CN110460600A - 可抵御生成对抗网络攻击的联合深度学习方法 - Google Patents
可抵御生成对抗网络攻击的联合深度学习方法 Download PDFInfo
- Publication number
- CN110460600A CN110460600A CN201910746047.5A CN201910746047A CN110460600A CN 110460600 A CN110460600 A CN 110460600A CN 201910746047 A CN201910746047 A CN 201910746047A CN 110460600 A CN110460600 A CN 110460600A
- Authority
- CN
- China
- Prior art keywords
- parameter
- training
- server
- model
- system model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提出一种可抵御生成对抗网络(GAN)攻击的联合深度学习方法,包括深度学习模型初始化;盲化服务器初始化;模型保护联合学习等步骤。通过结合矩阵盲化技术和随机梯度下降法,可以实现输入向量以及部分模型参数的盲化。本发明通过限制攻击者本地生成对抗网络的建模与更新,同时限制深度学习模型使用权等方式,允许分布式训练者在本地利用隐私数据集训练得到模型参数的梯度更新,每个训练者的梯度更新将由参数服务器聚合,实现系统模型的全局更新。本发明实现了对GAN攻击的抵御,保护了联合深度学习系统模型,极大平衡了模型准确率与训练数据隐私保护的要求。
Description
技术领域
本发明属于隐私数据保护和深度学习领域,具体为一种可抵御生成对抗网络攻击的联合深度学习方法。
背景技术
联合深度学习指的是多用户在本地保存隐私训练数据的前提下利用云服务器协作完成深度学习模型训练任务。随着处理海量数据的需求日益增大,深度学习作为一种基于人工神经网络的机器学习方法,因其强大的数据特征学习能力越来越受到人们青睐,现已被广泛应用于计算机视觉、语音识别、自然语言处理等诸多实际问题当中。得益于各类模型分类预测结果的高准确率,深度学习现已经成为互联网智能服务的基础。
在深度学习模型训练过程中,使用的训练数据量越大,最终模型的鲁棒性和准确性越高。然而,随着社会自上而下对个人隐私保护的意识越来越强,相关法律法规对于隐私信息的使用限制越来越严格,要求一般大型企业或机构规范用户隐私数据的使用。在训练一般机器学习算法如朴素贝叶斯或支持向量机时,研究者们提出了大量的基于云计算的外包算法来解决使用数据和保护隐私的矛盾,这些算法大多基于同态加密或其他加密方法,但由于深度学习模型计算复杂,且加密操作计算量大,这些外包方案很难被直接拓展到大规模深度学习领域。
为了解决这个问题,有研究者针对多层神经网络模型提出了基于随机梯度下降法(Stochastic Gradient Descent,SGD)的联合深度学习方法,各方可以在本地训练他们的深度学习模型,并有选择地与服务器共享训练结果。这一框架摆脱了模型训练过程中数据必须中心化的限制,利用SGD实现了数据的本地操作,从而保护了参与者的数据隐私。但近期一项研究表明针对联合深度学习方法,可以利用生成对抗网络GAN进行攻击,恶意训练者会在受害者无意识的情况下,获取大量的敏感数据及信息。这一攻击方式尤其在以图像作为训练样本的联合深度学习方法中影响严重。
另外在现有联合深度学习方法中,并没有限制系统模型的使用权,即任何参与训练的用户可以从服务器端下载现阶段最新的训练模型,服务器将参数的明文直接发送给训练者,训练者可以在本地不与服务器交互随意使用模型。然而,模型保护问题在机器学习外包计算领域也是一个重要的课题,一个完备的高鲁棒性的深度学习模型往往包含了大量训练数据信息,如果这些训练数据带有敏感信息或者隐私数据,那么对于深度学习模型的滥用往往会导致训练数据的隐私遭受破坏。
发明内容
本发明的目的在于提出了一种可抵御生成对抗网络攻击的联合深度学习方法。
实现本发明目的的技术解决方案为:一种可抵御生成对抗网络攻击的联合深度学习方法,具体步骤为:
步骤1、参数服务器PS发起联合深度学习任务,向拥有与联合深度学习任务相关数据的用户发起邀请,并将响应邀请申请加入训练的训练参与者分类标记为忠实用户LU和一般训练者CT,参数服务器PS搜集忠实用户LU的明文训练数据集并由参数服务器PS初始化一个深度学习全连接神经网络模型,并将其作为联合学习系统模型;
步骤2、盲化服务器BS根据联合学习系统模型信息,为参数服务器PS以及每个一般训练者CT各生成一对盲化因子,每对盲化因子包括用于盲化的因子和解除盲化的因子,并将解除盲化的部分发送给各自拥有者;
步骤3、参数服务器PS开启联合学习训练队列,一般训练者CT从盲化服务器处获得解除盲化的因子后加入训练队列;参数服务器PS从训练队列中依次调度一个一般训练者CTj参与一轮训练,一般训练者CTj在本地利用私有训练数据,结合参数服务器PS及盲化服务器BS完成一轮的联合学习系统模型训练,并将参数更新发送给参数服务器PS用于更新联合学习系统模型;当联合学习系统模型准确率达到预定阈值或者训练队列为空时,参数服务器PS关闭训练队列完成整个联合深度学习过程。
优选地,步骤1中的忠实用户LU为信任参数服务器PS并愿意将本地训练数据集以明文形式共享给参数服务器PS的用户,一般训练者CT是指不愿意将本地数据共享给参数服务器PS并希望在本地完成模型更新并只上传参数更新的联合训练参与者。
优选地,参数服务器PS初始化联合学习系统模型的具体方法为:忠实用户LU将其本地训练数据集以明文的形式发送给参数服务器PS,参数服务器PS汇总所有忠实用户的训练数据明文得到数据集DLU,并根据数据集DLU确定全连接神经网络模型F(W)的结构信息;参数服务器PS初始化全连接神经网络模型F(W)权值参数和结点偏置参数并基于数据集DLU选择使用批梯度下降或mini-batch梯度下降方法完成全连接神经网络F(W)的结构调整与优化,得到初始化联合学习系统模型。
优选地,步骤2中盲化服务器BS获得的联合学习系统模型信息为神经网络第一隐藏层结点的个数n。优选地,步骤2中盲化服务器BS生成盲化因子的具体方法为:
步骤2-1、盲化服务器BS得到联合学习系统模型第一隐藏层结点个数n,在n元置换群Sn上均匀生成一个置换函数π;定义函数其中X={x1,x2,...,xn},对于给定的一个映射规则:π(i)=f(i)表示具体置换函数,其中i={1,2,...,n},得到置换函数的反函数为:
步骤2-2、在非空有限域Fq上均匀生成一个非空随机数集合α={α1,α2,...,αn};
步骤2-3、定义克罗内克函数构造盲化矩阵N,其中构造解除盲化矩阵N-1,其中,N与N-1即为一对矩阵形式的盲化因子。
优选地,步骤3中完成一轮安全本地训练得到各参数梯度更新的具体过程为:
步骤3-1、参数服务器PS将联合学习系统模型的参数分为两部分,一部分为需要盲化处理的参数:包括输入层与第一隐藏层结点之间的权值参数矩阵A和第一隐藏层结点的偏置向量b,其中Ai,j代表第i个输入层结点与第一隐藏层第j个结点之间的权值参数,bj代表第一隐藏层第j个结点的偏置,另一部分为可明文共享的除A与b以外的其他参数;
步骤3-2、一般用户CTj与参数服务器PS、盲化服务器BS交互,利用安全三方计算技术得到训练样本x=(x1,x2,...,xm)关于深度学习全连接神经网络模型第一隐藏层各结点的输出;
步骤3-3、一般训练者CTj利用步骤3-2得到的第一隐藏层各结点的输出在本地完成基于随机梯度下降法的联合学习系统模型参数更新。
优选地,步骤3-2中一般用户CTj与参数服务器PS、盲化服务器BS交互,利用安全三方计算技术得到训练样本x=(x1,x2,...,xm)关于深度学习全连接神经网络模型第一隐藏层各结点的输出的具体步骤为:
步骤3-2-1、参数服务器PS生成与b同维的非零随机向量r,计算b-Ar,将A与r发送给盲化服务器BS,将b-Ar、r以及除A与b以外的其他模型参数发送给一般训练者CTj;
步骤3-2-2、盲化服务器BS得到参数矩阵A后计算:N·Mj·A=NMjA以及Mj·Ar=MjAr,将NMjA发送给训练者CTj,将MjAr发送给参数服务器PS;
步骤3-2-3、一般训练者CTj计算:NMjA(x+r)并将结果发送给参数服务器;
步骤3-2-4、参数服务器本地利用N以及MjAr验证训练者CTj是否存在恶意输入x=0或x=r,即比较判断NMjA(x+r)是否等于NMjAr或NMjA(r+r)。验证通过则抵消部分盲化计算:N-1·NMjA(x+r)=MjA(x+r),结果返还给训练者CTj;
步骤3-2-5、训练者CTj去除所有盲化:Mi -1·MiA(x+r)+(b-Ar)=Ax+b,经激活函数处理得到第一隐藏层各结点的输出。
优选地,步骤3-3一般训练者CTj利用步骤3-2得到的第一隐藏层各结点的输出在本地完成基于随机梯度下降法的联合学习系统模型参数更新的具体方法为:
步骤3-3-1、一般训练者CTj将第一隐藏层各结点的输出经过激活函数处理之后作为第二隐藏层结点的输入,并逐层计算输出,最终得到训练样本x=(x1,x2,...,xm)关于联合学习系统模型的输出
步骤3-3-2、一般训练者CTj结合样本标签y(x)通过误差函数计算误差E;
步骤3-3-3、根据误差E计算关于每个系统模型参数Wi的偏导,即梯度更新:所有参数的梯度更新构成梯度更新向量,其中每个元素与联合学习系统模型参数向量W的每个参数一一对应。
优选地,步骤3中每个一般训练者CTj选择将部分梯度更新值返回给参数服务器PS;对应于每一层的权值参数及偏置参数,训练者设置上传选择比率θu,选择梯度更新值较大的前100×θu%进行保留,梯度更新向量中的其他梯度更新值置0。参数服务器接收到用户CTj的梯度更新向量,依据梯度下降参数更新公式:更新系统模型,η为学习率。完成一轮训练后参数服务器PS可以根据测试集测试更新后模型的准确率,并从训练队列中调度下一个训练者参与新一轮联合学习,当联合学习系统模型准确率达到目标阈值或者训练队列为空时,参数服务器PS关闭训练队列,整个联合学习过程结束。
本发明与现有技术相比,其显著优点为:1)本发明从破坏GAN攻击者本地生成对抗网络建模及更新过程的角度出发,利用矩阵盲化技术实现对GAN攻击的抵御;2)本发明实现了联合深度学习过程中系统模型的隐私保护,在确保训练者交互式完成训练的同时,限制了用户独立使用系统模型的能力,有效预防恶意用户对系统模型滥用导致的隐私泄漏;3)本发明保留了联合深度学习方法的去中心化和非密文操作的优势,保证了联合深度学习模型训练的效率和准确性;4)本发明通过引入用户分类及预训练过程,强化了联合深度学习模型初始化方法,提高了模型的鲁棒性。
下面结合附图对本发明做进一步详细的描述。
附图说明
图1是本发明的框架结构示意图。
图2是本发明步骤3模型保护联合学习中参数传递及计算的流程图。
具体实施方式
一种可抵御生成对抗网络攻击的联合深度学习方法,实现本发明的系统结构图如图1所示,包含四类实体:参数服务器(Parameter Server,PS)、盲化服务器(BlindingServer,BS)、忠实用户(Loyal User,LU)、一般训练者(Common Trainer,CT)。参数服务器PS是整个联合学习任务的发起者与调度者,负责初始化联合学习系统模型,组织并调度各类实体按照训练流程参与联合学习,并在联合学习过程中负责系统模型参数的更新与分发,可由半诚实(对训练者隐私数据好奇但不主动发起恶意攻击)的云服务器担任。参数服务器BS是新引入的不与参数服务器PS及一般用户CT共谋的半诚实(对训练者隐私数据及系统模型好奇但不主动发起恶意攻击)的第三方云服务器,在整个训练过程中负责盲化因子的生成与分发,并协助一般用户完成一轮安全本地训练。忠实用户LU与一般训练者CT是对参数服务器PS信任程度不同的训练参与者,在具体步骤中将详细划分。本发明的具体步骤为:
步骤1、参数服务器PS发起联合深度学习任务,向拥有与该训练任务相关数据的用户发起邀请,并将响应邀请申请加入训练的训练参与者分类标记为忠实用户LU和一般训练者CT,参数服务器PS搜集忠实用户LU的明文训练数据集并由参数服务器PS初始化深度学习全连接神经网络模型作为联合学习系统模型;
在某些实施例中,忠实用户LU为信任参数服务器PS并愿意将本地训练数据集以明文形式共享给参数服务器PS的用户,忠实用户LU将其训练数据实例以明文的形式发送给参数服务器PS用以确定联合学习系统模型的结构。一般训练者CT是指不信任参数服务器PS的一般联合深度学习参与者,他们在本地保留隐私训练数据,并基于随机梯度下降法完成模型训练,以梯度更新向量的形式返回参数更新,另外,一般训练者CT也是潜在的GAN攻击发起者,由于GAN攻击注入的难以检测性,本发明实现针对任意一般训练者CT发起的GAN攻击的成功抵御。
在某些实施例中,参数服务器PS初始化深度学习全连接神经网络模型即联合学习系统模型的具体方法为:忠实用户LU将其本地训练数据集以明文的形式发送给参数服务器PS,参数服务器PS汇总所有忠实用户的训练数据明文得到数据集DLU,并根据DLU确定一个全连接神经网络模型F(W)的结构信息,全连接神经网络模型F(W)的结构信息包括输入层及输出层结点个数、隐藏层层数、各隐藏层结点个数、各层结点激活函数、目标函数、损失函数。W表示所有模型参数展开构成的参数向量,包括权值参数和结点偏置参数。
以基于MINIST手写数字集的联合深度学习图像识别作为具体实施例,需要为该任务初始化一个全连接神经网络模型作为联合学习系统模型。该模型包含一个输入层,两个隐藏层以及一个输出层。输入层节点个数为一张MNIST手写数字图片的像素点个数:784(28*28);第一隐藏层节点个数为512,第二隐藏层节点个数为256,两个隐藏层各节点的激活函数均选择LeakyReLU=max(0,k)+α*min(0,k),其中α设置为0.2,k表示经激活函数处理该节点的输出;输出层节点个数为10(代表分类结果从0到9),各节点激活函数选择ki表示每一个输出层节点经激活函数处理前的输出;目标函数为选择输出层节点中最大值所在的类作为分类结果;损失函数选择交叉熵损失函数其中为第i个输出节点的标签值(只能取0或者1),yi为第i个输出节点的实际输出值。
在某些实施例中,参数服务器PS初始化两类参数并基于数据集DLU选择使用批梯度下降或mini-batch梯度下降方法完成全连接神经网络F(W)的结构调整与优化,得到初始化联合学习系统模型。
在某些实施例中,各层权值参数Wj可根据激活函数选择不同初始化方法,例如使用“Xavier”方法,即服从与该层结点个数sj以及下一层结点个数sj+1有关的均匀分布:
步骤2、盲化服务器BS根据联合学习系统模型信息,为参数服务器PS以及每个一般训练者CT各生成一对盲化因子,包括用于盲化的因子和解除盲化的因子,并将解除盲化的部分发送给各自拥有者;
在某些实施例中,盲化服务器BS获得的联合学习系统模型信息为神经网络第一隐藏层结点的个数n;对于参数服务器PS,盲化服务器BS负责生成一对矩阵形式的盲化因子,包括用于盲化的N和解除盲化的N-1,并将N-1发送给参数服务器PS。对于申请参与训练的每个一般训练者CTj,盲化服务器BS同样生成一对矩阵形式的盲化因子,包括用于盲化的Mj和解除盲化的并将发送给训练者CTj。N和Mj都是n维的非奇异方阵。盲化服务器BS生成盲化因子N和N-1(Mj和)遵循以下步骤:
步骤2-1、盲化服务器BS得到联合学习系统模型第一隐藏层结点个数n,在n元置换群Sn上均匀生成一个置换函数π。定义函数其中X={x1,x2,...,xn},对于给定的一个映射规则:可以用π(i)=f(i)表示该具体置换函数,其中i={1,2,...,n}。该置换函数的反函数为:
步骤2-2、在非空有限域Fq上均匀生成一个非空随机数集合α={α1,α2,...,αn};
步骤2-3、定义克罗内克函数即函数值在x=y时为1,其他情况为0。构造盲化矩阵N,其中构造解除盲化矩阵N-1,其中,N与N-1即为一对矩阵形式的盲化因子。
步骤3、参数服务器PS开启联合学习训练队列,一般训练者CT从盲化服务器处获得私有且唯一的解除盲化的因子后加入训练队列;参数服务器PS从训练队列中依次调度一个一般训练者CTj参与一轮训练,一般训练者CTj在本地利用私有训练数据,结合参数服务器PS及盲化服务器BS完成一轮的安全本地模型更新,并将参数更新发送给参数服务器PS用于更新联合学习系统模型。直到系统模型准确率达到预定阈值或者训练队列为空时,参数服务器PS关闭训练队列完成整个联合深度学习过程。
在某些实施例中,步骤3参数服务器PS从训练队列中依次调度一个一般训练者CTj参与一轮联合训练,每一轮训练过程中,一般训练者CTj基于随机梯度下降法更新系统模型。不失一般性,训练者CTj随机选择一条标签为y(x)的训练样本x=(x1,x2,...,xm)基于误差逆传播(Back-propagation,BP)算法计算梯度更新。一般训练者CTj在本地利用训练样本x=(x1,x2,...,xm),结合参数服务器及盲化服务器完成一轮安全本地训练得到各参数梯度更新,其中参数传递及计算的具体流程如图2所示,其具体过程为:
步骤3-1、参数服务器PS将深度学习全连接神经网络模型即联合学习系统模型的参数分为两部分,一部分为需要盲化处理的参数:包括输入层与第一隐藏层结点之间的权值参数矩阵A和第一隐藏层结点的偏置向量b,其中Ai,j代表第i个输入层结点与第一隐藏层第j个结点之间的权值参数,bj代表第一隐藏层第j个结点的偏置,另一部分为可明文共享的除A与b以外的其他参数;
步骤3-2、一般用户CTj与参数服务器PS、盲化服务器BS交互,利用安全三方计算技术得到深度学习全连接神经网络模型第一隐藏层各结点的输出;
步骤3-2-1、参数服务器PS生成与b同维的非零随机向量r,计算b-Ar,将A与r发送给盲化服务器BS,将b-Ar、r以及除A与b以外的其他模型参数发送给一般训练者CTj;
步骤3-2-2、盲化服务器BS得到参数矩阵A后计算:N·Mj·A=NMjA以及Mj·Ar=MjAr,将NMjA发送给训练者CTj,将MjAr发送给参数服务器PS;
步骤3-2-3、一般训练者CTj计算:NMjA(x+r)并将结果发送给参数服务器;
步骤3-2-4、参数服务器本地利用N以及MjAr验证训练者CTj是否存在恶意输入x=0或x=r,即比较判断NMjA(x+r)是否等于NMjAr或NMjA(r+r)。验证通过则抵消部分盲化计算:N-1·NMjA(x+r)=MjA(x+r),结果返还给训练者CTj;
步骤3-2-5、训练者CTj去除所有盲化:Mi -1·MiA(x+r)+(b-Ar)=Ax+b,经激活函数处理得到第一隐藏层各结点的输出。
步骤3-3、一般训练者CTj利用步骤3-2得到的第一隐藏层各结点的输出在本地完成基于随机梯度下降法的联合学习系统模型参数更新;
步骤3-3-1、一般训练者CTj将第一隐藏层各结点的输出作用在激活函数之后作为第二隐藏层结点的输入,并逐层计算输出,最终得到训练样本x=(x1,x2,...,xm)关于联合学习系统模型的输出
步骤3-3-2、一般训练者CTj结合样本标签y(x)通过误差函数计算误差E;
步骤3-3-3、根据误差E计算关于每个系统模型参数Wi的偏导,即梯度更新:所有参数的梯度更新构成梯度更新向量,其中每个元素与联合学习系统模型参数向量W的每个参数一一对应。
在某些实施例中,步骤3中每个一般训练者CTj可以选择将部分梯度更新值返回给参数服务器PS。对应于每一层的权值参数及偏置参数,训练者设置上传选择比率θu,选择梯度更新值较大的前100×θu%进行保留,梯度更新向量中的其他梯度更新值置0。参数服务器接收到用户CTj的梯度更新向量,依据梯度下降参数更新公式:更新系统模型,η为学习率。完成一轮训练后参数服务器PS可以根据测试集测试更新后模型的准确率,并从训练队列中调度下一个训练者参与新一轮联合学习,当系统模型准确率达到目标阈值或者训练队列为空时,参数服务器PS关闭训练队列,整个联合学习过程结束。
本发明不仅实现了联合学习框架下针对生成对抗网络GAN攻击的抵御,还采用矩阵盲化技术在确保模型训练效率和精度的前提下实现了系统模型的保护。基于深度学习模型可利用分布式数据集实现随机梯度下降的特性,本发明在保留原联合学习中心参数服务器的基础上,添加了盲化服务器作为参数服务器和模型训练者之间的桥梁,不仅破坏了GAN攻击者本地生成对抗网络建模及更新过程,同时还允许训练者在一轮训练中与参数服务器、盲化服务器共同完成兼备模型保护特性的随机梯度下降。本发明保留了联合深度学习方法的去中心化和非密文操作的优势,通过引入用户分类及预训练过程,强化了联合深度学习模型初始化方法,提高了模型的鲁棒性。
本发明设计了一种具备模型保护特性的深度学习模型参数更新方法,称之为模型保护随机梯度下降。该方法通过引入矩阵盲化技术实现了对部分系统模型参数及隐私训练数据的盲化。被盲化的系统模型参数具有以下特性:1)不影响训练者的本地训练。该部分参数仅在BP算法误差正向计算过程中被使用到,通过与参数服务器、盲化服务器进行小规模的交互,训练者可以正确执行误差计算,同时误差逆传播过程不受盲化参数影响。2)严重破坏GAN攻击者本地生成对抗网络的建模及更新。攻击者本地构建的判别器模型依赖于从服务器端下载的系统模型,攻击过程中需要时刻与系统模型保持一致,另外生成器模型的更新也要依赖于判别器的输出结果,通过盲化限制了系统模型的使用权即限制了生成对抗网络的本地建模与更新。
综上所述,本发明具有以下特点:
(1)可抵御GAN攻击
本发明通过引入矩阵盲化技术实现了部分系统模型参数以及隐私训练数据的盲化,在不影响深度学习模型联合训练流程的情况下,破坏了GAN攻击者本地生成对抗网络的建模与更新过程,实现了GAN攻击的抵御。
(2)实现系统模型保护
本发明通过引入盲化服务器结合参数服务器分担了训练者的部分计算任务,允许训练者每轮与两个服务器进行少量交互进而完成本地训练,实现了系统模型参数的部分盲化,限制了用户独立使用完整系统模型的能力,进而有效预防恶意用户对系统模型滥用导致的隐私泄漏。对系统模型的保护不仅有利于抵御GAN攻击,也为抵御其他一些针对深度学习模型的特殊隐私攻击诸如模型反演攻击、模型重用攻击提供了帮助。
(3)去中心化和非密文操作
联合深度学习方法让用户隐私数据本地化成为可能可控,相较于不成熟的加密数据集中处理方案,联合深度学习优势明显。本发明没有因为GAN攻击放弃联合学习框架,仍然保留去中心化和非密文操作的优势。
(4)高训练效率与模型精度
本发明通过引入用户分类及预训练过程,强化了联合深度学习模型初始化方法,提高了模型的鲁棒性,引入的矩阵盲化技术也不会造成最终训练模型的精度丢失。
Claims (9)
1.一种可抵御生成对抗网络攻击的联合深度学习方法,其特征在于,具体步骤为:
步骤1、参数服务器PS发起联合深度学习任务,向拥有与联合深度学习任务相关数据的用户发起邀请,并将响应邀请申请加入训练的训练参与者分类标记为忠实用户LU和一般训练者CT,参数服务器PS搜集忠实用户LU的明文训练数据集并由参数服务器PS初始化联合学习系统模型;
步骤2、盲化服务器BS根据联合学习系统模型信息,为参数服务器PS以及每个一般训练者CT各生成一对盲化因子,每对盲化因子包括用于盲化的因子和解除盲化的因子,并将解除盲化的部分发送给各自拥有者;
步骤3、参数服务器PS开启联合学习训练队列,一般训练者CT从盲化服务器处获得解除盲化的因子后加入训练队列;参数服务器PS从训练队列中依次调度一个一般训练者CTj参与一轮训练,一般训练者CTj在本地利用私有训练数据,结合参数服务器PS及盲化服务器BS完成一轮的联合学习系统模型训练,并将模型参数更新值发送给参数服务器PS用于更新联合学习系统模型;当联合学习系统模型准确率达到预定阈值或者训练队列为空时,参数服务器PS关闭训练队列完成整个联合深度学习过程。
2.根据权利要求1所述的可抵御生成对抗网络攻击的联合深度学习方法,其特征在于,步骤1中的忠实用户LU为信任参数服务器PS并愿意将本地训练数据集以明文形式共享给参数服务器PS的用户,一般训练者CT是指不愿意将本地数据共享给参数服务器PS并希望在本地完成模型更新并只上传参数更新的联合训练参与者。
3.根据权利要求1所述的可抵御生成对抗网络攻击的联合深度学习方法,其特征在于,参数服务器PS初始化联合学习系统模型的具体方法为:忠实用户LU将其本地训练数据集以明文的形式发送给参数服务器PS,参数服务器PS汇总所有忠实用户的训练数据明文得到数据集DLU,并根据数据集DLU确定一个全连接神经网络模型F(W)的结构信息;参数服务器PS初始化全连接神经网络模型F(W)权值参数和结点偏置参数并基于数据集DLU选择使用批梯度下降或mini-batch梯度下降方法完成全连接神经网络F(W)的结构调整与优化,得到初始化联合学习系统模型。
4.根据权利要求1所述的可抵御生成对抗网络攻击的联合深度学习方法,其特征在于,步骤2中盲化服务器BS获得的联合学习系统模型信息为神经网络第一隐藏层结点的个数n。
5.根据权利要求1所述的可抵御生成对抗网络攻击的联合深度学习方法,其特征在于,步骤2中盲化服务器BS生成盲化因子的具体方法为:
步骤2-1、盲化服务器BS得到联合学习系统模型第一隐藏层结点个数n,在n元置换群Sn上均匀生成一个置换函数π;定义函数f:X→X,|X|=n,其中X={x1,x2,...,xn},对于给定的一个映射规则:π(i)=f(i)表示具体置换函数,其中i={1,2,...,n},得到置换函数的反函数为:
步骤2-2、在非空有限域Fq上均匀生成一个非空随机数集合α={α1,α2,...,αn};
步骤2-3、定义克罗内克函数构造盲化矩阵N,其中构造解除盲化矩阵N-1,其中,N与N-1即为一对矩阵形式的盲化因子。
6.根据权利要求1所述的可抵御生成对抗网络攻击的联合深度学习方法,其特征在于,步骤3中完成一轮安全本地训练得到各参数梯度更新的具体过程为:
步骤3-1、参数服务器PS将联合学习系统模型的参数分为两部分,一部分为需要盲化处理的参数:包括输入层与第一隐藏层结点之间的权值参数矩阵A和第一隐藏层结点的偏置向量b,其中Ai,j代表第i个输入层结点与第一隐藏层第j个结点之间的权值参数,bj代表第一隐藏层第j个结点的偏置,另一部分为可明文共享的除A与b以外的其他参数;
步骤3-2、一般用户CTj与参数服务器PS、盲化服务器BS交互,利用安全三方计算技术得到训练样本x=(x1,x2,...,xm)关于深度学习全连接神经网络模型第一隐藏层各结点的输出;
步骤3-3、一般训练者CTj利用步骤3-2得到的第一隐藏层各结点的输出在本地完成基于随机梯度下降法的联合学习系统模型参数更新。
7.根据权利要求1所述的可抵御生成对抗网络攻击的联合深度学习方法,其特征在于,步骤3-2中一般用户CTj与参数服务器PS、盲化服务器BS交互,利用安全三方计算技术得到训练样本x=(x1,x2,...,xm)关于深度学习全连接神经网络模型第一隐藏层各结点的输出的具体步骤为:
步骤3-2-1、参数服务器PS生成与b同维的非零随机向量r,计算b-Ar,将A与r发送给盲化服务器BS,将b-Ar、r以及除A与b以外的其他模型参数发送给一般训练者CTj;
步骤3-2-2、盲化服务器BS得到参数矩阵A后计算:N·Mj·A=NMjA以及Mj·Ar=MjAr,将NMjA发送给训练者CTj,将MjAr发送给参数服务器PS;
步骤3-2-3、一般训练者CTj计算:NMjA(x+r)并将结果发送给参数服务器;
步骤3-2-4、参数服务器本地利用N以及MjAr验证训练者CTj是否存在恶意输入x=0或x=r,即比较判断NMjA(x+r)是否等于NMjAr或NMjA(r+r)。验证通过则抵消部分盲化计算:N-1·NMjA(x+r)=MjA(x+r),结果返还给训练者CTj;
步骤3-2-5、训练者CTj去除所有盲化:经激活函数处理得到第一隐藏层各结点的输出。
8.根据权利要求1所述的可抵御生成对抗网络攻击的联合深度学习方法,其特征在于,步骤3-3一般训练者CTj利用步骤3-2得到的第一隐藏层各结点的输出在本地完成基于随机梯度下降法的联合学习系统模型参数更新的具体方法为:
步骤3-3-1、一般训练者CTj将第一隐藏层各结点的输出经过激活函数处理之后作为第二隐藏层结点的输入,并逐层计算输出,最终得到训练样本x=(x1,x2,...,xm)关于联合学习系统模型的输出
步骤3-3-2、一般训练者CTj结合样本标签y(x)通过误差函数计算误差E;
步骤3-3-3、根据误差E计算关于每个系统模型参数Wi的偏导,即梯度更新:所有参数的梯度更新构成梯度更新向量,其中每个元素与联合学习系统模型参数向量W的每个参数一一对应。
9.根据权利要求1所述的可抵御生成对抗网络攻击的联合深度学习方法,其特征在于,步骤3中每个一般训练者CTj选择将部分梯度更新值返回给参数服务器PS;对应于每一层的权值参数及偏置参数,训练者设置上传选择比率θu,选择梯度更新值较大的前100×θu%进行保留,梯度更新向量中的其他梯度更新值置0。参数服务器接收到用户CTj的梯度更新向量,依据梯度下降参数更新公式:更新系统模型,η为学习率。完成一轮训练后参数服务器PS可以根据测试集测试更新后模型的准确率,并从训练队列中调度下一个训练者参与新一轮联合学习,当联合学习系统模型准确率达到目标阈值或者训练队列为空时,参数服务器PS关闭训练队列,整个联合学习过程结束。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910746047.5A CN110460600B (zh) | 2019-08-13 | 2019-08-13 | 可抵御生成对抗网络攻击的联合深度学习方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910746047.5A CN110460600B (zh) | 2019-08-13 | 2019-08-13 | 可抵御生成对抗网络攻击的联合深度学习方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110460600A true CN110460600A (zh) | 2019-11-15 |
CN110460600B CN110460600B (zh) | 2021-09-03 |
Family
ID=68486271
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910746047.5A Active CN110460600B (zh) | 2019-08-13 | 2019-08-13 | 可抵御生成对抗网络攻击的联合深度学习方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110460600B (zh) |
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110955915A (zh) * | 2019-12-14 | 2020-04-03 | 支付宝(杭州)信息技术有限公司 | 一种隐私数据的处理方法及装置 |
CN111064797A (zh) * | 2019-12-20 | 2020-04-24 | 深圳前海微众银行股份有限公司 | 一种数据处理方法及装置 |
CN111092912A (zh) * | 2019-12-31 | 2020-05-01 | 中国银行股份有限公司 | 安全防御方法及装置 |
CN111105240A (zh) * | 2019-12-12 | 2020-05-05 | 中国科学院深圳先进技术研究院 | 资源敏感的联合金融欺诈检测模型训练方法及检测方法 |
CN111178542A (zh) * | 2019-11-18 | 2020-05-19 | 上海联影智能医疗科技有限公司 | 基于机器学习建模的系统和方法 |
CN111242290A (zh) * | 2020-01-20 | 2020-06-05 | 福州大学 | 一种轻量级隐私保护生成对抗网络系统 |
CN111245903A (zh) * | 2019-12-31 | 2020-06-05 | 烽火通信科技股份有限公司 | 一种基于边缘计算的联合学习方法及系统 |
CN111243698A (zh) * | 2020-01-14 | 2020-06-05 | 暨南大学 | 一种数据安全共享方法、存储介质和计算设备 |
CN111460443A (zh) * | 2020-05-28 | 2020-07-28 | 南京大学 | 一种联邦学习中数据操纵攻击的安全防御方法 |
CN111523686A (zh) * | 2020-04-23 | 2020-08-11 | 支付宝(杭州)信息技术有限公司 | 一种模型联合训练的方法和系统 |
CN111563275A (zh) * | 2020-07-14 | 2020-08-21 | 中国人民解放军国防科技大学 | 一种基于生成对抗网络的数据脱敏方法 |
CN111866882A (zh) * | 2019-12-17 | 2020-10-30 | 南京理工大学 | 一种基于生成对抗网络的移动应用流量生成方法 |
CN112101531A (zh) * | 2020-11-16 | 2020-12-18 | 支付宝(杭州)信息技术有限公司 | 基于隐私保护的神经网络模型训练方法、装置及系统 |
CN112162959A (zh) * | 2020-10-15 | 2021-01-01 | 深圳技术大学 | 一种医疗数据共享方法及装置 |
CN112235787A (zh) * | 2020-09-30 | 2021-01-15 | 南京工业大学 | 一种基于生成对抗网络的位置隐私保护方法 |
CN112600794A (zh) * | 2020-11-23 | 2021-04-02 | 南京理工大学 | 一种联合深度学习中检测gan攻击的方法 |
CN112671746A (zh) * | 2020-12-17 | 2021-04-16 | 杭州趣链科技有限公司 | 一种基于区块链的联邦学习模型中毒检测方法 |
CN112686205A (zh) * | 2021-01-14 | 2021-04-20 | 电子科技大学中山学院 | 一种参数更新方法及装置、多终端网络架构 |
CN112968891A (zh) * | 2021-02-19 | 2021-06-15 | 山东英信计算机技术有限公司 | 网络攻击防御方法、装置及计算机可读存储介质 |
CN113076974A (zh) * | 2021-03-09 | 2021-07-06 | 麦哲伦科技有限公司 | 多层感知机构建缺失值填补与分类并行的多任务学习方法 |
CN113780530A (zh) * | 2021-09-09 | 2021-12-10 | 浙江数秦科技有限公司 | 一种三角式隐私计算方法 |
CN113792890A (zh) * | 2021-09-29 | 2021-12-14 | 国网浙江省电力有限公司信息通信分公司 | 一种基于联邦学习的模型训练方法及相关设备 |
CN114330514A (zh) * | 2021-12-14 | 2022-04-12 | 深圳大学 | 一种基于深度特征与梯度信息的数据重建方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109584221A (zh) * | 2018-11-16 | 2019-04-05 | 聚时科技(上海)有限公司 | 一种基于监督式生成对抗网络的异常图像检测方法 |
CN109684855A (zh) * | 2018-12-17 | 2019-04-26 | 电子科技大学 | 一种基于隐私保护技术的联合深度学习训练方法 |
CN109870729A (zh) * | 2019-01-31 | 2019-06-11 | 吉林大学 | 基于离散余弦变换的深度神经网络磁共振信号消噪方法 |
US20190205334A1 (en) * | 2017-04-27 | 2019-07-04 | Sk Telecom Co., Ltd. | Method for learning cross-domain relations based on generative adversarial networks |
CN110059793A (zh) * | 2017-10-26 | 2019-07-26 | 辉达公司 | 生成式对抗神经网络的逐步修改 |
-
2019
- 2019-08-13 CN CN201910746047.5A patent/CN110460600B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190205334A1 (en) * | 2017-04-27 | 2019-07-04 | Sk Telecom Co., Ltd. | Method for learning cross-domain relations based on generative adversarial networks |
CN110059793A (zh) * | 2017-10-26 | 2019-07-26 | 辉达公司 | 生成式对抗神经网络的逐步修改 |
CN109584221A (zh) * | 2018-11-16 | 2019-04-05 | 聚时科技(上海)有限公司 | 一种基于监督式生成对抗网络的异常图像检测方法 |
CN109684855A (zh) * | 2018-12-17 | 2019-04-26 | 电子科技大学 | 一种基于隐私保护技术的联合深度学习训练方法 |
CN109870729A (zh) * | 2019-01-31 | 2019-06-11 | 吉林大学 | 基于离散余弦变换的深度神经网络磁共振信号消噪方法 |
Cited By (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111178542A (zh) * | 2019-11-18 | 2020-05-19 | 上海联影智能医疗科技有限公司 | 基于机器学习建模的系统和方法 |
CN111178542B (zh) * | 2019-11-18 | 2024-05-24 | 上海联影智能医疗科技有限公司 | 基于机器学习建模的系统和方法 |
CN111105240B (zh) * | 2019-12-12 | 2022-12-20 | 中国科学院深圳先进技术研究院 | 资源敏感的联合金融欺诈检测模型训练方法及检测方法 |
CN111105240A (zh) * | 2019-12-12 | 2020-05-05 | 中国科学院深圳先进技术研究院 | 资源敏感的联合金融欺诈检测模型训练方法及检测方法 |
CN110955915A (zh) * | 2019-12-14 | 2020-04-03 | 支付宝(杭州)信息技术有限公司 | 一种隐私数据的处理方法及装置 |
CN110955915B (zh) * | 2019-12-14 | 2022-03-25 | 支付宝(杭州)信息技术有限公司 | 一种隐私数据的处理方法及装置 |
CN111866882A (zh) * | 2019-12-17 | 2020-10-30 | 南京理工大学 | 一种基于生成对抗网络的移动应用流量生成方法 |
CN111064797A (zh) * | 2019-12-20 | 2020-04-24 | 深圳前海微众银行股份有限公司 | 一种数据处理方法及装置 |
CN111064797B (zh) * | 2019-12-20 | 2023-01-10 | 深圳前海微众银行股份有限公司 | 一种数据处理方法及装置 |
CN111245903A (zh) * | 2019-12-31 | 2020-06-05 | 烽火通信科技股份有限公司 | 一种基于边缘计算的联合学习方法及系统 |
CN111092912A (zh) * | 2019-12-31 | 2020-05-01 | 中国银行股份有限公司 | 安全防御方法及装置 |
CN111245903B (zh) * | 2019-12-31 | 2022-07-01 | 烽火通信科技股份有限公司 | 一种基于边缘计算的联合学习方法及系统 |
CN111092912B (zh) * | 2019-12-31 | 2022-12-23 | 中国银行股份有限公司 | 安全防御方法及装置 |
CN111243698A (zh) * | 2020-01-14 | 2020-06-05 | 暨南大学 | 一种数据安全共享方法、存储介质和计算设备 |
CN111242290A (zh) * | 2020-01-20 | 2020-06-05 | 福州大学 | 一种轻量级隐私保护生成对抗网络系统 |
CN111242290B (zh) * | 2020-01-20 | 2022-05-17 | 福州大学 | 一种轻量级隐私保护生成对抗网络系统 |
CN111523686A (zh) * | 2020-04-23 | 2020-08-11 | 支付宝(杭州)信息技术有限公司 | 一种模型联合训练的方法和系统 |
CN111523686B (zh) * | 2020-04-23 | 2021-08-03 | 支付宝(杭州)信息技术有限公司 | 一种模型联合训练的方法和系统 |
CN111460443B (zh) * | 2020-05-28 | 2022-09-23 | 南京大学 | 一种联邦学习中数据操纵攻击的安全防御方法 |
CN111460443A (zh) * | 2020-05-28 | 2020-07-28 | 南京大学 | 一种联邦学习中数据操纵攻击的安全防御方法 |
CN111563275A (zh) * | 2020-07-14 | 2020-08-21 | 中国人民解放军国防科技大学 | 一种基于生成对抗网络的数据脱敏方法 |
CN112235787A (zh) * | 2020-09-30 | 2021-01-15 | 南京工业大学 | 一种基于生成对抗网络的位置隐私保护方法 |
CN112162959B (zh) * | 2020-10-15 | 2023-10-10 | 深圳技术大学 | 一种医疗数据共享方法及装置 |
CN112162959A (zh) * | 2020-10-15 | 2021-01-01 | 深圳技术大学 | 一种医疗数据共享方法及装置 |
CN112101531A (zh) * | 2020-11-16 | 2020-12-18 | 支付宝(杭州)信息技术有限公司 | 基于隐私保护的神经网络模型训练方法、装置及系统 |
CN112600794A (zh) * | 2020-11-23 | 2021-04-02 | 南京理工大学 | 一种联合深度学习中检测gan攻击的方法 |
CN112671746A (zh) * | 2020-12-17 | 2021-04-16 | 杭州趣链科技有限公司 | 一种基于区块链的联邦学习模型中毒检测方法 |
CN112686205B (zh) * | 2021-01-14 | 2023-10-13 | 电子科技大学中山学院 | 一种参数更新方法及装置、多终端网络架构 |
CN112686205A (zh) * | 2021-01-14 | 2021-04-20 | 电子科技大学中山学院 | 一种参数更新方法及装置、多终端网络架构 |
CN112968891A (zh) * | 2021-02-19 | 2021-06-15 | 山东英信计算机技术有限公司 | 网络攻击防御方法、装置及计算机可读存储介质 |
CN112968891B (zh) * | 2021-02-19 | 2022-07-08 | 山东英信计算机技术有限公司 | 网络攻击防御方法、装置及计算机可读存储介质 |
CN113076974A (zh) * | 2021-03-09 | 2021-07-06 | 麦哲伦科技有限公司 | 多层感知机构建缺失值填补与分类并行的多任务学习方法 |
CN113780530A (zh) * | 2021-09-09 | 2021-12-10 | 浙江数秦科技有限公司 | 一种三角式隐私计算方法 |
CN113780530B (zh) * | 2021-09-09 | 2024-05-24 | 浙江数秦科技有限公司 | 一种三角式隐私计算方法 |
CN113792890A (zh) * | 2021-09-29 | 2021-12-14 | 国网浙江省电力有限公司信息通信分公司 | 一种基于联邦学习的模型训练方法及相关设备 |
CN113792890B (zh) * | 2021-09-29 | 2024-05-03 | 国网浙江省电力有限公司信息通信分公司 | 一种基于联邦学习的模型训练方法及相关设备 |
CN114330514A (zh) * | 2021-12-14 | 2022-04-12 | 深圳大学 | 一种基于深度特征与梯度信息的数据重建方法及系统 |
CN114330514B (zh) * | 2021-12-14 | 2024-04-05 | 深圳大学 | 一种基于深度特征与梯度信息的数据重建方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110460600B (zh) | 2021-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110460600A (zh) | 可抵御生成对抗网络攻击的联合深度学习方法 | |
CN109859288B (zh) | 基于生成对抗网络的图像上色方法及装置 | |
CN110008696A (zh) | 一种面向深度联邦学习的用户数据重建攻击方法 | |
CN111899023B (zh) | 一种基于区块链的群智感知机器学习安全众包方法及系统 | |
CN112668044A (zh) | 面向联邦学习的隐私保护方法及装置 | |
CN115952532A (zh) | 一种基于联盟链联邦学习的隐私保护方法 | |
CN114491615A (zh) | 基于区块链的异步纵向联邦学习公平激励机制方法 | |
CN111882476B (zh) | 基于深度强化学习的自动学习嵌入代价的图像隐写方法 | |
Liu et al. | Secure federated learning model verification: A client-side backdoor triggered watermarking scheme | |
CN114362948B (zh) | 一种联邦衍生特征逻辑回归建模方法 | |
CN116777294A (zh) | 区块链协助下基于联邦学习的众包质量安全评估方法 | |
Mao et al. | A novel user membership leakage attack in collaborative deep learning | |
CN107070954B (zh) | 基于匿名的信任评价方法 | |
CN113435264A (zh) | 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置 | |
CN112560059A (zh) | 一种基于神经通路特征提取的垂直联邦下模型窃取防御方法 | |
CN115118462B (zh) | 一种基于卷积增强链的数据隐私保护方法 | |
CN107256529A (zh) | 多目标量子蝙蝠演进机制的小波数字水印生成方法 | |
CN116187432A (zh) | 基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法 | |
CN114492828A (zh) | 基于区块链技术的垂直联邦学习恶意节点检测与加固方法和应用 | |
CN115687526A (zh) | 一种基于区块链和联邦学习的地震数据模型共享方法 | |
CN115134114A (zh) | 基于离散混淆自编码器的纵向联邦学习攻击防御方法 | |
CN114723068A (zh) | 联邦模型训练方法及装置 | |
CN114239049A (zh) | 基于参数压缩的面向联邦学习隐私推理攻击的防御方法 | |
Petkov et al. | Generalized net model of encrypting message in an image using self organizing map neural network | |
CN112054891A (zh) | 基于区块链的共有用户确定方法、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |