CN113553582A

CN113553582A - 恶意攻击检测方法、装置及电子设备

Info

Publication number: CN113553582A
Application number: CN202110796037.XA
Authority: CN
Inventors: 孙奕; 陈性元; 周传鑫; 汪德刚; 黄琳娜; 张东巍
Original assignee: Information Engineering University of PLA Strategic Support Force
Current assignee: Information Engineering University of PLA Strategic Support Force
Priority date: 2021-07-14
Filing date: 2021-07-14
Publication date: 2021-10-26

Abstract

本申请公开一种恶意攻击检测方法、装置及电子设备，该方法包括：获取客户端上传的多个不同的本地模型更新，确定不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，并根据不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，确定不同的本地模型更新是否来自恶意攻击。从而，本申请方案，通过判断客户端上传的不同本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，实现了对联邦学习技术中来自客户端的恶意攻击进行检测，可有效解决联邦学习中恶意攻击的检测问题。

Description

恶意攻击检测方法、装置及电子设备

技术领域

本申请属于网络空间安全领域，尤其涉及一种恶意攻击检测方法、装置及电子设备。

背景技术

随着互联网的不断普及，数百亿个计算设备被连接到互联网上，从而产生了海量的用户数据。为实现对海量数据的自动化分析，越来越多的机器学习服务开始被广泛应用于人们的日常生活中，例如，利用深度神经网络实现人脸识别任务等。然而，传统的集中式训练方法需要将数据汇聚在服务器设备中，这导致机器学习在发展过程中面临两大挑战：一是海量数据汇聚极易导致用户隐私泄露，用户隐私安全意识的增强让优质数据越来越难获取；二是政策法规对数据交换的限制让不同部门、不同行业之间形成“数据孤岛”而无法进行数据共享。

为解决以上问题，2016年McMahan等提出联邦学习技术，一种改进的分布式协作学习随机梯度下降方法，其中客户端(即用户)在全局模型上进行本地训练，然后，中心服务器负责收集所有客户端的本地模型更新以用于更新全局模型，而不是直接从客户端访问私有数据。中心服务器会将更新的全局模型回传给客户端，以迭代上述本地训练过程。联邦学习有效解决了用户的隐私安全顾虑和“数据孤岛”问题，其作为网络安全领域最新的研究热点吸引了大量研究者的关注。

然而，申请人发现，联邦学习极易受到恶意客户端的攻击(例如标签反转攻击和后门攻击)，因此，提供一种检测技术，实现对联邦学习中恶意攻击的检测，成为该领域值得研究的问题。

发明内容

有鉴于此，本申请提供一种恶意攻击检测方法、装置及电子设备，用于实现对联邦学习中恶意攻击的检测。

具体技术方案如下：

一种恶意攻击检测方法，包括：

获取客户端上传的多个不同的本地模型更新；

确定不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度；

根据不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，确定所述不同的本地模型更新是否来自恶意攻击。

可选的，所述获取客户端上传的多个不同的本地模型更新，包括：

获取客户端上传的多个不同的本地模型更新分别对应的不同数学矩阵；

其中，数学矩阵中的每一元素表示对应的本地模型在模型更新中神经网络的相应神经权重值，每一权重值对应相匹配的正负号标志，权重值的正负号标志表示模型不同的梯度下降方向。

可选的，所述确定不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，包括：

利用改进的汉明距离算法，判断不同的本地模型更新分别对应的不同数学矩阵的相似度，作为所述梯度下降方向相似度；

其中，所述改进的汉明距离算法包括：判断两个矩阵之间对应位的正负号标志不同的数量。

可选的，所述利用改进的汉明距离算法，判断不同的本地模型更新分别对应的不同数学矩阵的相似度，包括：

确定所述不同数学矩阵中对应位权重值的正负号标志是否相同，得到相似度矩阵；

根据所述相似度矩阵，判断所述不同数学矩阵的相似度。

可选的，上述方法，还包括：

将所述相似度矩阵转换到预定数值范围内，得到转换矩阵；

使用预定逻辑函数对所述转换矩阵进行映射处理，得到映射处理结果；

根据所述映射处理结果，确定所述不同的本地模型更新的学习率；

将所述不同的本地模型更新的学习率加权到全局模型的聚合中。

一种恶意攻击检测装置，包括：

获取模块，用于获取客户端上传的多个不同的本地模型更新；

第一确定模块，用于确定不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度；

第二确定模块，用于根据不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，确定所述不同的本地模型更新是否来自恶意攻击。

可选的，所述获取模块，具体用于：

其中，数学矩阵中的每一元素表示对应的本地模型在模型更新中神经网络的相应神经权重值，每一权重值对应相匹配的正负号标志，权重值的正负号标志表示模型不同的梯度下降方向；

所述第一确定模块，具体用于：

可选的，所述第一确定模块在利用改进的汉明距离算法，判断不同的本地模型更新分别对应的不同数学矩阵的相似度时，具体用于：

根据所述相似度矩阵，判断所述不同数学矩阵的相似度。

可选的，上述装置，还包括：

聚合处理模块，用于：将所述相似度矩阵转换到预定数值范围内，得到转换矩阵；使用预定逻辑函数对所述转换矩阵进行映射处理，得到映射处理结果；根据所述映射处理结果，确定所述不同的本地模型更新的学习率；将所述不同的本地模型更新的学习率加权到全局模型的聚合中。

一种电子设备，包括：

存储器，用于存放至少一组指令集；

处理器，用于通过执行所述存储器上存放的指令集，实现如上任一项所述的恶意攻击检测方法。

根据以上方案可知，本申请提供的恶意攻击检测方法、装置及电子设备，获取客户端上传的多个不同的本地模型更新，确定不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，并根据不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，确定不同的本地模型更新是否来自恶意攻击。从而，本申请方案，通过判断客户端上传的不同本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，实现了对联邦学习技术中来自客户端的恶意攻击进行检测，可有效解决联邦学习中恶意攻击的检测问题。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1是联邦学习技术的应用场景架构及工作原理示意图；

图2是本申请提供的恶意攻击检测方法的一流程图；

图3是本申请提供的改进后的汉明距离算法的符号运算示意图；

图4是本申请提供的恶意攻击检测方法的另一流程图；

图5是本申请提供的恶意攻击检测装置的结构示意图；

图6是本申请提供的电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下首先说明联邦学习技术的应用场景架构，及基于该架构的机器学习过程。联邦学习本质上是一种分布式的机器学习技术，允许在机器学习过程中既保护用户隐私，又能够无需数据聚合形成训练数据共享。其应用场景架构及工作原理如图1所示，主要包括客户端和中心服务器，其中w_t，k表示第k个客户端第t轮通信的本地模型更新，w_t表示第t轮通信的全局模型更新。客户端(例如平板、手机、IoT设备)在中心服务器(例如服务提供商)的协调下共同训练模型，其中，客户端负责训练本地数据得到本地模型(Local Model，LM)，中心服务器负责加权聚合本地模型，得到全局模型(Global Model，GM)，经过多轮迭代后最终得到一个趋近于集中式机器学习结果的模型w，有效地降低了传统机器学习数据聚合带来的许多隐私风险。

典型的联邦学习场景是在本地客户端设备负责存储和处理数据的约束下，只上传模型更新的梯度信息，在数千万到数百万个客户端设备上训练单个全局模型w。中心服务器的目标函数F(w)通常表现为：

其中，m是参与训练的客户端设备总数，n是所有客户端数据量总和，n_k是第k个客户端的数据量，F_k(w)是第k个设备的本地目标函数，F_k(w)进一步表示如下：

其中，d_k是第k个客户端的本地数据集，fi(w)＝α(x_i，y_i，w)是具有参数w的模型对数据集d_k中的一个实例(x_i，y_i)产生的损失函数。d_k中所有实例产生的损失函数之和除以客户端k的总数据量就是本地客户端的平均损失函数，损失函数与模型精度成反比，因此，机器学习的目标函数优化通常是让损失函数达到最小值。

申请人经研究发现，在联邦学习技术中，由于中心服务器仅能接触各客户端上传的本地模型更新而无法访问客户端的私有数据，因此客户端拥有极大的权限来任意篡改本地数据或本地模型更新，以此实现对全局模型预测结果的控制。从而，联邦学习极易受到恶意客户端的攻击。

且，申请人经研究发现，在分布式场景中，恶意客户端如果想成功实施攻击，其本地模型更新必然会表现出与诚实客户端不同的特性。由此，本申请提出一种恶意攻击检测方法、装置及电子设备，该方法可应用于联邦学习场景的服务器端，服务器端通过不同模型更新间的特性特征，实现对联邦学习中恶意攻击如女巫攻击的检测。

其中，女巫攻击是指，敌手同时控制多个客户端进行反转攻击或后门攻击，可以理解成一种饱和式的攻击。

本申请公开的恶意攻击检测方法的处理流程如图2所示，具体包括：

步骤201、获取客户端上传的多个不同的本地模型更新。

本申请针对的是中心服务器不具有先验知识的恶意攻击(如，女巫攻击)的检测，并以模型更新相似度作为识别恶意模型的依据，具体的，申请人发现，如果敌手想控制全局模型就必须修改恶意客户端的模型更新参数，而这会导致恶意模型与诚实模型的相似度发生改变，因此本申请通过模型更新之间的相似度变化判断是否存在敌手攻击。

模型更新本质是一个多维的数学矩阵，由此，本步骤201具体可获取客户端上传的多个不同的本地模型更新分别对应的不同数学矩阵。

其中，数学矩阵中的每一元素表示对应的本地模型在模型更新中神经网络的相应神经权重值，每一权重值对应相匹配的正负号标志，权重值的正负号标志表示模型不同的梯度下降方向。比如，一个神经网络，输入层784个神经元，中间层1000个神经元，输出层10个神经元，这样最终训练出来的模型就是一个784×1000×10的三维矩阵，该三维矩阵即可作为一次训练过程对应的模型更新，该三维矩阵中的每一个数据都对应代表着模型更新中的一个神经权重值。

步骤202、确定不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度。

与之相对应，判断模型更新之间的相似度就相当于判断数学矩阵之间的距离。即，本申请中，将分析对象的特征转化为数学意义上的距离分析，在本申请的联邦学习场景下，就是将恶意模型与诚实模型之间的特征差异转化为数学矩阵上的距离差异。

在高等数学中，矩阵之间有9种距离：欧式距离、余弦相似度、汉明距离、曼哈顿距离、切比雪夫距离、闽式距离、雅卡尔指数、半正矢距离、

指数。通过分析联邦学习模型更新的矩阵特征，申请人选择采用汉明距离的指标计算方法，即，将汉明距离引入恶意模型的检测中，这是由于申请人经研究发现，汉明距离不仅适用于数学矩阵上的运算，还能够通过改进来有效计算不同模型之间的相似度。

汉明距离来源于数据的传输差错控制编码，它表示两个(相同长度)字符对应位不同的数量，如公式(3)所示：其中diff(x·y)表示对两个字符x,y进行异或运算，并统计结果为1的位数：

其中，D_Hamming(x，y)代表的是汉明距离的计算公式，x和y表示两个不同的矩阵，diff(x·y)表示两个字符对应位异或运算为1的个数，len(y)表示总长度。

机器学习的迭代训练是一个不断梯度下降的过程，模型更新是由带正负号标志的权重值组成，而正权重与负权重代表两个完全相反的梯度下降过程，即正负号本质上代表着机器学习在迭代过程中的方向，本申请实施例将其称为梯度下降过程的梯度下降方向，正代表向右递减，负号代表向左递减，而模型更新中数百上千的正负号就可以理解成模型更新的方向，也就是迭代过程不断进化的方向。申请人经研究发现，当女巫攻击恶意篡改模型更新以企图改变全局模型时，会表现出与诚实模型不同的梯度下降方向，换句话说，也就是女巫需要通过改变模型更新对应的矩阵中权重值的正负号标志来修改模型更新的梯度下降过程。由于女巫攻击等恶意攻击具有相同的攻击目标，所以不同模型更新对应的数学矩阵中对应相同位的权重正负号表现的往往更加相似，本申请就通过对应位置的正负号来判断这种相似性。

也就是说，本申请本质提供一种基于汉明距离的恶意模型检测思路，其原理是通过对比不同模型更新之间的正负号相似度，如果服务器对比发现有两个模型更新之间的正负号相似度百分比满足条件(如，达到阈值)，那么就认为这两个模型更新来自女巫攻击。

显然，汉明距离无法直接应用于联邦学习中，但通过分析模型更新的矩阵特征，本申请对汉明距离的测算方式进行了适应性的改进，相应利用改进的汉明距离算法，判断不同的本地模型更新分别对应的不同数学矩阵的相似度，作为所述梯度下降方向相似度；具体的，将汉明距离的定义进行改进，改进后的汉明距离指的是判断两个矩阵之间对应位的正负号标志不同的数量，而不是位运算，具体可参见公式(4)所示，同时可结合参考图3：

其中，D′_Ham(x，y)表示本申请提出的汉明距离计算公式(即，改进后的汉明距离计算式)，sgn()表示数据的正负号，而I(sgn(x_i)＝sgn(y_i))表示两个模型更新对应位符号相等的位置，然后i＝1,2，…N，分别查找所有位置符号相等的个数，最后除以总数N，得到两个模型更新中，对应位置符号相等的百分比。

在基于改进后的汉明距离算法，判断不同的本地模型更新分别对应的不同数学矩阵的相似度时，具体可确定不同模型更新对应的不同数学矩阵中对应位权重值的正负号标志是否相同，得到相似度矩阵；并进一步根据相似度矩阵，判断不同数学矩阵的相似度。

例如，假设有5个客户端，相应会产生5个矩阵，代表5个模型更新，然后将这5个矩阵进行两两的矩阵对比，每次矩阵对比会得到一个5*5的相似度矩阵，假设第4个和第5个客户端是合谋的恶意客户端，大概会得到以下的相似度矩阵：

[[1；0.8；0.8；0.8；0.8]

[0.8；1；0.8；0.8；0.8]

[0.8；0.8；1；0.8；0.8]

[0.8；0.8；0.8；1；0.9]

[0.8；0.8；0.8；0.9；1]]

然后除去单位矩阵，并取每行的最大值，得到一个一维矩阵[0.8,0.8,0.8,0.9,0.9]，针对该矩阵，只要取合理的阈值，就可以判断出第4个和第5个客户端为恶意客户端。

步骤203、根据不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，确定所述不同的本地模型更新是否来自恶意攻击。

最终，可进一步根据不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，确定不同的本地模型更新是否来自恶意攻击，其中，如果通过比对发现两个模型更新之间的正负号相似度百分比满足条件(如，达到阈值)，那么就认为这两个模型更新来自恶意(如，女巫攻击)。

根据以上方案可知，本申请提供的恶意模型检测方法，获取客户端上传的多个不同的本地模型更新，确定不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，并根据不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，确定不同的本地模型更新是否来自恶意攻击。从而，本申请方案，通过判断客户端上传的不同本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，实现了对联邦学习技术中来自客户端的恶意攻击进行检测，可有效解决联邦学习中恶意攻击的检测问题。

在一实施例中，参见图4，本申请公开的恶意攻击检测方法在步骤203之后，还可以包括：

步骤204、将所述相似度矩阵转换到预定数值范围内，得到转换矩阵。

示例性地，比如，将相似度矩阵映射到[0，1]范围内，相应得到各元素数值处于[0，1]范围内的转换矩阵。

步骤205、使用预定逻辑函数对所述映射矩阵进行映射处理，得到映射处理结果。

步骤206、根据映射处理结果，确定不同的本地模型更新的学习率。

为提高恶意模型与诚实模型之间相似度的差异，本实施例进一步使用逻辑函数对上述转换矩阵进行映射，并在基于逻辑函数实现映射处理的基础上，确定最终模型的学习率。

步骤207、将所述不同的本地模型更新的学习率加权到全局模型的聚合中。

之后，服务器进一步将客户端的本地模型更新的学习率加权到全局模型的聚合中，实现全局模型更新。最终的结果会让非恶意客户端的学习率接近1，而恶意客户端的学习率接近0。

综上，基于本申请的方案，联邦学习场景中，可通过以下处理流程实现恶意攻击检测及此基础上的模型训练：客户端在本地进行机器学习迭代训练后将本地模型更新上传给中心服务器；服务器在获取所有本地模型更新wi,t后，使用改进汉明距离对本地模型更新进行相似度判断，得到相似度矩阵Di，基于Di实现恶意攻击检测，再将该矩阵映射到预定范围如[0，1]范围内，得到矩阵α，同时为提高恶意模型与诚实模型之间相似度的差异，使用逻辑函数对矩阵α进行映射，最终得到该模型的学习率，由服务器加权到全局模型的聚合中。

对应于上述的流量检测方法，本申请实施例还公开一种恶意攻击检测装置，如图5所示，该装置包括：

获取模块501，用于获取客户端上传的多个不同的本地模型更新；

第一确定模块502，用于确定不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度；

第二确定模块503，用于根据不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，确定所述不同的本地模型更新是否来自恶意攻击。

在一实施方式中，获取模块501具体用于：

第一确定模块502，具体用于：

在一实施方式中，第一确定模块502在利用改进的汉明距离算法，判断不同的本地模型更新分别对应的不同数学矩阵的相似度时，具体用于：

根据所述相似度矩阵，判断所述不同数学矩阵的相似度。

在一实施方式中，上述装置，还包括：

对于本申请实施例公开的恶意攻击检测装置而言，由于其与上文各方法实施例公开的恶意攻击检测方法相对应，所以描述的比较简单，相关相似之处请参见上文相应方法实施例的说明即可，此处不再详述。

另外，本申请实施例还公开了一种电子设备，该电子设备可以是但不限于联邦学习场景中的中心服务器。

如图6示出的电子设备的结构示意图，至少包括：

存储器601，用于存放计算机指令集；

所述的计算机指令集可以采用计算机程序的形式实现。

存储器601可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

处理器602，用于通过执行存储器上存放的指令集，实现如上任一方法实施例的恶意攻击检测方法。

其中，处理器602可以为中央处理器(Central Processing Unit，CPU)，特定应用集成电路(application-specific integrated circuit，ASIC)，数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件等。

除此之外，调度设备还可以包括通信接口、通信总线等组成部分。存储器、处理器和通信接口通过通信总线完成相互间的通信。

通信接口用于调度设备与其他设备(如CDN调度系统中的中控设备等)之间的通信。通信总线可以是外设部件互连标准(Peripheral Component Interconnect，PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture，EISA)总线等，该通信总线可以分为地址总线、数据总线、控制总线等。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

为了描述的方便，描述以上系统或装置时以功能分为各种模块或单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。

最后，还需要说明的是，在本文中，诸如第一、第二、第三和第四等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本申请的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。

Claims

1.一种恶意攻击检测方法，其特征在于，包括：

获取客户端上传的多个不同的本地模型更新；

2.根据权利要求1所述的方法，其特征在于，所述获取客户端上传的多个不同的本地模型更新，包括：

3.根据权利要求2所述的方法，其特征在于，所述确定不同的本地模型更新分别表征的不同梯度下降过程的梯度下降方向相似度，包括：

4.根据权利要求3所述的方法，其特征在于，所述利用改进的汉明距离算法，判断不同的本地模型更新分别对应的不同数学矩阵的相似度，包括：

根据所述相似度矩阵，判断所述不同数学矩阵的相似度。

5.根据权利要求4所述的方法，其特征在于，还包括：

将所述相似度矩阵转换到预定数值范围内，得到转换矩阵；

6.一种恶意攻击检测装置，其特征在于，包括：

7.根据权利要求1所述的装置，其特征在于，所述获取模块，具体用于：

所述第一确定模块，具体用于：

8.根据权利要求7所述的装置，其特征在于，所述第一确定模块在利用改进的汉明距离算法，判断不同的本地模型更新分别对应的不同数学矩阵的相似度时，具体用于：

根据所述相似度矩阵，判断所述不同数学矩阵的相似度。

9.根据权利要求8所述的装置，其特征在于，还包括：

10.一种电子设备，其特征在于，包括：

存储器，用于存放至少一组指令集；

处理器，用于通过执行所述存储器上存放的指令集，实现如权利要求1-5任一项所述的恶意攻击检测方法。