(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115834153A(43)申请公布日2023.03.21(21)申请号202211382657.X(22)申请日2022.11.07(71)申请人山西大学地址030006山西省太原市小店区坞城路92号山西大学科技楼803(72)发明人梁吉业温亮亮姚凯旋王智强(74)专利代理机构山西五维专利事务所(有限公司)14105专利代理师茹牡花(51)Int.Cl.H04L9/40(2022.01)G06N3/04(2023.01)权利要求书3页说明书8页附图2页(54)发明名称一种基于节点投票机制的图神经网络模型黑盒攻击装置及方法(57)摘要本发明公开了一种基于节点投票机制的图神经网络模型黑盒攻击装置及方法，涉及人工智能信息安全技术领域，具体来说，包括以下步骤：获取图数据及超参数；初始化节点投票能力、投票得分、不同节点间边的投票权重；节点从其邻居获得投票分数并为邻居投票；根据节点投票分数，迭代选择分数高的节点作为每轮选出的节点；将每轮所选节点的投票能力置0，并对所选节点邻居的投票能力进行衰减；选出满足约束条件的节点，进而生成攻击节点集合；依据节点分类任务相关的领域知识构造扰动向量，对集合进行扰动，从而生成扰动图；利用扰动图对模型进行攻击。本发明通过利用图的拓扑信息，并结合节点投票机制，进一步提升基于节点选择黑盒攻击的精度。CN115834153ACN115834153A权利要求书1/3页1.一种基于节点投票机制的图神经网络模型黑盒攻击装置，其特征在于，包括：S11：输入模块，获取图数据G以及对抗攻击过程中涉及的各种条件约束；S12：初始化模块，为图G中每个节点初始化其投票得分和投票能力，为图G中不同节点之间的边初始化投票权重；S13：攻击节点选择模块，基于节点投票机制迭代选择攻击节点，生成攻击节点集合S；S14：节点特征扰动构造模块，依据节点分类任务相关的领域知识来构造扰动向量，对攻击节点集合S进行攻击，输出扰动后的图G′；S15：攻击模块，利用扰动后的图G′对图神经网络模型进行攻击。2.根据权利要求1所述的基于节点投票机制的图神经网络模型黑盒攻击装置，其特征在于，所述初始化模块S12中，所述每个节点初始化投票得分和投票能力具体表示为：(vsi,vai)，初始化方式如下，vai＝tij，其中tij＝1或者vsi＝0，其中投票得分vsi是节点i从其邻居获取到的，投票能力vai表示节点i可以为其邻居投票的能力大小；所述为图G中不同节点之间的边初始化投票权重，具体为：图G中不同节点i和j之间连边的投票权重具体表示为：VWij，例如，节点i和节点j之间的连接的投票权重定义有如下两种方式：VWij＝1，其中di＝|Ni|，Ni表示节点i的邻居节点集合。3.根据权利要求1所述的基于节点投票机制的图神经网络模型黑盒攻击装置，其特征在于，所述攻击节点选择模块S13中，包括如下步骤：(1)投票：每个节点的投票得分的计算方式具体表示如下：其中di＝|Ni|，Ni表示节点i的邻居节点集合；(2)选择节点：依据上一步(1)计算得到每个节点的投票得分，选择其中得分最高的节点作为本轮选择的攻击节点；(3)归零：将所选攻击节点的投票能力置为0，具体为vai＝0；(4)衰减：对所选攻击节点两跳邻居的投票能力进行衰减具体为：两跳邻居的投票能力衰减程度是不同的，一跳邻居节点比二跳邻居节点的衰减程度要强一些，衰减方式如下：其中μ∈[0,1]是衰减因子；(5)迭代更新：针对所选攻击节点邻居的投票信息进行更新，重复执行(1)(2)(3)(4)，2CN115834153A权利要求书2/3页循环迭代，直至满足要求数量的节点被选择出来，然后生成攻击节点集合S。4.根据权利要求1所述的基于节点投票机制的图神经网络模型黑盒攻击装置，其特征在于，所述节点特征扰动构造模块S14中，所述依据节点分类任务相关的领域知识来构造扰动向量，特征扰动向量构造方式如下：其中λ是修改幅度，Xij是节点i的第j个特征，对攻击节点集合S进行攻击具体表现为：使用节点分类任务相关的领域知识来构造特征扰动向量，针对攻击节点集合S中每个节点的特征向量进行扰动，进而生成扰动后的图G′。5.一种基于节点投票机制的图神经网络模型黑盒攻击方法，其特征在于，所述方法包括以下步骤：S21：输入原图数据包括节点、边及特征，以及输入各个超参数；S22：按照设计的规则，为图中每个节点初始化节点的投票得分和节点的投票能力，为图中不同节点之间的边初始化投票权重；S23：基于节点投票机制来迭代选择攻击节点，生成攻击节点集合S；S24：依据节点分类任务相关的领域知识来构造扰动向量，对集合S中节点的特征进行扰动，输出扰动后的图G′；S25：利用扰动后的图G′对图神经网络模型进行攻击