23、图智能中的隐私保护与攻击方法

图智能中的隐私保护与攻击方法

在图智能领域，隐私保护和攻击是重要的研究方向。下面将详细介绍图神经网络（GNN）的隐私攻击方法以及差分隐私（DP）在图智能中的应用。

1. GNN 的隐私攻击方法

1.1 监督式隐私攻击

监督式隐私攻击是一种常见的隐私攻击设计策略，其基本原理是利用影子数据库和目标模型的输出，获取学习隐私攻击模型所需的监督信息。这种攻击模型可以看作是一个连贯的模型。

1.2 具体攻击类型

1.2.1 成员推理攻击

• 目标 ：确定目标实例是否被用于目标模型的学习。
• 原理 ：网络对训练数据的过拟合导致训练样本和测试样本的预测矩阵（预期标签分布）覆盖不同的样本空间，攻击者可以利用预测向量判断数据样本是否属于训练样本。
• 方法 ：大多数获取成员推理攻击模型知识的典型方法是使用影子训练，即利用部分影子数据集训练一个代理模型，使其行为类似于目标模型。
• 示例 ：在图数据上，影子数据库以与学习用图相同分布的图形式呈现，使用图卷积网络（GCN）作为影子模型。

1.2.2 重建攻击

• 目标 ：推断目标数据库中包含的敏感属性或链接。
• 原理 ：由于 GNN 通过消息传递进行通信，学习到的节点/图嵌入能够考虑节点属性和图结构，