点特征信息方面更具有代表性，可以提高对目标模型的攻击，使其更好的验证模型鲁棒性。
7.为了达到上述目的，本发明采用下述技术方案：
8.一种基于特征拓扑融合的黑盒图对抗攻击方法，包括：
9.s100：系统初始化模块，加载图数据g(a,x)、图神经网络分类模型f以及超参数；
10.s200：节点重要性计算模块，利用图数据中的拓扑结构a和节点特征信息x分别计算出归一化后的节点信息熵，并将加权后的值作为节点重要性；
11.s300：节点排序模块，将上述步骤计算出的节点重要性由大到小进行排序，取出排名靠前的m个节点构成攻击节点集合s，排名越靠前表示当前节点对图节点分类模型的鲁棒性越重要；
12.s400：节点特征扰动构造模块，依据所用图数据的领域知识来构造扰动向量，将扰动向量添加到攻击节点集合s中的每个节点上，进而得到扰动图g'；
13.s500：攻击验证模块，将扰动图g'输入到目标模型中，验证该方法的攻击效果。
14.进一步，所述系统初始化模块，加载图数据g(a,x)、图神经网络分类模型f以及超参数，所述s100具体如下：
15.gnns模型将属性x∈rn×d和拓扑结构a∈rn×n映射为所有节点对应的logits值假定模型有l层，那么节点i在第l层(0＜l＜l)的表示为：
[0016][0017]
其中，n表示图节点数量，d表示节点特征维度，w
(l)
表示第l层可学习权重矩阵，relu(
·
)表示非线性激活函数，不同的gnns有不同的正则化方式α
ij
，n(vi)表示包括节点i在内的邻居集合。
[0018]
进一步，所述节点重要性计算模块包括基于节点度的信息熵计算模块、基于节点特征的信息熵计算模块、信息熵加权模块，所述s200包括：
[0019]
s210：基于节点度的信息熵计算模块，利用连边两端的节点度信息为边赋予权重，进而计算出节点权重，最后计算出基于节点度的信息熵；
[0020]
s220：基于节点特征的信息熵计算模块，利用连边两端的节点特征信息为边赋予权重，进而计算出节点权重，最后计算出基于节点特征的信息熵；
[0021]
s230：信息熵加权模块，将基于节点拓扑结构和节点特征计算出的信息熵进行归一化后加权，并将加权后的值作为节点重要性；
[0022]
进一步，所述基于节点度的信息熵计算模块包括边权重赋予模块、节点权重计算模块、信息熵计算模块，所述s210包括：
[0023][0024]
其中，di表示节点i的度信息，且不区分出度和入度，n(vi)表示节点i的一阶邻居集合，表示图数据中节点vi，vj间是否存在连边，
[0025][0026]
其中，i1(vi,vj)表示基于节点度信息为图中每条边赋予的权重，di和dj分别表示节
点i和节点j的度信息，p1(vi,vj)表示边(vi,vj)∈e对应的概率。
[0027][0028]
其中，表示节点i受一阶邻居节点的影响，l1(vj)表示节点j受一阶邻居边的影响，n(vi)表示包括节点i在内的一阶邻居集合。
[0029][0030]
其中，ie1(vi)表示基于节点度计算出的节点i的信息熵，q1(vj)表示图中任意节点vi∈v的邻居节点vj∈n(vi)概率，n(vi)表示包括节点i在内的一阶邻居集合。
[0031]
通过连边两端节点的度信息为边赋予权重，进而计算出基于节点度的节点权重，最后依据上述信息计算出基于节点度的节点信息熵。
[0032]
进一步，所述基于节点特征的信息熵计算模块包括边权重赋予模块、节点权重计算模块、信息熵计算模块，所述s220包括：
[0033][0034]
其中，bi表示节点i的特征丰富度，d表示节点特征维度，x
ij
表示节点i的第j个特征。
[0035][0036]
其中，i2(vi,vj)表示基于节点特征信息为图中每条边赋予的权重，bi和bj分别表示节点i和节点j的特征丰富度，p2(vi,vj)表示边(vi,vj)∈e对应的概率。
[0037][0038]
其中，表示节点i受一阶邻居节点的影响，l2(vj)表示节点j受一阶邻居边的影响n(vi)表示包括节点i在内的一阶邻居集合。
[0039][0040]
其中，ie2(vi)表示基于节点特征信息计算出的节点i的信息熵，q2(vj)表示图中任意节点vi∈v的邻居节点vj∈n(vi)概率，n(vi)表示包括节点i在内的一阶邻居集合。
[0041]
通过连边两端节点的特征多样性为边赋予权重，进而计算出基于特征丰富度的节点权重，最后依据上述信息计算出基于节点特征的信息熵。
[0042]
进一步，所述信息熵加权模块包括信息熵归一化模块和信息熵加权求和模块，所述s230包括：
[0043]
通过所述s210得到基于节点度的信息熵；
[0044]
通过所述s220得到基于节点特征的信息熵；
[0045][0046][0047][0048]
其中，ie1(
·
)、ie2(
·
)分别表示基于节点度的信息熵和基于节点特征的信息熵，n表示图节点数量，w(vi)表示节点i的重要性，a为超参数；
[0049]
通过信息熵归一化模块分别计算出基于节点度的信息熵归一化值、基于节点特征的信息熵归一化值，再计算出归一化值加权后的信息熵，并将其作为节点重要性。
[0050]
进一步，所述节点排序模块将输入的节点重要性由大到小进行排序，选出重要性靠前的m个节点，所述s300具体如下:
[0051]
s＝arg top-m([w(vi)]
i＝1,2,
…
,n
)
[0052]
其中，s为选出的攻击节点集合，w(vi)为节点i的重要性。
[0053]
进一步，所述节点特征扰动构造模块利用领域知识确定扰动特征集合，但由于所用数据集的每个特征值缺乏相应的语义，故对邻域知识进行模拟，所述s400具体如下：
[0054][0055]
其中，λ表示扰动程度，sign(
·
)表示特征扰动方向，表示扰动特征集大小为所用数据集单一节点特征数量的2％，argtop-j(
·
)表示选出梯度绝对值大的前j个节点特征，l(
·
)为损失函数，x
ij
表示节点i的第j个特征。在找到扰动特征后，将其添加到对抗节点集合xi∈s中的节点上，进而生成扰动图g'，具体如下：
[0056][0057]
其中，∈∈rd，d为节点特征维度。
[0058]
进一步，所述攻击验证模块是将上一步骤得到的扰动图g'输入到图神经网络f中，模型性能下降，从而达到攻击的目的，所述s500具体如下：
[0059][0060]
其中，表示指示函数，|v|表示图节点数量，f(xi')表示模型对扰动图中第i个节点的预测。
[0061]
与现有发明相比，本发明的有益效果如下：
[0062]
1、在扰动节点数量和特征数量设限的情况下，提出了基于节点重要性的对抗攻击方法，攻击者无需了解模型结构和参数等细节，该设定符合现实应用场景；
[0063]
2、在选择攻击节点的过程中，将图拓扑信息和节点特征信息进行融合，提出了新的节点重要性指标。基于该指标选出的节点有助于增强对目标模型的攻击。
附图说明
[0064]
为了更清晰地描述本发明实施例的技术方案，下面将对本发明涉及到的附图进行简单介绍，应当理解，以下附图仅是为了使读者更容易理解本发明，起到帮助理解的作用，故不应将其看作是对范围的限定。
[0065]
图1为本发明实施例提供的基于特征拓扑融合的黑盒图对抗攻击方法流程示意图；
[0066]
图2为本发明实施例提供的基于特征拓扑融合的黑盒图对抗攻击方法中节点重要性计算流程示意图；
[0067]
图3为本发明实施例提供的一种基于节点度的信息熵计算流程示意图；
[0068]
图4为本发明实施例提供的一种基于节点特征的信息熵计算流程示意图。
具体实施方式
[0069]
为了让本发明的目的、特征、优点更加清晰易懂，下面结合附图中涉及的具体实施方式对本发明的实施例进行清楚、完整地描述。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。
[0070]
随着图深度学习的发展，黑盒图对抗攻击已经取得了较好发展。但是近年来，基于节点重要性的黑盒图对抗攻击方法在寻找攻击节点的过程中，主要依靠图结构信息，缺乏对节点特征信息的考虑。所以基于节点重要性的黑盒图对抗攻击方法在选择对抗节点方面仍有提升空间，因此提出在寻找对抗节点的过程中将图拓扑结构和节点特征信息进行综合考虑，进而提出了基于特征拓扑融合的黑盒图对抗攻击方法。
[0071]
本实施例图1所示，本发明实例提供的基于特征拓扑融合的黑盒图对抗攻击方法包括：系统初始化模块s100、节点重要性计算模块s200、节点排序模块s300、节点特征扰动构造模块s400和攻击验证模块s500。
[0072]
s100：系统初始化模块，加载图数据g(a,x)、图神经网络分类模型f以及超参数；
[0073]
s200：节点重要性计算模块，利用图数据中的拓扑结构a和节点特征信息x分别计算出归一化后的节点信息熵，并将加权后的值作为节点重要性；
[0074]
s300：节点排序模块，将上述步骤计算出的节点重要性由大到小进行排序，取出排名靠前的m个节点构成攻击节点集合s，排名越靠前表示当前节点对图节点分类模型的鲁棒性越重要；
[0075]
s400：节点特征扰动构造模块，依据所用图数据的领域知识来构造扰动向量，将扰动向量添加到攻击节点集合s中的每个节点上，进而得到扰动图g'；
[0076]
s500：攻击验证模块，将扰动图g'输入到目标模型中，验证该方法的攻击效果。
[0077]
s100系统初始化模块：gnns模型将属性x∈rn×d和拓扑结构a∈rn×n映射为所有节点对应的logits值假定模型有l层，那么节点i在第l层(0＜l＜l)的表示为：
[0078][0079]
其中，n表示图节点数量，d表示节点特征维度，w
(l)
表示第l层可学习权重矩阵，
relu(
·
)表示非线性激活函数，不同的gnns有不同的正则化方式α
ij
，n(vi)表示包括节点i在内的邻居集合。
[0080]
s200节点重要性计算模块包括基于节点度的信息熵、基于节点特征的信息熵和节点重要性，分别定义为：
[0081][0082][0083][0084]
其中，n(vi)表示包括节点i在内的一阶邻居集合，q1(vj)和q2(vj)分别为基于节点度和节点特征计算出的节点概率，和分别为归一化后的基于节点度和节点特征得到的信息熵，a为加权超参数。
[0085]
s300节点排序模块：将归一化后的信息熵作为节点重要性，将其从大到小进行排序，具体如下：
[0086]
s＝arg top-m([w(vi)]
i＝1,2,
…
,n
)
[0087]
其中，s为攻击节点集合，w(vi)为节点i的重要性，n为图中节点个数。
[0088]
s400节点特征扰动构造模块：利用领域知识来确定扰动特征集，在现实中可以根据每个节点的自身信息为其量身定制扰动向量，但此处仅对攻击节点集合中的节点施加固定大小的扰动：
[0089][0090]
其中，λ表示扰动程度，sign(
·
)表示特征扰动方向，表示扰动特征集大小为所用数据集单一节点特征数量的2％，argtop-j(
·
)表示选出梯度绝对值大的前j个节点特征，l(
·
)为损失函数，x
ij
表示节点i的第j个特征。在找到扰动特征后，将其添加到对抗节点集合xi∈s中的节点上，进而生成扰动图g'，具体如下：
[0091][0092]
其中，∈∈rd，d为节点特征维度。
[0093]
s500验证模块：将上一步骤得到的扰动图g'输入到图神经网络f中，利用模型输出的正确率来验证所提攻击方法的有效性，具体如下：
[0094][0095]
其中，表示指示函数，|v|表示图节点数量，f(xi')表示模型对扰动图中第i个节点的预测。
[0096]
如图2所示，s200节点重要性计算模块分为：基于节点度的信息熵计算模块、基于节点特征的信息熵计算模块和信息熵加权计算模块：
[0097]
s210：基于节点度的信息熵计算模块，利用连边两端的节点度信息为边赋予权重，
进而计算出节点权重，最后计算出基于节点度的信息熵；
[0098]
s220：基于节点特征的信息熵计算模块，利用连边两端的节点特征信息为边赋予权重，进而计算出节点权重，最后计算出基于节点特征的信息熵；
[0099]
s230：信息熵加权模块，将基于节点拓扑结构和节点特征计算出的信息熵进行归一化后加权，并将加权后的值作为节点重要性。
[0100]
如图3所示，s200节点重要性计算模块中s210基于节点度的信息熵计算模块包括：边权重计算、节点权重计算、节点信息熵计算。
[0101]
s211：对图数据进行分析，并获取每个节点的度信息di，具体如下：
[0102][0103]
其中，di表示节点i的度信息，且不区分出度和入度，n(vi)表示节点i的一阶邻居集合，表示图数据中节点vi，vj间是否存在连边，
[0104]
边(vi,vj)∈e对应的概率为：
[0105][0106]
基于度信息得出图中每条边的权重i1(vi,vj)，具体计算如下：
[0107][0108]
其中，di和dj分别表示节点i和节点j的度信息。
[0109]
s212：利用上述边权重计算出图中每个节点的一阶邻居边权重之和l1(vi)和一阶邻居节点权重之和每个节点受一阶邻居边的影响，具体如下：
[0110][0111]
每个节点受一阶邻居节点的影响，具体如下：
[0112][0113]
其中，n(vi)表示包括节点i在内的一阶邻居集合，i1(vi,vj)表示图中边(vi,vj)∈e的权重。
[0114]
s213：利用上述信息，可以将图中任意节点vi∈v的邻居节点vj∈n(vi)概率定义为：
[0115][0116]
利用上述信息计算出每个节点的度信息熵：
[0117][0118]
其中，n(vi)表示包括节点i在内的一阶邻居集合。
[0119]
如图4所示，s200节点重要性计算模块中s220基于节点特征的信息熵计算模块包括：边权重计算、节点权重计算、节点信息熵计算。
[0120]
s221：对图数据进行分析，并获取每个节点的特征信息：
[0121][0122]
其中，bi表示节点i的特征丰富度，d表示节点特征维度，x
ij
表示节点i的第j个特征。
[0123]
边(vi,vj)∈e对应的概率为：
[0124][0125]
然后计算出图中每条边的权重：
[0126][0127]
其中，bi和bj分别表示节点i和节点j的特征丰富度。
[0128]
s222：利用上述边的权重计算出图中每个节点的一阶邻居边之和l2(vi)和一阶邻居节点权重之和每个节点受一阶邻居边的影响：
[0129][0130]
每个节点受一阶邻居节点的影响：
[0131][0132]
其中，n(vi)表示包括节点i在内的一阶邻居集合，l2(vi,vj)表示图中边(vi,vj)∈e的权重。
[0133]
s223：利用上述信息，可以将图中任意节点vi∈v的邻居节点vj∈n(vi)概率定义为：
[0134][0135]
利用上述信息计算出每个节点的特征信息熵：
[0136][0137]
其中，n(vi)表示包括节点i在内的一阶邻居集合。
[0138]
s200节点重要性计算模块中s230信息熵加权模块：
[0139]
s231：将基于节点度的信息熵和基于节点特征的信息熵分别进行归一化，具体如
下：
[0140][0141][0142]
其中，ie1(
·
)、ie2(
·
)分别表示基于节点度的信息熵和基于节点特征的信息熵，n表示图节点数量。
[0143]
s232：将归一化后的信息熵进行加权求和，具体如下：
[0144][0145]
将上式得到的w作为节点最终重要性，其中a为超参数。
[0146]
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

技术特征：
1.一种基于特征拓扑融合的黑盒图对抗攻击方法，其特征在于，包括：s100：系统初始化模块，加载图数据g(a,x)、图神经网络分类模型f以及超参数；s200：节点重要性计算模块，利用图数据中的拓扑结构a和节点特征信息x分别计算出归一化后的节点信息熵，并将加权后的值作为节点重要性；s300：节点排序模块，将上述步骤计算出的节点重要性由大到小进行排序，取出排名靠前的m个节点构成攻击节点集合s，排名越靠前表示当前节点对图节点分类模型的鲁棒性越重要；s400：节点特征扰动构造模块，依据所用图数据的领域知识来构造扰动向量，并将扰动向量添加到攻击节点集合s中的每个节点上，进而得到扰动图g'；s500：攻击验证模块，将扰动图g'输入到目标模型中，验证该方法的攻击效果。2.根据权利要求1所述的基于特征拓扑融合的黑盒图对抗攻击方法，其特征在于，所述步骤s100系统初始化模块包括：gnns模型将属性x∈r
n
×
d
和拓扑结构a∈r
n
×
n
映射为所有节点对应的logits值假定模型有l层，那么节点i在第l层(0＜l＜l)的表示为：其中，n表示节点数量，d表示节点特征维度，w
(l)
表示第l层可学习权重矩阵，relu(
·
)表示非线性激活函数，不同的gnns有不同的正则化方式α
ij
，n(v
i
)表示包括节点i在内的邻居集合。3.根据权利要求1所述的基于特征拓扑融合的黑盒图对抗攻击方法，其特征在于，所述步骤s200节点重要性计算模块包括：s210：基于节点度的信息熵计算模块，利用连边两端的节点度信息为边赋予权重，进而计算出节点权重，最后计算出基于节点度的信息熵；s220：基于节点特征的信息熵计算模块，利用连边两端的节点特征信息为边赋予权重，进而计算出节点权重，最后计算出基于节点特征的信息熵；s230：信息熵加权模块，将基于节点拓扑结构和节点特征计算出的信息熵进行归一化后加权，并将加权后的值作为节点重要性。4.根据权利要求1所述的基于特征拓扑融合的黑盒图对抗攻击方法，其特征在于，所述节点重要性计算模块中步骤s210基于节点度的信息熵计算模块包括：基于节点度的边权重赋予模块、节点权重计算模块、节点度信息熵计算模块，具体计算如下：其中，d
i
表示节点i的度信息，且不区分出度和入度，n(v
i
)表示节点i的一阶邻居集合，表示图数据中节点v
i
，v
j
间是否存在连边，
其中，i1(v
i
,v
j
)表示基于节点度信息为图中每条边赋予的权重，d
i
和d
j
分别表示节点i和节点j的度信息，p1(v
i
,v
j
)表示边(v
i
,v
j
)∈e对应的概率；其中，表示节点i受一阶邻居节点的影响，l1(v
j
)表示节点j受一阶邻居边的影响，n(v
i
)表示包括节点i在内的一阶邻居集合；其中，ie1(v
i
)表示基于节点度计算出的节点i的信息熵，q1(v
j
)表示图中任意节点v
i
∈v的邻居节点v
j
∈n(v
i
)概率，n(v
i
)表示包括节点i在内的一阶邻居集合；通过连边两端节点的拓扑结构信息为边赋予权重，进而计算出基于节点度信息的节点权重，最后依据上述信息计算出基于节点度的信息熵。5.根据权利要求1所述的基于特征拓扑融合的黑盒图对抗攻击方法，其特征在于，所述节点重要性计算模块中步骤s220基于节点特征的信息熵计算模块包括：基于特征的边权重赋予模块、节点权重计算模块、节点特征信息熵计算模块，具体计算如下：其中，b
i
表示节点i的特征丰富度，d表示节点特征维度，x
ij
表示节点i的第j个特征；其中，i2(v
i
,v
j
)表示基于节点特征信息为图中每条边赋予的权重，b
i
和b
j
分别表示节点i和节点j的特征丰富度，p2(v
i
,v
j
)表示边(v
i
,v
j
)∈e对应的概率；其中，表示节点i受一阶邻居节点的影响，l2(v
j
)表示节点j受一阶邻居边的影响n(v
i
)表示包括节点i在内的一阶邻居集合；其中，ie2(v
i
)表示基于节点特征信息计算出的节点i的信息熵，q2(v
j
)表示图中任意节点v
i
∈v的邻居节点v
j
∈n(v
i
)概率，n(v
i
)表示包括节点i在内的一阶邻居集合；通过连边两端节点的特征多样性为边赋予权重，进而计算出基于特征丰富度的节点权重，最后依据上述信息计算出基于节点特征的信息熵。
6.根据权利要求1所述的基于特征拓扑融合的黑盒图对抗攻击方法，其特征在于，所述节点重要性计算模块中步骤s230信息熵加权模块包括：信息熵归一化模块和信息熵加权求和模块；通过所述s210得到基于节点度的信息熵；通过所述s220得到基于节点特征的信息熵；通过所述s220得到基于节点特征的信息熵；通过所述s220得到基于节点特征的信息熵；其中，ie1(
·
)、ie2(
·
)分别表示基于节点度的信息熵和基于节点特征的信息熵，n表示图节点数量，w(v
i
)表示节点i的重要性，a为超参数；通过信息熵归一化模块分别计算出基于节点度的信息熵归一化值和基于节点特征的信息熵归一化值，再计算出归一化值加权后的信息熵，并将其作为节点重要性。7.根据权利要求1所述的基于特征拓扑融合的黑盒图对抗攻击方法，其特征在于，所述步骤s300节点排序模块包括：通过所述步骤s200得到的节点重要性，将其由大到小进行排序，表达式为：s＝arg top-m([w(v
i
)]
i＝1,2,
…
,n
)其中，s为选出的攻击节点集合，w(v
i
)为节点i的重要性。8.根据权利要求1所述的基于特征拓扑融合的黑盒图对抗攻击方法，其特征在于，所述步骤s400节点特征扰动构造模块包括：利用领域知识来确定扰动特征集，在现实中可以根据每个节点的自身信息为其量身定制扰动向量，但此处仅对攻击节点集合中的节点施加固定大小的扰动：其中，λ表示扰动程度，sign(
·
)表示特征扰动方向，表示扰动特征集大小为所用数据集单一节点特征数量的2％，argtop-j(
·
)表示选出梯度绝对值大的前j个节点特征，l(
·
)为损失函数，x
ij
表示节点i的第j个特征，在找到扰动特征后，将其添加到对抗节点集合x
i
∈s中的节点上，进而生成扰动图g'，具体如下：其中，∈∈r
d
，d为节点特征维度。9.根据权利要求1所述的基于特征拓扑融合的黑盒图对抗攻击方法，其特征在于，所述步骤s500攻击验证模块包括：将上一步骤得到的扰动图g'输入到目标模型中，利用模型输出的正确率来验证所提攻击方法的有效性，具体如下：
其中，表示指示函数，|v|表示图节点数量，f(x
i
')表示模型对扰动图中第i个节点的预测。

技术总结
本发明涉及一种基于特征拓扑融合的黑盒图对抗攻击方法，属于人工智能信息安全技术领域。可以在黑盒设置下提高对图神经网络的攻击，技术方案为：本发明方法包括系统初始化模块、节点重要性计算模块、节点排序模块、节点特征扰动构造模块、攻击验证模块。本发明方法在选择重要节点的过程中将图节点特征信息和图拓扑结构信息进行融合，使得选出的节点在特征和拓扑两方面对于图数据都是重要的，攻击者对挑选出的重要节点施加不易察觉的扰动后目标模型性能急剧下降，该方法为模型部署前鲁棒性评估方案提供了新的思路。评估方案提供了新的思路。评估方案提供了新的思路。


技术研发人员：梁吉业 郭宇星 姚凯旋 梁建青
受保护的技术使用者：山西大学
技术研发日：2023.06.09
技术公布日：2023/9/6