CN114897161A - 一种基于掩码的图分类后门攻击防御方法、***、电子设备及存储介质 - Google Patents

Abstract

本发明提出一种基于掩码的图分类后门攻击防御方法、***、电子设备及存储介质。其中，方法包括：利用随机掩码对图神经网络的邻接矩阵进行掩码操作，每次掩码操作都能掩去网络拓扑结构的部分信息，破坏网络中局部的触发器结构，而同时利用多次叠加的掩码邻接矩阵，经过池化操作后，做到最大限度的保留原网络的原始的拓扑结构，以此使得攻击者在训练数据中嵌入的触发器失效，而模型也能保有正常的表现性能。

Description

一种基于掩码的图分类后门攻击防御方法、***、电子设备及 存储介质

技术领域

本发明属于图像处理领域，尤其涉及一种基于掩码的图分类后门攻击防御方法、***、电子设备及存储介质。

背景技术

伴随数字经济和人工智能技术的快速发展，图网络成为了数据分析技术的重要分支。现实生活中大多数的***都可以用图数据来表示，其中图分类是一个基本的图分析工具。图分类是将图网络和其相应标签进行映射的问题，其有着很多实际应用，例如，分子属性判断、新药发现、欺诈检测等。具体来说，在药物分子化合物领域，研究者将分子结构建模为图网络，研究分子的化学性质建模为图分类任务。

图神经网络在高质量完成下游任务的同时，模型的鲁棒性也同样受到人们的关注。图神经网络模型能出色的完成相应的任务的很大部分是源自于大量的数据支撑。然后，现在已有一些针对模型训练阶段的后门攻击方法被提出。后门攻击是发生在训练阶段的攻击方法，攻击者通过设置好触发器的训练数据来对模型进行训练，该模型能在使用阶段以高度可预测的方式响应带有触发器嵌入的数据输入，导致模型产生预先设置好的结果，而对于输入模型的其他正常样本，模型则能正常运行。模型一旦在训练阶段被设置好了触发器，该模型就相当于给攻击者留出了后门，攻击者在模型的使用阶段，输入带有触发器嵌入的数据，将导致极其严重的后果。

发明内容

为解决上述技术问题，本发明提出一种一种基于掩码的图分类后门攻击防御方法、***、电子设备及存储介质的技术方案，以解决上述技术问题。

本发明第一方面公开了一种基于掩码的图分类后门攻击防御方法，所述方法包括：

步骤S1、获取图神经网络模型以及所述图神经网络模型的训练数据集，所述训练数据集由若干张图网络构成；所述训练数据集按照比例进行划分为模型训练集、验证集和测试集；

步骤S2、构建所述模型训练集中的图网络的掩码邻接矩阵；

步骤S3、池化所述掩码邻接矩阵，并应用池化后的掩码邻接矩阵处理所述图网络，得到处理后的图网络；

步骤S4、按照步骤S2～步骤S3的方法对所述模型训练集进行处理，得到处理后的模型训练集；

步骤S5、将所述处理后的模型训练集输入到所述图神经网络模型进行模型训练。

根据本发明第一方面的方法，在所述步骤S2中，所述构建所述模型训练集中的图网络的掩码邻接矩阵的方法包括：

随机生成T个掩码矩阵,即{Mask₁,Mask₂,...,Mask_T},其中，

Mask_i∈R^N×N，i∈{1,2,...,T}，其中N为图网络的节点数；

将所述T个掩码矩阵嵌入到图网络中，得到掩码邻接矩阵。

根据本发明第一方面的方法，在所述步骤S2中，所述掩码矩阵中的数值为随机置0或者置1。

根据本发明第一方面的方法，在所述步骤S2中，所述将所述T个掩码矩阵嵌入到图网络中，得到掩码邻接矩阵的方法包括：邻接矩阵A与掩码矩阵Mask_i做点乘，得到的掩码邻接矩阵，具体公式为：

{A_mask1,A_mask2,...,A_maskT}＝Mix(A,{Mask₁,Mask₂,...,Mask_T})

其中，A_maski∈R^N×N,i∈{1,2,...,T}为掩码邻接矩阵，Mix(·)表示为邻接矩阵与所有掩码矩阵点乘的操作，N为网络的节点数。

根据本发明第一方面的方法，在所述步骤S3中，所述池化所述掩码邻接矩阵的方法包括：

将T个掩码邻接矩阵{A_mask1,A_mask2,...,A_maskT}∈R^T×N×N中每个位置的最大取值替换到A_mask的相应位置，池化得到A_mask∈R^N×N，其中T为掩码邻接矩阵的个数，N为网络的节点数。

根据本发明第一方面的方法，在所述步骤S3中，所述池化所述掩码邻接矩阵的方法还包括：

将T个掩码邻接矩阵{A_mask1,A_mask2,...,A_maskT}∈R^T×N×N中每个位置的值叠加再取平均值替换到A_mask的相应位置，池化得到A_mask∈R^N×N，其中T为掩码邻接矩阵的个数，N为网络的节点数。

根据本发明第一方面的方法，在所述步骤S3中，所述应用池化后的掩码邻接矩阵处理所述图网络，得到处理后的图网络的方法包括：

将所述池化后的掩码邻接矩阵A_mask替换掉图网络中的邻接矩阵A，得到处理过后的图网络。

本发明第二方面公开了一种基于掩码的图分类后门攻击防御***，所述***包括：

第一处理模块，被配置为，获取图神经网络模型以及所述图神经网络模型的训练数据集，所述训练数据集由若干张图网络构成；所述训练数据集按照比例进行划分为模型训练集、验证集和测试集；

第二处理模块，被配置为，构建所述模型训练集中的图网络的掩码邻接矩阵；

第三处理模块，被配置为，池化所述掩码邻接矩阵，并应用池化后的掩码邻接矩阵处理所述图网络，得到处理后的图网络；

第四处理模块，被配置为，按照第二处理模块和第三处理模块对所述模型训练集进行处理，得到处理后的模型训练集；

第五处理模块，被配置为，将所述处理后的模型训练集输入到所述图神经网络模型进行模型训练。

根据本发明第二方面的***，第二处理模块，被配置为，所述构建所述模型训练集中的图网络的掩码邻接矩阵包括：

随机生成T个掩码矩阵,即{Mask₁,Mask₂,...,Mask_T},其中，

Mask_i∈R^N×N，i∈{1,2,...,T}，其中N为图网络的节点数；

将所述T个掩码矩阵嵌入到图网络中，得到掩码邻接矩阵。

根据本发明第二方面的***，第二处理模块，被配置为，所述掩码矩阵中的数值为随机置0或者置1。

根据本发明第二方面的***，第二处理模块，被配置为，所述将所述T个掩码矩阵嵌入到图网络中，得到掩码邻接矩阵的方法包括：邻接矩阵A与掩码矩阵Mask_i做点乘，得到的掩码邻接矩阵，具体公式为：

{A_mask1,A_mask2,...,A_maskT}＝Mix(A,{Mask₁,Mask₂,...,Mask_T})

其中，A_maski∈R^N×N,i∈{1,2,...,T}为掩码邻接矩阵，Mix(·)表示为邻接矩阵与所有掩码矩阵点乘的操作，N为网络的节点数。

根据本发明第二方面的***，第三处理模块，被配置为，所述池化所述掩码邻接矩阵包括：

将T个掩码邻接矩阵{A_mask1,A_mask2,...,A_maskT}∈R^T×N×N中每个位置的最大取值替换到A_mask的相应位置，池化得到A_mask∈R^N×N，其中T为掩码邻接矩阵的个数，N为网络的节点数。

根据本发明第二方面的***，第三处理模块，被配置为，所述池化所述掩码邻接矩阵还包括：

将T个掩码邻接矩阵{A_mask1,A_mask2,...,A_maskT}∈R^T×N×N中每个位置的值叠加再取平均值替换到A_mask的相应位置，池化得到A_mask∈R^N×N，其中T为掩码邻接矩阵的个数，N为网络的节点数。

根据本发明第二方面的***，第三处理模块，被配置为，所述应用池化后的掩码邻接矩阵处理所述图网络，得到处理后的图网络包括：

将所述池化后的掩码邻接矩阵A_mask替换掉图网络中的邻接矩阵A，得到处理过后的图网络。

本发明第三方面公开了一种电子设备。电子设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时，实现本公开第一方面中任一项的一种基于掩码的图分类后门攻击防御方法中的步骤。

本发明第四方面公开了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现本公开第一方面中任一项的一种基于掩码的图分类后门攻击防御方法中的步骤。

本发明提出的方案，能直接破坏***在图数据中的触发器结构，导致它无法取得该有的效果，但又不影响正常样本，模型对于输入正常样本仍然可以表现出应有的性能。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明实施例的一种基于掩码的图分类后门攻击防御方法的流程图；

图2为根据本发明实施例的基于掩码的图神经网络后门攻击的防御方法框架图；

图3为根据本发明实施例的一种基于掩码的图分类后门攻击防御***的结构图；

图4为根据本发明实施例的一种电子设备的结构图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明第一方面公开了一种基于掩码的图分类后门攻击防御方法。图1为根据本发明实施例的一种基于掩码的图分类后门攻击防御方法的流程图，如图1和图2所示，所述方法包括：

步骤S1、获取图神经网络模型以及所述图神经网络模型的训练数据集，所述训练数据集由若干张图网络构成；所述训练数据集按照比例进行划分为模型训练集、验证集和测试集；

步骤S2、构建所述模型训练集中的图网络的掩码邻接矩阵；

步骤S3、池化所述掩码邻接矩阵，并应用池化后的掩码邻接矩阵处理所述图网络，得到处理后的图网络；

步骤S4、按照步骤S2～步骤S3的方法对所述模型训练集进行处理，得到处理后的模型训练集；

步骤S5、将所述处理后的模型训练集输入到所述图神经网络模型进行模型训练。

在步骤S1，获取图神经网络模型以及所述图神经网络模型的训练数据集，所述训练数据集由若干张图网络构成；所述训练数据集按照比例进行划分为模型训练集、验证集和测试集。

具体地，步骤S11、所述的图神经网络模型M_oracle，图神经网络模型执行的下游任务为图分类任务，图网络通常由G＝{V,E}来表示，其中V＝{v₁,...,v_N}表示N个节点的集合，e_i,j＝<v_i,v_j>∈E表示节点v_i和节点v_j间存在连边，一般情况下，节点集合V和连边结合E所包含的信息由A∈R^N×N来表示，当节点v_i和节点v_j存在直接连边时，A_i,j≠0,否则A_i,j＝0。X表示为图网络的特征矩阵。其中图分类任务中，由M个图组成的图集合记做G＝{G₁,...,G_M}，Y_n为图Y_n对应的类标。M_oracle是一个未训练的图分类器模型f:G→{0,1,...,y_i}，G为相应的输入样本，{0,1,...,y_i}为所对应的分类器预测标签。

步骤S12、获取模型M_oracle训练的数据集Data_oracle，用于训练模型的数据集分别是来自生物化学领域的MUTAG数据集，NCI1数据集以及蛋白质领域的PROTEINS数据集，他们分别有188个样本，4110个样本和1113个样本，都可从网络上进行下载。这些数据集为针对图分类任务，每一数据集都有若干张图G_i，并每一张图都有相对应的其被分类的标签y_i，图数据是由节点和连边组成，其中图数据用G表示，图数据的结构信息用邻接矩阵A_ij表示，若节点i,j之间存在连边，则在其相对应邻接矩阵位置e_ij的数值为1，不存在连边e_ij其对应数值为0，每个节点有着来自同一分布的特征矩阵X～U(0,1)。对于不同数据集，其节点和连边都有着其对应含义，例如MUTAG数据集，每一个图网络样本代表一个硝基化合物分子，其中原子作为节点，各个原子之间的化学键作为图网络中的链路，而每一样本都存在其相对应的标签，该数据的标签诱变芳香族和杂芳香族，标签由0，1来表示；

步骤S13、获取的数据集Data_oracle，并按照比例进行划分，其中模型训练集Data_train，验证集Data_val和测试集Data_test分别为70％、10％、20％。

在步骤S2，构建所述模型训练集中的图网络的掩码邻接矩阵。

在一些实施例中，在所述步骤S2中，所述构建所述模型训练集中的图网络的掩码邻接矩阵的方法包括：

随机生成T个掩码矩阵,即{Mask₁,Mask₂,...,Mask_T},其中，

Mask_i∈R^N×N，i∈{1,2,...,T}，其中N为图网络的节点数，所述掩码矩阵中的数值为随机置0或者置1；

将所述T个掩码矩阵嵌入到图网络中，得到掩码邻接矩阵。

所述将所述T个掩码矩阵嵌入到图网络中，得到掩码邻接矩阵的方法包括：邻接矩阵A与掩码矩阵Mask_i做点乘，得到的掩码邻接矩阵，具体公式为：

{A_mask1,A_mask2,...,A_maskT}＝Mix(A,{Mask₁,Mask₂,...,Mask_T})

其中，A_maski∈R^N×N,i∈{1,2,...,T}为掩码邻接矩阵，Mix(·)表示为邻接矩阵与所有掩码矩阵点乘的操作，N为网络的节点数。

具体地，步骤S21、对任意的图网络G＝{A,X}属于Data_train，随机生成T个掩码矩阵，即{Mask₁,Mask₂,...,Mask_T}，Mask_i∈R^N×N，i∈{1,2,...,T},其中N为网络的节点数，Mask_i中的数值为随机置0或者置1。

步骤S22、得到T个掩码矩阵{Mask₁,Mask₂,...,Mask_T},将其嵌入到图网络G＝{A,X}中，得到掩码邻接矩阵{A_mask1,A_mask2,...,A_maskT},过程如下，

{A_mask1,A_mask2,...,A_maskT}＝Mix(A,{Mask₁,Mask₂,...,Mask_T})

其中，A_maski∈R^N×N,i∈{1,2,...,T}为掩码邻接矩阵，Mix(·)表示为邻接矩阵与所有掩码矩阵点乘的操作，N为网络的节点数。

在步骤S3，池化所述掩码邻接矩阵，并应用池化后的掩码邻接矩阵处理所述图网络，得到处理后的图网络。

在一些实施例中，在所述步骤S3中，所述池化所述掩码邻接矩阵的方法包括：

将T个掩码邻接矩阵{A_mask1,A_mask2,...,A_maskT}∈R^T×N×N中每个位置的最大取值替换到A_mask的相应位置，池化得到A_mask∈R^N×N，其中T为掩码邻接矩阵的个数，N为网络的节点数。

所述池化所述掩码邻接矩阵的方法还包括：

将T个掩码邻接矩阵{A_mask1,A_mask2,...,A_maskT}∈R^T×N×N中每个位置的值叠加再取平均值替换到A_mask的相应位置，池化得到A_mask∈R^N×N，其中T为掩码邻接矩阵的个数，N为网络的节点数。

所述应用池化后的掩码邻接矩阵处理所述图网络，得到处理后的图网络的方法包括：

将所述池化后的掩码邻接矩阵A_mask替换掉图网络中的邻接矩阵A，得到处理过后的图网络。

具体地，步骤S31、从步骤S22中得到T个掩码邻接矩阵

{A_mask1,A_mask2,...,A_maskT},再将掩码邻接矩阵送入池化层，这里可以选择两种池化方式，即最大池化和平均池化，得到池化后的邻接矩阵A_mask。

步骤S32、从步骤S31得到最大池化方式操作流程如下，将T个掩码邻接矩阵{A_mask1,A_mask2,...,A_maskT}∈R^T×N×N中每个位置的最大取值替换到A_mask的相应位置，池化得到A_mask∈R^N×N，其中T为掩码邻接矩阵的个数，N为网络的节点数，公式化表达如下，

A_mask＝Pool_max({A_mask1,A_mask2,...,A_maskT})

其中A_mask为池化后的邻接矩阵，{A_mask1,A_mask2,...,A_maskT}为T个掩码邻接矩阵，Pool_max表示为最大池化。

步骤S33、从步骤S31中得到平均池化操作流程如下，将T个掩码邻接矩阵{A_mask1,A_mask2,...,A_maskT}∈R^T×N×N中每个位置的值叠加再取平均值替换到A_mask的相应位置池化得到A_mask∈R^N×N，其中T为掩码邻接矩阵的个数，N为网络的节点数，公式化表达如下，

A_mask＝Pool_ave({A_mask1,A_mask2,...,A_maskT})

其中A_mask为池化后的邻接矩阵，{A_mask1,A_mask2,...,A_maskT}为T个掩码邻接矩阵，Pool_ave表示为平均池化。

S34.从步骤S32或S33中得到的池化后的邻接矩阵A_mask，将其替换掉图网络G＝{A,X}中的邻接矩阵A，得到处理过后的图网络G＝{A_mask,X}。

在步骤S4，按照步骤S2～步骤S3的方法对所述模型训练集进行处理，得到处理后的模型训练集。

具体地，将Data_train中的所有图网络，按照S21～S34的处理方法进行操作，由处理过后的图网络G＝{A_mask,X}，组成处理后的模型训练集Data_{mask_train}。

在步骤S5，将所述处理后的模型训练集输入到所述图神经网络模型进行模型训练。

具体地，步骤S51、从步骤S4中得到的处理后的模型训练集Data_{mask_train}，将其正常输入到图分类模型M_oracle中，进行模型训练。

步骤S52、从S51获取到的处理后的模型训练集Data_{mask_train}和图分类模型M_oracle，将处理后的模型训练集Data_{mask_train}输入到图分类模型M_oracle中去，训练时采用小批量梯度下降(Mini-Batch Gradient Descent，MBGD)的训练方法，每次从训练集中随机选择一批数据用于模型的训练，既可避免随机梯度下降(Stochastic Gradient Descent，SGD)产生的训练震荡，也可避免批量梯度下降(Batch Gradient Descent，BGD)对资源的过度消耗，批的大小选择128。训练目标是通过梯度的前向和反向传播调整网络的结构参数，不断降低模型的损失函数值。

为避免实验偶然性的干扰，实验采用十折交叉验证，即将数据集分成10份，每次选取其中的9份用于训练，一份用于测试。训练完成后，针对后门攻击的防御处理后的图分类模型训练完毕。

综上，本发明提出的方案能够能直接破坏***在图数据中的触发器结构，导致它无法取得该有的效果，但又不影响正常样本，模型对于输入正常样本仍然可以表现出应有的性能。

本发明第二方面公开了一种基于掩码的图分类后门攻击防御***。图3为根据本发明实施例的一种基于掩码的图分类后门攻击防御***的结构图；如图3所示，所述***100包括：

第一处理模块101，被配置为，获取图神经网络模型以及所述图神经网络模型的训练数据集，所述训练数据集由若干张图网络构成；所述训练数据集按照比例进行划分为模型训练集、验证集和测试集；

第二处理模块102，被配置为，构建所述模型训练集中的图网络的掩码邻接矩阵；

第三处理模块103，被配置为，池化所述掩码邻接矩阵，并应用池化后的掩码邻接矩阵处理所述图网络，得到处理后的图网络；

第四处理模块104，被配置为，按照第二处理模块和第三处理模块对所述模型训练集进行处理，得到处理后的模型训练集；

第五处理模块105，被配置为，将所述处理后的模型训练集输入到所述图神经网络模型进行模型训练。

根据本发明第二方面的***，第二处理模块102，被配置为，所述构建所述模型训练集中的图网络的掩码邻接矩阵包括：

随机生成T个掩码矩阵,即{Mask₁,Mask₂,...,Mask_T},其中，

Mask_i∈R^N×N，i∈{1,2,...,T}，其中N为图网络的节点数；

将所述T个掩码矩阵嵌入到图网络中，得到掩码邻接矩阵。

根据本发明第二方面的***，第二处理模块102，被配置为，所述掩码矩阵中的数值为随机置0或者置1。

根据本发明第二方面的***，第二处理模块102，被配置为，所述将所述T个掩码矩阵嵌入到图网络中，得到掩码邻接矩阵的方法包括：邻接矩阵A与掩码矩阵Mask_i做点乘，得到的掩码邻接矩阵，具体公式为：

{A_mask1,A_mask2,...,A_maskT}＝Mix(A,{Mask₁,Mask₂,...,Mask_T})

其中，A_maski∈R^N×N,i∈{1,2,...,T}为掩码邻接矩阵，Mix(·)表示为邻接矩阵与所有掩码矩阵点乘的操作，N为网络的节点数。

根据本发明第二方面的***，第三处理模块103，被配置为，所述池化所述掩码邻接矩阵包括：

将T个掩码邻接矩阵{A_mask1,A_mask2,...,A_maskT}∈R^T×N×N中每个位置的最大取值替换到A_mask的相应位置，池化得到A_mask∈R^N×N，其中T为掩码邻接矩阵的个数，N为网络的节点数。

根据本发明第二方面的***，第三处理模块103，被配置为，所述池化所述掩码邻接矩阵还包括：

将T个掩码邻接矩阵{A_mask1,A_mask2,...,A_maskT}∈R^T×N×N中每个位置的值叠加再取平均值替换到A_mask的相应位置，池化得到A_mask∈R^N×N，其中T为掩码邻接矩阵的个数，N为网络的节点数。

根据本发明第二方面的***，第三处理模块103，被配置为，所述应用池化后的掩码邻接矩阵处理所述图网络，得到处理后的图网络包括：

将所述池化后的掩码邻接矩阵A_mask替换掉图网络中的邻接矩阵A，得到处理过后的图网络。

本发明第三方面公开了一种电子设备。电子设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时，实现本发明公开第一方面中任一项的一种基于掩码的图分类后门攻击防御方法中的步骤。

图4为根据本发明实施例的一种电子设备的结构图，如图4所示，电子设备包括通过***总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***和计算机程序。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该电子设备的输入装置可以是显示屏上覆盖的触摸层，也可以是电子设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图4中示出的结构，仅仅是与本公开的技术方案相关的部分的结构图，并不构成对本申请方案所应用于其上的电子设备的限定，具体的电子设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

本发明第四方面公开了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现本发明公开第一方面中任一项的一种基于掩码的图分类后门攻击防御方法中的步骤中的步骤。

请注意，以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种基于掩码的图分类后门攻击防御方法，其特征在于，所述方法包括：

步骤S1、获取图神经网络模型以及所述图神经网络模型的训练数据集，所述训练数据集由若干张图网络构成；所述训练数据集按照比例进行划分为模型训练集、验证集和测试集；

步骤S2、构建所述模型训练集中的图网络的掩码邻接矩阵；

步骤S3、池化所述掩码邻接矩阵，并应用池化后的掩码邻接矩阵处理所述图网络，得到处理后的图网络；

步骤S4、按照步骤S2～步骤S3的方法对所述模型训练集进行处理，得到处理后的模型训练集；

步骤S5、将所述处理后的模型训练集输入到所述图神经网络模型进行模型训练。

2.根据权利要求1所述的一种基于掩码的图分类后门攻击防御方法，其特征在于，在所述步骤S2中，所述构建所述模型训练集中的图网络的掩码邻接矩阵的方法包括：

随机生成T个掩码矩阵,即{Mask₁,Mask₂,...,Mask_T},其中，

Mask_i∈R^N×N，i∈{1,2,...,T}，其中N为图网络的节点数；

将所述T个掩码矩阵嵌入到图网络中，得到掩码邻接矩阵。

3.根据权利要求2所述的一种基于掩码的图分类后门攻击防御方法，其特征在于，在所述步骤S2中，所述掩码矩阵中的数值为随机置0或者置1。

4.根据权利要求2所述的一种基于掩码的图分类后门攻击防御方法，其特征在于，在所述步骤S2中，所述将所述T个掩码矩阵嵌入到图网络中，得到掩码邻接矩阵的方法包括：邻接矩阵A与掩码矩阵Mask_i做点乘，得到的掩码邻接矩阵，具体公式为：

{A_mask1,A_mask2,...,A_maskT}＝Mix(A,{Mask₁,Mask₂,...,Mask_T})

其中，A_maski∈R^N×N,i∈{1,2,...,T}为掩码邻接矩阵，Mix(·)表示为邻接矩阵与所有掩码矩阵点乘的操作，N为网络的节点数。

5.根据权利要求1所述的一种基于掩码的图分类后门攻击防御方法，其特征在于，在所述步骤S3中，所述池化所述掩码邻接矩阵的方法包括：

将T个掩码邻接矩阵{A_mask1,A_mask2,...,A_maskT}∈R^T×N×N中每个位置的最大取值替换到A_mask的相应位置，池化得到A_mask∈R^N×N，其中T为掩码邻接矩阵的个数，N为网络的节点数。

6.根据权利要求1所述的一种基于掩码的图分类后门攻击防御方法，其特征在于，在所述步骤S3中，所述池化所述掩码邻接矩阵的方法还包括：

将T个掩码邻接矩阵{A_mask1,A_mask2,...,A_maskT}∈R^T×N×N中每个位置的值叠加再取平均值替换到A_mask的相应位置，池化得到A_mask∈R^N×N，其中T为掩码邻接矩阵的个数，N为网络的节点数。

7.根据权利要求6所述的一种基于掩码的图分类后门攻击防御方法，其特征在于，在所述步骤S3中，所述应用池化后的掩码邻接矩阵处理所述图网络，得到处理后的图网络的方法包括：

将所述池化后的掩码邻接矩阵A_mask替换掉图网络中的邻接矩阵A，得到处理过后的图网络。

8.一种用于基于掩码的图分类后门攻击防御***，其特征在于，所述***包括：

第一处理模块，被配置为，获取图神经网络模型以及所述图神经网络模型的训练数据集，所述训练数据集由若干张图网络构成；所述训练数据集按照比例进行划分为模型训练集、验证集和测试集；

第二处理模块，被配置为，构建所述模型训练集中的图网络的掩码邻接矩阵；

第三处理模块，被配置为，池化所述掩码邻接矩阵，并应用池化后的掩码邻接矩阵处理所述图网络，得到处理后的图网络；

第四处理模块，被配置为，按照第二处理模块和第三处理模块对所述模型训练集进行处理，得到处理后的模型训练集；

第五处理模块，被配置为，将所述处理后的模型训练集输入到所述图神经网络模型进行模型训练。

9.一种电子设备，其特征在于，所述电子设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时，实现权利要求1至7中任一项所述的一种基于掩码的图分类后门攻击防御方法中的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现权利要求1至7中任一项所述的一种基于掩码的图分类后门攻击防御方法中的步骤。

Images