|
引用本文
陈晋音, 穆文博, 郑海斌. 基于模体增强对比学习的图神经网络后门防御方法. 自动化学报, 2026, 52(4): 765−779 doi: 10.16383/j.aas.c240767
Chen Jin-Yin, Mu Wen-Bo, Zheng Hai-Bin. Motif-augmented contrastive learning-based defense against backdoor attack on graph neural networks. Acta Automatica Sinica, 2026, 52(4): 765−779 doi: 10.16383/j.aas.c240767
http://www.aas.net.cn/cn/article/doi/10.16383/j.aas.c240767
关键词
图神经网络,后门攻击,防御,对比学习,模体
摘要
图神经网络在图数据挖掘任务中表现出卓越性能, 因此广泛应用于社交网络、商品推荐等领域. 在图分类任务中, 模型决策高度依赖全局拓扑结构, 使得图神经网络易受后门攻击. 已有研究表明, 在训练数据中注入中毒信息使得训练获得的模型容易被触发样本欺骗, 严重威胁模型安全. 然而, 现有防御方法仍然存在一些挑战, 即对不同后门攻击的防御泛化性弱、无法有效均衡主任务性能与防御成功率等问题. 为此, 首次提出一种基于模体增强对比学习的图神经网络后门攻击防御方法(Motif-Defense), 可高效防御多种未知类型的后门攻击, 且主任务性能仅略有下降. 首先, 设计模体角度增强图的对比学习模型, 选取可疑后门样本. 其次, 使用Jaccard相似度和标签平滑策略将可疑后门样本净化为干净样本, 实现对图后门攻击的防御. 最终, 在四个真实数据集上展开防御实验, Motif-Defense平均降低84.70%的攻击成功率, 且分类准确率平均仅下降2.53%.
文章导读
图结构数据广泛存在于现实生活中, 其所包含的大量节点特征与连边关系能为图分类、节点分类、链路预测、社区发现等任务提供丰富信息, 例如社交媒体网络[1]、金融网络[2]、交通网络[3]. 为了高效实施图数据挖掘, 基于深度学习的图神经网络(graph neural network, GNNs)[4]应运而生. 得益于神经消息传递框架, GNNs能够高效表征图结构的关键特征, 从而得到广泛应用.
本文聚焦于图分类任务下的图神经网络后门防御. 图分类任务旨在通过学习图的拓扑结构与节点属性信息, 实现对图数据的类别划分, 广泛应用于医疗诊断[5]、药物发现[6]和网络安全[7]等领域. 由于图分类模型需聚合全局结构信息以形成图级表示, 其决策过程对特定子图模式高度敏感. 因此, 针对图分类任务设计高效、鲁棒的后门防御机制, 不仅具有理论研究价值, 更对保障关键应用的安全可信运行具有重要意义. 图神经网络在图表示学习领域取得优异表现, 然而最近的研究表明图神经网络容易受到后门攻击. 即通过在图的特定子图或者节点上植入触发器, 导致模型在推理时错误地将包含触发器的整个图分类为目标类别. 目前, 已有的图神经网络后门攻击方法[8−12]多数是以子图生成触发器的方式进行攻击. 攻击者可以通过设计特定的子图(如某种结构的节点和边)作为触发器. 这种子图在训练时被标记为特定类别或特征, 使目标模型建立触发器与目标类之间的强相关性, 当模型遇到相同结构的子图时, 产生错误的推理结果.
为保护GNN免受后门攻击的影响, 一个直观的想法是删除后门触发器或减少负面影响. 在这个方向上已经有一些研究成果[13−19]. 例如, Dai等[13]修剪连接低余弦相似度的边来破坏触发结构和附加边. Jiang等[17]在连接节点具有较高相似度的假设下, 使用Jaccard相似度对图数据进行剪枝. Liu等[15]对由触发模型激活的神经元进行微调, 稀释污染数据的影响. 这些方法主要依赖于模型参数或可解释性工具来删除图数据中的节点或连边, 从而去除后门触发器. 然而, 这些方法依然面临两个问题: 1)针对特定类型的后门攻击进行设计, 导致对其他攻击或未知攻击的适应性差; 2)在提高模型对后门攻击的防御能力时, 主任务性能下降严重, 无法有效均衡主任务性能与防御成功率.
针对这些问题, 本文提出一种面向图神经网络后门攻击的对比学习防御方法, 称为Motif-Defense. 本方法灵感来源于文献[12]的发现: 对于图后门攻击, 使用数据集中不存在或不频繁的模体(motif)作为触发器, 其攻击效果通常优于使用常见模体. 基于这一发现, Motif-Defense设计基于模体增强的对比学习模型, 旨在预先学习数据集中存在最少模体结构下的正常嵌入, 从而破坏后门攻击后目标类与触发器之间的强相关性. 首先, 针对问题1), 设计基于模体(motif)角度增强图的对比学习模型, 模体增强方式不依赖于特定攻击方法的具体细节, 而是基于图结构和节点特征进行分析, 因此它能够有效地应对多种不同类型的后门攻击. 然后, 针对问题2), Motif-Defense通过比较目标模型和对比学习模型在相同训练数据集下的输出置信度, 准确地检测出可疑后门样本, 并使用标签平滑策略得到可疑后门样本的新标签, 从而减少对非后门样本的影响, 达到保护目标模型主任务性能的效果. 标签平滑策略能够有效减轻后门攻击中篡改训练数据标签带来的负面影响, 减少模型对错误标签的依赖, 从而提高模型的鲁棒性.
本文的主要贡献总结如下:
1)设计基于模体角度增强图的对比学习模型用于防御. 它的增强方式不同于常规的删除节点、连边的增强方式, 而是在对数据进行模体分析后, 选择部分节点按照特定结构进行连接.
2)根据对比学习模型输出的置信度快速地定位后门图数据, 并通过删除低排序节点和标签平滑策略消除后门威胁. 不仅大大提高GNNs对各种后门攻击的鲁棒性, 而且模型主任务性能保持较好.
3)在四个真实数据集、六种后门攻击方法和五种后门防御方法上对Motif-Defense的防御性能进行评估, 结果表明该方法能够平均降低84.70%的攻击成功率, 且分类准确率平均仅下降2.53%.
图1 三节点、四节点模体示意图
图2 Motif-Defense系统框架
图3 Motif-Defense消融实验结果
针对现有图神经网络后门防御方法存在的不足, 例如对不同后门攻击的防御泛化性弱、无法有效均衡主任务性能与防御成功率等问题, 本文提出一种基于模体增强对比学习的图神经网络后门攻击防御方法, 称为Motif-Defense. 该方法首先通过模体分析构建对比学习模型. 然后利用对比学习模型和目标模型输出的置信分数之差, 筛选出可疑后门样本. 最后利用Jaccard相似度以及标签平滑策略对可疑后门样本进行修改. 实验结果表明, Motif-Defense在多种攻击场景下能够显著降低攻击成功率, 同时对模型分类准确率的影响较小.
然而, Motif-Defense仍存在一些实际部署中的挑战. 首先, 在模体分析阶段, 尽管通过限制模体规模和对训练数据进行采样来控制计算复杂度, 该过程仍涉及子图枚举, 在面对超大规模图时可能面临性能瓶颈. 此外, 模体分析与对比学习模型的构建为离线预处理步骤, 虽不影响在线推理效率, 但在资源受限场景下仍需进一步优化. 为此, 未来工作将探索基于分布式计算的近似模体计数方法, 以提升算法的可扩展性.
另外, 方法中部分关键环节依赖阈值设置. 例如, 可疑后门样本的识别基于对比模型与目标模型输出置信度的差异, 其判定阈值目前依赖经验设定; 边剪枝操作中的相似度阈值虽采用删除10%连边的动态策略以适配不同图结构, 但仍需人为指定删除比例. 对预设阈值的依赖可能削弱方法在不同数据分布下的鲁棒性与可迁移性. 因此, 后续研究将探索自适应机制, 例如利用验证集上的模型性能或置信度分布的统计特性(如均值与标准差)自动确定阈值, 从而减少对人工经验的依赖, 推动防御系统的自动化部署.
最后, 本文的研究集中于图分类任务, 所提出的可疑样本识别与处理策略依赖于图级表示. 对于节点分类、链接预测等任务, 其输入输出形式与图分类任务存在差异, 因此Motif-Defense需进行相应调整. 例如, 在节点分类中, 可基于局部子图构建对比视图, 并利用节点级置信度识别可疑节点; 在异构图中, 可基于元路径引导的子图采样设计增强策略. 这些扩展方向将作为未来的重要研究内容, 以推动Motif-Defense向更广泛的图学习任务迁移.
作者简介
陈晋音
浙江工业大学计算机科学与技术学院教授. 主要研究方向为人工智能安全, 图数据挖掘和进化计算. E-mail: chenjinyin@zjut.edu.cn
穆文博
浙江工业大学信息工程学院硕士研究生. 主要研究方向为人工智能安全, 深度学习和图数据挖掘. E-mail: 211123030043@zjut.edu.cn
郑海斌
浙江工业大学计算机科学与技术学院讲师. 主要研究方向为深度学习, 人工智能安全和图像识别. 本文通信作者. E-mail: haibinzheng320@gmail.com
Archiver|手机版|科学网 ( 京ICP备07017567号-12 )
GMT+8, 2026-7-4 19:41
Powered by ScienceNet.cn
Copyright © 2007- 中国科学报社