不改变连接的图攻击方法研究(二)

2022年4月2日周报

时间：2022/3/27-2022/4/2

1.毕业论文题目

　　论文题目：《Attacking Graph-Based Classification without Changing Existing Connections》

　　作者：Xuening Xu, Xiaojiang Du, and Qiang Zeng

　　机构：Austin,USA. ACM, New York, NY, USA

　　会议：In Annual Computer Security Applications Conference (ACSAC 2020)　　

---

 

4.模型概述

4.1威胁模型：

　　论文提出可以通过敌手了解训练数据集和权重（training dataset and weight）的情况，来对敌手进行分类：

• 具备完全知识的敌手：既知道训练数据集，也知道LinLBP的权重；
• 可访问训练集的敌手：知道全部或部分的LinLBP训练数据集；
• 了解权重的敌手：如果敌手不知道LinLBP的权重，但可以使用一个替代权重来发起攻击。

4.2敌手能力分析：

　　敌手有能力在不需要修改原始图中的现有边情况下，创建/插入新节点，并将它们链接到图中的现有节点或者一些新节点^【1】。

4.3论文符号说明：

　　4.3.1.论文中一些关键符号说明：

• 文章使用 𝐾 来表示每个新节点可以拥有的最大邻居数量^【2】；
• 文章使用 L 来表示每个现有节点可以拥有的最大新边的边数^【3】；
• 文章使用 𝑟 来表示每个新节点连接目标节点的边数^【4】；

　　4.3.2.论文中其他符号说明：

符号	意义
n	新的假节点数
T	目标节点的集合
$w$	边的权重
S	新节点的集合
G	初始图集
G′	新图集
A	原图集的邻接矩阵
AG′	新图集的邻接矩阵
W	原始图集的权值矩阵
WG′	新图集的权值矩阵
$\mathbf{w}_{u}$	WG′的第u行
C	成本矩阵
$\mathbf{c}_{u}$	成本矩阵C的第u行
B	具有松弛连续变量的敌手矩阵
Buv	判断节点u与v之间是否有节点插入的标志
$\bar{B}_{u v}$	二进制的 Buv
$\mathbf{b}_{u}$	敌手矩阵B的第u行
$\overline{\mathbf{b}}_{u}$	二进制的$\overline{\mathbf{b}}_{u}$
$q_{u}$	节点u的先验信誉评分
$p u$	节点u的后验信誉评分
$\alpha, \beta$	拉格朗日因子
$\mathbf{d}$	拉格朗日乘子的列向量
$*(t)$	在第t次迭代中的一个值

4.4优化问题的公式：

$$
\min _{\mathrm{B}} \sum_{u \in S ; v \in V^{\prime}} B_{u v} C_{u v}+n \times C_{n o d e}
$$

s.t.^【5】 $\quad F N R=1$, for the new nodes $F N R=1$, for the target nodes $B_{u v} \in\{0,1\}$, for $u \in S, v \in V^{\prime}$ $\sum_{v} B_{u v} \leq K$, for $u \in S$

　　上面公式容易理解，即目标函数是创建新节点和插入边的总成本。

　　其中第一个和第二个约束意味着LinLBP将所有新节点和目标节点错误地分类为负节点（FNR=1，在2022/3/27周报中解释过）。

　　最后一个约束表示每个新节点可以拥有的最大邻居数量小于𝐾 ,在注释【4】中已经解释。

4.5论文对优化问题的处理：

• 由于$\bar{B}_{u v}$变量是二进制，论文将其放宽为一个连续变量;
• 对于高度非线性约束,论文将新节点集和目标节点集中每个𝑢的FNR=1转换为𝑝𝑢<0，𝑝𝑢是后验声誉评分。^【6】

4.6论文对优化问题处理后的公式：

$$
\min _{\mathrm{B}} \sum_{u \in S ; v \in V^{\prime}} B_{u v} C_{u v}+n \times C_{n o d e}+\alpha \sum_{u \in S} p_{u}+\beta \sum_{u \in T} p_{u}
$$

$$
\text { s.t. } \quad \sum_{v} \bar{B}_{u v} \leq K \text {, for } u \in S
$$

　　其中$\alpha, \beta$> 0，是拉格朗日因子；

4.7第t次迭代后验声誉评分计算公式：

$$
\mathbf{p}_{G^{\prime}}^{(t)}=\mathbf{q}_{G^{\prime}}+\mathbf{A}_{G^{\prime}}^{(t-1)} \odot \mathbf{W}_{G^{\prime}} \mathbf{p}_{G^{\prime}}^{(t-1)}
$$

　　$\mathrm{q}_{G^{\prime}}$是新图集$G^{\prime}$的先验声誉评分，$\mathbf{A}_{G^{\prime}}^{(t-1)}$和$\mathbf{p}_{G^{\prime}}^{(t-1)}$是上一次迭代的邻接矩阵和后续声誉分数；

　　而通过在t+1次迭代中获得后验声誉评分后，可以通过下面公式来更新对手矩阵$\mathbf{B}^{(t)}$

$\min _{\mathbf{B}^{(t)}} O\left(\mathbf{B}^{(t)}\right)=\sum_{u \in S} \mathbf{b}_{u}^{(t)} \mathbf{c}_{u}^{T}+n \times C_{n o d e}+\mathbf{d}^{T} \mathbf{p}_{G^{\prime}}^{(t+1)}$

$\text { s.t. } \quad \sum_{v} \bar{B}_{u v} \leq K, \quad \text { for } u \in S$

　　其中 d 是拉格朗日乘数的列向量定义为：

$$
d_{u}= \begin{cases}\alpha, & u \in S \\ \beta, & u \in T \\ 0, & \text { 其他 }\end{cases}
$$

 

注释

【1】这对敌手来说是很容易做到的。例如，在一个真正的社交网络中，敌手只需要注册一组虚假账户，这些账户就像正常用户一样，然后通过发送好友请求将它们连接到现有用户上。而对于那些想要扩展社交网络的人来说，他们会很容易地接受朋友的请求。

【2】如果新节点试图连接许多现有节点，这就会变得可疑，并且很容易被检测到，因此需要规定出新节点的一个最大邻居数。

【3】对于一个存在的良性节点，当在短的时间内，许多创建的新节点去连接它，这种情况是非常可疑的，因此需要提出一个现有节点可以拥有的最大新边的边数。

【4】𝐾 可以理解成一个阈值，𝑟 是属于【0，K】。

【5】s.t.是subject to 。

【6】这是合理的，因为当一个节点的后验声誉评分为负值时，LinLBP将其预测为负值。