异构图神经网络（HGNNs）在近年来取得了显著进展，已发展出多种架构以有效捕捉异构关系。其中，最具代表性的模型包括：HAN（Heterogeneous Graph Attention Network）引入了基于元路径（Meta-path）的注意力机制，可选择性地沿预定义的关系路径聚合信息，在节点表示中提供了可解释性；HGT（Heterogeneous Graph Transformer）通过利用基于Transformer的架构扩展了这一方法，以动态建模节点与边之间的相互作用。后门攻击是一种隐蔽的对抗威胁，其通过在训练数据中植入触发器模式，使模型在推理时遇到该模式时产生目标误分类。然而，将后门攻击从同构图（Homogeneous Graph）扩展到异构图面临多重挑战：首先，注入的边必须遵循允许的边类型，以满足模式合法性（Schema Legality）；其次，不同节点类型可能具有不同的特征维度或属于不同的特征空间，无法用统一的触发器生成器处理；最后，不同节点类型的特征分布通常不同，直接迁移的触发器更易被分布敏感的防御机制检测。因此，问题的核心是在异构图特定约束下重新设计触发器构建、特征合成与边生成。为解决这些挑战并利用HGNNs潜在的漏洞，研究人员提出了HeteroBA，一种专为异构图节点分类设计的新型后门攻击方法。

在方法上，HeteroBA的核心思想是向图中注入新的触发器节点，并通过精心设计的连接策略增强后门信号的传播。首先，在辅助节点选择方面，研究人员设计了两种边生成策略：基于注意力机制的策略通过计算节点间重要性分数来识别最具影响力的辅助节点；基于聚类的策略则将节点聚类并选择代表性节点。这些策略确保了触发器连接到的辅助节点能够在异构语义下有效促进信息传播。其次，为了生成与目标节点类型匹配且难以检测的触发器特征，研究人员开发了分布保持特征生成器。该生成器通过匹配目标节点类型的统计特征（如离散特征的采样分布、连续特征的均值与方差）来合成触发器属性，从而保证触发器在特征空间中的隐蔽性。实验在三个真实世界的异构图数据集（ACM、DBLP、IMDB）上进行，覆盖了包括HAN、HGT、RGCN（Relational Graph Convolutional Network）在内的多种代表性HGNNs架构。

研究结果方面，在攻击有效性评估中，HeteroBA在所有数据集和HGNNs模型上均实现了接近100%的攻击成功率（ASR），同时干净数据准确率的下降通常低于0.5%，显著优于现有基线攻击方法。这表明结构操控的触发器注入能有效欺骗目标模型。在防御抵抗力评估中，研究人员测试了Prune（基于图结构的修剪）和OD（异常点检测）等防御机制。结果表明，HeteroBA生成的触发器能够有效抵抗Prune防御，因其连接策略降低了结构异常性；同时，分布保持特征生成器使得触发器特征与真实节点特征分布一致，从而能够抵抗基于分布的OD防御。消融研究系统性地分析了各组件贡献：注意力机制和聚类机制均显著提升了攻击成功率，证明了辅助节点选择的重要性；分布保持特征生成器的移除导致攻击成功率大幅下降，并增加了被检测风险，证实了其对隐蔽性的关键作用。超参数敏感性分析探讨了辅助节点数量、触发器特征噪声水平等参数对攻击性能的影响，结果显示方法在一定参数范围内表现稳定。

讨论部分总结了本研究的贡献与局限。HeteroBA首次针对异构图设计了结构操控的后门攻击框架，通过结合注意力与聚类机制选择辅助节点，以及采用分布保持特征合成，有效解决了异构图后门攻击面临的模式合法性、特征空间不统一及隐蔽性挑战。研究揭示了当前主流HGNNs在面对精心构造的类型一致结构性后门时存在显著安全漏洞。然而，研究人员也指出了方法的局限性：作为一种节点注入型攻击，HeteroBA可能面临与同类范式共有的脆弱性，即当面对先进的全局拓扑清理防御机制（如RIGBD）时，注入的触发器结构仍有被识别和清除的风险。因此，未来的工作可探索更具隐蔽性的触发器生成与连接策略，以及研究更鲁棒的异构图后门防御方法。

结论部分再次强调，本文提出了HeteroBA，一种针对异构图神经网络的建设性结构操控后门攻击。通过结合基于注意力与聚类的辅助节点选择，HeteroBA连接有影响力的节点以促进触发器信号传播；同时，分布保持特征生成器产生符合节点类型统计特征的真实触发器属性，增强了对分布敏感防御的隐蔽性。在多个基准数据集上的实验全面评估了攻击有效性、对防御的抵抗力、各组件贡献以及对超参数的敏感性。该研究为理解异构图神经网络的安全风险提供了重要视角，并为未来开发更安全的图学习模型与防御机制奠定了基础。