CN113360896A

CN113360896A - 一种横向联邦学习架构下的Free Rider攻击检测方法

Info

Publication number: CN113360896A
Application number: CN202110619300.8A
Authority: CN
Inventors: 于海宁; 胡振鹏; 陈杰; 张宏莉; 成燕; 梁稚媛; 陈瑞; 尹莱莱
Original assignee: Harbin Institute of Technology; Shanghai Pudong Development Bank Co Ltd
Current assignee: Harbin Institute of Technology; Shanghai Pudong Development Bank Co Ltd
Priority date: 2021-06-03
Filing date: 2021-06-03
Publication date: 2021-09-07
Anticipated expiration: 2041-06-03
Also published as: CN113360896B

Abstract

本发明提出了一种横向联邦学习架构下的Free rider攻击检测方法，属于人工智能安全领域。本发明首先，通过模型参数增量处理获取高维样本，对高维样本进行降维处理，抽取三部分特征，将特征合并得到压缩后的样本，在评估网络中计算样本的能量，根据能量判断攻击者，由于Free Rider攻击者生成的模型参数是在原本的全局模型参数的基础上按照训练的轮次加入差分扰动，因此在对其计算本地模型参数增量之后，其增量值等于攻击中加入的差分扰动，估计网络在评估样本的似然性时，其样本能量值的平均值会偏高，因此这样的样本数据会被检测为异常，我们设置阈值判断出Free Rider攻击者。解决了基于横向联邦学习架构下的Free Rider攻击的检测能力差的技术问题。

Description

一种横向联邦学习架构下的Free Rider攻击检测方法

技术领域

本申请涉及一种攻击检测方法，尤其涉及一种横向联邦学习架构下的Free Rider攻击检测方法，属于人工智能安全领域。

背景技术

联邦学习是近年来提出的一种机器学习范式，它能够使多个客户能够合作训练并获得一个联合的最终模型。而针对联邦学习的Free Rider攻击是指某个或某些客户在不提供本地数据的情况下提供伪造的模型参数参与联邦学习，目的是获取最终的模型的一种攻击手段。横向联邦学习中的Free Rider攻击对于第t轮参数服务器A发送的全局参数θ(t)，有以下两种朴素的攻击策略，参照图5；

1、获取全局模型输出层矩阵的维度D_softmax，生成新的维度为D_softmax的高维矩阵，用固定值R填充这个新的矩阵，将该矩阵作为全局模型更新θ_i(t)返回给参数服务器A。

2、获取全局模型输出层矩阵的维度D_softmax，生成新的维度为D_softmax的高维矩阵，用F范围在[R1,R2]的随机生成数填充这个新的矩阵，将该矩阵作为全局模型更新θ_i(t)返回给参数服务器A。

上述针对Free Rider攻击的中，现有技术将DAGMM作为检测攻击者的一种手段，但DAGMM在针对以下两种攻击中会不起作用：

1、直接将当前轮次的全局模型参数θ(t)作为全局模型更新，即θ_i(t)＝θ(t)返回给参数服务器A。

2、通过添加差分时变扰动的方式处理获取的全局模型参数，并伪装成自己训练得到的模型参数返回给参数服务器。

上述这种基于真实的模型参数修改的样本数据在DAGMM很可能被认为是训练得到的真实样本而容易被DAGMM中的估计网络较好地还原，很难检测出攻击者。

发明内容

为解决现有技术中存在的基于横向联邦学习架构下的Free Rider攻击的检测能力差的技术问题，本发明提供了一种横向联邦学习架构下的Free Rider攻击检测方法，由于攻击者生成的模型参数是在原本的全局模型参数的基础上按照训练的轮次加入差分扰动，而为了使模型参数看起来总体呈一定的收敛性，这样的差分扰动的效果是逐轮递减的，因此在对其计算本地模型参数增量之后，其差值即为攻击中加入的差分扰动，这样的样本数据可以视为异常数据，估计网络在评估样本的似然性(能量值)时，其样本能量值的平均值En_i会偏高，我们可以据此找出其中的Free Rider攻击者。解决了基于横向联邦学习架构下的Free Rider攻击的检测能力差的技术问题。

一种横向联邦学习架构下的Free Rider攻击检测方法，包括以下步骤：

S1.对全局模型的增量进行线性处理，得到最终的高维样本x；

S2.高维样本x维在Delta-DAGMM模型中进行降维处理，抽取三部分特征，然后将三部分特征合并得到压缩后的样本z；

S3.将压缩后的样本z输入到评估网络中，并评估样本z的能量；

S4.根据评估能量得到检测结果。

优选的，步骤S1所述对对全局模型的增量进行线性处理具体方法是：

x＝k(θ_i(t)-θ(t))+b,

其中，x为经过线性处理的模型增量，θ_i(t)为第t轮参与者i上传的局部更新模型，θ(t))为第t轮参数服务器传输给所有参与者客户端的全局模型，k,b为预设的用来线性处理的常数。

优选的，步骤S1所述高维样本x根据联邦训练模型的不同具体有如下两种样本类型：

(1)参与者和参数服务器选取MLP模型，在横向联邦训练中获取Delta-MLP-Federate.样本，每一个输入样本数组为长度64；

(2)参与者和参数服务器选取CNN模型，在横向联邦训练中获取Delta-CNN-Federate.样本,每一个输入样本数组为长度50。

优选的，步骤S2所述高维样本x维在Delta-DAGMM模型中进行降维处理的具体方法是：将高维样本x输入到压缩网络中，并用压缩网络中的深度自动编码器对高维样本x进行降维处理。

优选的，步骤S2所述抽取三部分特征，然后将三部分特征合并得到压缩后的样本z的具体方法是：

(1)抽取三部分特征的具体方法：

z_c＝h(x；ζ_e)

x′＝g(z_c；ζ_d)

z_r＝f(x,x′)

其中z_c是由深度自动编码器学习的简化低维表示，z_r为从重构误差导出的特征，ζ_e和ζ_d是深度自动编码器的参数，x′是x的重构对应物，h(·)表示编码函数，g(·)表示解码函数，f(·)表示计算重构误差特征的函数,z_avg为输入样本z所有元素的均值；

(2)将三部分特征合并得到压缩后的样本z的具体方法是：

z＝[z_c,z_r,z_avg]

其中，z表示压缩后的样本。

优选的，步骤S3所述将压缩后的样本z输入到评估网络中，并评估样本z的能量的具体包括以下步骤：

S3.1在估计网络中的隶属度检测；

S3.2计算GMM中的参数；

S3.3评估样本z的能量。

优选的，步骤S3.1所述在估计网络中的隶属度检测的具体方法是：

z表示压缩后的样本，整数K表示GMM中混合分量数，估计网络通过利用多层神经网络MLN来预测每个样本z的混合隶属度，隶属度检测公式如下：

p＝MLN(z；ζ_m)

其中，P是由ζ_m参数化的多层网络的输出，MLN为多层神经网络，ζ_m为深度自动编码器的参数，

是用于软混合成分隶属度预测的k维向量，给定一批数量为n的样本z及其隶属度预测，k为范围在[1,K]的任意的整数。

优选的，步骤S3.2所述计算GMM中的参数包括，GMM分量k的混合概率

均值

协方差

计算参数的具体方法是：

其中，N表示参与者总人数。

优选的，步骤S3.3所述评估样本z的能量的具体方法是：

优选的，步骤S4所述根据评估能量得到检测结果的具体方法是：取出每一名参与者得到的样本z能量E_i，计算这些样本z能量的平均值E(t)＝avg(Enlist_i)，设置阈值为E_i>E(t)*1.08，将满足条件的高能量样本预测为该训练轮次下的Free Rider攻击者，在每一次联邦训练结束后，每一名参与者在所有训练轮次中累计超过2/3的次数被检测为FreeRider攻击者，则其最终被判定为Free Rider攻击者。

本发明的有益效果如下：一种横向联邦学习架构下的Free Rider攻击检测方法，由于攻击者生成的模型参数是在原本的全局模型参数的基础上按照训练的轮次加入差分扰动，而为了使模型参数看起来总体呈一定的收敛性，这样的差分扰动的效果是逐轮递减的，因此在对其计算本地模型参数增量之后，其差值即为攻击中加入的差分扰动，这样的样本数据可以视为异常数据，估计网络在评估样本的似然性(能量值)时，其样本能量值的平均值En_i会偏高，我们可以据此找出其中的Free Rider攻击者。解决了基于横向联邦学习架构下的Free Rider攻击的检测能力差的技术问题。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本发明所述的Free Rider攻击检测方法流程示意图；

图2为本发明所述的Free Rider攻击检测方法中评估样本的能量流程示意图；

图3为发明所述的Delta-DAGMM算法伪代码示意图；

图4为发明所述的Delta-DAGMM模型示意图；

图5为本发明现有技术所述现有Free Rider攻击方法示意图。

具体实施方式

为了使本申请实施例中的技术方案及优点更加清楚明白，以下结合附图对本申请的示例性实施例进行进一步详细的说明，显然，所描述的实施例仅是本申请的一部分实施例，而不是所有实施例的穷举。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

实施例、参照图1-4，说明本实施例，本实施例的一种横向联邦学习架构下的FreeRider攻击检测方法，包括以下步骤，参照图1：

步骤一、对全局模型的增量进行线性处理，得到最终的高维样本x；

具体的，参数服务器发送全局模型给每一名参与者前，需要获取每一轮联邦训练中更新的全局模型参数，具体方法是：在横向联邦学习的训练中，假设有m个参与者客户端参与多轮迭代训练，分别用C₁,C₂,...,C_m表示。在迭代训练的过程中，我们用θ(t)表示第t轮参数服务器传输给所有参与者客户端的全局模型；参与者客户端各自本地更新的模型，用(θ₁(t),θ₂(t),...,θ_m(t))表示。第t轮所有的参与者客户端训练完毕后，参数服务器接收到所有参与者客户端本地更新的模型，通过联邦平均算法(FVG)生成第t+1轮的全局模型θ_m(t+1)，具体计算公式如下：

参数服务器端将得到的全局模型θ_m(t+1)作为第t+1轮的全局模型，发送给所有参与者客户端。

假设共有n轮训练，每一轮迭代训练都会生成一个系列的客户端的局部梯度更新[θ₁(1),θ₂(1),...,θ_m(1)],[θ₁(2),θ₂(2),...,θ_m(2)],…,[θ₁(n),θ₂(n),...,θ_m(n)]，以及一系列的全局模型[θ₁,θ₂,...,θ_n]。我们在每一轮横向联邦训练结束之前，我们收集全局模型参数θ(t)，以及客户端的本地局部更新模型参数集合{θ₁(t),θ₂(t),...,θ_m(t)}。

具体的，攻击者生成的模型参数是在原本的全局模型参数的基础上以当前训练的轮次为参数加入差分扰动。为了使模型参数总体呈现近似良性参与者的收敛性，这样的差分扰动的效果虽然是逐轮递减的，但是会呈现一定的波动性。参数服务器在计算FreeRider攻击者本地模型参数相较于当前轮次全局模型参数的增量之后，得到的差值实际上等于攻击中加入的差分扰动的数值，由于攻击者样本的波动性，极有可能被检测为异常数据，为了避免输入样本数值绝对值过小导致的评估误差，我们对模型的增量进行线性处理，对全局模型的增量进行线性处理的具体方法是：

x＝k(θ_i(t)-θ(t))+b,

其中，x为经过线性处理的模型增量，也是检测模型的输入样本，其中，x为经过线性处理的模型增量，θ_i(t)为第t轮参与者i上传的局部更新模型，θ(t))为第t轮参数服务器传输给所有参与者客户端的全局模型，k,b为预设的用来线性处理的常数。

线性处理后的模型参数即为x＝b，相当于把这种攻击策略转化为使用固定值b填充全局模型。而当攻击者使用加入线性时变扰动的Free Rider攻击策略时θ_i ^f(t)＝θ(t)+mσt^-γ和对于加入指数性的时变扰动攻击θ_i ^f(t)＝θ(t)+mσe^-(t-1)γ，经增量处理后的样本实际上是使用值为kmσt^-γ+b或kmσe^-(t-1)γ+b的时变扰动值填充全局模型的样本。

当横向联邦学习使用不同的训练模型时，本地局部模型和全局模型输出层参数的维度也不同，处理得到的最终高维样本x根据横向联邦悬系中训练模型的不同将输入Delta-DAGMM检测模型具体分为以下两种样本类型：

步骤二、高维样本x维在Delta-DAGMM模型中进行降维处理，抽取三部分特征，然后将三部分特征合并得到压缩后的样本；

将高维样本x在Delta-DAGMM模型中进行降维处理的具体方法是：将高维样本x输入到压缩网络中，并用压缩网络中的深度自动编码器对高维样本x进行降维处理。

压缩网络所使用的自动编码器神经网络是一种无监督的学习算法，使用反向传播算法，尽可能使目标值等于输入值，一般用于高维数据的降维和特征的抽取。在压缩网络中，由压缩网络提供的低维表示包含了三部分特征来源：(1)通过深度自动编码器学习的样本的简化表示z_c；(2)从重构误差中提取的特征z_r；(3)输入样本z的所有元素的均值z_avg。

则在Delta-DAGMM模型中进行降维处理的高维样本x抽取三部分特征的具体方法：

z_c＝h(x；ζ_e)

x′＝g(z_c；ζ_d)

z_r＝f(x,x′)

对在Delta-DAGMM模型中进行降维处理的高维样本x抽取三部分特征进行合并得到压缩后的样本z的具体方法是：

z＝[z_c,z_r,z_avg]

其中，z表示压缩后的样本。

步骤三、将压缩后的样本z输入到评估网络中，获取未知混合分布φ和混合平均数μ以及混合协方差∑，计算GMM的参数，并评估样本z的能量。将压缩后的样本z输入到评估网络中，并评估样本z的能量的具体包括以下步骤，参照图2：

步骤三一、在估计网络中的隶属度检测；在估计网络中的隶属度检测的具体方法是：评估网络通过使用多层神经网络来预测每个样本z的混合隶属度。

z表示压缩后的样本，整数K表示GMM中混合分量数，估计网络通过利用多层神经网络MLN来预测每个样本z的混合隶属度，隶属度检测如下：

p＝MLN(z；q_m)

步骤三二、计算GMM中的参数；计算GMM中的参数包括，GMM分量k的混合概率

均值

协方差

计算参数的具体方法是：

其中，N表示参与者总人数，即输入样本总数。

步骤三三、评估样本z的能量，评估样本z的能量的具体方法是：

步骤四、根据评估能量得到检测结果，根据评估能量得到检测结果的具体方法是：取出每一名参与者得到的样本z能量E_i，计算这些样本z能量的平均值E(t)＝avg(Enlist_i)，设置阈值为E_i>E(t)*1.08，将满足条件的高能量样本预测为该训练轮次下的Free Rider攻击者，在每一次联邦训练结束后，每一名参与者在所有训练轮次中累计超过2/3的次数被检测为Free Rider攻击者，则其最终被判定为Free Rider攻击者。如果自动编码后的数据较为容易地通过评估网络恢复，使其接近于原始数据，则认为其原样本较好地保存了原始数据的特征，而对于一些异常的数据，其在经过评估网络的恢复后与原数据偏差较大，表现出的能量值偏高。参照图3和图4，描述了具体的Delta-DAGMM模型和Delta-DAGMM算法伪代码。

需要说明的是，在以上实施例中，只要不矛盾的技术方案都能够进行排列组合，本领域技术人员能够根据排列组合的数学知识穷尽所有可能，因此本发明不再对排列组合后的技术方案进行一一说明，但应该理解为排列组合后的技术方案已经被本发明所公开。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种横向联邦学习架构下的Free Rider攻击检测方法，其特征在于，包括以下步骤：

S1.对全局模型的增量进行线性处理，得到最终的高维样本x；

S4.根据评估能量得到检测结果。

2.根据权利要求1所述的方法，其特征在于，步骤S1所述对对全局模型的增量进行线性处理具体方法是：

x＝k(θ_i(t)-θ(t))+b,

3.根据权利要求2所述的方法，其特征在于，步骤S1所述高维样本x根据联邦训练模型的不同具体有如下两种样本类型：

4.根据权利要求3所述的方法，其特征在于，步骤S2所述高维样本x维在Delta-DAGMM模型中进行降维处理的具体方法是：将高维样本x输入到压缩网络中，并用压缩网络中的深度自动编码器对高维样本x进行降维处理。

5.根据权利要求4所述的方法，其特征在于，步骤S2所述抽取三部分特征，然后将三部分特征合并得到压缩后的样本z的具体方法是：

(1)抽取三部分特征的具体方法：

z_c＝h(x；ζ_e)

x′＝g(z_c；ζ_d)

z_r＝f(x,x′)

其中z_c是由深度自动编码器学习的简化低维表示，z_r为从重构误差导出的特征，ζ_e和ζ_d是深度自动编码器的参数，x′是x的重构对应物，h(·)表示编码函数，g(·)表示解码函数，f(·)表示计算重构误差特征的函数,z_avg为输入高维样本x所有元素的均值；

(2)将三部分特征合并得到压缩后的样本z的具体方法是：

z＝[z_c,z_r,z_avg]

其中，z表示压缩后的样本。

6.根据权利要求5所述的方法，其特征在于，步骤S3所述将压缩后的样本z输入到评估网络中，并评估样本z的能量的具体包括以下步骤：

S3.1在估计网络中的隶属度检测；

S3.2计算GMM中的参数；

S3.3评估样本z的能量。

7.根据权利要求6所述的方法，其特征在于，步骤S3.1所述在估计网络中的隶属度检测的具体方法是：

p＝MLN(z；ζ_m)

8.根据权利要求7所述的方法，其特征在于，步骤S3.2所述计算GMM中的参数包括，GMM分量k的混合概率

均值

协方差

计算参数的具体方法是：

其中，N表示参与者总人数。

9.根据权利要求8所述的方法，其特征在于，步骤S3.3所述评估样本z的能量的具体方法是：

10.根据权利要求9所述的方法，其特征在于，步骤S4所述根据评估能量得到检测结果的具体方法是：取出每一名参与者得到的样本z能量E_i，计算这些样本z能量的平均值E(t)＝avg(Enlist_i)，设置阈值为E_i>E(t)*1.08，将满足条件的高能量样本预测为该训练轮次下的Free rider攻击者，在每一次联邦训练结束后，每一名参与者在所有训练轮次中累计超过2/3的次数被检测为Free rider攻击者，则其最终被判定为Free rider攻击者。