CN115470908A - 模型安全推理方法、电子设备、介质及程序产品 - Google Patents

模型安全推理方法、电子设备、介质及程序产品 Download PDF

Info

Publication number
CN115470908A
CN115470908A CN202211282074.XA CN202211282074A CN115470908A CN 115470908 A CN115470908 A CN 115470908A CN 202211282074 A CN202211282074 A CN 202211282074A CN 115470908 A CN115470908 A CN 115470908A
Authority
CN
China
Prior art keywords
sample
model
periodic
inference
transformation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211282074.XA
Other languages
English (en)
Inventor
古瀚林
范力欣
杨强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
WeBank Co Ltd
Original Assignee
WeBank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by WeBank Co Ltd filed Critical WeBank Co Ltd
Priority to CN202211282074.XA priority Critical patent/CN115470908A/zh
Publication of CN115470908A publication Critical patent/CN115470908A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Medical Informatics (AREA)
  • Bioethics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种模型安全推理方法、电子设备、介质及程序产品,应用于客户端,包括:获取待推理样本,根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换,得到周期性变换推理样本;将所述周期性变换推理样本上传至服务端,以供所述服务端基于推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;接收所述服务端下发的模型推理结果。本申请解决了两方模型安全推理效率低的技术问题。

Description

模型安全推理方法、电子设备、介质及程序产品
技术领域
本申请涉及金融科技(Fintech)的人工智能技术领域,尤其涉及一种模型安全推理方法、电子设备、介质及程序产品。
背景技术
随着金融科技,尤其是互联网科技金融的不断发展,越来越多的技术(如分布式、人工智能等)应用在金融领域,但金融业也对技术提出了更高的要求,如对金融业对应待办事项的分发也有更高的要求。
在进行两方模型安全推理时,服务器是愿意提供推理模型作为服务,但不想直接给予客户端推理模型,而客户端希望使用推理模型来预测本地样本,但是客户端认为本地样本是私人信息,不想将本地样本的明文传给服务器,目前,通常由客户端本地样本的同态加密密文传输给服务端,然后服务器端利用推理模型对同态加密密文在密文状态下进行计算,但是,由于同态加密密文的数据量级会远大于明文数据的数据量级,因此上述基于同态加密的两方模型安全推理方法会在极大程度上增加客户端与服务端之间的通信数据量,以及增加客户端以及服务端各自的计算数据量,导致客户端与服务端之间的通信效率变低,以及客户端与服务端各自的计算效率变低,从而影响两方模型安全推理的效率。
发明内容
本申请的主要目的在于提供一种模型安全推理方法、电子设备、介质及程序产品,旨在解决两方模型安全推理效率低的技术问题。
为实现上述目的,本申请提供一种模型安全推理方法,应用于客户端,所述模型安全推理方法包括:
获取待推理样本,根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换,得到周期性变换推理样本;
将所述周期性变换推理样本上传至服务端,以供所述服务端基于推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;
接收所述服务端下发的模型推理结果。
可选地,所述隐私保护模块包括周期性神经网络和噪声模块,
所述根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换,得到周期性变换推理样本的步骤包括:
通过所述待推理样本输入所述周期性神经网络,对所述待推理样本进行基于周期性的样本映射,得到周期性映射样本;
依据所述噪声模块,对所述周期性映射样本进行噪声附加,得到所述周期性变换推理样本。
可选地,所述周期性神经网络包括神经网络参数和周期性激活函数,
所述通过所述待推理样本输入所述周期性神经网络,对所述待推理样本进行基于周期性的样本映射,得到周期性映射样本的步骤包括:
依据所述神经网络参数,对所述待推理样本进行线性变换,得到线性变换样本;
依据所述周期性激活函数,对所述线性变换样本进行周期性激活,得到所述周期性映射样本。
可选地,在所述获取待推理样本,根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换,得到周期性变换推理样本的步骤之前,所述模型安全推理方法还包括:
接收所述服务端下发的初始隐私保护模块和预设噪声阈值,根据所述预设噪声阈值,生成本地附加噪声;
根据所述本地附加噪声,对所述初始隐私保护模块中的噪声模块进行调整,得到所述隐私保护模块。
为实现上述目的,本申请还提供一种模型安全推理方法,应用于服务端,所述模型安全推理方法包括:
接收客户端上传的周期性变换推理样本,其中,所述周期性变换推理样本由所述客户端根据隐私保护模块对待推理样本进行基于周期性地样本变换得到;
根据推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;
将所述模型推理结果下发至所述客户端。
可选地,在所述接收客户端上传的周期性变换推理样本的步骤之前,所述模型安全推理方法还包括:
获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本;
将所述周期性变换训练样本输入待训练推理模型,对所述周期性变换训练样本进行样本预测,得到训练样本预测结果;
根据所述训练样本预测结果计算的模型损失,对所述待训练隐私保护模块和所述待训练推理模型进行迭代优化,得到所述隐私保护模块和所述推理模型;
将所述隐私保护模块和预设噪声阈值下发至所述客户端。
可选地,所述服务端包括横向联邦学习的参与方设备,在所述接收客户端上传的周期性变换推理样本的步骤之前,所述模型安全推理方法还包括:
获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本;
根据所述周期性变换训练样本,对所述待训练隐私保护模块和待训练推理模型进行迭代优化;
获取所述待训练推理模型的本地网络参数,将所述本地网络参数上传至横向联邦服务器,其中,所述横向联邦服务器用于将各所述参与方设备上传的本地网络参数聚合为联邦网络参数;
接收所述横向联邦服务器下发的联邦网络参数,将所述待训练推理模型的本地网络参数更新为所述联邦网络参数;
返回执行步骤:获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本,直至检测到横向联邦学习建模完毕,将所述待训练隐私保护模块作为所述隐私保护模块以及将所述待训练推理模型作为所述推理模型;
将所述隐私保护模块和预设噪声阈值下发至所述客户端。
本申请还提供一种模型安全推理装置,应用于客户端,所述模型安全推理装置包括:
周期性变换模块,用于获取待推理样本,根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换,得到周期性变换推理样本;
上传模块,用于将所述周期性变换推理样本上传至服务端,以供所述服务端基于推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;
接收模块,用于接收所述服务端下发的模型推理结果。
可选地,所述隐私保护模块包括周期性神经网络和噪声模块,所述周期性变换模块还用于:
通过所述待推理样本输入所述周期性神经网络,对所述待推理样本进行基于周期性的样本映射,得到周期性映射样本;
依据所述噪声模块,对所述周期性映射样本进行噪声附加,得到所述周期性变换推理样本。
可选地,所述周期性神经网络包括神经网络参数和周期性激活函数,所述周期性变换模块还用于:
依据所述神经网络参数,对所述待推理样本进行线性变换,得到线性变换样本;
依据所述周期性激活函数,对所述线性变换样本进行周期性激活,得到所述周期性映射样本。
可选地,所述模型安全推理装置还用于:
接收所述服务端下发的初始隐私保护模块和预设噪声阈值,根据所述预设噪声阈值,生成本地附加噪声;
根据所述本地附加噪声,对所述初始隐私保护模块中的噪声模块进行调整,得到所述隐私保护模块。
本申请还提供一种模型安全推理装置,应用于服务端,所述模型安全推理装置包括:
接收模块,用于接收客户端上传的周期性变换推理样本,其中,所述周期性变换推理样本由所述客户端根据隐私保护模块对待推理样本进行基于周期性地样本变换得到;
模型推理模块,用于根据推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;
下发模块,用于将所述模型推理结果下发至所述客户端。
可选地,所述模型安全推理装置还用于:
获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本;
将所述周期性变换训练样本输入待训练推理模型,对所述周期性变换训练样本进行样本预测,得到训练样本预测结果;
根据所述训练样本预测结果计算的模型损失,对所述待训练隐私保护模块和所述待训练推理模型进行迭代优化,得到所述隐私保护模块和所述推理模型;
将所述隐私保护模块和预设噪声阈值下发至所述客户端。
可选地,所述服务端包括横向联邦学习的参与方设备,所述模型安全推理装置还用于:
获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本;
根据所述周期性变换训练样本,对所述待训练隐私保护模块和待训练推理模型进行迭代优化;
获取所述待训练推理模型的本地网络参数,将所述本地网络参数上传至横向联邦服务器,其中,所述横向联邦服务器用于将各所述参与方设备上传的本地网络参数聚合为联邦网络参数;
接收所述横向联邦服务器下发的联邦网络参数,将所述待训练推理模型的本地网络参数更新为所述联邦网络参数;
返回执行步骤:获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本,直至检测到横向联邦学习建模完毕,将所述待训练隐私保护模块作为所述隐私保护模块以及将所述待训练推理模型作为所述推理模型;
将所述隐私保护模块和预设噪声阈值下发至所述客户端。
本申请还提供一种电子设备,所述电子设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的所述模型安全推理方法的程序,所述模型安全推理方法的程序被处理器执行时可实现如上述的模型安全推理方法的步骤。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有实现模型安全推理方法的程序,所述模型安全推理方法的程序被处理器执行时实现如上述的模型安全推理方法的步骤。
本申请还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述的模型安全推理方法的步骤。
本申请提供了一种模型安全推理方法、电子设备、介质及程序产品,相比于现有技术中基于同态加密进行两方模型安全推理的技术手段,本申请中客户端设置有隐私保护模块,在两方模型安全推理过程中,客户端利用该隐私保护模块,可以对所述待推理样本进行基于周期性地样本变换,得到施加了周期性变化的周期性变换推理样本,这样,客户端将所述周期性变换推理样本上传至服务端,所述服务端可以基于推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果,其中由于周期性变换推理样本是施加了周期性变化的,因此同一个周期性变换样本中每一个样本特征值所对应的待推理样本的样本特征值并不唯一,服务端基于周期性变换样本难以反推出一个唯一客户端的待推理样本,所以保护了客户端的数据隐私,服务端也无需将推理模型给予客户端,且由于周期性变换推理样本本身为明文数据,实现了通过在客户端和服务端之间交互明文数据来实现两方模型安全推理的目的,而明文数据的数据量级远小于密文数据,因此克服了基于同态加密的两方模型安全推理方法会在极大程度上增加客户端与服务端之间的通信数据量,以及增加客户端以及服务端各自的计算数据量,导致客户端与服务端之间的通信效率变低,以及客户端与服务端各自的计算效率变低的技术缺陷,提升了两方模型安全推理的效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请模型安全推理方法第一实施例的流程示意图;
图2为本申请中模型安全推理方法中基于隐私保护模块进行周期性地样本变换的流程示意图;
图3为本申请模型安全推理方法第二实施例的流程示意图;
图4为本申请模型安全推理方法中基于横向联邦学习构建隐私保护模块和推理模型的流程示意图;
图5为本申请实施例中模型安全推理方法涉及的硬件运行环境的设备结构示意图。
本申请目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例,均属于本申请保护的范围。
实施例一
本申请实施例提供一种模型安全推理方法,在本申请模型安全推理方法的第一实施例中,参照图1,本实施例的方法应用于客户端,所述模型安全推理方法包括:
步骤S10,获取待推理样本,根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换,得到周期性变换推理样本;
步骤S20,将所述周期性变换推理样本上传至服务端,以供所述服务端基于推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;
步骤S30,接收所述服务端下发的模型推理结果。
在本实施例中,需要说明的是,所述客户端与所述服务端通信连接,所述客户端设置有隐私保护模块,所述服务端设置有隐私保护模块对应的推理模型。所述隐私保护模块用于对待推理样本进行基于周期性的样本变换,将待推理样本中每个样本特征值转换为符合周期性变化的周期性变换特征值,从而得到周期性变换推理样本,这样由于周期性变换特征值符合周期性变化,因此一个周期性变换特征值所对应的样本特征值并不唯一,也即一个周期性变换特征值对应多个不同的样本特征值,因此即使服务器知道周期性变换推理样本以及隐私保护模块的模块参数,也难以反推出周期性变换推理样本中每个周期性变换特征值所对应的唯一样本特征值,从而难以反推出周期性变换推理样本所对应的唯一待推理样本,反推的难度等价于容错学习的难度,因此可以很好地保护客户端中待推理样本的数据隐私。所述服务端设置有推理模型,该推理模型与隐私保护模块相对应,用于将隐私保护模块的输出作为输入进行模型推理,从而输出待预测样本所对应的模型推理结果。
作为一种示例,步骤S10至步骤S30包括:获取待推理样本,其中,所述待推理样本由至少一个样本特征值组成,所述待推理样本可以为样本向量或者样本矩阵;通过将所述待推理样本输入隐私保护模块,对所述待推理样本进行基于周期性地样本变换,以将所述待推理样本中各样本特征值转换为符合周期性变化的周期性变换特征值,得到所述待推理样本对应的周期性变换推理样本,其中,所述周期性变换推理样本由至少一个周期性变换特征值组成;将所述周期性变换推理样本上传至服务端,以供所述服务端基于推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;接收所述服务端下发的模型推理结果。
其中,所述隐私保护模块包括周期性神经网络和噪声模块,所述根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换,得到周期性变换推理样本的步骤包括:
步骤S11,通过所述待推理样本输入所述周期性神经网络,对所述待推理样本进行基于周期性的样本映射,得到周期性映射样本;
步骤S12,依据所述噪声模块,对所述周期性映射样本进行噪声附加,得到所述周期性变换推理样本。
在本实施例中,需要说明的是,所述隐私保护模块可以由周期性神经网络和噪声模块组成,其中,所述周期性神经网络用于对所述待推理样本进行基于周期性地样本变换,所述噪声模块用于为周期性神经网络的输出附加噪声。
作为一种示例,步骤S11至步骤S12包括:通过所述待推理样本输入所述周期性神经网络,对所述待推理样本进行基于周期性地样本映射,以将所述待推理样本中各样本特征值转换为符合周期性变化的周期性变换特征值,得到所述待推理样本对应的周期性映射样本;通过将所述周期性映射样本输入所述噪声模块,在所述周期性映射样本中添加对应的本地附加噪声,得到所述周期性变换推理样本,其中,所述本地附加噪声由于所述客户端根据服务端下发的预设噪声阈值进行确定,所述本地附加噪声不大于预设噪声阈值。本申请实施例中隐私保护模块中设置了噪声模块,这样,在将待推理样本中每个样本特征值转换为符合周期性变化的周期性变换特征值的基础上,还可以为其附加一个本地附加噪声,该本地附加噪声是客户端单独持有的,这样可以进一步提升外界反推出客户端的待预测样本的难度,从而提升本申请实施例两方模型安全推理中数据隐私保护的效果。且由于限制了该本地附加噪声小于预设噪声阈值,因此不会影响推理模型的模型推理准确度。
其中,所述周期性神经网络包括神经网络参数和周期性激活函数,所述通过所述待推理样本输入所述周期性神经网络,对所述待推理样本进行基于周期性的样本映射,得到周期性映射样本的步骤包括:
步骤S111,依据所述神经网络参数,对所述待推理样本进行线性变换,得到线性变换样本;
步骤S112,依据所述周期性激活函数,对所述线性变换样本进行周期性激活,得到所述周期性映射样本。
在本实施例中,需要说明的是,所述周期性神经网络可以由神经网络参数和周期性激活函数组成,其中,所述神经网络参数用于对待预测样本进行线性变换,所述周期性激活函数为周期函数,用于对线性变换后的样本进行激活,从而输出周期性映射样本。
作为一种示例,步骤S111至步骤S112包括:依据所述神经网络参数,对所述待推理样本中各样本特征值进行线性变换,得到线性变换样本;依据所述周期性激活函数,对所述线性变换样本中各特征值进行激活,得到周期性映射样本。其中,由于线性变换样本中各特征值是输入周期性激活函数中进行激活的,因此周期性映射样本中每一特征值是符合周期性变化的,周期性映射样本中每一特征值与待预测样本中每一样本特征值并不一一对应,例如假设周期性激活函数为sinX,周期性映射样本中一特征值为1,则相应的X的取值存在多个,所以即使外界拿到神经网络参数以及周期性映射样本,也难以反推出待预测样本中的样本特征值,更何况本申请实施例中还为周期性映射样本施加了本地附加噪声,更进一步增加了外界反推出待预测样本的难度。
另外,需要说明的是,目前的同态加密或者秘密共享等数据加密方式均为非线性的数据变换过程,因此最终加密得到的密文数据的数据量级通常远大于明文数据的数据量级,而本申请实施例中仅仅是对待预测样本进行简单线性变换,虽然线性变换后的明文数据的数据量级会大于线性变换之前的明文数据的数据量,但是线性变换后的明文数据的数据量级同样会远小于密文数据的数据量级,因此相比于基于同态加密或者秘密共享等数据加密方法进行两方模型安全推理的方式,本申请实施例中两方模型安全推理时客户端与服务端进行通信所传输的数据量更少,且客户端与服务端各自进行数据计算的计算量更少,因此可以提升两方模型安全推理的效率。
作为一种示例,上述根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换的具体公式如下:
Figure BDA0003898591750000101
其中,O为隐私保护模块输出的周期性变换推理样本,W为所述神经网络参数,X为所述待预测样本,
Figure BDA0003898591750000102
为周期为1/r的周期性激活函数,ε为所述本地附加噪声,进一步参照图2,图2为本申请实施例中基于隐私保护模块进行周期性地样本变换的流程示意图,其中,输入数据X为所述待预测样本,周期性神经元是激活函数为
Figure BDA0003898591750000111
的神经网络,随机噪声ε为本地附加噪声,输出数据O为隐私保护模块输出的周期性变换推理样本。
其中,在所述获取待推理样本,根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换,得到周期性变换推理样本的步骤之前,所述模型安全推理方法还包括:
步骤A10,接收所述服务端下发的初始隐私保护模块和预设噪声阈值,根据所述预设噪声阈值,生成本地附加噪声;
步骤A20,根据所述本地附加噪声,对所述初始隐私保护模块中的噪声模块进行调整,得到所述隐私保护模块。
作为一种示例,步骤A10至步骤A20包括:接收所述服务端下发的初始隐私保护模块和预设噪声阈值,生成小于所述预设噪声阈值的本地附加噪声;将所述初始隐私保护模块中噪声模块的原始附加噪声调整为所述本地附加噪声,得到所述隐私保护模块。
需要说明的是,对于服务端,虽然知道隐私保护模块的神经网络参数以及周期性激活函数,由于周期性激活函数的一个输出是对应多个输入的,所以服务端无法反推出待预测样本,反推的难度等价于容错学习的难度,从而可以保护客户端的数据隐私,且本地附加噪声只有客户端自身持有,这更加加大了服务端反推出待预测样本的难度,所以进一步提升了两方模型安全推理过程中数据隐私保护的效果。
作为一种示例,所述待预测样本可以为图像样本,所述推理模型可以为图像样本推理模型,例如可以为目标检测模型或者图像识别模型等。
作为一种示例,所述待预测样本可以为用户画像样本,所述推理模型可以为风控模型,用于对用户进行贷款风险评估。
本申请实施例提供了一种模型安全推理方法,相比于现有技术中基于同态加密进行两方模型安全推理的技术手段,本申请实施例中客户端设置有隐私保护模块,在两方模型安全推理过程中,客户端利用该隐私保护模块,可以对所述待推理样本进行基于周期性地样本变换,得到施加了周期性变化的周期性变换推理样本,这样,客户端将所述周期性变换推理样本上传至服务端,所述服务端可以基于推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果,其中由于周期性变换推理样本是施加了周期性变化的,因此同一个周期性变换样本中每一个样本特征值所对应的待推理样本的样本特征值并不唯一,服务端基于周期性变换样本无法反推出一个唯一客户端的待推理样本,所以保护了客户端的数据隐私,且服务端也无需将推理模型给予客户端,且由于周期性变换推理样本本身为明文数据,实现了通过在客户端和服务端之间交互明文数据来实现两方模型安全推理的目的,而明文数据的数据量级远小于密文数据,因此克服了基于同态加密的两方模型安全推理方法会在极大程度上增加客户端与服务端之间的通信数据量,以及增加客户端以及服务端各自的计算数据量,导致客户端与服务端之间的通信效率变低,以及客户端与服务端各自的计算效率变低的技术缺陷,提升了两方模型安全推理的效率。
实施例二
本申请实施例还一种模型安全推理方法,本实施例的方法应用于服务端,参照图3,所述模型安全推理方法包括:
步骤B10,接收客户端上传的周期性变换推理样本,其中,所述周期性变换推理样本由所述客户端根据隐私保护模块对待推理样本进行基于周期性地样本变换得到;
步骤B20,根据推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;
步骤B30,将所述模型推理结果下发至所述客户端。
作为一种示例,步骤B10至步骤B30包括:接收客户端上传的周期性变换推理样本,其中,所述周期性变换推理样本由客户端根据隐私保护模块将所述待推理样本中各样本特征值转换为符合周期性变化的周期性变换特征值得到;将所述周期性推理样本输入推理模型中进行模型推理,得到模型推理结果;将所述模型推理结果下发至所述客户端。其中,所述推理模型是和所述隐私保护模块进行同步迭代训练优化得到的,因此推理模型以隐私保护模块的输出作为输入进行模型推理,准确生成待预测样本对应的模型推理结果。所述客户端根据隐私保护模块对所述待推理样本进行基于周期性地样本变换得到周期性变换推理样本的具体实施过程可参照上述步骤S10至步骤S30及其细化步骤中的内容,在此不再赘述。
其中,在所述接收客户端上传的周期性变换推理样本的步骤之前,所述模型安全推理方法还包括:
步骤C10,获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本;
步骤C20,将所述周期性变换训练样本输入待训练推理模型,对所述周期性变换训练样本进行样本预测,得到训练样本预测结果;
步骤C30,根据所述训练样本预测结果计算的模型损失,对所述待训练隐私保护模块和所述待训练推理模型进行迭代优化,得到所述隐私保护模块和所述推理模型;
步骤C40,将所述隐私保护模块和预设噪声阈值下发至所述客户端。
作为一种示例,步骤C10至步骤C40包括:获取训练样本和训练样本对应的训练样本标签,其中,所述训练样本至少由一个训练样本特征值组成;通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,以将所述训练样本中各训练样本特征值转换为符合周期性变化的特征值,得到所述训练样本对应的周期性变换训练样本;将所述周期性变换训练样本输入待训练推理模型,对所述周期性变换训练样本进行样本预测,得到训练样本预测结果;根据所述训练样本预测结果和所述训练样本标签之间的差值,计算对应的模型损失;若所述模型损失收敛,则判定待训练隐私保护模型和待训练推理模型训练完毕,将所述待训练隐私保护模块作为所述隐私保护模块,以及将所述待训练推理模型作为所述推理模型;若所述模型损失未收敛,则根据所述模型损失计算的梯度,对所述待训练隐私保护模块和所述待训练推理模型进行反向传播更新,并返回执行步骤:获取训练样本和训练样本对应的训练样本标签,直至计算得到的模型损失收敛。本申请实施例实现了同步迭代训练优化隐私保护模块和推理模型,这样,服务端将隐私保护模型部署在客户端之后,服务端将客户端上传的周期性变换样本作为推理模型的输入进行模型推理,可以准确输出待预测样本对应的模型推理结果。
其中,所述服务端包括横向联邦学习的参与方设备,在所述接收客户端上传的周期性变换推理样本的步骤之前,所述模型安全推理方法还包括:
步骤D10,获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本;
步骤D20,根据所述周期性变换训练样本,对所述待训练隐私保护模块和待训练推理模型进行迭代优化;
步骤D30,获取所述待训练推理模型的本地网络参数,将所述本地网络参数上传至横向联邦服务器,其中,所述横向联邦服务器用于将各所述参与方设备上传的本地网络参数聚合为联邦网络参数;
步骤D40,接收所述横向联邦服务器下发的联邦网络参数,将所述待训练推理模型的本地网络参数更新为所述联邦网络参数;
步骤D50,返回执行步骤:获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本,直至检测到横向联邦学习建模完毕,将所述待训练隐私保护模块作为所述隐私保护模块以及将所述待训练推理模型作为所述推理模型;
步骤D60,将所述隐私保护模块和预设噪声阈值下发至所述客户端。
在本实施例中,需要说明的是,所述横向联邦服务器为可信第三方,各服务端为横向联邦学习的参与方设备,待训练隐私保护模块为各参与方设备私自持有,待训练推理模型为各参与方设备的共享模型。
作为一种示例,步骤D10至步骤D60包括:获取训练样本和训练样本对应的训练样本标签,其中,所述训练样本至少由一个训练样本特征值组成;通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,以将所述训练样本中各训练样本特征值转换为符合周期性变化的特征值,得到所述训练样本对应的周期性变换训练样本;将所述周期性变换训练样本输入待训练推理模型中进行模型推理,得到训练样本模型推理结果;根据所述训练样本模型推理结果和所述训练样本标签之间的差值,计算对应的模型损失;若所述模型损失收敛,则判定待训练隐私保护模型和待训练推理模型训练完毕,将所述待训练隐私保护模块作为所述隐私保护模块,以及将所述待训练推理模型作为所述推理模型;若所述模型损失未收敛,则根据所述模型损失计算的梯度,对所述待训练隐私保护模块和所述待训练推理模型进行反向传播更新,并返回执行步骤:获取训练样本和训练样本对应的训练样本标签,并检测所述待训练隐私保护模块和所述待训练推理模型的迭代更新次数是否达到预设迭代更新次数,若达到,则获取所述待训练推理模型的本地网络参数,将所述本地网络参数上传至横向联邦服务器,其中,所述横向联邦服务器用于将各所述参与方设备上传的本地网络参数聚合为联邦网络参数,聚合的方式可以为加权平均或者加权求和等;接收所述横向联邦服务器下发的联邦网络参数,将所述待训练推理模型的本地网络参数替换更新为所述联邦网络参数;返回执行步骤:获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本,以对待训练隐私保护模块和待训练推理模型进行下一轮迭代更新,直至计算得到的模型损失收敛。本申请实施例提供了一种基于横向联邦学习构建隐私保护模块和推理模型的方法,实现了基于横向联邦学习同步迭代训练优化隐私保护模块和推理模型,这样,参与方设备将隐私保护模型部署在客户端之后,参与方设备将客户端上传的周期性变换样本作为推理模型的输入进行模型推理,可以准确输出待预测样本对应的模型推理结果。
另外,需要说明的是,目前基于横向联邦学习进行模型构建时,为了保护参与方设备的数据隐私,通常是基于同态加密或者秘密共享进行横向联邦学习加密,但是加密后的密文数据的数据量级会远远大于明文数据的数据量级,从而极大程度上增大各参与方设备与横向联邦服务器之间的通信传输数据量,且极大程度上增加参与方设备和横向联邦服务器各自的计算数据量,从而会极大程度上影响各参与方设备与横向联邦服务器之间的通信效率,且极大程度上影响参与方设备和横向联邦服务器各自在横向联邦学习建模过程中的数据计算效率。而本申请实施例中参与方设备传输给联邦服务器的本地网络参数为明文数据,而非密文数据,因此可以有效降低参与方设备与横向联邦服务器之间的通信数据量,以及降低参与方设备和横向联邦服务器各自在横向联邦学习建模过程中的计算数据量,因此可以提升各参与方设备与横向联邦服务器之间的通信效率,以及提升参与方设备和横向联邦服务器各自在横向联邦学习建模过程中的数据计算效率,另外,虽然横向联邦服务器直接拿到了为明文数据的各参与方设备的推理模型的本地网络参数,横向联邦服务器可以反推出推理模型的输入数据,也即为周期性变换训练样本,但是由于横向联邦服务器并不知道隐私保护模块中的神经网络参数以及周期性激活函数,因此横向联邦服务器是无法反推出参与方设备的训练样本的;且即使横向联邦服务器拿到了神经网络参数以及周期性激活函数,由于周期性变换训练样本是施加了周期性变化的,因此同一个周期性变换训练样本中每一个特征值所对应的训练样本的训练样本特征值并不唯一,横向联邦服务器基于周期性变换训练样本难以反推出一个唯一的训练样本,反推的难度等价于容错学习的难度;再者参与方设备在周期性变换训练样本中附加了私自的噪声,这更加提升了反推出参与方设备的训练样本的难度,因此可以很好地保护参与方设备的数据隐私,综上,本申请实施例中基于横向联邦学习构建隐私保护模块和推理模型,既保护了参与方设备的数据隐私,又提升了参与方设备和横向联邦服务器之间的通信效率,以及提升了参与方设备和横向联邦服务器各自在横向联邦学习建模过程中的数据计算效率。
作为一种示例,需要说明的是,所述私有隐私保护模块可以由一个或者多个护照嵌入网络模块串联组成,所述护照嵌入网络模块可以由一个私有周期性神经网络和一个私有噪声模块串联组成,各参与方设备各自的私有隐私保护模块可以为异构网络,也即各参与方设备处的私有隐私保护模块中护照嵌入网络模块的数量可以不同,各参与方设备可以根据自身的实际需求设计自身的私有隐私保护模块中包含的护照嵌入网络模块的数量多少,例如,样本数量较多的参与方设备,则可以设计为较多护照嵌入网络模块组成的私有隐私保护模块,以此来应对数据分布更加复杂的样本数据,提升进行周期性地样本变换的准确度,从而提升最终样本预测的准确度,而样本数量较多的参与方设备,则可以设计为较少护照嵌入网络模块组成的私有隐私保护模块,从而减少系统资源消耗,提升进行周期性地样本变换的效率,提升最终样本预测的效率,因此本申请实施例中可实现对于不同需求的参与方设备,适配个性化的异构私有隐私保护模块,以满足参与方设备的个性化需求,也即样本数量多的参与方设备需要适配网络结构更为复杂的私有隐私保护模块,样本数量少的参与方设备则需要适配网络结构更为简单的私有隐私保护模块。具体参照图4,图4为本申请实施例中基于横向联邦学习构建隐私保护模块和推理模型的流程示意图,私有神经网络DN为私有隐私保护模块,所述私有神经网络DN由一个或者多个护照嵌入网络模块组成,所述护照嵌入网络模块可以由一个私有周期性神经网络和一个私有噪声模块串联组成,各参与方设备的护照嵌入网络模块的数量不同,因此各参与方设备间的私有神经网络DN可以为异构网络,私有周期性神经网络用于对训练样本进行基于周期性地样本变换,私有噪声模块用于为周期性隐私保护模块的输出进行噪声附加,共享神经网络GN为待训练推理模型,
Figure BDA0003898591750000171
为所述待训练推理模型输出的训练样本模型推理结果,yN为训练样本标签,LN为模型损失,各参与方发送给横向联邦服务器的G1至GN为待训练推理模型的本地网络参数,Gavg为所述联邦网络参数。
本申请实施例提供另一种模型安全推理方法,相比于现有技术中基于同态加密进行两方模型安全推理的技术手段,本申请中客户端设置有隐私保护模块,在两方模型安全推理过程中,客户端利用该隐私保护模块,可以对所述待推理样本进行基于周期性地样本变换,得到施加了周期性变化的周期性变换推理样本,这样,客户端将所述周期性变换推理样本上传至服务端,服务端可以基于推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果,其中由于周期性变换推理样本是施加了周期性变化的,因此同一个周期性变换样本中每一个样本特征值所对应的待推理样本的样本特征值并不唯一,服务端基于周期性变换样本难以反推出一个唯一客户端的待推理样本,所以保护了客户端的数据隐私,服务端也无需将推理模型给予客户端,且由于周期性变换推理样本本身为明文数据,实现了通过在客户端和服务端之间交互明文数据来实现两方模型安全推理的目的,而明文数据的数据量级远小于密文数据,因此克服了基于同态加密的两方模型安全推理方法会在极大程度上增加客户端与服务端之间的通信数据量,以及增加客户端以及服务端各自的计算数据量,导致客户端与服务端之间的通信效率变低,以及客户端与服务端各自的计算效率变低的技术缺陷,提升了两方模型安全推理的效率。
实施例三
本申请实施例还提供一种模型安全推理装置,应用于客户端,所述模型安全推理装置包括:
周期性变换模块,用于获取待推理样本,根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换,得到周期性变换推理样本;
上传模块,用于将所述周期性变换推理样本上传至服务端,以供所述服务端基于推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;
接收模块,用于接收所述服务端下发的模型推理结果。
可选地,所述隐私保护模块包括周期性神经网络和噪声模块,所述周期性变换模块还用于:
通过所述待推理样本输入所述周期性神经网络,对所述待推理样本进行基于周期性的样本映射,得到周期性映射样本;
依据所述噪声模块,对所述周期性映射样本进行噪声附加,得到所述周期性变换推理样本。
可选地,所述周期性神经网络包括神经网络参数和周期性激活函数,所述周期性变换模块还用于:
依据所述神经网络参数,对所述待推理样本进行线性变换,得到线性变换样本;
依据所述周期性激活函数,对所述线性变换样本进行周期性激活,得到所述周期性映射样本。
可选地,所述模型安全推理装置还用于:
接收所述服务端下发的初始隐私保护模块和预设噪声阈值,根据所述预设噪声阈值,生成本地附加噪声;
根据所述本地附加噪声,对所述初始隐私保护模块中的噪声模块进行调整,得到所述隐私保护模块。
本申请实施例提供的模型安全推理装置,采用上述实施例中的模型安全推理方法,解决了两方模型安全推理效率低的技术问题。与现有技术相比,本申请实施例提供的模型安全推理装置的有益效果与上述实施例提供的模型安全推理方法的有益效果相同,且该模型安全推理装置中的其他技术特征与上述实施例方法公开的特征相同,在此不做赘述。
实施例四
本申请实施例还提供一种模型安全推理装置,应用于服务端,所述模型安全推理装置包括:
接收模块,用于接收客户端上传的周期性变换推理样本,其中,所述周期性变换推理样本由所述客户端根据隐私保护模块对待推理样本进行基于周期性地样本变换得到;
模型推理模块,用于根据推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;
下发模块,用于将所述模型推理结果下发至所述客户端。
可选地,所述模型安全推理装置还用于:
获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本;
将所述周期性变换训练样本输入待训练推理模型,对所述周期性变换训练样本进行样本预测,得到训练样本预测结果;
根据所述训练样本预测结果计算的模型损失,对所述待训练隐私保护模块和所述待训练推理模型进行迭代优化,得到所述隐私保护模块和所述推理模型;
将所述隐私保护模块和预设噪声阈值下发至所述客户端。
可选地,所述服务端包括横向联邦学习的参与方设备,所述模型安全推理装置还用于:
获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本;
根据所述周期性变换训练样本,对所述待训练隐私保护模块和待训练推理模型进行迭代优化;
获取所述待训练推理模型的本地网络参数,将所述本地网络参数上传至横向联邦服务器,其中,所述横向联邦服务器用于将各所述参与方设备上传的本地网络参数聚合为联邦网络参数;
接收所述横向联邦服务器下发的联邦网络参数,将所述待训练推理模型的本地网络参数更新为所述联邦网络参数;
返回执行步骤:获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本,直至检测到横向联邦学习建模完毕,将所述待训练隐私保护模块作为所述隐私保护模块以及将所述待训练推理模型作为所述推理模型;
将所述隐私保护模块和预设噪声阈值下发至所述客户端。
本申请实施例提供的模型安全推理装置,采用上述实施例中的模型安全推理方法,解决了两方模型安全推理效率低的技术问题。与现有技术相比,本申请实施例提供的模型安全推理装置的有益效果与上述实施例提供的模型安全推理方法的有益效果相同,且该模型安全推理装置中的其他技术特征与上述实施例方法公开的特征相同,在此不做赘述。
实施例五
本申请实施例提供一种电子设备,电子设备包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述实施例一中的模型安全推理方法。
下面参考图5,其示出了适于用来实现本公开实施例的电子设备的结构示意图。本公开实施例中的电子设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图5示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图5所示,电子设备可以包括处理装置(例如中央处理器、图形处理器等),其可以根据存储在只读存储器(ROM)中的程序或者从存储装置加载到随机访问存储器(RAM)中的程序而执行各种适当的动作和处理。在RAM中,还存储有电子设备操作所需的各种程序和数据。处理装置、ROM以及RAM通过总线彼此训练。输入/输出(I/O)接口也连接至总线。
通常,以下系统可以连接至I/O接口:包括例如触摸屏、触摸板、键盘、鼠标、图像传感器、麦克风、加速度计、陀螺仪等的输入装置;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置;包括例如磁带、硬盘等的存储装置;以及通信装置。通信装置可以允许电子设备与其他设备进行无线或有线通信以交换数据。虽然图中示出了具有各种系统的电子设备,但是应理解的是,并不要求实施或具备所有示出的系统。可以替代地实施或具备更多或更少的系统。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置从网络上被下载和安装,或者从存储装置被安装,或者从ROM被安装。在该计算机程序被处理装置执行时,执行本公开实施例的方法中限定的上述功能。
本申请提供的电子设备,采用上述实施例中的模型安全推理方法,解决了两方模型安全推理效率低的技术问题。与现有技术相比,本申请实施例提供的电子设备的有益效果与上述实施例提供的模型安全推理方法的有益效果相同,且该电子设备中的其他技术特征与上述实施例方法公开的特征相同,在此不做赘述。
应当理解,本公开的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式的描述中,具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
实施例六
本实施例提供一种计算机可读存储介质,具有存储在其上的计算机可读程序指令,计算机可读程序指令用于执行上述实施例一中的模型安全推理的方法。
本申请实施例提供的计算机可读存储介质例如可以是U盘,但不限于电、磁、光、电磁、红外线、或半导体的系统、系统或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、系统或者器件使用或者与其结合使用。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读存储介质可以是电子设备中所包含的;也可以是单独存在,而未装配入电子设备中。
上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被电子设备执行时,使得电子设备:获取待推理样本,根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换,得到周期性变换推理样本;将所述周期性变换推理样本上传至服务端,以供所述服务端基于推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;接收所述服务端下发的模型推理结果。
又或者接收客户端上传的周期性变换推理样本,其中,所述周期性变换推理样本由所述客户端根据隐私保护模块对待推理样本进行基于周期性地样本变换得到;根据推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;将所述模型推理结果下发至所述客户端。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,模块的名称在某种情况下并不构成对该单元本身的限定。
本申请提供的计算机可读存储介质,存储有用于执行上述模型安全推理方法的计算机可读程序指令,解决了两方模型安全推理效率低的技术问题。与现有技术相比,本申请实施例提供的计算机可读存储介质的有益效果与上述实施例提供的模型安全推理方法的有益效果相同,在此不做赘述。
实施例七
本申请还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述的模型安全推理方法的步骤。
本申请提供的计算机程序产品解决了两方模型安全推理效率低的技术问题。与现有技术相比,本申请实施例提供的计算机程序产品的有益效果与上述实施例提供的模型安全推理方法的有益效果相同,在此不做赘述。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利处理范围内。

Claims (10)

1.一种模型安全推理方法,其特征在于,应用于客户端,所述模型安全推理方法包括:
获取待推理样本,根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换,得到周期性变换推理样本;
将所述周期性变换推理样本上传至服务端,以供所述服务端基于推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;
接收所述服务端下发的模型推理结果。
2.如权利要求1所述模型安全推理方法,其特征在于,所述隐私保护模块包括周期性神经网络和噪声模块,
所述根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换,得到周期性变换推理样本的步骤包括:
通过所述待推理样本输入所述周期性神经网络,对所述待推理样本进行基于周期性的样本映射,得到周期性映射样本;
依据所述噪声模块,对所述周期性映射样本进行噪声附加,得到所述周期性变换推理样本。
3.如权利要求2所述模型安全推理方法,其特征在于,所述周期性神经网络包括神经网络参数和周期性激活函数,
所述通过所述待推理样本输入所述周期性神经网络,对所述待推理样本进行基于周期性的样本映射,得到周期性映射样本的步骤包括:
依据所述神经网络参数,对所述待推理样本进行线性变换,得到线性变换样本;
依据所述周期性激活函数,对所述线性变换样本进行周期性激活,得到所述周期性映射样本。
4.如权利要求1所述模型安全推理方法,其特征在于,在所述获取待推理样本,根据隐私保护模块,对所述待推理样本进行基于周期性地样本变换,得到周期性变换推理样本的步骤之前,所述模型安全推理方法还包括:
接收所述服务端下发的初始隐私保护模块和预设噪声阈值,根据所述预设噪声阈值,生成本地附加噪声;
根据所述本地附加噪声,对所述初始隐私保护模块中的噪声模块进行调整,得到所述隐私保护模块。
5.一种模型安全推理方法,其特征在于,应用于服务端,所述模型安全推理方法包括:
接收客户端上传的周期性变换推理样本,其中,所述周期性变换推理样本由所述客户端根据隐私保护模块对待推理样本进行基于周期性地样本变换得到;
根据推理模型,对所述周期性变换推理样本进行模型推理,得到模型推理结果;
将所述模型推理结果下发至所述客户端。
6.如权利要求5所述模型安全推理方法,其特征在于,在所述接收客户端上传的周期性变换推理样本的步骤之前,所述模型安全推理方法还包括:
获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本;
将所述周期性变换训练样本输入待训练推理模型,对所述周期性变换训练样本进行样本预测,得到训练样本预测结果;
根据所述训练样本预测结果计算的模型损失,对所述待训练隐私保护模块和所述待训练推理模型进行迭代优化,得到所述隐私保护模块和所述推理模型;
将所述隐私保护模块和预设噪声阈值下发至所述客户端。
7.如权利要求5所述模型安全推理方法,其特征在于,所述服务端包括横向联邦学习的参与方设备,在所述接收客户端上传的周期性变换推理样本的步骤之前,所述模型安全推理方法还包括:
获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本;
根据所述周期性变换训练样本,对所述待训练隐私保护模块和待训练推理模型进行迭代优化;
获取所述待训练推理模型的本地网络参数,将所述本地网络参数上传至横向联邦服务器,其中,所述横向联邦服务器用于将各所述参与方设备上传的本地网络参数聚合为联邦网络参数;
接收所述横向联邦服务器下发的联邦网络参数,将所述待训练推理模型的本地网络参数更新为所述联邦网络参数;
返回执行步骤:获取训练样本,通过将所述训练样本输入待训练隐私保护模块,对所述训练样本进行基于周期性地样本变换,得到周期性变换训练样本,直至检测到横向联邦学习建模完毕,将所述待训练隐私保护模块作为所述隐私保护模块以及将所述待训练推理模型作为所述推理模型;
将所述隐私保护模块和预设噪声阈值下发至所述客户端。
8.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至7中任一项所述的模型安全推理方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有实现模型安全推理方法的程序,所述实现模型安全推理方法的程序被处理器执行以实现如权利要求1至7中任一项所述模型安全推理方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述模型安全推理方法的步骤。
CN202211282074.XA 2022-10-19 2022-10-19 模型安全推理方法、电子设备、介质及程序产品 Pending CN115470908A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211282074.XA CN115470908A (zh) 2022-10-19 2022-10-19 模型安全推理方法、电子设备、介质及程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211282074.XA CN115470908A (zh) 2022-10-19 2022-10-19 模型安全推理方法、电子设备、介质及程序产品

Publications (1)

Publication Number Publication Date
CN115470908A true CN115470908A (zh) 2022-12-13

Family

ID=84337943

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211282074.XA Pending CN115470908A (zh) 2022-10-19 2022-10-19 模型安全推理方法、电子设备、介质及程序产品

Country Status (1)

Country Link
CN (1) CN115470908A (zh)

Similar Documents

Publication Publication Date Title
WO2022103330A1 (zh) 数据保护方法、装置、介质及设备
CN113627085A (zh) 横向联邦学习建模优化方法、设备、介质及程序产品
CN112149706B (zh) 模型训练方法、装置、设备和介质
CN112434620B (zh) 场景文字识别方法、装置、设备和计算机可读介质
CN114006769B (zh) 基于横向联邦学习的模型训练方法及其设备
CN115277197B (zh) 模型所有权验证方法、电子设备、介质及程序产品
CN114595474A (zh) 联邦学习建模优化方法、电子设备、介质及程序产品
CN110069195B (zh) 图像拖拽变形方法和装置
CN115470908A (zh) 模型安全推理方法、电子设备、介质及程序产品
WO2022218068A1 (zh) 素材投放方法、装置、设备和介质
CN112149834A (zh) 模型训练方法、装置、设备和介质
CN113723712B (zh) 风电功率预测方法、系统、设备及介质
CN111709784B (zh) 用于生成用户留存时间的方法、装置、设备和介质
CN111553324B (zh) 人体姿态预测值校正方法、装置,服务器及存储介质
CN115205089A (zh) 图像加密方法、网络模型的训练方法、装置及电子设备
CN115438807A (zh) 横向联邦模型构建优化方法、系统、设备、介质及产品
CN114091617B (zh) 联邦学习建模优化方法、电子设备、存储介质及程序产品
CN115311023A (zh) 横向联邦模型构建优化方法、电子设备、介质及程序产品
CN114647721B (zh) 教育智能机器人控制方法、设备及介质
CN118052288A (zh) 问答优化方法、装置、设备、存储介质及产品
CN115170268B (zh) 金融产品生成方法、装置、电子设备及可读存储介质
CN114693814B (zh) 模型的解码方法、文本识别方法、装置、介质及设备
US11720988B1 (en) Automated data agent monitoring bot
CN116340632A (zh) 对象推荐方法、装置、介质及电子设备
US20230403131A1 (en) Machine learning network extension based on homomorphic encryption packings

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination