不改变连接的图攻击方法研究(一)

2022年3月27日周报

时间：2022/3/23-2022/3/27

1.论文题目

---

 

　　论文题目：《Attacking Graph-Based Classification without Changing Existing Connections》

　　作者：Xuening Xu, Xiaojiang Du, and Qiang Zeng

　　机构：Austin,USA. ACM, New York, NY, USA

　　会议：In Annual Computer Security Applications Conference (ACSAC 2020)　　

2.论文相关工作概述

2.1前提知识：

　　节点分类方法：图神经网络(GNNs)和集体分类（collective classification），其中

图神经网络（GNNs）是提取图中节点的特征，并利用这些特征对节点进行分类；

集体分类则是基于一个可信的传播算法（based on belief propagation algorithms），一种集体分类方法根据训练数据集为每个节点分配一个先验声誉评分（a prior reputation score），然后开始通过加权边传播先验声誉得分，得到图中每个节点的后验声誉得分（a posterior reputation score），最后根据后验声誉得分来对节点进行分类。

2.2论文背景：

　　对图数据的一些研究已经表明，敌手可以通过向现有节点的特征或邻接矩阵进行干扰，使得基于图的分类方法不可靠。但是当在一个图结构中，删除两个节点之间的关系edge时，前提就要求这两个节点中至少有一个是恶意节点^【1】，因此这种攻击的局限性在于攻击者不能强迫两个好用户改变（移除）它们之间的连接，所以这种攻击方式并不能在现实生活中广泛应用。

　　在论文^【2】中以图神经网络(GNNs)为目标，将加入新假冒节点的问题表述为一个马尔可夫决策过程，并利用q-学习算法（Q-learning algorithm）来解决这个问题，但是他们并没有进一步应用这类攻击（加入新的假冒节点）于集体分类方法（本论文的攻击是为集体分类而设计的，可以看作是对以前^【2】针对图神经网络的工作的补充）。

2.3论文贡献：

• 论文提出了一种针对集体分类方法（collective classification method）的新颖攻击方式，它的攻击思路：是在不修改现有用户之间的连接情况下，添加新的假冒节点。
  
• 论文提出了一个威胁模型，并将上述的攻击表述为一个优化问题，且使用一个有效的解决方案来解决这个问题。
• 论文评估了对真实世界的图的攻击，即使攻击者只有部分知识，新的攻击也是有效的。

2.4论文实验思路：

　　实验目标：针对的集体分类方法--Linearized Loopy Belief Propagation(LinLBP)，这种集体分类方式更具有准确性和鲁棒性（accurate and robust）；

　　实验预期效果：攻击者的目标是使LinLBP对新的假节点进行错误分类，把恶意节点错误地标记为良性节点，也即是在节点检测过程中达到一个较高的FNR（False Negative Rate）率^【3】。

3.论文集体分类方法理解

3.1Linearized Loopy Belief Propagation(LinLBP)：

　　因为一个训练数据集𝐷包含标记的良性节点和恶意节点，对于图𝐺中的每个节点𝑢∈𝑉，LinLBP根据以下内容分配一个先验声誉评分：

$$
q_{u}=\left\{\begin{aligned}
\theta, & u \text { 带有“阳性”标签 } \\
-\theta, & u \text { 带有“阴性”标签 } \\
0, & \text { error }
\end{aligned}\right.
$$

　　其中，0<𝜃<为0.5。LinLBP按以下方法计算后验分数：

$$
\mathbf{p}=\mathbf{q}+\mathrm{A} \odot \mathbf{W} \mathbf{p}
$$

　　其中，p和q分别为后验声誉得分和先验声誉得分的|𝑉|×1列向量。W是一个|𝑉|×|𝑉|矩阵，每个条目都是对应边的权值𝑤(在（0,0.5]之间）。𝑤的值越大，两个连接的节点具有相同标签的可能性就越大。将A表示为图𝐺的邻接矩阵。后验声誉分数的计算是一个迭代的过程，直到后验声誉分数收敛为止。

收敛后，结论：后验声誉评分为𝑝𝑢>0的节点为正，即为恶意节点。值越大，它对恶意节点的可信度就越高。

注释

【1】带有“阳性”标签（positive label）的节点表示恶意节点，带有“阴性”标签（negative label）的节点表示良性节点；

【2】Yiwei Sun, Suhang Wang, Xianfeng Tang, Tsung-Yu Hsieh, and Vasant Honavar.2020. Non-target-specific Node Injection Attacks on Graph Neural Networks: A Hierarchical Reinforcement Learning Approach. In Proc. WWW, Vol. 3.

 【3】机器学习中的评估指标：假负率(False Negative Rate,FNR) ：FNR=FN/(TP+FN)，即被预测为负的正样本数 /正样本实际数。这里指的是检测出的恶意节点数/良性节点数。