(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221090210 3.1 (22)申请日 2022.07.29 (71)申请人 之江实验室 地址 311121 浙江省杭州市余杭区中泰街 道科创大道之江实验室南湖总部 申请人 西安电子科技大 学 (72)发明人 高海昌　韦依儿　舒超　邹翔　 程乐超　 (74)专利代理 机构 西安弘理专利事务所 61214 专利代理师 王敏强 (51)Int.Cl. G06N 3/04(2006.01) G06N 3/08(2006.01) G06N 5/04(2006.01) G06K 9/62(2022.01)G06F 21/62(2013.01) (54)发明名称 基于图神经网络模型的成员推理攻击方法 (57)摘要 本发明公开的基于图神经网络模型的成员 推理攻击方法， 采用图神经网络模 型作为攻击模 型， 建立影子 数据集Dshadow； 生成攻击模型节点数 据集D*； 根据D*和其邻接关系A构建攻击模型图 数据集Dattack； 训练和部署成员推理攻击模型 Mattack； 考虑了目标模型置信分布的同时还结合 了图数据集的分布信息， 攻击成功率极高。 同时， 本发明的成员推理攻击方法使用场景可扩展至 图神经网络之外的其 他模型上， 具有显著优势。 权利要求书2页 说明书6页 附图2页 CN 115238869 A 2022.10.25 CN 115238869 A 1.基于图神经网络模型的成员推理攻击方法， 其特 征在于， 具体按照以下步骤实施： 步骤1、 建立影子数据集Dshadow； 步骤2、 生成攻击模型节点数据集D*； 步骤3、 根据D*和其邻接关系A构建攻击模型图数据集Dattack； 步骤4、 训练和部署成员推理攻击模型Mattack。 2.根据权利要求1所述的基于图神经网络模型的成员推理攻击方法， 其特征在于， 所述 步骤1具体按照以下步骤实施： 在给定目标模 型Mtarget、 目标训练数据集Dtarget和黑盒对抗知 识的情况下合成影子数据集Dshadow； 影子数据集Dshadow由n个训练数据(x ′1， y′1)， (x′2， y ′2)， ...， (x ′n， y′n)组成， 其中每个(x ′， y′)都包含与目标训练数据集Dtarget相当的m个特征， 并且每个(x ′， y′)都是预测类标签， 建立的影子数据集Dshadow与目标训练数据集Dtarget的特 征是一致的。 3.根据权利要求2所述的基于图神经网络模型的成员推理攻击方法， 其特征在于， 所述 步骤2包括如下 具体步骤： 2.1、 初始化q个影子模型 其中1 ≤i≤q， 1≤q≤n； 使用影子数据集Dshadow生成影子模型Mshadow； 2.2、 将影子数据集Dshadow划分为D′train和D′test， D′train然后被划 分为q个分区(1≤q≤ n)， 每个影子模型划分一个分区， 每一个分区都用于训练生成一个单一影子模型 2.3、 将D ′test依次输入到Mshadow进行评估， 相应的输出 “不处于训练集中 ”将标记为 “out”； 从用于到Mshadow的分区D ′train中采集大小为|D ′train|的样本， 并对单一影子模型 进行验证， 相应的输出 “处于训练集中 ”标记为“in”， |D′train|表示D′train中数据节 点的个数； 结合 “out”、“in”输出标签对， 得到攻击模型节点数据集D*。 4.根据权利要求3所述的基于图神经网络模型的成员推理攻击方法， 其特征在于， 步骤 2.1包括如下具体步骤： 定义影子模型Mshadow： (Rm， Zk)→(Rk， Z2)以特征向量已知的类对(x ′， y′)作为输入， 其中， m是m个x， Zk是k个类别， Rk是输出k个概率向量， Z2是输出两个类， 输出由 两条信息组成的攻击训练数据： 概率向量p＝(p1， p2， ...， pk)(k个类)和一个二元类标签， 指 示“in”或“out”， Mshadow即为Mtarget的影子模型， 因此 得到影子模型Mshadow。 5.根据权利要求4所述的基于图神经网络模型的成员推理攻击方法， 其特征在于， 步骤 2.3包括如下具体步骤： 攻击模型节点数据集D*包含了影子模型Mshadow： (Rm， Zk)→(Rk， Z2)的 输出， D*由n个数据节点(x* 1， y* 1)， (x* 2， y* 2)， ...， (x* n， y* n)组成， 且每个(x*， y*)数据节点都 是Mshadow对某个输入(x ′， y′)∈(Rm， Zk)的输出， 输出 “in”或“out”的二元分类。 6.根据权利要求5所述的基于图神经网络模型的成员推理攻击方法， 其特征在于， 所述 步骤3具体操作为： 3.1、 构建图训练集邻接关系Atrain和图测试集邻接关系Atest； 3.2、 将D*与Atrain组成构建攻击模型所需的图训练集 将D*与Atest组成构建攻击 模型所需的图测试集 3.3、 将 和 组成攻击模型图数据集Dattack。 7.根据权利要求6所述的基于图神经网络模型的成员推理攻击方法， 其特征在于， 步骤权　利　要　求　书 1/2 页 2 CN 115238869 A 23.1包括如下 具体步骤： 3.1.1、 将D*中标签为“in”的数据节点进行连接， 将D*中标签为“out”的数据节点进行连 接， 得到的所有连接关系构成图训练集邻接关系Atrain； 3.1.2、 将D*中的数据节点存储为向量， 记为Xtrain， 首先计算Xtrain的L∞范数作为阈值 threshold： 其中， 1≤j≤n； 依 次选取D*中的两个数据节点进行如下比较： 当两个节点的L∞范数同时大于或小于阈值时， 将这两个节点进行连接， 否则， 不连接； 遍历比较完D*中所有数据节点后得到的所有连接关 系构成图测试集邻接关系Atest。 8.根据权利要求7所述的基于图神经网络模型的成员推理攻击方法， 其特征在于， 所述 步骤4具体操作为： 利用攻击模型图数据集Dattack训练生成最终攻击模型Mattack： Rm→(in， out)， 该模型 是以x数据的概 率向量输出为输入， 输出 “in”或“out”的二元分类。权　利　要　求　书 2/2 页 3 CN 115238869 A 3