Link-Backdoor是一种针对链接预测任务的后门攻击算法,通过构建特殊触发器子图误导模型预测。该方法在保持模型对良性数据预测准确性的同时,能在含有触发器的图中将目标链接错误分类。攻击涉及白盒和黑盒场景,其中触发器的优化基于链接预测模型的梯度信息,确保隐蔽性和有效性。实验关注其性能、隐蔽性以及在防御条件下的表现。
Link-Backdoor
- 发表期刊: ArXiv abs/2208.06776 (2022)
- 问题:链接预测对图中未发现的或潜在的链接能够进行推断,但关于链接预测的后门攻击未被探索。
- 基本思想:提出Link-Backdoor算法,将假节点与目标链接的节点组合在一起,形成一个触发器以误导链接预测错误。
- 技术路线:利用一个特殊的子图作为触发器,其中目标链接的两个节点是触发器的一部分,从而在触发器中将目标链接的节点考虑进来,使得触发器的特征能够进行传播。使用注入节点的方法形成触发器,并利用梯度信息优化触发器的结构和嵌入节点的特征,同时能够使得良性数据的修改最小化。进行后门模型训练时只使用具有少量触发器的训练数据,以减少对良正确分类性能的影响。
包括了白盒与黑盒情况
链接预测
给定图 G = ( V , E ) G=(V,E) G=(V,E) ,边集 E E E 被分为 E o E_{o} Eo 与 E u E_{u} Eu ,满足 E o ∩ E u = ∅ E_{o} \cap E_{u}=\emptyset Eo∩Eu=∅ 且 E o ∪ E u = E E_{o} \cup E_{u}=E Eo∪Eu=E ,其中 E o E_{o} Eo 指的是能够被观测的存在的边, E u E_{u} Eu 指将被预测的边集。
链接预测旨在根据节点集 V V V 和 E o E_{o} Eo 中的信息预测缺失的边集 E u E_{u} Eu ,其中链接预测的方法用 f θ f_{\theta} fθ 表示
链接预测的后门攻击
给定图 G G G 和目标链接 E T E_{T} ET ,后门攻击首先生成一个子图触发器 g = ( A g , X g ) g=(A_{g},X_{g}) g=(Ag,Xg) ,并嵌入训练数据中,通过训练得到后门模型 f θ ^ f_{\hat \theta} fθ^ 。在推理阶段,触发器 g g g 的存在会使得后门模型 f θ ^ f_{\hat \theta} fθ^ 将目标链接 E T E_{T} ET 预测成攻击者选择的状态 T ^ \hat T T^ ,同时在良性数据上仍能够保持正确的预测。
攻击者目标形式化为:
{
f
θ
^
(
G
^
,
E
T
)
=
T
^
,
f
θ
^
(
G
)
=
f
θ
(
G
)
,
s
.
t
.
G
^
=
M
(
G
,
g
)
,
∣
A
g
∣
≤
Q
A
,
∣
X
g
∣
≤
Q
X
,
(1)
\begin{cases} f_{\hat \theta}(\hat G,E_{T})=\hat T, \\ f_{\hat \theta}(G)=f_{\theta}(G), \end{cases} \\ s.t. \hat G=M(G,g),|A_{g}| \leq Q_{A},|X_{g}| \leq Q_{X}, \tag{1}
{fθ^(G^,ET)=T^,fθ^(G)=fθ(G),s.t.G^=M(G,g),∣Ag∣≤QA,∣Xg∣≤QX,(1)
其中,
M
(
.
)
M(.)
M(.)是触发器混合函数,
Q
Q
Q是触发器中最大的链接数量,
Q
A
Q_A
QA和
Q
X
Q_X
QX分别是触发器注入修改链接和节点特征最大的数量。
攻击者目的:
-
将目标链接错误分类为攻击者所选择的状态
-
保持后门模型在良性数据上(未注入触发器)的正确性
攻击者知识:
-
白盒攻击:能直接获取部分训练数据,并在训练阶段知晓目标模型的结构和参数
-
黑盒攻击:只能修改部分训练数据,不能获取目标模型结构和参数
触发器注入
向图中注入
m
m
m个节点,并任意选择两个未链接的节点作为目标链接,形成触发器
g
g
g,接着随机初始化触发器结构,用公式表示为
g
=
G
e
n
g
(
G
,
m
)
g=Gen_{g}(G,m)
g=Geng(G,m) ,
G
e
n
g
Gen_g
Geng为触发器生成函数,它将目标连接与注入节点连接起来。将触发器注入良性的图
G
G
G后,获得后门图
G
^
=
(
A
^
,
X
^
)
\hat G=(\hat A,\hat X)
G^=(A^,X^),可以被表示为:
G
^
=
M
(
G
,
g
)
,
s
.
t
.
∣
A
g
∣
≤
Q
A
,
∣
X
g
∣
≤
Q
X
(2)
\hat G=M(G,g),\\ s.t.|A_g| \leq Q_A,|X_g| \leq Q_X \tag{2}
G^=M(G,g),s.t.∣Ag∣≤QA,∣Xg∣≤QX(2)
其中,
M
(
.
)
M(.)
M(.)是触发器混合函数,将触发器
g
(
A
g
,
X
g
)
g(A_g,X_g)
g(Ag,Xg)注入给定的图
G
G
G。
触发器优化
利用链路预测模型生成的梯度信息作为指导,优化触发器的结构和注入节点的特征。触发器分为两个阶段:梯度提取和触发器更新。
-
梯度提取
给定预训练的目标链接预测模型 f θ f_θ fθ,将后门数据 G ^ \hat G G^输入链接预测模型得到目标链接的预测结果。利用 L 2 L_2 L2距离衡量目标链接预测状态和攻击者选定状态之间的距离,得到目标损失函数,用公式表示为:
L a t k = 1 N ∑ i = 1 N ∣ ∣ f θ ( G ^ − E T n ) − T ^ ∣ ∣ 2 2 , (3) L_{atk} = \frac{1}{N}\sum_{i=1}^{N} ||f_{\theta}(\hat{G}-E_{T_{n}})-\hat T||_2^2, \tag{3} Latk=N1i=1∑N∣∣fθ(G^−ETn)−T^∣∣22,(3)
其中, N N N为目标链接的数量, E T E_T ET为目标链接。
根据该损失函数,可以计算出它关于触发器 g g g结构和特征的偏导数:
g r a d A g ( i , j ) = ∂ L a t k ∂ A g ^ ( i , j ) , g r a d X g ( u , v ) = ∂ L a t k ∂ X g ( u , v ) , (4) grad_{A_{g}}(i,j)=\frac{\partial L_{atk}}{\partial A_{\hat g}(i,j)}, \\ grad_{X_{g}}(u,v)=\frac{\partial L_{atk}}{\partial X_{g}(u,v)}, \tag{4} gradAg(i,j)=∂Ag^(i,j)∂Latk,gradXg(u,v)=∂Xg(u,v)∂Latk,(4)
其中, i , j i,j i,j使触发器中的节点,至少有一个使注入的节点; u u u是一个注入节点, v v v是节点特征的维度。考虑无向图的邻接矩阵是对称的,可得到:
g r a d A g ^ ( i , j ) = { g r a d A g ( i , j ) + g r a d A g ( j , i ) 2 i ≠ j , 0 i = j , (5) grad_{A_{\hat g}}(i,j)= \begin{cases} \frac{grad_{A_{g}}(i,j) + grad_{A_{g}}(j,i)}{2}&i \neq j, \\ 0 & i=j, \tag{5} \end{cases} gradAg^(i,j)={2gradAg(i,j)+gradAg(j,i)0i=j,i=j,(5)
将 g r a d A g grad_{A_{g}} gradAg视作触发器的链接梯度矩阵。 -
触发器更新
在后门攻击过程中,需要最小化损失函数 L a t k L_atk Latk,以使得模型预测结果接近攻击者选择的状态。正梯度值表示最小化目标损失的方向是减小该值,负梯度则需要增大。如果触发器中任意两个节点的梯度值为正,则删除触发器节点之间的链接,否则添加该节点对之间的链接。注入节点特征的优化类似于触发器结构的优化,它们的公式化表述为:
A g ∗ ( i , j ) = F ( A g ( i , j ) − s i g n ( g a r d A g ^ ( i , j ) ) ) , X g ∗ ( u , v ) = F ( X g ( u , v ) − α ⋅ s i g n ( g r a d X g ( u , v ) ) ) , (6) A_g^*(i,j) = F(A_g(i,j)-sign(gard_{A_{\hat g}}(i,j))),\\ X_g^*(u,v) = F(X_g(u,v)-\alpha \cdot sign(grad_{X_{g}}(u,v))),\tag{6} Ag∗(i,j)=F(Ag(i,j)−sign(gardAg^(i,j))),Xg∗(u,v)=F(Xg(u,v)−α⋅sign(gradXg(u,v))),(6)
A g ∗ A_g^* Ag∗表示触发器优化后的结构, X g ∗ X_g^* Xg∗表示触发器中注入节点的优化特征, α \alpha α为特征修改率,当节点的特征为 0 0 0或 1 1 1时。
F
(
x
)
=
R
e
L
U
(
x
)
−
R
e
L
U
(
x
−
1
)
,
(7)
F(x)=ReLU(x)-ReLU(x-1), \tag{7}
F(x)=ReLU(x)−ReLU(x−1),(7)
防止最终结果超过
[
0
,
1
]
[0,1]
[0,1]。
后门模型应用
- 白盒场景
首先使用良性数据预训练链接预测模型 f θ f_θ fθ,它保证了链接预测模型对触发器的优化有正确反馈。其次,在图中选择 N N N个目标链接,将触发器注入到目标链接中,将嵌入触发器的链路的预测状态修改为攻击者选择的状态 T ^ \hat T T^。接着,利用链路预测模型生成的梯度信息优化触发器的结构和注入节点的特征,最后,让具有触发器的数据参与后门模型 f θ ^ f_{\hat \theta} fθ^的训练。 - 黑盒场景
与白盒场景不同的是,使用代理模型生成的梯度信息来优化触发器的结构和注入节点的特征,然后使用代理模型优化后的后门数据训练目标模型 f θ ^ f_{\hat \theta} fθ^。
实验探究问题
-
在白盒场景是否能达到SOTA攻击的性能?
-
通过可转移中毒样本,在黑盒场景下能否成功实现攻击?
-
Link-Backdoor是否能保持隐蔽性?
-
Link-Backdoor是否在一定防御条件下正常工作?
-
对特征尺度的修改如何影响Link-Backdoor?相应时间复杂度是多少?
-
Link-Backdoor能否攻击非GNN方法?
实验结果
2930
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
