这篇文档属于类型a，是一篇关于图神经网络（Graph Neural Networks, GNNs）知识产权保护的原创研究论文。以下是对该研究的详细学术报告：

一、作者与发表信息

本研究由Xiaoyu You、Youhe Jiang、Jianwei Xu、Mi Zhang（通讯作者）和Min Yang（通讯作者）共同完成，所有作者均来自复旦大学（Fudan University）。论文标题为《GNN-Fingers: A Fingerprinting Framework for Verifying Ownerships of Graph Neural Networks》，发表于ACM Web Conference 2024 (WWW ‘24)，会议于2024年5月13日至17日在新加坡举行。

二、学术背景

研究领域与问题

研究领域为图神经网络（GNNs）的安全与隐私保护，聚焦于模型知识产权（Intellectual Property, IP）的验证问题。GNNs因其强大的图数据建模能力被广泛应用于社交网络分析、药物发现等任务，但其高昂的训练成本使其面临模型盗版（model piracy）风险。现有IP保护方法（如模型水印）在GNNs上效果有限，因其可能影响模型性能或无法适应GNNs的复杂结构。

研究目标

提出一种名为GNN-Fingers的指纹框架，通过构建图指纹（graph fingerprint）和设计鲁棒验证模块（robust verification module），实现无需修改模型参数即可验证GNNs所有权，且适用于多种图任务（如图分类、节点分类、链接预测等）。

三、研究流程与方法

1. 抗混淆GNN准备（Anti-obfuscation GNN Preparation）

• 目标：模拟攻击者对盗版模型的混淆行为（如微调、剪枝、蒸馏）。
  
• 方法：
  
  • 正例模型（Positive GNNS）：对目标GNN应用多种后处理技术（如部分层微调、架构蒸馏），生成200个盗版模型。
    
  • 负例模型（Negative GNNS）：基于不同领域数据或相同领域独立训练的GNNs生成200个无关模型。
    
• 创新点：覆盖多种攻击场景，确保指纹的鲁棒性和唯一性。
  

2. 图指纹构建（Graph Fingerprint Construction）

• 初始化：随机生成图结构（节点数n=32，边稀疏连接率r=ε）和节点属性。
  
• 任务适配设计：
  
  • 节点级任务（如节点分类）：单图输入，采样m个节点的输出。
    
  • 边级任务（如链接预测）：单图输入，采样m个节点对的输出。
    
  • 图级任务（如图分类）：多图输入（P=64），输出全图预测结果。
    
• 优化策略：通过梯度更新邻接矩阵和节点属性，离散化处理以保持图结构的有效性。
  

3. 联合学习框架（Joint Learning Framework）

• 统一验证器（UniVerifier）：
  
  • 设计二元DNN分类器，输入为嫌疑模型在图指纹上的输出拼接，输出为盗版概率。
    
  • 损失函数最大化目标GNN与正例模型的输出相似性，最小化与负例模型的相似性（公式1-2）。
    
• 联合优化：交替更新图指纹和验证器参数，采用投影梯度法处理离散图结构。
  

4. 实验验证

• 数据集与任务：覆盖4类任务（图分类、图匹配、节点分类、链接预测）和6个数据集（ENZYMES、PROTEINS等）。
  
• 基线方法：对比DeepFool（基于决策边界）和IPGuard（基于分类边界）。
  
• 评估指标：
  
  • 鲁棒性（Robustness）：正确识别盗版模型的比例（真阳性率）。
    
  • 唯一性（Uniqueness）：正确排除无关模型的比例（真阴性率）。
    
  • ARUC：鲁棒性-唯一性曲线下面积。
    

四、主要结果

1. 整体性能：
   
   • 在图分类（ENZYMES）和节点分类（CORA）任务中达到100%真阳性和真阴性。
     
   • 其他任务（如图匹配）最低ARUC为0.544，因输出复杂性较高（表1）。
     
2. 对比基线：
   
   • GNN-Fingers显著优于DeepFool（最高95.7%）和IPGuard（最高60%），尤其在非分类任务上优势明显。
     
3. 抗混淆能力：
   
   • 对微调、剪枝、蒸馏等后处理技术均保持高鲁棒性（图2）。
     
4. 理论保证：
   
   • 推导输出差异上界（公式3），证明指纹对模型扰动的敏感性（定理3.2）。
     

五、结论与价值

1. 科学价值：
   
   • 首次提出任务无关的GNN指纹框架，填补了图模型IP保护的技术空白。
     
   • 通过联合优化指纹与验证器，解决了传统方法（如水印）对GNN性能的负面影响。
     
2. 应用价值：
   
   • 为GNN商业化部署提供法律取证工具，遏制模型盗版行为。
     
   • 支持多任务场景，适配实际工业需求。
     

六、研究亮点

1. 方法创新：
   
   • 提出可学习的验证器（UniVerifier），统一处理不同任务的输出格式差异。
     
   • 设计离散化图指纹优化策略，解决图数据非连续性问题。
     
2. 实验全面性：
   
   • 覆盖4类GNN任务、6个数据集及多种攻击场景，验证框架普适性。
     
3. 理论支撑：
   
   • 提供输出差异的数学上界，为鲁棒性提供理论保障。
     

七、其他价值

• 开源实现：基于PyTorch Geometric库公开代码，促进社区应用。
  
• 扩展性：框架可适配新型GNN架构（如GAT、EigenPooling），未来可部署至实际平台验证。
  

以上内容完整呈现了GNN-Fingers的研究贡献，为GNN知识产权保护领域提供了重要技术参考。