(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111309975A(43)申请公布日2020.06.19(21)申请号202010105695.5(22)申请日2020.02.20(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人皇甫志刚林建滨任彦昆梁琛(74)专利代理机构成都七星天知识产权代理有限公司51253代理人杨永梅(51)Int.Cl.G06F16/901(2019.01)G06K9/62(2006.01)权利要求书3页说明书10页附图4页(54)发明名称一种增强图模型抗攻击能力的方法和系统(57)摘要本申请实施例公开了一种增强图模型抗攻击能力的方法和系统。所述方法包括：获取目标图数据，其包括第一点集V1以及边集E；任意生成n条边的扰动边集ΔE，其中，n条边的节点构成第二点集V2；从第二点集V2中任意选择一个修正点；从第一点集V1中任意选择若干个点构成修正点的候选目标点集V3；从候选目标点集V3中选择一个目标点，并利用选择的目标点替换修正点，以更新扰动边集ΔE得到扰动边集ΔE′；基于扰动边集ΔE′调整边集E得到调整后的目标图数据；重复从第二点集V2中选择修正点并迭代调整边集E，得到对抗图数据；基于该对抗图数据，调整图模型。其中，目标图数据可以包括个人信息，图模型可以为机器学习模型。CN111309975ACN111309975A权利要求书1/3页1.一种增强图模型抗攻击能力的方法，其中，所述方法包括：获取目标图数据，所述目标图数据包括第一点集V1以及边集E；任意生成n条边的扰动边集ΔE，其中，所述n条边的节点构成第二点集V2，所述n条边的节点均存在于所述第一点集V1中；从所述第二点集V2中任意选择一个修正点；从所述第一点集V1中任意选择若干个点构成所述修正点的候选目标点集V3；从所述候选目标点集V3中选择一个目标点，并利用选择的所述目标点替换所述修正点，以更新所述扰动边集ΔE得到扰动边集ΔE′；基于所述扰动边集ΔE′调整所述边集E得到调整后的目标图数据，在所述调整后的目标图数据输入所述图模型的输出结果与对应该输出结果的真实结果之差的绝对值增大时，接受该次替换；重复从所述第二点集V2中选择修正点并迭代调整所述边集E，得到对抗图数据；基于该对抗图数据，调整所述图模型，以增强所述图模型的抗攻击能力。2.如权利要求1所述的方法，其中，所述n为所述边集E中边的数量的1％～5％。3.如权利要求1所述的方法，其中，所述重复从所述第二点集V2中选择修正点并迭代调整所述边集E，得到对抗图数据，包括：重复执行从所述第二点集V2中任意选择一个修正点的步骤，至基于所述扰动边集ΔE′调整所述边集E的步骤，并在重复执行所述步骤的次数大于或等于次数阈值时，将当前得到的所述目标图数据作为所述对抗图数据。4.如权利要求1所述的方法，其中，所述基于所述扰动边集ΔE′调整所述边集E，包括：对于所述扰动边集ΔE中的每一边，若所述边集E中存在该边，则从所述边集E中删除该边；若所述边集E中不存在该边，则在所述边集E中增加该边。5.如权利要求1所述的方法，其中，在所述调整后的目标图数据的损失函数值增大时，判定所述输出结果与对应该输出结果的真实结果之差的绝对值增大，所述损失函数值为交叉熵，该交叉熵如下所示：其中，Lf为所述交叉熵，G为所述目标图数据，vi为所述目标图数据中的点，c用于表征所述点vi的预测类别，yc为指示变量，在所述点vi的预测类别c与真实类别相同时，yc为1，否则yc为0，pc为所述点vi属于所述预测类别c的预测概率，M为所述点vi的预测类别c的数量。6.如权利要求1所述的方法，其中，所述基于该对抗图数据，调整所述图模型，以增强所述图模型的抗攻击能力，包括：将所述对抗图数据输入所述图模型，得到与所述对抗图数据中的每一点对应的输出，所述输出用于表征该点属于该输出对应类别的概率；针对所述对抗图数据中的同一点，若该点的所有所述输出中的最大值对应的类别与该点的真实类别不同，则判定该点对应的攻击成功；针对所述对抗图数据中的多个点，统计对应于该多个点的所述攻击的成功次数在所述攻击的总次数中的比例，并基于该比例调整所述图模型，以增强所述图模型的抗攻击能力。2CN111309975A权利要求书2/3页7.如权利要求1所述的方法，其中，所述图模型为用于对图数据中的点进行分类的模型，该图数据中的节点用于表征实体对象。8.一种增强图模型抗攻击能力的系统，其中，所述系统包括：获取模块，用于获取目标图数据，所述目标图数据包括第一点集V1以及边集E；生成模块，用于任意生成n条边的扰动边集ΔE，其中，所述n条边的节点构成第二点集V2，所述n条边的节点均存在于所述第一点集V