CN111598143B - 基于信用评估的面向联邦学习中毒攻击的防御方法 - Google Patents

Abstract

本发明公开了一种基于信用评估的面向联邦学习中毒攻击的防御方法，包括三个阶段：训练阶段，利用共享数据集中的训练集和边缘端的本地数据集进行训练，避免因数据没有独立同分布导致边缘端训练的模型较差，同时可利用共享数据集的测试集进行模型的第一轮信用评估；模型收集阶段，算出边缘端模型之间的L2距离，并根据距离进行第二轮信用评估；模型聚合阶段，使用替代模型进行聚合，并利用服务器端的测试集进行测试，根据在测试集的准确率进行第三轮的信用评估。根据信用得分，挑选合适的边缘端作为全局模型更新的来源，并在一定轮数后重新评估。可以挑选合适的边缘端进行训练，从而优化全局模型的训练过程。

Description

基于信用评估的面向联邦学习中毒攻击的防御方法

技术领域

本发明属于机器学习领域，具体涉及一种基于信用评估的面向联邦学习中毒攻击的防御方法。

背景技术

在大多数行业中，数据是以孤岛的形式存在的，由于行业竞争、隐私安全、行政手续复杂等问题，即使是在同一个公司的不同部门之间实现数据整合也面临着重重阻力，在现实中想要将分散在各地、各个机构的数据进行整合几乎是不可能的，或者说所需的成本是巨大的。

随着人工智能落地场景越来越丰富，多方整合数据从而为用户提供更好的服务迫切性非常高，尤其是在一些风控领域，特别需要联合多家企业的数据来打造更好的信用模型，从而提升用户贷款的效率，比如银行就非常需要运营商的通信数据、电商企业的交易数据来提升信用模型的质量。

如何在满足数据隐私、安全和监管要求的前提下，设计一个机器学习框架，让人工智能系统能够更加高效、准确的共同使用各自的数据，是当前人工智能发展的一个重要课题。Google公司提出把研究的重点转移到如何解决数据孤岛的问题，提出一个满足隐私保护和数据安全的一个可行的解决方案，叫做联邦学习。联邦学习，一种先进的机器学习方法，可以利用来自多个节点(例如移动设备)的分布式个性化数据集，以改进服务器端模型的性能，同时提供隐私保护针对移动用户。

联邦学习的目的是解决数据孤岛的问题：它希望做到各个企业的自有数据不出本地，联邦系统可以通过加密机制下的参数交换方式，在不违反数据隐私保护法规的情况下，建立一个虚拟的共有模型。这个虚拟模型就好像大家把数据聚合在一起建立的最优模型一样。

在联邦学习中，服务器端的模型数据在边缘段的移动设备上进行分发和维护。服务器端通过收集本地模型来更新全局模型，即使用其本地训练数据在移动设备进行更新并在每次迭代中上传到服务器端来训练全局模型。但是，不可靠数据同样可以由移动设备上传，导致联邦学习训练的全局模型无法达到预期的效果。例如数据中毒攻击或无意中喂入不满足要求的数据。因此，需要找出值得信赖的可靠的边缘端作为更新的来源十分重要。

发明内容

为了解决因为不良数据喂入(数据中毒，没有独立同分布的数据)导致的模型难以优化的问题，本发明提供了基于信用评估的面向联邦学习中毒攻击的防御方法，可以挑选合适的边缘端进行训练，从而优化全局模型的训练过程。

本发明的技术方案为：

一种基于信用评估的面向联邦学习中毒攻击的防御方法，实现所述防御方法的系统包括一个服务器和K个终端，所述防御方法包括：

(1)为服务器配置图像数据集D_global、验证图像数据集D_val以及共享图像数据集D_share，利用所述图像数据集D_global训练初始化一个模型G_t；为每个终端配置一个本地图像数据集D_local；

(2)将所述当前模型G_t和所述共享图像数据集D_share发送至每个终端，t表示当前迭代次数；

(3)选择F个终端以模型G_t为基础，利用本地图像数据集D_local和共享图像数据集D_share中的训练图像样本对初始化模型G_t进行训练以更新模型参数，获得模型参数更新后的模型

再利用共享图像数据集D_share中的测试图像样本对模型

进行训练阶段的第一轮信用评估，获得第一轮信用评估结果，其中，F≤K，K为大于2的自然数，i为模型索引，i∈F；

(4)将F个模型

上传到服务器，计算模型

与其他模型

之间的L2范数，对L2范数进行统计以完成上传阶段的第二轮信用评估，获得第二轮信用评估结果，其中，m∈F且m不等于i；

(5)服务器将F个模型

与模型G_t聚合成模型

利用验证图像数据集D_val对模型

进行验证以完成聚合阶段的第三轮信用评估，获得第三轮信用评估结果；

(6)根据第一轮信用评估结果、第二轮信用评估结果以及第三轮信用评估结果统计F个模型

的综合信用评估结果，根据综合信用评估结果筛选小于综合信用评估阈值的L个模型

进行聚合获得模型G_t+1，利用图像数据集D_global和共享图像数据集D_share对模型G_t+1训练一定次数后，跳转执行步骤(2)，其中L≤F。

与现有技术相比，本发明具有的有益效果为：

通过终端模型的三轮信用评估筛选信用较好的终端进行边缘模型训练，以提升全局模型的质量，提高模型达到要求的效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。

图1是本发明提供的基于信用评估的面向联邦学习中毒攻击的防御方法的流程图；

图2是本发明提供的第一轮信用评估架构示意图；

图3是本发明提供的第二轮信用评估架构示意图；

图4是本发明提供的第三轮信用评估架构示意图；

图5是信用评估完成后的进行联邦学习示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

实施例提供了一种针对图像攻击的基于信用评估的面向联邦学习中毒攻击的防御方法，通过信用评估，将边缘端训练的模型进行分级，挑选其中信用评估较好的进行全局模型的聚类。信用评估主要在以下三个阶段进行：训练阶段，模型上传阶段以及模型聚合阶段。在模型训练阶段，利用共享数据集中的训练集和边缘端的本地数据集进行训练，避免因数据没有独立同分布导致边缘端训练的模型较差。同时可利用共享数据集的测试集进行模型的第一轮信用评估。在模型收集阶段，算出边缘端模型之间的L2距离，并根据距离进行第二轮信用评估。在模型聚合阶段，使用替代模型进行聚合，并利用服务器端的测试集进行测试，根据在测试集的准确率进行第三轮的信用评估。根据信用得分，挑选合适的边缘端作为全局模型更新的来源，并在一定轮数后重新评估。

如图1～图5所示，实施例提供的基于信用评估的面向联邦学习中毒攻击的防御方法包括以下步骤：

(1)为服务器配置图像数据集D_global、验证图像数据集D_val以及共享图像数据集D_share，利用所述图像数据集D_global训练初始化一个模型G_t；为每个终端配置一个本地图像数据集D_local。

再配置共享图像数据集D_share时，共享图像数据集D_share中的图像样本应尽量满足独立同分布的统计和。

所有数据集均可以来自MNIST数据集、Cifar10数据集和ImageNet数据集。

(2)将所述当前模型G_t和所述共享图像数据集D_share发送至每个终端，t表示当前迭代次数。

(3)选择F个终端以模型G_t为基础，利用本地图像数据集D_local和共享图像数据集D_share中的训练图像样本对初始化模型G_t进行训练以更新模型参数，获得模型参数更新后的模型

再利用共享图像数据集D_share中的测试图像样本对模型

进行训练阶段的第一轮信用评估，获得第一轮信用评估结果，其中，F≤K，K为大于2的自然数，i为模型索引，i∈F。

其中，第一轮信用评估的过程为：

首先，采用公式(1)计算第一轮信用评估值：

其中，rⁱ为第一轮信用评估值，{x_js,y_js}是共享图像数据集D_share的第j个图像样本和对应标签，

表示图像样本x_js在模型

的输出值，f(x_js；G_t)表示图像样本x_js在模型G_t的输出值，

表示判断图像样本x_js在模型

的输出值是否与标签y_js相同，C(f(x_js；G_t),y_js)表示判断图像样本x_js在模型G_t的输出值是否与标签y_js相同，sum(·)表示求和；

然后，比较第一轮信用评估值rⁱ与阈值γ_t，当第一轮信用评估值rⁱ大于阈值γ_t的模型给予较高的评价，对第一轮信用评估值rⁱ小于阈值γ_t的模型的第一轮信用评估值rⁱ清零，并将获得较高评价的模型的第一轮信用评估值rⁱ与信用参数α的乘积作为第一轮信用评估结果。

(4)将F个模型

上传到服务器，计算模型

与其他模型

之间的L2范数，对L2范数进行统计以完成上传阶段的第二轮信用评估，获得第二轮信用评估结果，其中，m∈F且m不等于i。

其中，第二轮信用评估的过程为：

首先，计算模型

与其他模型

之间的L2范数，并依据所述L2范数值根据公式(2)确定L2范数的范围Rⁱ；

其中，

表示模型

的模型参数，

表示模型

的模型参数，

表示模型参数

与模型参数

之间的L2范数，_i∈F\m表示i属于F但不等于m；

然后，根据公式(3)计算第二轮信用评估值：

κⁱ＝max{|R^i,u-min(R^m,l)|,|R^i,l-max(R^m,u)|}   (3)

其中，κⁱ表示第二轮信用评估值，

为范围Rⁱ的上限，

为范围Rⁱ的下限，

表示其他模型

对应范围R^m的下限，

表示其他模型

对应范围R^m的上限，m∈[F\i]表示m属于F但等于i；

最后，比较第二轮信用评估值κⁱ与阈值κ_t，当第二轮信用评估值κⁱ大于阈值κ_t的模型给予较高的评价，对第二轮信用评估值κⁱ小于阈值κ_t的模型的第二轮信用评估值κⁱ清零，并将获得较高评价的模型的第二轮信用评估值κⁱ与信用参数β的比值作为第二轮信用评估结果。

(5)服务器将F个模型

与模型G_t聚合成模型

利用验证图像数据集D_val对模型

进行验证以完成聚合阶段的第三轮信用评估，获得第三轮信用评估结果。

其中，第三轮信用评估的过程为：

首先，采用公式(4)计算第三轮信用评估值：

其中，δⁱ为第一轮信用评估值，{x_jv,y_jv}是验证图像数据集D_val的第j个图像样本和对应标签，

表示图像样本x_jv在模型

的输出值，f(x_jv；G_t)表示图像样本x_jv在模型G_t的输出值，

表示判断图像样本x_jv在模型

的输出值是否与标签y_jv相同，C(f(x_jv；G_t),y_jv)表示判断图像样本x_jv在模型G_t的输出值是否与标签y_jv相同，sum(·)表示求和；

然后，比较第三轮信用评估值δⁱ与阈值δ_t，当第三轮信用评估值δⁱ大于阈值δ_t的模型给予较高的评价，对第三轮信用评估值δⁱ小于阈值δ_t的模型的第三轮信用评估值δⁱ清零，并将获得较高评价的模型的第三轮信用评估值δⁱ与信用参数η的乘积作为第三轮信用评估结果。

实施例中，将模型

的模型参数与模型G_t的模型参数合并组成模型

的模型参数以获得模型

(6)根据第一轮信用评估结果、第二轮信用评估结果以及第三轮信用评估结果统计F个模型

的综合信用评估结果，根据综合信用评估结果筛选小于综合信用评估阈值的L个模型

进行聚合获得模型G_t+1，利用图像数据集D_global和共享图像数据集D_share对模型G_t+1训练一定次数后，跳转执行步骤(2)，其中L≤F。

实施例中，将模型

的第一轮信用评估结果、第二轮信用评估结果以及第三轮信用评估结果相加获得模型

的综合评价结果。

实施例中，综合信用评估结果筛选小于综合信用评估阈值的L个模型

的模型参数与模型G_t的模型参数合并组成模型G_t+1的模型参数以获得模型G_t+1。

训练结束后的模型G_t+1即可以解决因为不良数据喂入(数据被攻击中毒，没有独立同分布的数据)导致的模型难以优化的问题。

以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的最优选实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于信用评估的面向联邦学习中毒攻击的防御方法，其特征在于，实现所述防御方法的系统包括一个服务器和K个终端，所述防御方法包括：

(1)为服务器配置图像数据集D_global、验证图像数据集D_val以及共享图像数据集D_share，利用所述图像数据集D_global训练初始化一个模型G_t；为每个终端配置一个本地图像数据集D_local；

(2)将所述当前模型G_t和所述共享图像数据集D_share发送至每个终端，t表示当前迭代次数；

(3)选择F个终端以模型G_t为基础，利用本地图像数据集D_local和共享图像数据集D_share中的训练图像样本对初始化模型G_t进行训练以更新模型参数，获得模型参数更新后的模型

再利用共享图像数据集D_share中的测试图像样本对模型

进行训练阶段的第一轮信用评估，获得第一轮信用评估结果，其中，F≤K，K为大于2的自然数，i为模型索引，i∈F；

(4)将F个模型

上传到服务器，计算模型

与其他模型

之间的L2范数，对L2范数进行统计以完成上传阶段的第二轮信用评估，获得第二轮信用评估结果，其中，m∈F且m不等于i；

(5)服务器将F个模型

与模型G_t聚合成模型

利用验证图像数据集D_val对模型

进行验证以完成聚合阶段的第三轮信用评估，获得第三轮信用评估结果；

(6)根据第一轮信用评估结果、第二轮信用评估结果以及第三轮信用评估结果统计F个模型

的综合信用评估结果，根据综合信用评估结果筛选小于综合信用评估阈值的L个模型

进行聚合获得模型G_t+1，利用图像数据集D_global和共享图像数据集D_share对模型G_t+1训练一定次数后，跳转执行步骤(2)，其中L≤F。

2.如权利要求1所述的基于信用评估的面向联邦学习中毒攻击的防御方法，其特征在于，步骤(3)中，第一轮信用评估的过程为：

首先，采用公式(1)计算第一轮信用评估值：

其中，rⁱ为第一轮信用评估值，{x_js,y_js}是共享图像数据集D_share的第j个图像样本和对应标签，

表示图像样本x_js在模型

的输出值，f(x_js；G_t)表示图像样本x_js在模型G_t的输出值，

表示判断图像样本x_js在模型

的输出值是否与标签y_js相同，C(f(x_js；G_t),y_js)表示判断图像样本x_js在模型G_t的输出值是否与标签y_js相同，sum(·)表示求和；

然后，比较第一轮信用评估值rⁱ与阈值γ_t，当第一轮信用评估值rⁱ大于阈值γ_t的模型给予较高的评价，对第一轮信用评估值rⁱ小于阈值γ_t的模型的第一轮信用评估值rⁱ清零，并将获得较高评价的模型的第一轮信用评估值rⁱ与信用参数α的乘积作为第一轮信用评估结果。

3.如权利要求1所述的基于信用评估的面向联邦学习中毒攻击的防御方法，其特征在于，步骤(4)中，第二轮信用评估的过程为：

首先，计算模型

与其他模型

之间的L2范数，并依据所述L2范数值根据公式(2)确定L2范数的范围Rⁱ；

其中，

表示模型

的模型参数，

表示模型

的模型参数，

表示模型参数

与模型参数

之间的L2范数，_i∈F\m表示i属于F但不等于m；

然后，根据公式(3)计算第二轮信用评估值：

其中，κⁱ表示第二轮信用评估值，

为范围Rⁱ的上限，

为范围Rⁱ的下限，

表示其他模型

对应范围R^m的下限，

表示其他模型

对应范围R^m的上限，_m∈[F\i]表示m属于F但等于i；

最后，比较第二轮信用评估值κⁱ与阈值κ_t，当第二轮信用评估值κⁱ大于阈值κ_t的模型给予较高的评价，对第二轮信用评估值κⁱ小于阈值κ_t的模型的第二轮信用评估值κⁱ清零，并将获得较高评价的模型的第二轮信用评估值κⁱ与信用参数β的比值作为第二轮信用评估结果。

4.如权利要求1所述的基于信用评估的面向联邦学习中毒攻击的防御方法，其特征在于，步骤(5)中，第三轮信用评估的过程为：

首先，采用公式(4)计算第三轮信用评估值：

其中，δⁱ为第三轮信用评估值，{x_jv,y_jv}是验证图像数据集D_val的第j个图像样本和对应标签，

表示图像样本x_jv在模型

的输出值，f(x_jv；G_t)表示图像样本x_jv在模型G_t的输出值，

表示判断图像样本x_jv在模型

的输出值是否与标签y_jv相同，C(f(x_jv；G_t),y_jv)表示判断图像样本x_jv在模型G_t的输出值是否与标签y_jv相同，sum(·)表示求和；

然后，比较第三轮信用评估值δⁱ与阈值δ_t，当第三轮信用评估值δⁱ大于阈值δ_t的模型给予较高的评价，对第三轮信用评估值δⁱ小于阈值δ_t的模型的第三轮信用评估值δⁱ清零，并将获得较高评价的模型的第三轮信用评估值δⁱ与信用参数η的乘积作为第三轮信用评估结果。

5.如权利要求1所述的基于信用评估的面向联邦学习中毒攻击的防御方法，其特征在于，步骤(5)中，将模型

的模型参数与模型G_t的模型参数合并组成模型

的模型参数以获得模型

6.如权利要求1所述的基于信用评估的面向联邦学习中毒攻击的防御方法，其特征在于，步骤(6)中，将模型

的第一轮信用评估结果、第二轮信用评估结果以及第三轮信用评估结果相加获得模型

的综合评价结果。

7.如权利要求1所述的基于信用评估的面向联邦学习中毒攻击的防御方法，其特征在于，步骤(6)中，综合信用评估结果筛选小于综合信用评估阈值的L个模型

的模型参数与模型G_t的模型参数合并组成模型G_t+1的模型参数以获得模型G_t+1。

Images