CN113837398A

CN113837398A - 一种基于联邦学习的图分类任务中毒攻击方法

Info

Publication number: CN113837398A
Application number: CN202111147352.6A
Authority: CN
Inventors: 谢家豪; 鲁鸣鸣; 易贤康
Original assignee: Central South University
Current assignee: Central South University
Priority date: 2021-09-29
Filing date: 2021-09-29
Publication date: 2021-12-24

Abstract

本发明公开了一种基于联邦学习的图分类任务中毒攻击方法本发明方法。从数据中毒攻击的角度出发，探索联邦学习的图分类任务下的模型鲁棒性，然后通过标签翻转攻击让模型的整体性能下降了10.5％左右，有效的验证了模型的脆弱性和不安全性。

Description

一种基于联邦学习的图分类任务中毒攻击方法

技术领域

本发明属于联邦学习对抗攻击研究领域，尤其涉及图网络模型应用在联邦学习领域的鲁棒性分析。

背景技术

图神经网络在很多领域都取得了成功，并衍生出在现实行业中的各种研究和应用。然而，在一些隐私敏感场景(如金融、医疗保健)中，由于分布式数据孤岛，集中式训练图神经网络模型面临着一定挑战。

联邦学习是一种新颖的分布式学习框架，可以让数千名参与者协同构建深度学习模型。为了保护训练数据的机密性，服务器和客户端之间的共享参数仅限于模型参数，是分布式图神经网络训练的合理解决方案。

然而图神经网络的黑盒特性导致其在安全性和稳定性上存在隐患。在传统的集中式任务上，即使给图神经网络添加一个微小的扰动，也会对模型的最终决策造成巨大影响；此外，联邦学习也像其他机器学习模型一样容易受到攻击，联邦学习任务也易因数据中毒攻击而造成性能下降。

发明内容

发明目的：为反映联邦学习下图网络的鲁棒性，设计了不同的对抗分析方法，测试了联邦学习系统下图分类模型的鲁棒性。

技术方案：为实现上述目的，本发明采用的技术方案为：

一种基于目标攻击的鲁棒性分析，包括以下步骤：

步骤1)设置联邦学习框架参数，设置为50个参与者，一个中央服务器，并随机划分数据集到不同的客户端。

步骤2)确定本地模型，并设置本地模型参数。

步骤3)确定本轮联邦学习任务中参与训练的N个参与者，每个参与者拥有其本地数据集和本地模型。

步骤4)通过随机指定m个参与者为恶意客户端，其余部分为良性客户端，所有客户端都参与模型的参数更新。

步骤5)为本次参与训练的数据集实行标签翻转攻击设置，代表了对抗性攻击的不同条件。

有益效果：

1)本发明提出针对联邦图学习模型的对抗。使用目标中毒攻击测试了联邦学习框架下图分类任务的鲁棒性

2)本发明过对抗攻击实验验证了图分类任务在联邦学习模式下的脆弱性，在遭到恶意攻击者的破坏下，模型的性能会大幅下降，验证了了模型在训练阶段和测试都会因攻击者对客户端的恶意中毒破坏从而导致模型的性能大幅下降。

附图说明

图1为本发明方法具体实施流程图；

图2为本发明方法的总体结构图

图3为本发明方法本地客户端模型的结构图；

图4为本发明使用的无攻击模型准确率示意图；

图5为本发明使用的攻击后模型准确率示意图。

具体实施方式

本发明给出了可解释的基于联邦学习下图分类任务的中毒攻击方法实施用例，为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明：

本发明方法具体实施流程图如图1所示，其过程如下：

步骤1)设置联邦学习框架参数，设置参数聚合算法，设置为50个参与者，一个中央服务器，并随机划分数据集到不同的客户端。其中联邦学习算法的参数聚合方式如下：

对于一个回合t，服务器向所有客户端发送共享的全局模型参数w_t，并从所有客户端(假设客户端总数为K)中随机选取m个客户端集合S_t。每个选定的客户端k∈S_t使用其私有数据集D_k来更新本地参数，其中

是使用参数

和数据集D_k计算的损失值，η是学习率。从而得到更新后的本地参数

随后客户端将更新后的参数提交给服务端，最后服务端来平均聚合收到的模型更新，其中 n_k是客户端k中数据集的样本数量，从而总的数据量

(假设客户端之间数据没有重复)

图2是联邦学习框架的整体架构，每个客户端都拥有本地的图神经网络模型。

步骤2)设置本地图神经网络模型，每个模型架构一致。如图3所示，图神经网络一般采取领域聚合方式来学习节点特征X_v(v∈V)的嵌入向量h_v，或者整个图的向量表达h_G。给定图的输入特征X_v，经过k次聚合计算后，节点的表示向量会捕获到该节点的k跳节点邻域内的结构信息。GNN的k次迭代计算方式如下所示，

表示节点v在第k次迭代的特征向量，一般初始化

则是节点v的邻接节点集合。整个式子中最重要的是算子AGGREGATE^(k)(·)和 COMBINE^(k)(·)，通过设计不同的算子从而衍生出许多GNN模型，

步骤5)为本次参与训练的数据集实行标签翻转攻击设置，代表了对抗性攻击的不同条件。其中攻击设置依据数据集的不同而更改。

本发明在三个数据集上进行了种模型的对抗训练，最终准确率对比结果如图 4和图5所示，本发明提出的目标攻击方法能有效的降低模型的准确率。

参考文献

[1]Baracaldo,N.,Chen,B.,Ludwig,H.,Safavi,J.A.:Mitigating poisoningattacks on machine learning models:A data provenance based approach.In:10thACM Workshop on Artificial Intelligence and Security.pp.103–110(2017)

[2]Bhagoji,A.N.,Chakraborty,S.,Mittal,P.,Calo,S.:Analyzing federatedlearning through an adversarial lens.In:International Conference on MachineLearning. pp.634–643(2019).

[3]Fang,M.,Cao,X.,Jia,J.,Gong,N.Z.:Local model poisoning attacks tobyzantine-robust federated learning.In:To appear in USENIX Security Symposium(2020).

[4]Fang,M.,Yang,G.,Gong,N.Z.,Liu,J.:Poisoning attacks to graph-basedrecom- mender systems.In:Proceedings of the 34th Annual Computer SecurityApplica- tions Conference.pp.381–392(2018).

[5]Khazbak,Y.,Tan,T.,Cao,G.:Mlguard:Mitigating poisoning attacks inprivacy preserving distributed collaborative learning(2020).

Claims

1.一种基于联邦学习的图分类任务中毒攻击方法，其特征在于包括下列步骤：

步骤2)确定本地模型，并设置本地模型参数。

步骤5)为本次参与训练的数据集实行标签翻转攻击设置，代表了对抗性攻击的具体方式。

2.根据权利要求1所述，其特征为所述步骤1)设置联邦学习模型参数，以及联邦学习客户端的参数聚合算法。

3.根据权利要求1所述，其特征为所述步骤2)为每个本地模型设置相同架构的图神经网络模型，并设置本地数据集、本地模型参数以及其他初始化设置。

4.根据权利要求1所述，其特征为所述步骤3)设置参与联邦学习任务的客户端模型。

5.根据权利要求1所述，其特征为所述步骤4)设置恶意攻击者的模型数量，其余部分则为良性客户端，一起参与模型的训练与参数更新。

6.根据权利要求1所述，其特征为所述步骤5)为恶意攻击者客户端数据集应用标签翻转攻击设置，然后所有客户端一起依据本地数据集和本地模型训练，最终将参数上传服务器。