图神经网络(Graph Neural Network, GNN)模型在图表示学习方面取得了很大的成功。GNN模型面临着来自用户端的大规模私有数据采集的挑战,由于缺乏丰富的特征和完整的相邻关系,可能无法体现其优异的性能。针对这一问题,提出了垂直联邦学习(Vertical Federated Learning, VFL),通过协同训练全局模型来实现局部数据保护。因此,对于图结构数据,利用GNN模型构建VFL框架是很自然的想法。 然而,GNN模型被证明容易受到对抗性攻击的影响。该漏洞是否会被带入VFL尚未得到研究。本文主要研究基于GNN的VFL (Graph Neural Network-Based Vertical Federated Learning, GVFL)的安全性问题,即对对抗攻击的鲁棒性。进一步,本工作提出了一种对抗性攻击方法,称为Graph-Fraudster。该算法利用GVFL的隐私泄漏对全局节点嵌入增加的噪声和成对节点的梯度产生对抗性扰动。首先,窃取全局节点嵌入,建立攻击生成器的影子服务器模型;其次,在节点嵌入中添加噪声来混淆影子服务器模型。最后,利用成对节点的梯度在加噪声节点嵌入的引导下生成攻击。 在5个基准数据集上的大量实验表明,Graph-Fraudster在GVFL中的表现优于3种对比集中式对抗攻击方法。此外,即使应用了2种可能的防御机制,Graph-Fraudster仍然可以对GVFL构成威胁。本文揭示了GVFL与集中式GNN模型相似,容易受到对抗性攻击。
2
方法框架设计 如图1所示,Graph-Fraudster主要由隐私嵌入推理、噪声添加以及对抗连边生成3个步骤组成。首先,利用对服务器的查询结果和生成式回归网络生成全局节点嵌入,达到窃取其他参与者上传的节点嵌入的目的;其次,构建影子服务器模型,并利用窃取的全局节点嵌入训练影子模型,将噪声添加到节点嵌入中,以达到成功攻击服务器模型的效果;最后,在恶意参与方添加噪声的节点嵌入的指导下,利用成对节点的梯度生成对抗样本,最终达到对图垂直联邦模型的服务器模型进行成功攻击的目的。
图1 GRN框架图(1)隐私嵌入推理 如图2所示,本算法使用生成式回归网络(Generative Regression Network, GRN)进行全局节点嵌入的推理。首先随机生成一个大小的随机噪声向量,为参与方数量,为本地节点嵌入的维度。将生成的随机噪声与本地节点嵌入向量拼接并输入一个层的多层感知机中,输出为大小的目标节点嵌入向量。然后将目标节点嵌入向量与本地节点嵌入向量拼接后输入训练好的服务器模型中进行查询,利用服务器查询结果设计损失函数,并训练GRN。
图2 GRN框架图(2)噪声注入 为了降低服务器的性能,产生跨越模型决策边界的对抗性嵌入是非常重要的。一种有效的方法是利用服务器模型的梯度信息生成对抗样本。然而在垂直联邦学习模型中,服务器模型内部参数往往是不可探知的,因此,在本地建立一个影子服务器模型是必要的。 通过服务器模型返回的置信度、模型的结构信息以及窃取到的全局节点嵌入向量,可以建立一个与服务器模型等价的影子服务器模型。均方误差(MSE)用于衡量影子模型与目标服务器模型之间的差异。 进一步地,利用影子服务器模型的梯度信息,使用FGSM作为噪声生成方法,为目标节点的节点嵌入向量添加对抗噪声,得到对抗节点嵌入向量。(3)生成对抗样本 根据(2)已获得目标节点的对抗节点特征,进一步提取出其中输入恶意参与方的节点嵌入向量。则生成对抗样本的目标是使本地GNN模型提取到的模型与尽可能相似。最后,通过节点对间的对称梯度获取对抗连边,最终生成对抗样本。3
性能
如图3和图4所示,Graph-Fraudster在5个图数据集上进行了测试,并且使用精确率(Precision)、召回率(Recall)、分类边距(Classification Margin)等6种指标对其攻击性能进行了多视角度量。相比于集中式的单机攻击方法(FGA、NETTACK等),由于Graph-Fraudster能有效地应用推理出的隐私信息构建影子模型,其在不同的指标度量下均能表现出良好的攻击性能。图3 多视角下的攻击性能度量图4 攻击对分类边距的影响 同时,如图5所示,针对可能存在的防御场景,即使用差分隐私(DP)或噪声过滤(Top-K)机制,Graph-Fraudster仍能对GVFL进行有效的攻击,这体现了攻击高度的适应性和隐蔽性。图5 防御场景下Graph-Fraudster对GVFL的性能影响
4
应用价值
垂直数据分布在现实应用中是典型的。例如,金融数据(如交易记录和收入)通常被垂直分割并由不同的金融机构(如银行或贷款平台)拥有。这些银行试图避免向信用评级较低的用户放贷。因此,需要一个可靠的评估机构来评估金融各方的相同用户,而共享不同的特征。为了避免银行之间的原始数据共享,VFL框架对于这样的实际场景是一个很好的选择。而一些财务数据可以构造为图结构数据。因此,基于GVFL非常适合这种情况。 在这样的场景下,GVFL可能面临一些潜在的威胁。图6为GVFL受到对抗性攻击的示例。为了被评价为高信用用户,一些不法分子可能会通过添加一些额外的交易记录来隐藏他们的真实的恶意行为。此外,一些不诚实的借贷平台可能会篡改数据,以逃避评估机构的检测,帮助信用评级低的用户获利。这些恶意操作将导致银行向低信用用户发放贷款。图6 GVFL受到对抗性攻击示例 因此,Graph-Fraudster致力于GVFL的安全性漏洞挖掘研究,揭示了GVFL可能存在与集中式GNN类似的易受对抗攻击欺骗的漏洞,能够帮助GVFL提高鲁棒性,以更好地应用于实际场景中。本文来源:浙工大SCKzhe