论文阅读_Motif-Backdoor:Rethinking the Backdoor Attack on Graph Neural Networks via Motifs

motif-backdoor:rethinking the backdoor attack on graph neural networks via motifs

abstract

motif指的是图中值具有反复出现和统计意义的子图，包含了丰富的结构信息。本文中从基序的角度重新思考了后门攻击，提出了基于基序的后门攻击。

contributions：

1. 通过来自motif的触发器解构来解释后门攻击的有效性，例如使用图中出现频率较低的子图作为触发器会有更好的性能。
2. 基于motif的攻击达到了很好的效果
3. 基于motif，可以更快获得有效的触发结构，无需目标模型反馈或子图模型生成。

introduction

后门攻击在训练阶段影响模型参数，在训练后的模型中留下特定的后门。一旦用触发器修补的样本被馈送到后门模型中，目标结果将如攻击者所期望的那样被预测，同时仍然使用干净的输入正常工作。

motifs是一个十分有效的途径去弥合作为触发器的不同子图与图网络对后门攻击的影响之间的差距。

针对后门攻击有三个挑战：

1. 触发器结构限制。有许多结构满足扰动触发器的限制，很难确定合适的触发器结构
2. 攻击知识限制。没有目标模型反馈的信息很难达到稳定有效的攻击。
3. 注入位置限制。触发器可以选择注入的位置空间是有限的，所以有效的选择比较好的触发器注入位置十分具有挑战性。

所以，提出了基于motif的攻击，针对第一个挑战，分析了训练图中motif的分布，并选择合适的motif作为触发。这是一种基于统计信息生成触发器的方法，比基于优化的方法快得多。针对第二个挑战，构造一个基于 SOTA 的可靠的影子模型，目标模型输出的训练数据具有置信度分数。针对第三个挑战，利用图索引和删除目标节点来衡量节点对图的重要性。这个操作可以选择有效的触发器注入位置。

提出了一种针对主题后门的可能防御方法。

主要贡献：

1. 从motif的角度揭示了触发器结构和图拓扑对后门攻击性能的影响，并获得了一些新颖的见解，例如使用在图中出现频率较低的子图作为触发器实现了更好的攻击性能。
2. 受motif的启发，提出了Motif-Backdoor。根据数据集中的motif分布快速选择触发器。此外，构建了一个影子模型将攻击从白盒攻击转换成黑盒攻击。对于触发器注入位置，提出了图索引和删除目标节点来衡量图的节点重要性。
3. 在四个真实世界数据集上对三个不同流行的 GNN 进行的广泛实验表明，Motif-Backdoor实现了SOTA性能，例如，与基线相比，Motif-Backdoor平均提高了14.73% 的攻击成功率。此外，实验证明，Motif-Backdoor对可能的防御策略也有效。

motif view of backdoor attack

首先使用算法Orca对数据集进行motif分析，可以获得目标标签样本的motif分布，以及其余标签的样本分布。通过攻击成功率评估差异基序作为触发器随机注入良性样本以发动后门攻击的攻击性能。结果如图所示。其中，S tar中的motif分布表示数据集中的样本基序的分布，其标签与攻击者选择的目标标签一致。S oth中的基序分布是其余标签样本的基序分布。

以NCI1数据集的后门攻击为例，作为触发器的M32，M43，M44，M45和M46的ASR高于M31，M41和m42的ASR。值得注意的是，M32、M43、M44、M45和M46在NCI1数据集中没有这样的基序结构。它们可以作为触发器，以达到满意的攻击效果。此外，在其他数据集中也有类似的性能。基于这一观察，我们得出如下结论：

motif-backdoor

在阶段 (i) 中，通过motif提取工具获得motif的分布并对其进行分析，以选择合适的motif作为触发因素。

对于阶段 (ii)，使用网络重要性度量，影子模型和删除目标节点策略找到触发注入位置。通过重要性指数对图中节点的重要性进行排序，该指数可以从网络拓扑结构中衡量节点的重要性。将候选触发节点中的节点的子分数按降序排序，并选择触发节点数量相同的候选触发节点的位置作为触发注入位置。

最后，在阶段 (iii) 中，将触发器注入良性图，后者参与模型训练以获得回溯模型。目标模型具有后门一旦后门图形输入了后门模型，触发器就会激活后门模型中的后门，从而使模型输出攻击者预设的结果。

trigger structure

从攻击者那里提取可用数据集D ava的motif，以获得motif在不同标签之间的分布。此外，总结了在不同场景下选择触发器的准则，即选择标准，如下所示。

1. 数据集网络中不存在的motif可以优先作为触发器。
2. 目标标签中有更多分布的motif可以优先作为触发器。
3. 有更多链接的motif可以优先作为触发器。

这三个标准的优先级可以依次降低。C(·) 表示选择合适的motif结构作为触发器g 的选择过程：

D ava是攻击者可以使用的数据集。

optimization of trigger position

从图结构和GNN模型的角度进一步搜索影响触发注入位置。该过程可以分为三个步骤，包括基于图结构的filter，影子模型的构建以及基于GNN模型的filter。

基于图结构的filter。选择图结构中最重要的节点作为触发器注入位置，可以比随机注入触发器获得更好的攻击效果。使用图的重要度指标，即度中心度来衡量图中节点的结构重要性。节点的DC值越高，节点在图结构方面的作用就越重要。

其中di是节点i的度，N是图中的节点数。

据DC索引给出的节点重要性值将图的节点按降序排序，选择具有最高值的k个节点作为候选触发节点，并将其添加到候选触发节点集中。该操作不仅考虑了图结构来选择重要节点，而且缩小了后续选择触发节点的范围，可以提高后续搜索触发节点的效率。

影子模型构建。除了图结构外，来自目标模型反馈的节点也很重要。攻击者很难获得目标模型的内部信息，例如模型的结构和参数。但是来自目标模型的反馈可以很好地指导攻击者生成有效的后门攻击图。构造一个影子模型Fθ来向攻击者提供信息反馈。

采用GCN发起后门攻击，对于图G = (A,X)，A是邻接矩阵，X是节点特征矩阵，第 (l+1) 层的隐节点特征表示为：

D是度矩阵，是激活函数如ReLu，使用池化层得到图级。

将可用数据集馈送到目标模型中，来自目标模型的输出置信度用作可用数据集中的图形的重置标签。然后我们使用可用的数据集来训练影子模型Fθ。

基于GNN模型的filter。将候选触发节点中的重要节点识别为触发节点，采用删除节点来测量候选触发节点中节点的重要性得分。分别在良性网络的候选触发器中删除一个节点，获得相应的候选子图集G can。计算候选子图集中的子图与输入影子模型的良性图之间的输出差作为subscore。subsocre的值越大，节点在模型预测中起着更关键的作用。形式上，我们定义子分数度量来衡量候选触发节点的重要性：

G是良性图，从模型的角度来看，删除图中更重要的节点对模型的输出影响更大，根据subscore对图中节点的重要性进行排名，选择这些重要节点作为触发节点。

backdoor attack implementation

分别获得触发器结构和触发器注入位置，混合函数M(·) 将触发器注入到良性图中，表示为：

G是良性图，g是触发器，G hat是后门图。

根据中毒比例p，可以获得一定数量的后门图，将这些图放入训练集中，参与目标模型的训练，会影响目标模型的参数，从而留下后门。

time complexity analysis of motif-backdoor

后门攻击在推断阶段只需要触发器在后门模型中激活，主要关注模型训练阶段后门攻击所需的时间。Motif-Backdoor的时间成本主要来自三个部分，包括触发结构的时间成本 (T trigger-str)，DC索引的触发位置 (T trigger-dc-pos) 和subscore的触发位置 (T trigger-sco-pos)。因此，Motif-Backdoor的时间复杂度如下：