【论文学习】graph backdoor论文学习

最新推荐文章于 2023-01-04 15:24:36 发布
最新推荐文章于 2023-01-04 15:24:36 发布
阅读量1.5k 收藏 6
点赞数 4
分类专栏: 网络安全论文学习 文章标签: 迁移学习 深度学习 知识图谱 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38391210/article/details/119990343
版权

摘要

本文提出了GTA攻击方法,这是在GNN上的第一个后门攻击(backdoor attack)。GTA有如下几个重要的方面:1)graph-oriented:将trigger定义成一个子图,这个子图包括了两个部分,拓扑结构和结点的特征信息。2)input-tailored:对每一个图都会得到一个trigger,通过对攻击有效性(attack effectiveness)和攻击规避性(保证正常图还是被正确分类,注入了trigger的图被错误分类)都进行优化得到trigger。3)下游模型不可知:攻击者不需要知道下游模型的信息,也不需要知道下游模型的fine-tune策略。攻击过程不需要依赖下游模型最后的预测标签,而是对中间得到的图表示进行优化。4)attack-extensible:可以用于节点分类也可以用于图分类任务。实验部分采用了很多的benchmark数据集和SOTA模型。最后提出了相应的防御方法,并且指出了几个有前途的研究方向。

Introduction

预训练模型很容易被后门攻击。攻击者的目的是得到一个木马模型,这个木马模型在输入了特定的注入了trigger的数据后会分类错误,但是在正常数据输入进去时可以保证分类正确。GNN在很多领域有应用:恶意检测(malware detection),欺诈检测(fraud detection),药物发现(drug discover),内存取证。很多任务的带标签图太少或者是训练成本太高从而使得预训练开始盛行。
作者最后得到了如下几个结论:1)对图分类任务的攻击可以获得超过91.4%的成功率,而对节点分类的攻击可以获得69.1%的成功率。2)那种迁移性极强的GNN模型更容易被攻击,脆弱性更强,可以获得96.4%的攻击成功率。最后还对input-space攻击进行研究,先转成图数据再做后面的操作。3)最后提出了GTA的防御方案。

Background

GNN模型的输入是结点之间的邻接矩阵和结点的特征矩阵。首先通过对某个结点周围的结点的特征进行聚合最后得到每个结点的嵌入表示矩阵,最后通过readout函数得到整个图的嵌入表示。

GTA攻击

其实就是包括两个部分,attack effectiveness和attack evasiveness。
在这里插入图片描述
如上式所示,上面是effectiveness,使得注入了trigger的输入被分类到特定类别,下面是evasiveness,使得模型对正常样本的预测依旧正确。
面临如下挑战:1)攻击者无法接触到下游模型,所以不能直接优化上面的第一个式子。2)gt和θ是相互依赖的,所以每次优化gt之前需要优化得到θ。3)gt的搜索空间太大。4)每个图都不一样,应该设置不同的trigger。
针对上面的挑战,得到如下解决方案:1)直接基于中间得到的图特征表示做优化,而不是基于最后的预测结果。2)gt和θ做交错优化。3)使用mixing function这个替代方法,来找到距离gt最近的g作为trigger。4)每个图G都会得到一个特定的gt。

(1)bi-level优化

在这里插入图片描述首先对式4进行优化,使得添加了后门和未添加后门的模型对正常样本的预测正确,此时是固定gt,优化得到θ。迭代了 n i o n_{io} nio次后再执行下面式3的优化。这里的 n i o n_{io} n

最低0.47元/天 解锁文章
精致又勤奋的码农
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
后门攻击阅读笔记,Graph Backdoor
weixin_43999137的博客
10-06 2190
论文标题:Graph Backdoor 论文单位:Pennsylvania State University,Zhejiang University 论文作者:Zhaohan Xi,Ren Pang,Shouling Ji 收录会议:预印版 开源代码:未开源 图后门(攻击) 简单总结 第一个在图神经网络上的后门攻击 与之前的工作相比,GTA在很多方面有所不同:面向图:它将触发器定义为特定的子图,包括拓扑结构和描述性特征,为攻击者提供了大量的设计范围;量身定制的输入:它动态地适应触发器到每个图,从而优化攻击
zabbix 添加触发器 Triggers 和 图形 Graphs
最新发布
清瞳清的博客
03-05 1009
触发器是条件的定义,一个触发器是根据一个监控项的返回值,将之对比预先设置的阈值,当监控项返回了不符合预定义的值范围后,就进行触发下一步操作的警戒线,一般要对创建的监控项设置触发器以及触发方式和值的大小
论文阅读_Motif-Backdoor:Rethinking the Backdoor Attack on Graph Neural Networks via Motifs
Paranoid_99的博客
01-04 392
motif指的是图中值具有反复出现和统计意义的子图,包含了丰富的结构信息。本文中从基序的角度重新思考了后门攻击,提出了基于基序的后门攻击。
maven model inspection
mask_boys的博客
11-17 3152
今天想要使用shiro来实现权限认证的功能。shiro是一种Java安全框架,它可以用来实现身份认证,授权,加密和会话管理。 在我搭建环境的时候,在pom.xml中添加shiro的jar包时,出现了问题maven model inspection,添加不成功。 解决方法: 等待下载就好了。然后再重新刷新maven就可以了 ...
Model Inspector — 软件模型静态规范检查工具
经纬恒润的官方博客
04-22 987
Model Inspector (MI)原厂商是韩国 Suresoft,是 KOLAS 公认测评机构,旨在提升安全关键领域软件可信度。 MI 用于开发过程中模型的静态检查,包括规范检查、复杂度度量,提供 MAAB、HIS、CG、MISRA_AC_SLSF、MISRA_AC_TL、dSPACE 标准规范及检查,检查 Targetlink 等模型是否符合建模标准、评估模型设计的合理性。 MI 具备 ISO-26262/IEC61508 等认证资质,支撑基于模型的高可靠、高安全的嵌入式电子产品验证及确认平台,在现
Android Malware Detection with Seq2vec
m0_63642362的博客
11-02 938
Android Malware Detection with Seq2vec 基于Seq2vec的安卓恶意软件检测,数据集取自CICMalDroid 2020,并进行了特征提取。 引言 最近在做Android恶意软件静态检测的研究,此前发布了两个版本,都对Android恶意软件有很高的识别率,现在尝试用Seq2vec的方法进行Android恶意软件检测。我尝试使用了Bi-LSTM、CNN,发现,Bi-LSTM实在训练太慢,而CNN网络不但训练快,而且训练集上准确度可以达到97%以上,验证集以及测试集准确度都
ICCV2021最新论文合集下载
01-18
Generative Compositional Augmentations for Scene Graph Prediction Seasonal Contrast Unsupervised Pre-Training from Uncurated Remote Sensing Data On the hidden treasure of dialog in video question ...
网络表示学习发展综述论文
07-15
这篇名为“网络表示学习发展综述”的论文集合,为深入理解这一领域的历史演变和未来趋势提供了宝贵的资源。 网络表示学习始于早期的图嵌入技术,如Random Walk with Restart(RWR)和Graph Factorization(GF),...
同质网络表征学习相关论文
04-18
在这个领域,有几篇具有代表性的论文,如DeepWalk、TADW和Grarep,它们在理解和应用网络结构信息方面做出了重大贡献。 首先,我们来看DeepWalk。由Perozzi、Al-Rfou和Skiena在2014年发表的《DeepWalk:在线学习网络...
graph embedding相关论文整理
07-08
这个压缩包文件包含了关于graph embedding算法的一些精选论文,这些论文代表了该领域的最新研究进展和技术趋势。 首先,我们要理解什么是图(Graph)。图是由节点(Vertices)和边(Edges)构成的数据结构,用于...
Graph Matching Networks for Learning the Similarity of Graph Structured Objects
05-07
近日,DeepMind 和谷歌联合进行了一项研究,该研究提出了一种执行相似性学习的新型强大模型——图匹配网络(GMN),性能优于 GNN 和 GCN 模型。该论文已被 ICML 2019 接收。 DeepMind 和谷歌的这项新研究聚焦检索和匹配图结构对象这一极具挑战性的问题,做出了两个重要贡献。 首先,研究者展示了如何训练图神经网络(GNN),使之生成可在向量空间中执行高效相似性推理的图嵌入。其次,研究者提出了新型图匹配网络模型(GMN),该模型以一对图作为输入,通过基于跨图注意力的新型匹配机制进行联合推理,从而计算它们之间的相似性分数。 研究者证明 GMN 模型在不同领域中的有效性,包括极具挑战性的基于控制流图的函数相似性搜索问题,这个问题在检索软件系统的漏洞中起着非常重要的作用。实验分析表明 GMN 模型不止能在相似性学习的环境下利用结构,还能超越针对这些问题手动精心设计的特定领域基线系统。研究主题:图相似性学习问题 图是编码关系结构的自然表征,常常出现在多个领域中。根据图结构数据定义的计算可以用在各种领域中,从计算生物学和化学的分子分析到自然语言理解中知识图或图结构解析的分析都可以。 近几年来,图神经网络(Graph Neural Network,GNN)已经成为可以有效学习结构数据表征、解决各种基于图的监督预测问题的模型了。这样的模型在迭代聚合局部结构信息的传播过程中设计并计算图节点表征,从而对图元素的排列(permutation)具有不变性。然后直接将这些节点表征用于节点分类,或者将它们合并到用于图分类的图向量中。而 GNN 在监督分类或回归以外的问题的相关研究相对较少。 DeepMind 的这篇论文研究的是图结构对象的相似性学习问题,这个问题在现实生活中有很多重要的应用,尤其是在图数据库中基于相似性的搜索。还有一个应用是涉及计算机安全的二元函数相似性搜索,给定的二元函数可能包含有已知漏洞的代码,我们要检查这个二元函数中是否有和已知易受攻击的函数相似的控制流图(control-flow-graph)。这有助于识别闭源软件中易受攻击的静态连结函式库,这是一个很常见的问题 (CVE, 2010; 2018),现在还没有很好的解决方法。图 1 展示了一个例子,在这个例子中用汇编语言注释的控制流图来表示二元函数。这种相似性学习问题极具挑战性,因为就算是图之间细微的差别也会造成语义上极大的不同,但结构不同的图语义上可能非常相似。因此,对这个问题而言,一个成功的模型应该(1)利用图结构;(2)能从图的结构和学习到的语义中推导出图的相似性。图 1:二元函数相似性学习问题。检查两个图是否相似需要推理图的结构和语义。左边两个控制流图对应使用不同编译器编译的相同函数(因此二者比较相似),但右侧图对应的是不同函数。 解决方案 为了解决图相似性学习问题,该论文研究了 GNN 在这种情况中的使用,探讨了如何用 GNN 将图嵌入到向量空间,并学习这种嵌入模型,从而使向量空间中相似的图靠近、不相似的图分开。这个模型的一个重要特性是它可以将每一个图独立地映射到一个嵌入向量,然后在向量空间中执行相似性计算。因此,可以预先计算并索引大型数据库中的图嵌入,这样就能用快速的最近邻搜索数据结构(如 k-d 树) 或局部敏感哈希算法 (Gionis et al., 1999) 执行高效的检索。 研究者进一步扩展 GNN,提出新型图匹配网络(Graph Matching Networks,GMN)来执行相似性学习。GMN 没有单独计算每个图的图表征,它通过跨图注意力机制计算相似性分数,来关联图之间的节点并识别差异。该模型依赖成对图计算图表征,因此它比嵌入模型更强大,并在准确率和计算之间做出了很好的权衡。 研究者在三个任务上评估了 GMN 和基线模型:仅捕获结构相似性的合成图编辑距离学习任务(synthetic graph edit-distance learning tas),以及两个现实世界任务——二元函数相似性搜索和网格检索,这两项任务都需要推理结构相似性和语义相似性。在所有任务中,GMN 都比基线和结构不可知(structure agnostic)模型的性能更好。在更详细的模型简化测试中,研究者发现 GMN 始终优于图嵌入模型和 Siamese 网络。 该研究的贡献如下: 展示了如何用 GNN 产生用于相似性学习的图嵌入; 提出了新型图匹配网络(GMN),该网络基于跨图注意力匹配来计算相似性; 实验证明,该研究提出的图相似性学习模型 GMN 在多个应用中都有良好的表现,比结构不可知模型和现有的手动建立的基线模型都要好。 深度图相似性学习 给定两个图 G1 = (V1, E1) 和 G2 = (V2, E2),我们需要一个可以计算两图之间相似性分数 s(G1, G2) 的模型。每个图 G = (V, E) 被表示为节点 V 和边 E 的集合,每个节点 i∈V 都可以和特征向量 x_i 相关联,每条边 (i, j) ∈ E 都可以和特征向量 x_ij 关联起来。这些特征可以表示节点类型、边的方向等。如果一个节点或者一条边不能关联任何特征,那么我们可以将对应向量设置成值为 1 的常量。研究者提出了两个图相似性学习模型:一个是基于标准 GNN 的学习图嵌入的模型;另一个是更为崭新也更加强大的 GMN。图 2 展示了这两个模型:图嵌入模型 图嵌入模型可以将每一个图都嵌入到向量中,然后用向量空间中的相似性矩阵衡量图之间的相似性。GNN 嵌入模型包括三个部分:编码器、传播层和聚合器。 图匹配网络 图匹配网络以一对图作为输入,计算它们之间的相似性分数。和嵌入模型相比,图匹配模型联合成对图计算相似性分数,而不是先将每个图独立地映射到向量上。因此,图匹配模型可能比嵌入模型更加强大,但它需要额外的计算效率。 图匹配网络改变了每个传播层中的节点更新模块,这样不仅可以考虑到每个图的边上的聚合信息,还可以考虑到衡量一个图中的一个节点和其他图中的一或多个节点匹配近日,DeepMind 和谷歌联合进行了一项研究,该研究提出了一种执行相似性学习的新型强大模型——图匹配网络(GMN),性能优于 GNN 和 GCN 模型。该论文已被 ICML 2019 接收。 程度的跨图匹配向量:以调整图的表征,在它们不匹配时放大它们之间的差异。 实验 研究者在三个任务上评估了图相似性学习Graph Similarity Learning,GSL)框架、图嵌入模型(GNN)以及图匹配网络(GMN)的性能,并将这些模型与其他方法进行了对比。总体上,实验结果表明在图相似性学习任务上,GMN 表现优异,而且始终优于其他方法。 学习图编辑距离(GED) 图 G1 和 G2 之间的图编辑距离即将 G1 变换为 G2 所需的最小编辑操作。通常这些编辑操作包括添加/移除/替换节点和边。图编辑距离是衡量图之间相似性的自然指标,在图相似性搜索中有很多应用。 从下表 1 中可以看出,通过学习特定分布的图,GSL 模型的性能优于一般的基线模型,而 GMN 的性能持续优于图嵌入模型(GNN)。基于控制流图的二元函数相似性搜索 二元函数相似性搜索是计算机安全领域中的重要问题。当我们无法获取源代码时,可以通过二元函数执行分析和搜索,例如在处理商业或嵌入式软件或可疑的可执行程序时。 下图 4 展示了具备不同传播步和不同数据设置的不同模型在二元函数相似性搜索任务上的性能。从图中,我们可以看到: 图嵌入模型和图匹配模型的性能随着传播步的增加而持续提升; 在传播步足够的情况下,图嵌入模型持续优于基线模型; 图匹配模型在所有设置和传播步的情况下都优于图嵌入模型。研究者检测了GMN 模型中不同组件的效果,并将 GMN 模型与图卷积网络(GCN)、图神经网络(GNN)和 GNN/GCN 嵌入模型的 Siamese 版本进行对比。 下表 2 展示了实验结果,表明: GNN 嵌入模型是具备竞争力的模型(比 GCN 模型强大); 使用 Siamese 网络架构基于图表征学习相似性要比使用预先指定的相似性指标(Euclidean、Hamming 等)好; GMN 优于Siamese 模型,这表明在计算过程早期进行跨图信息交流是非常重要的。
malware detection(病毒扫描)经典教材
11-27
Springer出版的关于病毒检测的教材,现有的主流技术都有讲到。 pdf格式。
AGC-LSTM 论文下载
08-30
本文主要介绍了一种新的深度学习模型 AGC-LSTM(Attention Enhanced Graph Convolutional LSTM Network),用于基于骨骼序列的人类动作识别。该模型通过将图卷积神经网络(Graph Convolutional Neural Network)与长...
利用colab保存模型_在Google Colab上训练您的机器学习模型中的“后门”
weixin_26752765的博客
09-04 1282
利用colab保存模型Note: This post is for educational purposes only. 注意:此职位仅用于教育目的。 In this post, I would first explain what is a “backdoor” in machine learning. Then, we would learn how to build our own back...
论文学习】图神经网络对抗攻击顶会论文汇总(2018-2021年)
qq_38391210的博客
08-19 6645
图对抗攻击 在信贷领域,结合贷款人的金钱交易来评估他的信用情况,人与人的交易记录就是用图来表示。 对于图来说,特征往往是离散的(例如图的结构特征,一条边要么存在,要么不存在)。 对于图来说,很难定义图上的微小扰动。 在图像对抗攻击领域,通常是在训练好的模型上输入扰动图片使其预测错误evasion attack,但是在图对抗攻击领域是让扰动后的图上重训练的模型性能变差,这种攻击被称为投毒攻击。 图卷积网络 图卷积网络被用来解决半监督结点分类问题。 经典的论文 (1)Adversarial Attacks on
Semantics-Aware Malware Detection
04-26 1611
Notes from: "Semantics-Aware Malware Detection" [Christodorescu, Jha, Seshia, Song, Bryant]--------Problem:-------- - old trend in malware: create a supervirus, infect millions with it
基于异质图神经网络的未知恶意程序检测
Paper weekly
10-08 2789
©PaperWeekly 原创 ·作者|张安琪学校|东华大学硕士生研究方向|隐私保护、Security论文标题:Heterogeneous Graph Matching Network...
论文学习】Heterogeneous Graph Matching Networks for Unknown Malware Detection学习
qq_38391210的博客
07-05 742
摘要 恶意软件攻击已经开始渗透到很多的信息系统中。传统的基于签名的恶意检测算法只能检测到已知在库中的恶意软件,并且可以做诸如二进制混淆的规避攻击,但是基于行为的方法在很大程度上依赖于恶意的训练样本,并且会有很高的训练成本。为了解决现有技术的局限性,作者提出了MatchGNet,一种异质图匹配网络可以学习图表示和相似性度量。作者还提出了一种对于模型的系统性评估手段,可以以较小的FP值来检测恶意攻击。MatchGNet比现有的SOA算法都要好,在保证FN值为0的同时将FP值降低了50%。 Introductio
论文阅读分享
qq_36386435的博客
02-27 7341
恶意软件对抗研究 When Malware is Packin’ Heat; Limits of Machine Learning Classifiers Based on Static Analysis Features 机器学习快速发展,当前工业界和学术界对于恶意软件识别研究的结果,作者对其提出疑问,称没考虑加壳对分类的影响,忽略了这个重要因素,并且作者证明了从加壳可执行文件中提取的特征不能充分去1)泛化其他未知packer,2)对对抗样本具有鲁棒性。并且指出了当前推出的不成熟的机器学习应用会导致大量的
Thomas Kipf的图结构表示深度学习论文概览
Kipf的工作着重于图神经网络(Graph Neural Networks, GNNs),这是一种新兴的机器学习架构,它允许模型理解和学习节点、边以及整个图之间的关系。 论文的核心内容可能包括以下几个方面: 1. 图神经网络基础:Kipf...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值