CN109639710A - 一种基于对抗训练的网络攻击防御方法 - Google Patents

Abstract

本发明公开了一种基于对抗训练的网络攻击防御方法，包括：(1)构建节点分类模型，将原始网络结构所对应的邻接矩阵与标记类标的训练节点输入节点分类模型进行初始训练，得到初始分类模型；(2)依据对抗网络攻击算法和得到的初始分类模型依次修改每个训练节点的至少一个节点对，并迭代更新原始网络结构的邻接矩阵，构建所需的对抗网络；(3)利用得到的对抗网络与被标记类标的训练节点，重新训练初始分类模型，最终得到具有防御能力的节点分类模型。利用本发明的方法，可以提高模型对对抗样本的分类效果，从而提高对对抗网络攻击的防御效果。

Description

一种基于对抗训练的网络攻击防御方法

技术领域

本发明属于深度学习安全技术领域，尤其是涉及一种基于对抗训练的网络攻击防御方法。

背景技术

正在进行的数据融合过程正在不断的将我们生活的许多方面的数据转变为计算机数据进行存储与分析。在现实世界中，各种数据可以被建模为网络，例如社交网络，通信网络，生物网络，交通网络等。到目前为止，许多学者已经提出了各式各样的网络分析工具对实际的网络数据进行有效的网络分析。

与图像等领域中的深度模型相同，网络深度模型受神经科学启发而来，可以通过对一定量数据进行学习，获得比一般算法更准确的分类结果，具有强大的特征学习能力和特征表达能力，更好的促进网络分析算法的研究。而随着深度网络分析算法被广泛的研究与应用，网络深度模型的安全问题也逐渐被人们重视起来。

虽然网络深度模型在网络分析领域有着较优的分析效果，但是Zügner等人发现，网络深度模型很容易受到细微的扰动的攻击。这些细微的扰动主要是针对网络中的较少链路进行修改，从而使得网络中的目标节点分类错误，甚至对错误的分类结果表现出相对较高的置信度。但是，当黑客滥用对抗性攻击隐瞒其非法社区群体时，将会使得黑客的危害最大化。例如，Mohamed Atta可以通过网络攻击算法设计一种重新布线极少数链路的网络攻击策略，从而实现掩盖其在世贸中心恐怖网络中的社区位置，掩藏相关联的***的关系。Dai等人针对网络对抗攻击算法提出了一种简单的对抗训练机制(AT)，但是其防御效果微乎其微。

综上所述，如何提高深度网络分析模型的模型鲁棒性，增强网络分析模型对于对抗网络攻击的抗干扰能力，使得对抗网络攻击方法无法有效的生成对抗攻击，在提高深度网络分析模型分析有效性方面有着极其重要的理论与实践意义。

发明内容

为了解决现有技术存在的问题，本发明提供了一种基于对抗训练的网络攻击防御方法，可以提高深度网络分析模型对对抗样本的分类效果，从而提高对对抗网络攻击的防御效果，提高模型的鲁棒性。

一种基于对抗训练的网络攻击防御方法，包括：

(1)构建节点分类模型，将原始网络结构所对应的邻接矩阵与标记类标的训练节点输入节点分类模型进行初始训练，得到初始分类模型；

(2)依据对抗网络攻击算法和得到的初始分类模型依次修改每个训练节点的至少一个节点对，并迭代更新原始网络结构的邻接矩阵，构建所需的对抗网络；

(3)利用得到的对抗网络与被标记类标的训练节点，重新训练初始分类模型，最终得到具有防御能力的节点分类模型。

本发明利用训练集中所有节点的攻击节点对迭代更新生成最终的对抗网络，并重新训练节点分类模型，使得节点分类模型拟合得到能更好的分类所有节点的分类边界，从而提高了模型的鲁棒性。

步骤(1)中，构建的节点分类模型是一个具有两层隐藏层的图卷积模型，该模型的前馈模型表达式为：

其中，为的度矩阵且X表示所有节点的特征向量矩阵，W₀和W₁分别为两层网络的权重矩阵，f和σ分别为softmax激活函数和Relu激活函数。

作为优选，该图卷积模型的目标损失函数为平滑交叉熵损失函数，具体定义为：

其中，T_s＝[v₁,…,v_m]表示训练节点集合，F＝[τ₁,…,τ_|F|]节点类标集合，|F|表示网络中节点类标个数，Y表示真实类标矩阵，其中当节点v_l属于τ_l类时Y_lk＝1，否则

该平滑损失函数可以使得训练得到的图卷积模型的输出置信度中，网络节点的真实类标呈现高置信度，而网络节点的所有非真实类标呈现平滑置信度分布，从而起到平滑图卷积模型的作用。

步骤(2)中，所述对抗网络攻击算法为基于梯度信息对抗网络攻击算法，所述节点对的选取过程为：利用节点分类模型计算目标节点所对应的所有节点对的梯度信息，根据对目标节点分类影响的大小选取节点对。

优选地，步骤(2)中，所述对抗网络攻击算法每次选择目标节点对的一个节点对进行修改，依据节点对的梯度信息选取对于目标节点分类影响最大的一个节点。

这是为了防止生成的对抗网络中的训练节点的表征发生过大的变化，因此在修改目标训练节点的时候，针对每个训练节点仅考虑修改单条链路，防止重训练得分的节点分类模型呈现过拟合的情况。

修改节点对的具体过程为：

对于目标节点对E_ij＝(v_i,v_j)，利用对抗网络攻击算法进行修改并更新邻接矩阵，公式如下：

其中，和分别为和矩阵中一个元素，为第t次的更新的对抗网络的邻接矩阵；为t-1次的更新的对抗网络的邻接矩阵；θ_ij为修改策略，θ_ij∈{-1,0,1}。

对于矩阵中的每个元素，只存在0或1两种情况，0代表两个节点之间不存在节点对，1代表两个节点之间存在节点对。在更新邻接矩阵时，存在增加、删除和不修改三种情况，就是每个元素上面，可以是1+(-1)，或者是0+(1)，不考虑修改的链路都是+0。

本发明的有益效果主要表现在：一方面，提出了一种平滑交叉熵损失函数，可以使得训练得到的图卷积模型的输出置信度中，网络节点的真实类标呈现高置信度，而网络节点的其他非真实类标呈现平滑置信度分布，从而起到平滑图卷积模型的作用，即提高了图卷积模型的鲁棒性；另一方面，提出了一种对抗训练的模型防御算法，通过对抗训练使得平滑图卷积模型拟合得到能更好的分类所有网络节点的分类边界，从而提高了模型的鲁棒性。

附图说明

图1为本发明一种基于对抗训练的网络攻击防御方法的流程示意图；

图2为本发明实施例基于梯度的对抗网络攻击算法的***框图；

图3为本发明实施例中对抗网络攻击算法攻击产生的效果展示图；

图4为本发明实施例对于Dolphins数据集的原始网络结构及其网络表征采用本发明方法与其它方法的防御结果对比图。

具体实施方式

下面结合附图和实施例对本发明做进一步详细描述，需要指出的是，以下所述实施例旨在便于对本发明的理解，而对其不起任何限定作用。

如图1所示，一种基于对抗训练的网络攻击防御方法，包括以下步骤：

(1)初始化模型训练，过程如下：

(1-1)选取目标防御模型，本发明提出一种平滑图卷积模型，该模型是一个具有两层隐藏层的图卷积模型，该模型的前馈模型表达式如下所示：

其中，为的度矩阵且X表示所有节点的特征向量矩阵，W₀和W₁分别为两层网络的权重矩阵，f和σ分别为softmax激活函数和Relu激活函数。

所提出的平滑图卷积模型的目标损失函数为平滑交叉熵损失函数，具体定义为：

其中，T_s＝[v₁,…,v_m]表示训练节点集合，F＝[τ₁,…,τ_|F|]节点类标集合，|F|表示网络中节点类标个数，Y表示真实类标矩阵，其中当节点v_l属于τ_l类时Y_lk＝1，否则

该平滑损失函数可以使得训练得到的图卷积模型的输出置信度中，网络节点的真实类标呈现高置信度，而网络节点的所有非真实类标呈现平滑置信度分布，从而起到平滑图卷积模型的作用。

(1-2)将原始网络结构G所对应的邻接矩阵A与部分被标记类标的训练节点集合T_s输入到平滑图卷积模型中，进行初始训练，得到初始分类平滑图卷积模型。

(2)生成对抗网络，过程如下：

(2-1)利用对抗网络攻击算法依次针对训练节点集合T_s＝[v₁,…,v_m]中的训练节点进行攻击，迭代更新对抗网络G_adv，其中对抗网络所对应的邻接矩阵的第t次的更新的对抗网络的邻接矩阵过程如下所示：

(2-1-1)对于目标节点v_t∈T_s，我们依据对抗网络攻击算法选取一个目标节点对E_ij＝(v_i,v_j)以及所对应的修改策略θ_ij∈{-1,0,1}；

(2-1-2)依据所选的目标节点对E_ij＝(v_i,v_j)，更新对抗网络，更新公式如下：

其中，和分别为和矩阵中一个元素。

(2-2)依据攻击得到的最终得到的对抗网络的邻接矩阵构建输出对抗网络G_adv；

(3)对抗训练平滑卷积模型，过程如下：

(3-1)重新构建一个与初始平滑图卷积模型相同的具有两层隐藏层的平滑图卷积分类模型；

(3-2)依据步骤(2-2)计算得到的对抗网络G_adv和部分被标记类标的训练节点集合T_s作为输入，重新训练重构的平滑图卷积模型，返回最终得到的分类结果。

以下利用本发明的防御方法对Dolphins数据集进行具体的试验。

如图2所示，为本实施例采用的基于梯度的对抗网络攻击算法的***框图。首先训练得到的GCN节点分类模型；其次，依据训练得到的节点分类模型，提取针对目标节点的梯度信息；再依据梯度信息选取最大梯度节点对进行攻击，生成目标节点的对抗网络。

如图3所示，为对抗网络攻击算法攻击产生的效果展示图，攻击效果的直观展示是通过网络表征算法和t-SNE降维算法将网络所有节点的网络表征进行表示，并标注出目标节点在网络向量空间中相对位置的变化。

分别在无防御情况下、AT防御情况下以及基于对抗训练的网络攻击防御情况下应对对抗攻击，结果如图4所示。从图中可以看出，在无防御情况下，目标节点的特征向量发生非常大的变化；在AT防御情况下，目标节点的特征向量仍然发生非常大的变化；在基于对抗训练的网络攻击防御情况下，目标节点的特征向量的变化较小。因此，本发明基于对抗训练的网络攻击防御方法具有非常好的防御效果。

以上所述的实施例对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的具体实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换，均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于对抗训练的网络攻击防御方法，其特征在于，包括：

(1)构建节点分类模型，将原始网络结构所对应的邻接矩阵与标记类标的训练节点输入节点分类模型进行初始训练，得到初始分类模型；

(2)依据对抗网络攻击算法和得到的初始分类模型依次修改每个训练节点的至少一个节点对，并迭代更新原始网络结构的邻接矩阵，构建所需的对抗网络；

(3)利用得到的对抗网络与被标记类标的训练节点，重新训练初始分类模型，最终得到具有防御能力的节点分类模型。

2.根据权利要求1所述的基于对抗训练的网络攻击防御方法，其特征在于，步骤(1)中，构建的节点分类模型是一个具有两层隐藏层的图卷积模型，该模型的前馈模型表达式为：

其中， 为的度矩且X表示所有节点的特征向量矩阵，W₀和W₁分别为两层网络的权重矩阵，f和σ分别为softmax激活函数和Relu激活函数。

3.根据权利要求1或2所述的基于对抗训练的网络攻击防御方法，其特征在于，所述节点分类模型在训练时采用平滑交叉熵损失函数，公式为：

其中，T_s＝[v₁,…,v_m]表示训练节点集合，F＝[τ₁,…,τ_|F|]表示节点类标集合，|F|表示网络中节点类标个数，Y'表示输出置信度矩阵，Y表示平滑类标矩阵，其中当节点v_l属于τ_l类时Y_lk＝1，否则

4.根据权利要求1所述的基于对抗训练的网络攻击防御方法，其特征在于，步骤(2)中，所述对抗网络攻击算法为基于梯度信息的对抗网络攻击算法，所述节点对的选取过程为：利用节点分类模型计算目标节点所对应的所有节点对的梯度信息，根据对目标节点分类影响的大小选取节点对。

5.根据权利要求1或4所述的基于对抗训练的网络攻击防御方法，其特征在于，步骤(2)中，所述对抗网络攻击算法每次选择目标节点对的一个节点对进行修改，依据节点对的梯度信息选取对于目标节点分类影响最大的一个节点。

6.根据权利要求1所述的基于对抗训练的网络攻击防御方法，其特征在于，步骤(2)中，修改节点对的具体过程为：

对于目标节点对E_ij＝(v_i,v_j)，利用对抗网络攻击算法进行修改并更新邻接矩阵，公式如下：

其中，和分别为和矩阵中一个元素，为第t次的更新的对抗网络的邻接矩阵；为t-1次的更新的对抗网络的邻接矩阵；θ_ij为修改策略，θ_ij∈{-1,0,1}。