1.   引言

面向机器学习(Machine Learning, ML)模型的成员推理攻击(Membership Inference Attacks, MIAs)^[1,2]是一种针对ML模型训练数据的隐私攻击，目的是推断攻击者感兴趣的数据样本是否被用于训练目标ML模型。由于揭示了ML模型中可能存在的隐私泄露风险，MIAs在人工智能安全领域中具有重要地位。随着人工智能技术在医疗、金融和社交网络等领域的广泛应用，保护用户隐私和确保数据安全变得尤为关键。研究MIAs有助于安全研究者评估模型在攻击下的脆弱性，规范敏感数据的使用，并设计提升模型安全性的方法。

目前，根据攻击原理的不同，面向ML模型的MIAs主要分为基于2元分类器的MIAs^[3,4]和基于评估机制的MIAs^[5,6]。前者攻击方法准确性高且灵活性强，但存在计算开销较大、依赖大规模数据等不足；后者攻击方法对于不同类型的目标模型需要预定义不同的评估指标，通用性较差。

近年来，面向图神经网络(Graph Neural Network, GNN)模型^[7]的MIAs逐渐成为研究热点。面向GNN模型的MIAs是为了确定攻击者感兴趣的目标节点是否为GNN模型训练数据集的一部分。文献[8–11]初步探索面向GNN模型的MIAs，证明了MIAs在GNN的节点分类任务、图分类任务和链接预测任务中，都有成功实施的可能性，揭示GNN模型面对该类隐私攻击时潜在的脆弱性。

Olatunji等人^[8]和He等人^[9]研究了GNN节点分类任务中的MIAs，采用基于2元分类器的MIAs方法，利用GNN模型的后验概率输出进行实验，但攻击准确率均相对较低。其原因是GNN模型在其预测中常处于欠自信状态(under-confidence)^[12]，即模型在输出阶段通常给出较为谨慎的概率估计。由于GNN模型的许多预测值集中在低置信度范围内，所以基于此后验概率实施的MIAs^[8,9]导致攻击的准确率较低，以及攻击的漏报率(False Negative Rate, FNR)较高。

现有GNN模型校准方法中，后处理校准方法通过调整模型输出的概率分布，提高预测的置信度和可靠性，从而改善GNN模型预测的欠自信现象。Wang等人^[12]提出了一种基于图卷积网络的模型校准方法，通过利用图卷积网络对预训练分类器输出层的输出结果进行处理，生成节点温度值，从而调整模型的后验概率。Hsu等人^[13]提出了一种图注意力温度缩放方法(Graph Attention Temperature Scaling, GATS)，使用基于注意力的架构生成节点温度以调整模型的后验概率。Liu等人^[14]通过分析模型容量、图密度和损失函数对校准的影响，提出了一种拓扑感知校准方法，使校准后的模型输出更准确地反映节点间的关系。上述方法聚焦于直接调整GNN模型输出概率分布，方法的有效性依赖于特定的数据集和应用场景，且对不同数据集或任务的适应性和泛化能力较差。此外，上述方法忽略了GNN模型会学习训练数据中输入特征与标签之间的所有统计相关性，缺乏对特征间因果关系的深入分析，无法有效处理非因果特征，导致校准结果存在偏差，可靠性不足。

针对上述问题，本文研究面向GNN节点分类任务的成员推理攻击，提出一种基于GNN模型校准的成员推理攻击方法(Membership Inference Attacks based on Model Calibration, MIAs-MC)，使攻击模型在面对准确、可靠的后验概率输出时，能够更准确地判断目标节点是否来自于目标GNN模型的训练数据集。

2.   成员推理攻击方法

在基于2元分类器的MIAs方法基础上，针对GNN模型预测的欠自信问题，本文提出一种基于GNN模型校准的成员推理攻击方法MIAs-MC，本方法架构如图1所示，主要包括基于因果推断的模型校准、影子模型构建、攻击模型构建与成员推理攻击3部分。各部分的主要功能和处理过程设计如下。

图 1  MIAs-MC攻击方法架构

下载: 全尺寸图片 幻灯片

(1) 基于因果推断的模型校准：首先，基于节点和边的注意力机制，从初始训练子图中初步提取因果图。其次，通过解耦因果图与非因果图，得到用于区分因果特征和非因果特征的分类损失函数。然后，通过后门路径调整策略，得到后门路径调整对应的损失函数。最后，将3个损失函数加权相加作为总损失函数以更新模型参数，生成用于训练目标模型和影子模型的因果关联图。

(2) 影子模型构建：使用基于因果推断的模型校准方法中生成的影子因果关联图，构建并训练一个校准的影子模型，用于模拟已校准目标模型在图神经网络节点分类任务中的预测行为。

(3) 攻击模型构建与成员推理攻击：首先，根据校准的影子模型中影子数据集节点的后验概率及其对应的成员标签，构建攻击模型数据集。然后，使用构建的攻击模型数据集训练一个攻击模型。最后，将已校准目标模型中得到的目标节点的后验概率输入攻击模型，通过识别目标节点的攻击特征，判断该节点是否为成员节点。

3.   基于因果推断的模型校准

传统的GNN模型校准方法通常聚焦于直接调整GNN模型的后验概率输出，缺乏对特征间因果关系的深入分析，无法有效处理非因果特征，导致GNN模型的预测结果存在偏差，可靠性不足。

因此，本文提出一种基于因果推断的模型校准方法，用于生成目标和影子GNN模型初始训练子图的因果关联图。目标因果关联图和影子因果关联图分别用于训练校准的目标GNN模型和影子GNN模型。首先，使用GNN编码器对初始的目标训练子图和影子训练子图进行节点嵌入表示，并通过节点和边的注意力机制初步提取因果注意力图。其次，在对因果注意力图和非因果注意力图进行解耦操作后，使用后门路径调整策略进一步降低非因果注意力图的影响。最后，通过最小化损失函数迭代更新因果注意力图，生成用于训练目标GNN模型和影子GNN模型的目标因果关联图和影子因果关联图，本方法如图2所示。

图 2  基于因果推断的模型校准方法

下载: 全尺寸图片 幻灯片

3.1   因果图提取

生成因果关联图的第1步是从初始训练子图中提取因果注意力图(即因果图)。本文将用于训练GNN模型的子图形式化记为G=(A,X,V,E)。其中，A表示训练子图的邻接矩阵，X表示训练子图上所有节点的特征矩阵，V表示节点集合，E表示边的集合。

针对初始的目标训练子图G_t和影子训练子图G_s，对其节点特征和边特征分别使用软掩码M_N∈R^|V|×|V|和M_E∈R^|V|×|V|。其中，软掩码M_N和M_E中每个值代表GNN模型感兴趣特征的相关注意力分数，值范围为(0,1)。对于给定软掩码M，定义其互补的软掩码为$\bar {\boldsymbol{M}} = {{\textit{1}}} - {\boldsymbol{M}}$。本文对因果图的初步提取过程如下。

首先，使用一个GNN模型作为编码器对初始训练子图中的节点进行嵌入表示，如式(1)所示

其中，γ表示用于节点特征映射的全连接层，h_i^(l–1)和h_j^(l–1)分别表示节点i和节点j在第l–1层的特征嵌入向量，N(i)表示节点i邻居节点的集合，||表示特征的拼接操作，φ表示置换不变性操作，e_(i,j)表示节点i和j之间边的特征向量。

其次，使用2个全连接层分别计算节点和边的注意力分数，计算过程为

其中，σ(⋅)表示激活函数，W_node和W_edge分别表示节点和边的线性变换矩阵，α_c和β_c分别表示因果注意力图中节点和边的注意力分数，α_u和β_u分别表示非因果注意力图中节点和边的注意力分数。由于因果注意力图与非因果注意力图互补，所以因果注意力图与非因果注意力图中节点和边的注意力分数之和都为1。

最后，根据计算得到的节点和边的注意力分数α_c, α_u, β_u, β_c构建软掩码${{\boldsymbol{M}}_{\mathrm{N}}}$, ${\bar {\boldsymbol{M}}_{\mathrm{N}}}$, ${{\boldsymbol{M}}_{\mathrm{E}}}$, ${\bar {\boldsymbol{M}}_{\mathrm{E}}}$。将初始的训练子图经过软掩码后分离出因果注意力图G_c和非因果注意力图G_u，计算过程为

根据式(1)–式(5)所示步骤，通过利用节点和边的注意力机制挖掘潜在的因果关系路径，从而对目标和影子GNN模型的初始训练子图实现因果图与非因果图的分离，提取包含因果特征的因果图。

3.2   因果图与非因果图解耦

初始训练子图经3.1节所示处理过程，被分离为因果图与非因果图。接下来，为了获取更丰富的节点表示，采用2层GNN逐步聚合图中节点的邻居信息，并使用一个多层感知器(MultiLayer Perceptron, MLP)作为分类器，对提取的信息进行分类预测，计算过程为

其中，${{\boldsymbol{h}}_{{G_c}}}$和${{\boldsymbol{h}}_{{G_u}}}$分别表示经过最后一层全连接层映射后因果特征与非因果特征的节点级向量表示，f表示图神经网络前向传播的聚合过程。

生成因果图的重点在于生成因果特征路径，即需要最大化因果特征与真实值之间的关联程度，因此，本文将其作为总损失函数计算的一部分，因果特征的分类损失函数计算过程为

其中，L_c表示交叉熵损失值，N表示训练子图中节点的个数。

此外，在用于训练GNN模型的子图中，同时存在着非因果特征。非因果图可被视为对GNN节点分类任务不重要的普通范式。也就是说，将模型对非因果特征的预测结果随机分配给所有类别，不会对分类任务的结果产生实质性影响。非因果特征的分类损失函数计算过程为

其中，KL(⋅)表示KL散度，为2个分布间的度量或距离函数，y_U表示均匀分布。

通过优化式(8)、式(9)这2个目标损失函数，实现因果注意力图与非因果注意力图的解耦操作。

3.3   后门路径调整策略

在GNN的结构因果模型(Structural Causal Model, SCM)中，后门路径是指从处理变量到结果变量之间的非因果路径(C←G→U→R→Y)，如图3所示。这些路径通过共同的混淆变量连接起来，从而导致结果变量的混杂偏差。由于后门路径的存在，使得仅通过观察数据无法准确估计因果效应。因此，后门路径调整策略被用于消除这些非因果的关联，从而获得准确的因果关系估计。

图 3  GNN中的结构因果模型

下载: 全尺寸图片 幻灯片

为了避免非因果特征U对预测Y的干扰，后门路径调整策略通过对因果特征C进行干预运算(do-calculus)，从而消除后门路径的影响。

上文对因果图的提取过程专注于捕捉有用的因果特征，同时尽可能忽略混淆的非因果特征。然而，仅依靠解耦操作生成的因果图仍然无法完全收敛到完整的训练子图。本文进一步根据后门路径调整策略处理由非因果特征引起的因果关系估计问题。由于在初始的训练子图中很难直接观察得到非因果特征集，同时图数据又具有离散性。因此，首先对图中隐藏层的嵌入表示进行隐式操作，计算过程为

其中，${{\boldsymbol{Z}}_{G'}}$表示经过分类器β进行预测之后的隐层向量表示。得到该表示之后，根据后门路径调整策略，计算得到一个后门路径调整损失函数，计算过程为

其中，$\hat S$表示非因果注意力图的近似估计集合。本文将式(11)得到的后门路径调整损失函数作为总的损失函数的一部分。

根据式(10)、式(11)的计算操作，可实现后门路径调整策略的效果，解决因果关系估计问题的影响。

3.4   因果关联图生成

本文将因果图提取、因果图与非因果图解耦以及后门路径调整策略这3个任务作为一个整体模型进行训练，并将子任务损失函数的加权相加作为该模型的多任务损失函数，计算过程为

其中，L表示该模型的总损失函数，λ₁和λ₂表示超参数，分别决定解耦和因果干预的强度，L_c, L_u和L_cau分别表示因果特征的分类损失函数、非因果特征的分类损失函数以及后门路径调整损失函数。

在计算出总的损失函数之后，GNN模型需要进行参数更新。通过随机梯度下降(Stochastic Gradient Descent, SGD)算法，求出损失函数对模型参数的梯度，同时根据链式法则更新参数并进行前向传播。GNN模型反复计算总的损失函数，并使用SGD算法进行反向传播，直至达到预设迭代次数或函数收敛。

综上，本文提出一种因果关联图生成算法(如算法1所示)。本算法通过生成目标因果关联图和影子因果关联图，从而用于构建校准的目标GNN模型和影子GNN模型。

表 1  因果关联图生成算法

输入：GNN模型初始的训练子图G(Gt, Gs ∈ G)，迭代次数T
输出：目标因果关联图Gtarget，影子因果关联图Gshadow
(1) for t = 1 to T
(2) 　Gc, Gu ← Attention(G) //因果图提取
(3) 　Lc, Lu ← Decouple(G) //因果图与非因果图解耦，生成对 　　　 应损失函数
(4) 　Lcau ← Backdoor Adjustment(Gc, Gu) //后门路径调整， 　　　 生成后门路径调整损失函数
(5) 　L ←Lc, Lu, Lcau //计算模型总损失函数
(6) 　θt+1 ← Update(θt) //更新模型参数
(7) 　Gt+1 ← Gt //迭代更新因果注意力图
(8) endfor
(9) Gtarget, Gshadow ← GT //生成目标因果关联图和影子因果关 　　 联图
(10) 结束算法返回目标因果关联图Gtarget，影子因果关联图 　　 Gshadow

下载: 导出CSV 

| 显示表格

算法1中，因果关联图的更新体现在每一轮迭代中，通过前向传播和反向传播对因果注意力图进行更新。每次迭代时，均在训练子图G上进行完整的前向传播和反向传播。

在前向传播过程中，利用注意力机制计算因果图与非因果图中节点和边的注意力分数，节点和边的注意力分数反映了训练子图中节点和边之间的关联程度。在反向传播过程中，通过优化总损失函数L调整模型参数，并迭代更新因果注意力图。最终，通过迭代更新因果注意力图生成因果关联图。

持续更新目的是确保模型在训练过程中不断提高其因果推断的能力。通过迭代更新因果注意力图生成因果关联图的过程，增强了模型区分因果特征和非因果特征的能力，同时降低非因果特征对模型预测输出的影响。

3.5   算法的复杂度分析

因果关联图生成算法的输入包括GNN模型初始的训练子图G(G_t, G_s∈G)和迭代次数T，主要步骤包括因果图提取、因果图与非因果图解耦、后门路径调整。

对于GNN模型初始的训练子图G，设图中节点的数量为N，N个节点最多可能有N(N–1)条有向边。在因果图提取过程中，每个节点需要与所有其他节点进行相关性计算，其时间复杂度为O(N²)。在因果图与非因果图解耦过程中，需要遍历图中所有的节点及其邻居，其时间复杂度为O(N²)。后门路径调整过程涉及对非因果特征的消除和后门路径的处理，复杂度取决于图结构，其时间复杂度为O(N²)。

在上述算法执行过程中，空间消耗主要来自于节点邻接矩阵的存储、注意力分数的存储和节点嵌入表示，空间复杂度为O(N²)。

4.   影子模型构建

攻击者将用于训练影子GNN模型的影子训练子图经过算法1处理后，可以获得影子因果关联图${G_{{\mathrm{shadow}}}}$。由于${G_{{\mathrm{shadow}}}}$与用于训练目标GNN模型的目标因果关联图${G_{{\mathrm{target}}}}$来自于同一数据集G，所以${G_{{\mathrm{shadow}}}}$与${G_{{\mathrm{target}}}}$具有相同的数据分布。于是，攻击者可以使用${G_{{\mathrm{shadow}}}}$构建并训练一个校准的影子GNN模型(简称影子模型)，用于模拟已校准目标GNN模型(简称目标模型)在节点分类任务上的预测行为。

影子模型的构建通常假设攻击者对目标模型的架构和训练过程有一定的了解，影子模型构建的过程包括以下3个步骤：

(1) 从${G_{{\mathrm{shadow}}}}$中选择训练子集：攻击者首先需要从影子因果关联图${G_{{\mathrm{shadow}}}}$中选择一部分数据$G_{{\mathrm{shadow}}}^{{\mathrm{train}}}$用于训练影子模型。在选择影子训练子集的方案中，需要确保影子模型的训练数据集与目标模型的训练数据集在特征和模式的覆盖上拥有足够的相似性。

(2) 训练影子模型：攻击者使用选出的影子训练数据集$G_{{\mathrm{shadow}}}^{{\mathrm{train}}}$训练影子模型，根据攻击者拥有的外部知识，影子模型的架构选定为与目标模型相同或者相似。在影子模型的训练过程中，目标是使其尽可能地模拟目标模型的预测行为。为了实现这一目标，攻击者需要将影子模型训练到与目标模型具有相似的性能水平。

(3) 使用目标模型对$G_{{\mathrm{shadow}}}^{{\mathrm{train}}}$的后验概率输出作为训练影子模型的真实值标签：攻击者首先利用目标模型对$G_{{\mathrm{shadow}}}^{{\mathrm{train}}}$中的每个节点进行预测，得到每个节点的后验概率分布。然后，将这些后验概率作为标签，用于训练影子模型。这样做目的是使影子模型更好地模拟目标模型对相同节点的预测行为，从而为后续攻击模型训练数据集的构建过程提供更加准确的内容。

通过以上3步，影子模型被训练为一个能够模仿目标模型预测行为的代理模型。该模型将被用于生成攻击模型的训练数据集，并作为推断目标模型是否使用特定数据节点作为训练数据集的依据。

5.   攻击模型构建与成员推理攻击

本文攻击方法是一种基于2元分类器的成员推理攻击方法，在此类攻击方法中，攻击者需要构建一个攻击模型A，以对目标模型实施成员推理攻击，推断目标节点是否来自于目标模型的训练数据集。

在构建攻击模型的过程中，首先需要构建用于训练攻击模型的攻击模型数据集。攻击模型数据集的构建过程如下：

在影子模型构建过程中，影子模型的训练数据集被选定后，攻击者将${G_{{\mathrm{shadow}}}}$分为$G_{{\mathrm{shadow}}}^{{\mathrm{train}}}$和$G_{{\mathrm{shadow}}}^{{\mathrm{test}}}$(即${G_{{\mathrm{shadow}}}}$中未用于训练影子模型的那部分数据节点)。然后，攻击者将$G_{{\mathrm{shadow}}}^{{\mathrm{train}}}$和$G_{{\mathrm{shadow}}}^{{\mathrm{test}}}$分别输入影子模型，并获取全部的后验概率。这些后验概率构成了攻击模型的训练数据集，用于训练攻击模型A。其中，$G_{{\mathrm{shadow}}}^{{\mathrm{train}}}$中节点对应的后验概率被标记为‘1’(代表成员节点)，而$G_{{\mathrm{shadow}}}^{{\mathrm{test}}}$中节点对应的后验概率被标记为‘0’(代表非成员节点)。这些标记帮助攻击模型A学习如何根据后验概率分布，判断目标节点是否为目标模型训练数据集的一部分。

接下来，攻击者使用攻击模型数据集构建并训练一个MLP作为攻击模型A。训练好的攻击模型A将被攻击者用于实施对目标模型的成员推理攻击，攻击的具体过程如下：

(1) 攻击者从目标数据集中选择一个节点v及其已知的邻居节点，将其输入到目标模型，获取节点v及其邻居节点在目标模型中输出的后验概率(即目标节点攻击特征)。

(2) 攻击者将获取到的后验概率作为攻击模型A的输入，攻击模型A根据目标节点的攻击特征判断该节点是否为成员节点。

(3) 攻击模型A输出一个“1”或“0”的预测值，其中，“1”表示目标节点v是成员节点，“0”表示目标节点v不是成员节点。

6.   实验与分析

6.1   实验设置

考虑到在实际应用中，特别是涉及敏感数据(如，医疗记录)的场景，研究人员通常只在敏感数据的一个子图上训练GNN模型，以保护患者的个人隐私不被泄露。这导致在研究面向GNN模型的MIAs时通常遇到2种不同的数据处理和模型评估设置。因此，本文设置2种攻击模式，以开展本文方法的成员推理攻击实验，分别是：

(1) 攻击模式1：GNN模型在子图上进行训练，在完整图上进行测试。

(2) 攻击模式2：GNN模型在子图上进行训练，同时也在子图上进行测试。

为验证本文方法的有效性，在验证实验中采用4种评估GNN模型性能的基准数据集：Cora数据集、CiteSeer数据集、PubMed数据集^[15]和Flickr数据集^[16]。各数据集的统计信息如表1所示。

表 1  数据集的统计信息

数据集	类别数	节点数	边数	节点特征维度	使用节点数
Cora	7	2 708	5 429	1 433	2 520
CiteSeer	6	3 327	4 732	3 703	2 400
PubMed	3	19 717	44 338	500	18 000
Flickr	7	89 250	449 878	500	42 000

下载: 导出CSV 

| 显示表格

本文的目标模型和影子模型分别使用由目标因果关联图和影子因果关联图训练的2层图卷积网络(Graph Convolutional Network, GCN)^[17]、图注意力网络(Graph ATtention network, GAT)^[18]、图采样与聚合(Graph SAmple and aggreGatE, GraphSAGE)^[19]和简化图卷积(Simplified Graph Convolution, SGC)^[20]模型架构，模型的训练轮次为300轮，训练学习率设置为0.000 1；攻击模型使用3层的MLP模型，模型的训练轮次为100轮，训练学习率设置为0.01。此外，使用由初始训练子图训练的影子模型的后验概率输出，构建相对应的基准攻击模型^[8]，作为基线攻击方法，与本文方法MIAs-MC进行对比分析，以评估本文方法的攻击性能。

在实验中，为了确保模型均衡处理因果特征和非因果特征，将损失函数的超参数λ₁和λ₂均设置为0.5。上述两个参数的设置，既要考虑模型在解耦因果特征与非因果特征过程中分类损失函数的权重平衡，也要确保模型在因果干预过程中的调整力度恰当。

通过赋予λ₁和λ₂相同的数值，使模型在训练初期均衡处理解耦因果特征与非因果特征以及因果干预这两个关键过程，从而能有效区分因果特征与非因果特征，通过后门路径调整抑制非因果特征的影响。最终，在生成因果关联图时，既能确保因果特征的精确度，也能减少非因果特征对模型预测的干扰。

本文采用攻击准确率(Accuracy)、攻击精确率(Precision)、曲线下面积(Area Under the Curve, AUC)、攻击召回率(Recall)、攻击F1分数(F1-score)和攻击漏报率(False Negative Rate, FNR)6个常见的指标衡量本文方法的攻击性能。

6.2   实验结果与分析

为验证本文方法的攻击性能，在Cora数据集、CiteSeer数据集、PubMed数据集和Flickr数据集上分别训练GCN, GAT, GraphSAGE和SGC 4种不同架构的GNN节点分类模型作为本实验的目标模型和影子模型，从而通过影子模型实现对相应目标模型的成员推理攻击实验。

为验证本文方法的可行性和有效性，分别在设置的2种攻击模式下进行成员推理攻击实验。在攻击模式1下，在4个数据集上进行本文所提攻击方法MIAs-MC和基线攻击方法的攻击实验，使用攻击准确率、攻击精确率、AUC、攻击召回率和攻击F1分数5个指标分析实验结果。在攻击模式2下，在4个数据集上进行本文所提攻击方法MIAs-MC和基线攻击方法的攻击实验，使用攻击准确率、攻击精确率和攻击漏报率3个指标分析实验结果。

6.2.1   攻击模式1下的成员推理攻击实验

在攻击模式1下，尽管目标GNN模型仅限制在图数据的一个子集上进行训练，但模型的性能和泛化能力将在完整的图数据上进行测试。这样可以评估模型对未见过数据的处理能力，但同时也增加了通过分析模型输出推断训练数据(即，成员推理攻击)的可能性。在攻击模式1下，本文所提攻击方法MIAs-MC具体实验结果如表2所示，基线攻击方法的攻击实验结果如表3所示。

表 2  攻击模式1下MIAs-MC的攻击结果

数据集	GNN架构	Accuracy	Precision	AUC	Recall	F1-score
Cora	GCN	0.926	0.920	0.912	0.913	0.912
	GAT	0.911	0.914	0.910	0.911	0.911
	GraphSAGE	0.905	0.908	0.904	0.905	0.905
	SGC	0.914	0.923	0.915	0.914	0.914
CiteSeer	GCN	0.918	0.912	0.917	0.918	0.918
	GAT	0.857	0.879	0.857	0.857	0.855
	GraphSAGE	0.933	0.936	0.931	0.933	0.933
	SGC	0.930	0.938	0.929	0.930	0.930
PubMed	GCN	0.750	0.784	0.750	0.751	0.743
	GAT	0.642	0.686	0.643	0.642	0.621
	GraphSAGE	0.748	0.754	0.747	0.748	0.748
	SGC	0.690	0.702	0.691	0.690	0.690
Flickr	GCN	0.841	0.846	0.841	0.841	0.841
	GAT	0.786	0.801	0.787	0.786	0.785
	GraphSAGE	0.732	0.764	0.732	0.732	0.725
	SGC	0.907	0.916	0.908	0.907	0.907

下载: 导出CSV 

| 显示表格

表 3  攻击模式1下基线攻击方法的攻击结果

数据集	GNN架构	Accuracy	Precision	AUC	Recall	F1-score
Cora	GCN	0.763	0.770	0.764	0.763	0.763
	GAT	0.721	0.728	0.718	0.721	0.720
	GraphSAGE	0.825	0.837	0.825	0.825	0.824
	SGC	0.806	0.812	0.808	0.806	0.807
CiteSeer	GCN	0.860	0.865	0.859	0.860	0.860
	GAT	0.772	0.775	0.769	0.772	0.771
	GraphSAGE	0.858	0.875	0.859	0.858	0.827
	SGC	0.863	0.868	0.862	0.863	0.863
PubMed	GCN	0.647	0.655	0.647	0.647	0.647
	GAT	0.593	0.612	0.593	0.593	0.580
	GraphSAGE	0.554	0.560	0.553	0.554	0.553
	SGC	0.664	0.685	0.665	0.664	0.658
Flickr	GCN	0.774	0.805	0.775	0.774	0.769
	GAT	0.601	0.613	0.602	0.601	0.598
	GraphSAGE	0.689	0.755	0.688	0.689	0.668
	SGC	0.877	0.893	0.878	0.877	0.876

下载: 导出CSV 

| 显示表格

由表2和表3可见，本文攻击方法针对在4种数据集上分别训练出的4种不同架构的GNN模型均取得了较好的攻击效果，攻击的关键指标均优于基线攻击方法。

在Cora数据集上，与基线攻击方法的结果相比，本文攻击方法针对GCN, GAT, GraphSAGE和SGC模型的攻击准确率的提升幅度为8%～19%。从攻击结果中可以看出，针对GCN的攻击表现最好，针对GraphSAGE的攻击表现最差，二者在攻击准确率上的差值为2.1%。

在CiteSeer数据集上，与基线攻击方法的结果相比，本文攻击方法针对GCN, GAT, GraphSAGE和SGC模型的攻击准确率的提升幅度为5.8%～8.5%。从攻击结果中可以看出，针对GraphSAGE的攻击表现最好，针对GAT的攻击表现最差，二者在攻击准确率上的差值为7.6%。

在PubMed数据集上，与基线攻击方法的结果相比，本文攻击方法针对GCN, GAT, GraphSAGE和SGC模型的攻击准确率的提升幅度分别为2.6%～19.4%。从攻击结果中可以看出，针对GCN的攻击表现最好，针对GAT的攻击表现最差，二者在攻击准确率上的差值为10.8%。

在Flickr数据集上，与基线攻击方法的结果相比，本文攻击方法针对GCN, GAT, GraphSAGE和SGC模型的攻击准确率的提升幅度分别为3%～18.5%。从攻击结果中可以看出，针对SGC的攻击表现最好，针对GraphSAGE的攻击表现最差，二者在攻击准确率和攻击精确率上的差值为17.5%和15.2%。

以Cora数据集和PubMed数据集为例，通过计算目标模型和影子模型在不同GNN架构下的训练准确率和测试准确率的差值，定量评估影子模型模仿目标模型预测行为的准确性，结果如表4和表5所示。

表 4  Cora数据集上影子模型与目标模型准确率差异(%)

GNN架构	基线攻击下训练准确率差值	基线攻击下测试准确率差值	模型校准后训练准确率差值	模型校准后测试准确率差值
GCN	0.32	3.97	0.79	0.95
GAT	3.65	1.99	1.91	2.22
GraphSAGE	0.32	4.92	0.16	0.80
SGC	0.66	0.47	1.11	1.70

下载: 导出CSV 

| 显示表格

表 5  PubMed数据集上影子模型与目标模型准确率差异(%)

GNN架构	基线攻击下训练准确率差值	基线攻击下测试准确率差值	模型校准后训练准确率差值	模型校准后测试准确率差值
GCN	1.45	0.75	1.15	0.14
GAT	0.36	1.15	0.82	0.51
GraphSAGE	0.20	5.12	0.13	3.15
SGC	1.58	0.60	0.73	0.56

下载: 导出CSV 

| 显示表格

表4和表5中的差值在一定程度上可以反映模型校准与影子模型模仿目标模型预测行为准确性之间的关系，即：在不同的GNN架构下，本文提出的基于因果推断的模型校准方法，可较有效地降低影子模型与目标模型在训练和测试准确率上的差异。例如，当本文攻击方法实施攻击时，在Cora数据集上训练的GraphSAGE模型经过模型校准后，影子模型与目标模型的测试准确率差值仅为0.80%；而在未经模型校准的基线攻击下，该差值为4.92%。

上述实验结果表明，经过模型校准后，影子模型能更好地模仿目标模型的预测行为，同时有助于增加对目标模型实施MIAs的攻击成功率。

综上所述，在攻击模式1下，本文所提攻击方法MIAs-MC在目标和影子GNN模型的训练过程中增加对因果特征的提取过程后，实现了模型校准这一目标，攻击者利用校准的影子GNN模型，可较准确地推断目标节点是否属于目标GNN模型的训练数据。这表明在减少或消除GNN模型训练数据的非因果特征后，通过训练影子GNN模型并构建攻击模型能够增加泄露目标GNN模型训练数据的隐私风险。

6.2.2   攻击模式2下的成员推理攻击实验

在攻击模式2下，目标GNN模型的训练和测试都仅限于使用同一个子图，这种模式增强了数据的隔离性，有助于保护GNN模型训练数据的隐私安全。本文攻击方法和基线攻击方法在攻击模式2下的实验结果如图4-图6所示。

图 4  攻击模式2下MIAs的攻击准确率

下载: 全尺寸图片 幻灯片

图 5  攻击模式2下MIAs的攻击精确率

下载: 全尺寸图片 幻灯片

图 6  攻击模式2下MIAs的攻击漏报率

下载: 全尺寸图片 幻灯片

实验结果表明，在攻击模式2下，本文攻击方法实施MIAs的关键评价指标皆优于基线攻击方法实施MIAs的结果，其中，攻击准确率比基线攻击方法的攻击结果提高0.3%～21.4%，攻击精确率提高0.2%～21.7%，攻击漏报率平均降低9.1%。

在Cora数据集和CiteSeer数据集上，本文攻击方法对所有目标GNN模型的攻击准确率和攻击精确率均高于0.8；在PubMed数据集和Flickr数据集上，本文攻击方法对所有目标GNN模型的攻击准确率和攻击精确率则分别在0.56～0.753和0.593～0.776。以上实验结果显示，在拓扑结构较简单的图数据集(Cora数据集和CiteSeer数据集)上训练的GNN模型相比在拓扑结构复杂的图数据集(PubMed数据集和Flickr数据集)上训练的GNN模型更容易受到MIAs的威胁。

综上，即使目标GNN模型训练和测试阶段仅使用同一个数据子图，本文所提攻击方法MIAs-MC也可以成功实施MIAs，且进一步降低攻击的漏报率，增加了MIAs对GNN模型训练数据安全的威胁。

6.2.3   两种攻击模式下的实验结果对比分析

从攻击模式1和2下的实验结果中可以看出，本文所提攻击方法MIAs-MC在攻击模式1下进行成员推理攻击实验的攻击性能普遍优于在攻击模式2下进行成员推理攻击实验的攻击性能，其原因分析如下。

(1) 在攻击模式1下，即使GNN模型的训练过程仅在子图上进行，但攻击者在模型的测试阶段依然可以访问完整的图结构。这意味着攻击者在进行成员推理攻击时，可以利用完整图数据的信息，包括训练子图外的节点和边。通过利用这些额外的信息，攻击者能够更准确地推断出目标GNN模型的成员节点，从而对GNN模型训练数据的隐私安全造成更大的威胁。

(2) 相比于攻击模式1下攻击者在GNN模型测试阶段可以访问完整图数据的信息，攻击模式2下攻击者在测试阶段被限制为仅能访问与模型训练时相同的子图。这限制了攻击者观察模型更多行为和模式的能力，因此在推断成员时可供攻击者利用的信息较少，导致在攻击模式2下，本文攻击方法和基线攻击方法进行的成员推理攻击性能均劣于在攻击模式1下进行的成员推理攻击性能。

6.2.4   攻击效果差异的原因分析

上述实验结果表明，本文所提攻击方法MIAs-MC在不同的GNN架构和数据集上均取得了显著的攻击效果，性能指标优于现有基线攻击方法。但是，在不同的数据集和模型架构下，MIAs-MC的攻击效果存在一定差异。该方法的攻击效果存在差异的原因为：

(1) 图数据集结构特性的不同。攻击效果存在差异与图数据集的结构特性密切相关。节点数和边数较少的图数据集(如Cora数据集和CiteSeer数据集)节点密度较低、拓扑结构相对简单，在此类图数据集上构建的影子GNN模型与目标GNN模型的预测行为相似度较高。通过利用与目标GNN模型预测行为相似度较高的影子GNN模型构建攻击模型，使其能够从影子GNN模型的输出中准确提取成员信息，从而有效地推断哪些节点属于GNN模型的训练数据集。相反，对于节点密度较高、拓扑结构相对复杂的图数据集(如PubMed数据集和Flickr数据集)，在此类图数据集上构建的影子GNN模型对目标GNN模型的模拟效果可能不佳。此时，攻击模型难以从影子GNN模型的输出中提取有效成员信息，导致攻击模型在推断成员状态时误差较大，攻击准确率较低。

(2) GNN架构的不同。攻击效果存在差异与不同GNN架构在信息聚合和特征提取过程中的机制差异密切相关。本文研究的4种GNN模型中，GCN和SGC采用较简单的图卷积操作，通过邻居节点加权求和实现节点特征的聚合。GCN和SGC采用的信息聚合机制使影子GNN模型能够直接捕捉目标GNN模型输出中的关键信息，其概率输出与训练数据的成员标签匹配度较高。因此，攻击模型可有效地从影子GNN模型中学习成员标签与数据特征之间的映射关系，提高攻击的准确性。相对而言，GraphSAGE和GAT采用更复杂的信息聚合机制，前者通过样本化邻居节点进行特征聚合，后者利用自注意力机制动态调整邻居节点的权重。这些复杂机制使影子GNN模型的概率输出包含更多噪声特征，降低了影子GNN模型的概率输出与训练数据成员标签之间的匹配度，导致攻击模型较难从影子GNN模型中提取影响成员推理攻击的关键信息，降低攻击的准确性。

7.   结束语

针对GNN模型预测的欠自信状态导致成员推理攻击难度大和攻击漏报率高等问题，本文提出一种基于GNN模型校准的成员推理攻击方法。通过设计一种基于因果推断的GNN模型校准方法构建因果关联图，利用因果关联图构建影子GNN模型和攻击模型，从而对目标GNN模型实施成员推理攻击。实验结果表明，本文提出的攻击方法对目标GNN模型的攻击效果优于现有攻击方法，并能够有效降低成员推理攻击的漏报率。

本文提出的攻击方法中基于因果推断的模型校准方法依赖于因果关联图的生成过程，该过程在大规模数据集上时间开销较大，导致整体攻击过程耗时较长。在未来的研究中，将探索更高效、更准确的GNN模型校准方法，进一步提升成员推理攻击的攻击效果并降低攻击过程的时间开销。