图神经网络架构搜索隐私攻击技术研究

作     者：姚家欣 

作者单位：广州大学 

学位级别：硕士

导师姓名：李进

授予年度：2024年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 081104[工学-模式识别与智能系统] 0839[工学-网络空间安全] 08[工学] 0835[工学-软件工程] 081201[工学-计算机系统结构] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：图神经网络架构搜索 机器学习隐私安全 数据重建攻击 成员推理攻击 

摘      要：图神经网络是图机器学习领域实用且强大的工具,但由于图数据结构本身的复杂性和图机器学习广泛的应用,由此带来的隐私泄露风险也引起了学术界和工业界的深入讨论和研究。现有的相关工作已经证明,图机器学习中存在隐私泄露风险。如成员推理攻击、数据重构攻击等。隐私攻击的存在也使得人们担忧自己的隐私数据会有泄漏和被利用的风险。因此,对图神经网络隐私攻击的研究有重要的意义与价值。 目前,图神经网络隐私安全问题主要聚焦在模型权重方面的研究,然而,我们发现模型架构层面也存在隐私泄露的风险,因此本文将深入研究图神经网络架构搜索架构隐私问题。并提出两种攻击方法,具体如下: (1)提出一种新颖的架构数据重建攻击方案。通过理解研究现有的图神经网络架构搜索算法,攻击者利用基于联邦学习梯度交换场景中的架构梯度信息重建原始训练数据。具体是,首先设计了一种最小化随机生成的虚拟架构梯度和真实架构梯度信息相似度的方法,通过不断迭代优化梯度距离还原真实数据信息。最后通过实验结果评估分析,在数据集Cora、Pubmed、Cite Seer都取得了较高的攻击性能,准确率分别为0.6,0.61和0.72。由此可知架构梯度中保留了原始的训练信息。 (2)提出了一种有效的架构成员推理攻击方案。通过深入探究现有的图神经网络架构搜索训练方法,攻击者利用在线学习场景下的模型输出的置信度得分推断训练架构成员。具体是,采用差分距离算法对成员数据和非成员数据进行第一次划分,然后对第一次划分的结果再次进行差分距离算法,以区分架构训练数据和权重训练数据。最后通过实验结果评估分析,在数据集Cora、Pubmed、Raddit进行成员推理,取得较高的攻击性能,准确率分别为0.62,0.71和0.65也证明了隐私泄露也存在于置信度得分中。