[发明专利]一种深度神经网络图对抗样本的预处理方法、系统及应用

说明书

本发明属于深度学习应用中的网络分析技术领域，公开了一种深度神经网络图对抗样本的预处理方法、系统及应用，所述深度神经网络图对抗样本的预处理方法包括：计算图数据每条边连接的两个节点的共同邻居数；将图数据输入目标节点分类模型进行一次前向传播和梯度后向传播，获得图数据每条边连接的节点对的梯度；根据图数据的每条边连接的节点对的共同邻居数和梯度，获得可疑边集合；对可疑边集合中的边连接的节点对计算杰卡德系数；依次在图数据中删除可疑边集合中杰卡德系数较低的边，得到预处理完成的图数据。本发明能够轻易的部署到已有的模型中对输入的图数据进行预处理，预处理后的对抗样本接近原始样本，复杂度低，能够提高目标模型的精确度。

技术领域

本发明属于深度学习应用中的网络分析技术领域，尤其涉及一种深度神经网络图对抗样本的预处理方法、系统及应用。

背景技术

目前，图是一种数据结构，常见的图结构包含节点和边，其中，节点包含了实体信息，边包含实体间的关系信息。图在许多邻域都很常见，比如化学分子结构图、交易图、社交网络图等。因此，现在许多的学习任务都需要处理图结构的数据。图神经网络是深度学习在图结构上的一个分支，它将现存的神经网络扩展到处理图领域的数据，从而学习有效的图结构数据的向量表示，然后将其应用于各种下游任务，包括节点分类，链接预测和推荐系统等。深度图神经网络在节点分类任务上的应用取得了显著的成效，与此同时，深度图神经网络自身的安全性也吸引了越来越多的关注。

近年来，攻击者通过在原始图数据中添加微小的扰动，比如添加边、修改节点特征等，构造出相应的对抗样本。对抗样本可以造成深度图神经网络在节点分类任务上出现严重的错误分类现象。因此，对抗样本的存在是深度图神经网络在安全关键场景下使用的主要障碍。举例而言，某社交平台将深度图神经网络系统应用于异常用户检测，其中节点是社交网络中的用户。恶意用户有可能会操纵他的个人资料或有意连接到目标用户，以误导检测系统。再比如，在信用卡欺诈检测中，欺诈者可以与少数高信用用户创建几个交易来伪装自己，从而逃避检测。因此，开发对抗攻击的防御方案能推进深度图神经网络在安全场景下的应用。

现有技术中主要通过增强模型的鲁棒性来抵御对抗样本的攻击。其中比较常见的抵御对抗样本的方法有对抗训练方法(adversarial training)。对抗训练方法需要大量的对抗样本加入到原始训练样本集中，再对模型进行训练，从而使得经过对抗训练的模型能正确分类某些类型的对抗样本。除了对抗训练方法外，在模型中应用不同的聚合函数，即修改目标分类器，也能增强模型的鲁棒性。

除了通过增强鲁棒性来抵御对抗样本，还可以通过检测对抗样本来进行防御。检测对抗样本主要的做法是，对图数据的结构特性和其他特性加以利用，试图从本质上区分干净数据和扰动数据，并打击某些类型的对抗样本。举例而言，有一些方法对大量样本进行统计分析以发现对抗样本的特性，并对输入样本进行预处理；有一些方法没有在模型训练前对输入样本进行预处理，而是设计了特定的机制，在模型训练过程中动态地发现可疑的数据并进行处理。

上述防御方法虽然可以在一定程度上检测出某些对抗样本，但也存在一些缺点：首先，上述增强模型的鲁棒性方法和动态检测对抗样本的方法不具有通用性。具体而言，如动态检测对抗样本的方法部署到一个新的模型上之后，需要对模型进行重新训练或是改变模型的结构，引入训练开销。其次，上述输入样本的预处理方法通常难以在尽量清除扰动和尽量保留干净数据之间达到平衡，由于选择的图数据特性的片面性，很难选择合适的界限区分干净数据和扰动数据。因此，亟需一种新的深度神经网络图对抗样本的预处理方法。

通过上述分析，现有技术存在的问题及缺陷为：

(1)现有防御方法中，增强模型的鲁棒性方法和动态检测对抗样本的方法不具有通用性，如动态检测对抗样本的方法部署到一个新的模型上之后，需要对模型进行重新训练或是改变模型的结构，引入训练开销。

(2)现有输入样本的预处理方法通常难以在尽量清除扰动和尽量保留干净数据之间达到平衡，由于选择的图数据特性的片面性，很难选择合适的界限区分干净数据和扰动数据。