CN113965359A - 面向联邦学习数据投毒攻击的防御方法及装置 - Google Patents

面向联邦学习数据投毒攻击的防御方法及装置 Download PDF

Info

Publication number
CN113965359A
CN113965359A CN202111152694.7A CN202111152694A CN113965359A CN 113965359 A CN113965359 A CN 113965359A CN 202111152694 A CN202111152694 A CN 202111152694A CN 113965359 A CN113965359 A CN 113965359A
Authority
CN
China
Prior art keywords
model
local
training
data
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111152694.7A
Other languages
English (en)
Other versions
CN113965359B (zh
Inventor
刘洋
田宇琛
张伟哲
王轩
漆舒汉
夏文
唐琳琳
张加佳
吴宇琳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Graduate School Harbin Institute of Technology
Original Assignee
Shenzhen Graduate School Harbin Institute of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Graduate School Harbin Institute of Technology filed Critical Shenzhen Graduate School Harbin Institute of Technology
Priority to CN202111152694.7A priority Critical patent/CN113965359B/zh
Publication of CN113965359A publication Critical patent/CN113965359A/zh
Application granted granted Critical
Publication of CN113965359B publication Critical patent/CN113965359B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种面向联邦学习数据投毒攻击的防御方法及装置,方法包括:每个客户端使用本地数据训练模型参数;每个客户端将本地模型参数上传给服务器,服务器接收到所有的模型参数;服务器从
Figure DDA0003287647220000011
中计算出一个用于比较的参考基准u,则对于任意的两个局部模型wa和wb,计算它们相对于参考基准u的相似度;采用内部投票的方法判断一个局部模型是否为恶意;根据每个局部模型所得的票数,计算每个局部模型的可信度;基于可信度的模型加权聚合,得到最终的全局模型,基于最终的全局模型实现数据投毒攻击的防御。本发明中,恶意客户端的模型会被赋予较低权重,在加权聚合时削弱它对全局模型的影响,从而实现针对数据投毒攻击的防御。

Description

面向联邦学习数据投毒攻击的防御方法及装置
技术领域
本发明属于网络安全的技术领域,具体涉及一种面向联邦学习数据投毒攻击的防御方法及装置。
背景技术
机器学习的发展和应用以大数据的收集和分析为基础。然而,单一数据源的数据往往具有数据量小、特征少的问题,故不足以训练出具有良好表现的模型。Google公司提出的联邦学习是一种特殊的分布式机器学习框架,该框架把训练模型下发给不同客户端,不同客户端利用本地数据训练出布局模型,随后将训练好的局部模型上传到中心服务器,中心服务器对模型进行聚合,生成最终的全局模型。这种训练方式让可以联合多源数据共同训练共享模型,同时把数据留在客户端本地,保证客户端对数据的所有权。然而,如果整个系统中存在恶意的客户端,它能够篡改本地数据,使数据带有错误的信息。使用这些数据训练出来的模型在上传到中心服务器之后最终会破坏全局模型的可用性。
数据清洗技术多用在传统的集中式机器学习和一般的分布式机器学习中,此时中心服务器对数据具有控制权。在模型训练开始之前,中心服务器利用统计学方法和异常检测技术对训练数据进行清洗,去除或纠正其中的错误/恶意数据。保证了后续模型训练的正确性。这种技术并不能应用在联邦学习中,因为联邦学习场景下的中心服务器对训练数据是不可见的,数据保留在本地客户端,客户端对数据有绝对的控制权。
局部模型的异常检测技术,用在分布式机器学习中,中心服务器对局部模型进行检测,通过模型之间的相似程度判断潜在的恶意模型。最终中心服务器只保留一个或一半数量的局部模型,保证最终全局模型的正确性。这种技术不适用于联邦学习场景,原因如下。(1)联邦学习场景中,不同客户端之间的数据分布式是不同的,因此训练得到的局部模型也是有差异的,通过相似度难以识别出恶意模型。很可能会出现误判。(2)因为每个客户端数据分布不同,每个客户端对全局模型的贡献也是不可替代的,一旦把误判的模型去除掉,也会降低全局模型的可用性。(3)当不存在恶意客户端时,这种方法仍然会去除掉一部分局部模型,导致模型可用性降低。因此,该方法不能兼容无恶意客户端的情况。
发明内容
本发明的主要目的在于克服现有技术中的缺陷,提供一种面向联邦学习数据投毒攻击的防御方法及装置,解决在联邦学习这种多客户端联合训练共享模型的场景下,恶意客户端通过篡改本地数据(数据投毒攻击)进而破坏共享模型可用性的安全问题。
为了达到上述目的,本发明采用以下技术方案:
本申请一方面提供了一种面向联邦学习数据投毒攻击的防御方法,包括下述步骤:
每个客户端使用本地数据训练模型参数,参与训练的共k个客户端,其中第i个客户端的本地数据记为Di,训练完成后的模型参数记为wi,所述本地数据是每个客户端拥有的用于模型参数训练的数据;
每个客户端将模型参数上传给服务器,服务器接收到所有的模型参数记为w={wi|i∈[k]},其中[k]={1,2,…,k}表示从1开始的连续k个整数;
服务器从
Figure BDA0003287647200000021
中计算出一个用于比较的参考基准u,则对于任意的两个局部模型wa和wb,计算它们相对于参考基准u的相似度:
采用内部投票的方法来判断一个局部模型是否为恶意,把第i个局部模型获得的票数记为si,其计算方式如下:
Figure BDA0003287647200000022
其中vote(·)是根据相似度进行投票的符号函数,它的定义如下:
Figure BDA0003287647200000023
根据每个局部模型所得的票数,计算每个局部模型的可信度,其中第i个局部模型的可信度记作ci:ci=c′i+conf(si),其中c′i是上一轮模型训练时,局部模型i的可信度,局部模型可信度在每一轮训练过程中进行累加,conf(·)表示把每个局部模型所得的票数转化为相应的可信度,票数越高的局部模型拥有更高的可信度,其定义如下:
Figure BDA0003287647200000024
其中,k是参与训练客户端的数量,局部模型得到的票数越高,它更有可能是正确的模型;
基于可信度的模型加权聚合,得到最终的全局模型,基于最终的全局模型实现数据投毒攻击的防御。
优选的,所述每个客户端使用本地数据训练模型参数,具体为:
Figure BDA0003287647200000025
其中,η为模型参数训练过程中的学习率,Di为第i个客户端的训练数据,
Figure BDA0003287647200000026
为梯度函数,训练中采用小批量随机梯度下降算法,t是模型训练的轮次。
优选的,所述客户端包括恶意客户端。
优选的,所述参考基准u是和模型参数wi维度相同的向量。
优选的,所述参考基准u的计算方法为:
依次确定参考基准u在每一个维度上的数值,则所述参考基准u在第d个维度上的参数值表示为ud=med({wi,d|i∈[k]},wi,d表示第i个模型的第d个维度上的参数值,med(·)是一个算子,表示从给定的一系列值中返回它的中位数。
优选的,所述相似度采用下述方法计算:
sim(wa,wb)=cos(w′a,w′b),
其中w′a=wa-u,w′b=wb-u,cos(·)表示余弦相似度,计算规则如下:
Figure BDA0003287647200000031
其中D表示局部模型的维度数量。
优选的,所述基于可信度的模型加权聚合,得到最终的全局模型,具体为:
根据每个客户端局部模型的可信度,计算当前训练轮次中每个局部模型的权重,其中第i个局部模型权重记为:
Figure BDA0003287647200000032
e表示自然常数,计算出每个模型的权重后,进行加权聚合,得到最终的全局模型:
Figure BDA0003287647200000033
本发明另一方面提供了一种面向联邦学习数据投毒攻击的防御系统,应用于所述的面向联邦学习数据投毒攻击的防御方法,包括训练模块、参数上传模块、相似度模块、内部投票模块,可信度计算模块以及聚合模块;
所述训练模块,用于每个客户端使用本地数据训练模型参数,参与训练的共k个客户端,其中第i个客户端训练完成后的模型参数记为wi
所述参数上传模块,用于每个客户端将模型参数上传给服务器,服务器接收到所有的模型参数记为w={wi|i∈[k]},其中[k]={1,2,…,k}表示从1开始的连续k个整数;
所述相似度模块,服务器从
Figure BDA0003287647200000034
中计算出一个用于比较的参考基准u,则对于任意的两个局部模型wa和wb,计算它们相对于参考基准u的相似度;
所述内部投票模块,用于判断一个局部模型是否为恶意;
所述可信度计算模块,用于根据每个局部模型所得的票数,计算每个局部模型的可信度;
所述聚合模块,用于基于可信度的模型加权聚合,得到最终的全局模型,基于最终的全局模型实现数据投毒攻击的防御。
本发明又一方面提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序指令,所述计算机程序
指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行所述的面向联邦学习数据投毒攻击的防御方法。
本发明再一方面提供了一种计算机可读存储介质,存储有程序,所述程序被处理器执行时,实现所述的面向联邦学习数据投毒攻击的防御方法。
本发明与现有技术相比,具有如下优点和有益效果:
1、本发明对现有联邦学习中局部模型聚合方式进行了改进,可应用在具有不可信客户端的联邦学习环境中。通过对每个客户端上传到中心服务器的局部模型进行恶意性评估,得出每个客户端模型的可信度;随后依据可信度,给每个局部模型赋予不同权重,进行加权聚合得到全局最终模型。在这个过程中,恶意客户端的模型会被赋予较低权重,在加权聚合时削弱它对全局模型的影响,从而实现针对数据投毒攻击的防御。
2、本发明的防御方法部署在中心服务器,不对本地客户端的数据进行任何操作,将数据所有权保留在客户端本地,与联邦学习的设计初衷高度一致。
3、本发明中,当有恶意客户端篡改本地数据,实施投毒攻击时,服务端通过降低恶意模型在聚合过程中的权重,消除其对全局模型的危害。
4、本发明中,在没有恶意客户端的情况下,该方法无虚任何额外配置,可以直接兼容一般的学习过程,也能完成模型训练,并维持较高的全局模型准确率。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例面向联邦学习数据投毒攻击的防御方法的流程图;
图2是本发明实施例防御方法的详细流程图;
图3为本发明实施例面向联邦学习数据投毒攻击的防御系统的方框图。
图4为本发明实施例电子设备的结构图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请面向联邦学习数据投毒攻击的防御方法是基于通用的联邦学习过程进行改进,改进后的学习过程能够抵御恶意客户端的数据投毒攻击。请参阅图1、图2,本实施例提供了一种面向联邦学习数据投毒攻击的防御方法,包括以下步骤:
S1、使用本地数据训练模型参数;
每个客户端(包括恶意客户端)使用本地数据完成模型参数训练。对于参与训练的共k个客户端,其中第i个客户端训练完成后的模型参数记为wi
进一步的,所述每个客户端使用本地数据训练模型参数,具体为:
Figure BDA0003287647200000051
其中,η为模型参数训练过程中的学习率,Di为第i个客户端的训练数据,
Figure BDA0003287647200000052
为梯度函数,训练中采用小批量随机梯度下降算法,t是模型训练的轮次。
S2、客户端上传模型参数;
完成模型训练后,每个客户端把本地模型参数上传给服务器,服务器接收到所有的局部模型参数记为w={wi|i∈[k]},其中[k]={1,2,…,k}表示从1开始的连续k个整数。
S3、局部模型可信度计算;
服务器首先从
Figure BDA0003287647200000056
中计算出一个用于比较的基准u,其中ud=med({wi,d|i∈[k]},wi,d表示第i个模型的第d个维度上的参数值;同样的ud表示u在第d个维度上的参数值,med(·)是一个算子,表示从给定的一系列值中返回它的中位数。对于任意的两个局部模型wa和wb,按如下规则计算它们相对于参考基准u的相似性:sim(wa,wb)=cos(w′a,w′b),其中w′a=wa-u,w′b=wb-u,cos(·)表示余弦相似度,计算规则如下:
Figure BDA0003287647200000053
Figure BDA0003287647200000054
其中D表示局部模型的维度数量。
因为当模型参数维数很高时,余弦相似度的数值难以反映参数向量之间的相似程度,这里采用局部模型内部投票的方法,来判断一个局部模型是否为恶意。把第i个局部模型获得的票数记为si,其计算方式如下:
Figure BDA0003287647200000055
其中vote(·)是根据相似度进行投票的符号函数,它的定义如下:
Figure BDA0003287647200000061
最后,根据每个局部模型所得的票数,计算每个局部模型的可信度,其中第i个局部模型的可信度记作ci:ci=c′i+conf(si),其中c′i是上一轮模型训练时,局部模型i的可信度。局部模型可信度在每一轮训练过程中进行累加,考虑了历史学习过程中的模型质量,可避免最终的模型参数受到当前训练过程中个别极端值的影响。conf(·)把每个局部模型所得的票数转化为相应的可信度,票数越高的局部模型拥有更高的可信度,其定义如下:
Figure BDA0003287647200000062
其中,k是参与训练客户端的数量,我们认为局部模型得到的票数越高,它更有可能是正确的模型。
S4、基于可信度的模型加权聚合;
根据每个客户端局部模型的可信度,计算当前训练轮次中每个局部模型的权重,其中第i个局部模型权重记为:
Figure BDA0003287647200000063
计算出每个模型的权重后,进行加权聚合,e表示自然常数(e=2.7128…)得到最终的全局模型:
Figure BDA0003287647200000064
S5、基于最终的全局模型实现数据投毒攻击的防御。
本申请中的两个核心机制如下:1.基于内部投票的可信度计算,在中心服务器中,每两个局部模型依据它们在比较基准上的相似性给对方进行投票,根据每个局部模型最后获得的票数,计算出当前局部模型的可信度。2.基于可信度的模型加权聚合,根据上一阶段获得的可信度计算出每个局部模型的聚合权重,随后进行加权聚合,得到全局最终模型。
需要说明的是,对于前述的各方法实施例,为了简便描述,将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其它顺序或者同时进行。
基于与上述实施例中的面向联邦学习数据投毒攻击的防御方法相同的思想,本发明还提供了面向联邦学习数据投毒攻击的防御系统,该系统可用于执行上述面向联邦学习数据投毒攻击的防御方法。为了便于说明,面向联邦学习数据投毒攻击的防御系统实施例的结构示意图中,仅仅示出了与本发明实施例相关的部分,本领域技术人员可以理解,图示结构并不构成对装置的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
请参阅图3,在本申请的另一个实施例中,提供了一种面向联邦学习数据投毒攻击的防御系统100,该系统包括训练模块101、参数上传模块102、相似度模块103、内部投票模块104,可信度计算模块105以及聚合模块106;
所述训练模块101,用于每个客户端使用本地数据训练局部模型,参与训练的共k个客户端,其中第i个客户端训练完成后的模型参数记为wi
所述参数上传模块102,用于每个客户端将本地模型参数上传给服务器,服务器接收到所有的局部模型参数记为w={wi|i∈[k]},其中[k]={1,2,…,k}表示从1开始的连续k个整数;
所述相似度模块103,服务器从
Figure BDA0003287647200000071
中计算出一个用于比较的参考基准u,则对于任意的两个局部模型wa和wb,计算它们相对于参考基准u的相似度;
所述内部投票模块104,用于判断一个局部模型是否为恶意;
所述可信度计算模块105,用于根据每个局部模型所得的票数,计算每个局部模型的可信度;
所述聚合模块106,用于基于可信度的模型加权聚合,得到最终的全局模型,基于最终的全局模型实现数据投毒攻击的防御。
需要说明的是,本发明的面向联邦学习数据投毒攻击的防御系统与本发明的面向联邦学习数据投毒攻击的防御方法一一对应,在上述面向联邦学习数据投毒攻击的防御方法的实施例阐述的技术特征及其有益效果均适用于面向联邦学习数据投毒攻击的防御的实施例中,具体内容可参见本发明方法实施例中的叙述,此处不再赘述,特此声明。
此外,上述实施例的面向联邦学习数据投毒攻击的防御系统的实施方式中,各程序模块的逻辑划分仅是举例说明,实际应用中可以根据需要,例如出于相应硬件的配置要求或者软件的实现的便利考虑,将上述功能分配由不同的程序模块完成,即将所述面向联邦学习数据投毒攻击的防御系统的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分功能。
请参阅图4,在一个实施例中,提供了一种实现面向联邦学习数据投毒攻击的防御方法的电子设备,所述电子设备200可以包括第一处理器201、第一存储器202和总线,还可以包括存储在所述第一存储器202中并可在所述第一处理器201上运行的计算机程序,如面向联邦学习数据投毒攻击的防御程序203。
其中,所述第一存储器202至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述第一存储器202在一些实施例中可以是电子设备200的内部存储单元,例如该电子设备200的移动硬盘。所述第一存储器202在另一些实施例中也可以是电子设备200的外部存储设备,例如电子设备200上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(SecureDigital,SD)卡、闪存卡(Flash Card)等。进一步地,所述第一存储器202还可以既包括电子设备200的内部存储单元也包括外部存储设备。所述第一存储器202不仅可以用于存储安装于电子设备200的应用软件及各类数据,例如面向联邦学习数据投毒攻击的防御程序203的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述第一处理器201在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述第一处理器201是所述电子设备的控制核心(Control Unit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述第一存储器202内的程序或者模块(例如联邦学习防御程序等),以及调用存储在所述第一存储器202内的数据,以执行电子设备200的各种功能和处理数据。
图4仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图4示出的结构并不构成对所述电子设备200的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
所述电子设备200中的所述第一存储器202存储的多方隐私保护机器学习程序203是多个指令的组合,在所述第一处理器201中运行时,可以实现:
每个客户端使用本地数据训练局部模型,参与训练的共k个客户端,其中第i个客户端训练完成后的模型参数记为wi
每个客户端将本地模型参数上传给服务器,服务器接收到所有的局部模型参数记为w={wi|i∈[k]},其中[k]={1,2,…,k}表示从1开始的连续k个整数;
服务器从
Figure BDA0003287647200000081
中计算出一个用于比较的参考基准u,则对于任意的两个局部模型wa和wb,计算它们相对于参考基准u的相似度:
采用内部投票的方法来判断一个局部模型是否为恶意,把第i个局部模型获得的票数记为si,其计算方式如下:
Figure BDA0003287647200000082
其中vote(·)是根据相似度进行投票的符号函数,它的定义如下:
Figure BDA0003287647200000083
根据每个局部模型所得的票数,计算每个局部模型的可信度,其中第i个局部模型的可信度记作ci:ci=c′i+conf(si),其中c′i是上一轮模型训练时,局部模型i的可信度,局部模型可信度在每一轮训练过程中进行累加,conf(·)表示把每个局部模型所得的票数转化为相应的可信度,票数越高的局部模型拥有更高的可信度,其定义如下:
Figure BDA0003287647200000091
其中,k是参与训练客户端的数量,局部模型得到的票数越高,它更有可能是正确的模型;
基于可信度的模型加权聚合,得到最终的全局模型,基于最终的全局模型实现数据投毒攻击的防御。
进一步地,所述电子设备200集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个非易失性计算机可读取存储介质中。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。

Claims (10)

1.面向联邦学习数据投毒攻击的防御方法,其特征在于,包括下述步骤:
每个客户端使用本地数据训练模型参数,参与训练的共k个客户端,其中第i个客户端的本地数据记为Di,训练完成后的模型参数记为wi,所述本地数据是每个客户端拥有的用于模型参数训练的数据;
每个客户端将模型参数上传给服务器,服务器接收到所有的模型参数记为w={wi|i∈[k]},其中[k]={1,2,...,k}表示从1开始的连续k个整数;
服务器从
Figure FDA0003287647190000011
中计算出一个用于比较的参考基准u,则对于任意的两个局部模型wa和wb,计算它们相对于参考基准u的相似度:
采用内部投票的方法来判断一个局部模型是否为恶意,把第i个局部模型获得的票数记为si,其计算方式如下:
Figure FDA0003287647190000012
其中vote(·)是根据相似度进行投票的符号函数,它的定义如下:
Figure FDA0003287647190000013
根据每个局部模型所得的票数,计算每个局部模型的可信度,其中第i个局部模型的可信度记作ci:ci=c′i+conf(si),其中c′i是上一轮模型训练时,局部模型i的可信度,局部模型可信度在每一轮训练过程中进行累加,conf(·)表示把每个局部模型所得的票数转化为相应的可信度,票数越高的局部模型拥有更高的可信度,其定义如下:
Figure FDA0003287647190000014
其中,k是参与训练客户端的数量,局部模型得到的票数越高,它更有可能是正确的模型;
基于可信度的模型加权聚合,得到最终的全局模型,基于最终的全局模型实现数据投毒攻击的防御。
2.根据权利要求1所述面向联邦学习数据投毒攻击的防御方法,其特征在于,所述每个客户端使用本地数据训练模型参数,具体为:
Figure FDA0003287647190000015
其中,η为模型参数训练过程中的学习率,Di为第i个客户端的训练数据,
Figure FDA0003287647190000016
为梯度函数,训练中采用小批量随机梯度下降算法,t是模型训练的轮次。
3.根据权利要求1所述面向联邦学习数据投毒攻击的防御方法,其特征在于,所述客户端包括恶意客户端。
4.根据权利要求1所述面向联邦学习数据投毒攻击的防御方法,其特征在于,所述参考基准u是和模型参数wi维度相同的向量。
5.根据权利要求1所述面向联邦学习数据投毒攻击的防御方法,其特征在于,所述参考基准u的计算方法为:
依次确定参考基准u在每一个维度上的数值,则所述参考基准u在第d个维度上的参数值表示为ud=med({wi,d|i∈[k]},wi,d表示第i个模型的第d个维度上的参数值,med(·)是一个算子,表示从给定的一系列值中返回它的中位数。
6.根据权利要求1所述面向联邦学习数据投毒攻击的防御方法,其特征在于,所述相似度采用下述方法计算:
sim(wa,wb)=cos(wa′,wb′),
其中w′a=wa-u,w′b=wb-u,cos(·)表示余弦相似度,计算规则如下:
Figure FDA0003287647190000021
其中D表示局部模型的维度数量。
7.根据权利要求1所述面向联邦学习数据投毒攻击的防御方法,其特征在于,所述基于可信度的模型加权聚合,得到最终的全局模型,具体为:
根据每个客户端局部模型的可信度,计算当前训练轮次中每个局部模型的权重,其中第i个局部模型权重记为:
Figure FDA0003287647190000022
e表示自然常数,计算出每个模型的权重后,进行加权聚合,得到最终的全局模型:
Figure FDA0003287647190000023
8.面向联邦学习数据投毒攻击的防御系统,其特征在于,应用于权利要求1-7中任一项所述的面向联邦学习数据投毒攻击的防御方法,包括训练模块、参数上传模块、相似度模块、内部投票模块,可信度计算模块以及聚合模块;
所述训练模块,用于每个客户端使用本地数据训练局部模型,参与训练的共k个客户端,其中第i个客户端训练完成后的模型参数记为wi
所述参数上传模块,用于每个客户端将本地模型参数上传给服务器,服务器接收到所有的局部模型参数记为w={wi|i∈[k]},其中[k]={1,2,...,k}表示从1开始的连续k个整数;
所述相似度模块,服务器从
Figure FDA0003287647190000024
中计算出一个用于比较的参考基准u,则对于任意的两个局部模型wa和wb,计算它们相对于参考基准u的相似度;
所述内部投票模块,用于判断一个局部模型是否为恶意;
所述可信度计算模块,用于根据每个局部模型所得的票数,计算每个局部模型的可信度;
所述聚合模块,用于基于可信度的模型加权聚合,得到最终的全局模型,基于最终的全局模型实现数据投毒攻击的防御。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序指令,所述计算机程序
指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-7中任意一项所述的面向联邦学习数据投毒攻击的防御方法。
10.一种计算机可读存储介质,存储有程序,其特征在于,所述程序被处理器执行时,实现权利要求1-7任一项所述的面向联邦学习数据投毒攻击的防御方法。
CN202111152694.7A 2021-09-29 2021-09-29 面向联邦学习数据投毒攻击的防御方法及装置 Active CN113965359B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111152694.7A CN113965359B (zh) 2021-09-29 2021-09-29 面向联邦学习数据投毒攻击的防御方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111152694.7A CN113965359B (zh) 2021-09-29 2021-09-29 面向联邦学习数据投毒攻击的防御方法及装置

Publications (2)

Publication Number Publication Date
CN113965359A true CN113965359A (zh) 2022-01-21
CN113965359B CN113965359B (zh) 2023-08-04

Family

ID=79463264

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111152694.7A Active CN113965359B (zh) 2021-09-29 2021-09-29 面向联邦学习数据投毒攻击的防御方法及装置

Country Status (1)

Country Link
CN (1) CN113965359B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115333825A (zh) * 2022-08-10 2022-11-11 浙江工业大学 针对联邦学习神经元梯度攻击的防御方法
CN115442103A (zh) * 2022-08-29 2022-12-06 成都安恒信息技术有限公司 一种群体学习抗毒化攻击方法、系统、设备及存储介质
CN115758350A (zh) * 2022-11-09 2023-03-07 中央财经大学 抗投毒攻击的聚合防御方法、聚合装置及电子设备
CN115907029A (zh) * 2022-11-08 2023-04-04 北京交通大学 面向联邦学习投毒攻击的防御方法及系统
CN116306986A (zh) * 2022-12-08 2023-06-23 哈尔滨工业大学(深圳) 一种基于动态亲和力聚合的联邦学习方法及相关设备
CN116432781A (zh) * 2023-04-23 2023-07-14 中国工商银行股份有限公司 联邦学习防御方法、装置、计算机设备和存储介质
CN117131951A (zh) * 2023-02-16 2023-11-28 荣耀终端有限公司 联邦学习的方法及电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112329009A (zh) * 2020-10-12 2021-02-05 南京理工大学 一种针对联合学习中噪声攻击的防御方法
CN113221105A (zh) * 2021-06-07 2021-08-06 南开大学 一种基于部分参数聚合的鲁棒性联邦学习算法
CN113411329A (zh) * 2021-06-17 2021-09-17 浙江工业大学 基于dagmm的联邦学习后门攻击防御方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112329009A (zh) * 2020-10-12 2021-02-05 南京理工大学 一种针对联合学习中噪声攻击的防御方法
CN113221105A (zh) * 2021-06-07 2021-08-06 南开大学 一种基于部分参数聚合的鲁棒性联邦学习算法
CN113411329A (zh) * 2021-06-17 2021-09-17 浙江工业大学 基于dagmm的联邦学习后门攻击防御方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115333825A (zh) * 2022-08-10 2022-11-11 浙江工业大学 针对联邦学习神经元梯度攻击的防御方法
CN115333825B (zh) * 2022-08-10 2024-04-09 浙江工业大学 针对联邦学习神经元梯度攻击的防御方法
CN115442103A (zh) * 2022-08-29 2022-12-06 成都安恒信息技术有限公司 一种群体学习抗毒化攻击方法、系统、设备及存储介质
CN115442103B (zh) * 2022-08-29 2024-05-31 成都安恒信息技术有限公司 一种群体学习抗毒化攻击方法、系统、设备及存储介质
CN115907029A (zh) * 2022-11-08 2023-04-04 北京交通大学 面向联邦学习投毒攻击的防御方法及系统
CN115758350A (zh) * 2022-11-09 2023-03-07 中央财经大学 抗投毒攻击的聚合防御方法、聚合装置及电子设备
CN115758350B (zh) * 2022-11-09 2023-10-24 中央财经大学 抗投毒攻击的聚合防御方法、聚合装置及电子设备
CN116306986A (zh) * 2022-12-08 2023-06-23 哈尔滨工业大学(深圳) 一种基于动态亲和力聚合的联邦学习方法及相关设备
CN116306986B (zh) * 2022-12-08 2024-01-12 哈尔滨工业大学(深圳) 一种基于动态亲和力聚合的联邦学习方法及相关设备
CN117131951A (zh) * 2023-02-16 2023-11-28 荣耀终端有限公司 联邦学习的方法及电子设备
CN116432781A (zh) * 2023-04-23 2023-07-14 中国工商银行股份有限公司 联邦学习防御方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN113965359B (zh) 2023-08-04

Similar Documents

Publication Publication Date Title
CN113965359A (zh) 面向联邦学习数据投毒攻击的防御方法及装置
Ojha et al. Towards universal fake image detectors that generalize across generative models
US10997443B2 (en) User identity verification method, apparatus and system
CN109033475B (zh) 一种文件存储方法、装置、设备及存储介质
CN111104925B (zh) 图像处理方法、装置、存储介质和电子设备
US8719191B2 (en) Training and verification using a correlated boosted entity model
CN112529767B (zh) 图像数据处理方法、装置、计算机设备和存储介质
US20150113634A1 (en) Biometric verification
CN111291817A (zh) 图像识别方法、装置、电子设备和计算机可读介质
CN109800318A (zh) 一种归档方法及装置
CN109710628B (zh) 信息处理方法及装置、系统、计算机及可读存储介质
US20210397905A1 (en) Classification system
CN115222443A (zh) 客户群体划分方法、装置、设备及存储介质
CN112041847A (zh) 提供具有隐私标签的图像
CN113177851A (zh) 线上保险交易的存证方法、装置、电子设备及存储介质
CN116151965B (zh) 一种风险特征提取方法、装置、电子设备及存储介质
CN117196064A (zh) 模型训练方法、对象属性值确定方法、装置、设备及介质
CN116977247A (zh) 图像处理方法、装置、电子设备及存储介质
CN116958724A (zh) 一种产品分类模型的训练方法和相关装置
CN114218574A (zh) 一种数据检测方法、装置、电子设备以及存储介质
CN114495121A (zh) 高欺诈风险案件的识别方法、装置及计算机设备
CN112434471A (zh) 提升模型泛化能力的方法、系统、电子设备及存储介质
CN114358094B (zh) 基于雷达通信系统的信号去噪方法及系统
CN114898155B (zh) 车辆定损方法、装置、设备及存储介质
CN117808816B (zh) 图像异常检测方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant