CN116028933A - 一种基于特征训练的联邦学习中毒防御方法和装置 - Google Patents
一种基于特征训练的联邦学习中毒防御方法和装置 Download PDFInfo
- Publication number
- CN116028933A CN116028933A CN202211722198.5A CN202211722198A CN116028933A CN 116028933 A CN116028933 A CN 116028933A CN 202211722198 A CN202211722198 A CN 202211722198A CN 116028933 A CN116028933 A CN 116028933A
- Authority
- CN
- China
- Prior art keywords
- training
- parameters
- federal learning
- local
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012549 training Methods 0.000 title claims abstract description 86
- 231100000572 poisoning Toxicity 0.000 title claims abstract description 62
- 230000000607 poisoning effect Effects 0.000 title claims abstract description 62
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000007123 defense Effects 0.000 title claims description 9
- 230000002265 prevention Effects 0.000 claims abstract description 15
- 230000006870 function Effects 0.000 claims description 25
- 238000001514 detection method Methods 0.000 claims description 18
- 230000002776 aggregation Effects 0.000 claims description 12
- 238000004220 aggregation Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 abstract description 7
- 238000012545 processing Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Image Analysis (AREA)
Abstract
本发明公开了一种基于特征训练的联邦学习中毒防御方法和装置,利用联邦学习中泛化平均的思想,防御过程与训练过程结合,简单而高效;通过模型中间层的嵌入特征模糊中毒特征;隔离本地训练特征与全局学习特征,降低全局模型学习到中毒特征的概率。
Description
技术领域
本发明涉及面向联邦学习中毒攻击安全领域,尤其涉及一种基于特征训练的联邦学习中毒防御方法和装置。
背景技术
作为一种新兴的机器学习型式,联邦学习被认为是一种非常有前途的隐私保护分布式学习方案。在联邦学习的规范训练中,本地客户端首先用本地训练数据与共享的全局模型训练本地模型,然后将本地梯度发送到服务器端。服务器的主要作用是接收各个客户端发送的本地更新,通过聚合规则聚合出新一轮的全局模型,再将该全局模型发布。通过这种方式,共享模型可以通过来自多个客户端的数据进行学习,而无需通过任何方式共享原始数据,进而保护本地的数据隐私。除了确保数据隐私外,联邦学习还能够通过并行化多个客户端之间的训练来降低通信成本,同时提高训练任务的效率和可扩展性。这种新兴的分布式机器学习已被多个应用程序所采用,包括Google的移动键盘预测,医疗与金融领域的分析等。
随着联邦学习的火热发展,其自然而然也成为了各种对抗性机器学习的新目标,如对抗攻击与中毒攻击。由于属于本地的客户端可以完全控制本地数据和本地训练过程,因此在训练阶段进行的中毒攻击非常容易被能够发动攻击。在中毒攻击中,恶意客户端可以通过向训练数据中注入中毒实例或直接操纵模型更新来毒害本地模型更新。联邦学习下的中毒攻击可以按照目标中毒攻击分为两类:阻止全局模型收敛的无目标攻击以及试图嵌入后门的有目标攻击。联邦学习下的中毒攻击已被证明是非高效的,例如,3%的中毒数据可能导致测试精度降低20%。鉴于中毒攻击在联邦学习中引起了极大的安全问题,设计抵御中毒攻击的解决方案至关重要。
目前为止,已有许多的研究者和许多的工作尝试设计鲁棒聚合算法降低中毒攻击的影响。由于非目标攻击试图降低主任务的测试精度,它们恶化了跨所有类的聚合模型的良性性能,因此良性更新与恶意更新之间的差异较大因此可以通过在服务器上操作的鲁棒聚合方案来检测或减轻。相反,在有目标攻击中,攻击者的期望在模型中成功嵌入后门,因此恶意更新之间由于具有相同的目标往往具有相似性,可以使用使用基于群集的或基于行为的模型检查方案来区分良性和潜在的恶意客户端。此外,另一些防御算法把重心放在了去除模型中的后门上。他们试图通过对更新向量剪切和添加噪声来消除中毒攻击的影响。然而,这些方法都未曾考虑同时对于无目标与有目标的中毒攻击的防御。
本发明动机利用分布式学习中泛化平均的思想,将模型学习到的特征进行平均模糊,保证全局模型能够学习到数据中的强特征,而忽略中毒数据上的弱特征。基于这个思想,本发明提出了一种基于特征训练的联邦学习中毒防御,通过对全局模型输出层的重训练来消除中毒攻击带来的影响。该方法基于服务器收集的本地标签信息,并通过该标签信息反向生成每个本地模型的嵌入特征。通过对本地嵌入特征进行聚合,服务器可以得到全局嵌入特征。最后使用全局嵌入特征对全局模型进行微调训练,保证全局模型能够关注数据上的强特征,而忽略中毒数据上的中毒特征。如此一来,无目标与有目标的中毒攻击的特征都无法被学习到,以此来防御无目标与有目标的中毒攻击。
发明内容
本发明的目的在于针对现有技术的不足,提供了一种基于特征训练的联邦学习中毒防御方法和装置。
本发明的目的是通过以下技术方案来实现的:一种基于特征训练的联邦学习中毒防御方法,包括以下步骤:
(1)初始化联邦学习训练环境:本地设置有M个客户端pj参与联邦训练,云端设置1个服务器,其中,j=1,2…,j,…,M;所述服务器由全连接层和非连接层组成;
(2)开始联邦学习训练前,本地的每个客户端上传数据集信息,云端的服务器根据上传的数据集信息收集得到检测数据集X:X={x1,x2,…,xi,…,xn},其中,xi表示第i个检测数据,i=1,2…,i,…,n;每个检测数据xi都有对应的真实标签yi,得到检测数据集X的标签集合Y:Y={y1,y2,…,yi,…,yn};标签集合Y总共包含R种标签:{Y1,Y2,…,Yr,…,YR},其中,Yr表示第r种标签类别,r=1,2…,r,…,R;
(4)进行第k轮的联邦学习训练,每个客户端pj通过总体损失函数进行本地模型训练,得到总体损失函数函数的梯度估计通过梯度估计得到本轮更新的本地模型参数客户端pj将本地模型参数和标签信息上传给服务器;所述本地模型参数由本地模型的非连接层的参数和本地模型的全连接层的参数组成:
(6)服务器对上传的本地模型的非连接层的参数进行聚合,得到更新后的全局模型的非全连接层的参数服务器通过通过{Y1,Y2,…,Yr,…,YR}和对应的聚合嵌入特征集合得到更新后的全局模型的全连接层的参数随后得到更新后的全局模型参数并将更新后的全局模型参数下发给各个客户端进行下一轮联邦学习训练;
(7)重复步骤(4)-步骤(6),直至全局模型收敛,得到最后一轮的全局模型参数,用于基于特征训练的联邦学习中毒防御。
进一步地,所述步骤(4)具体包括以下子步骤:
其中,ηk表示第k轮联邦学习训练的学习率;
进一步地,所述步骤(5)具体包括以下子步骤:
进一步地,所述步骤(6)具体包括以下子步骤:
本发明还提供了一种基于特征训练的联邦学习中毒防御装置,包括一个或多个处理器,用于实现上述一种基于特征训练的联邦学习中毒防御方法。
本发明还提供一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时,用于实现上述一种基于特征训练的联邦学习中毒防御方法。
本发明的有益效果是:
1)利用联邦学习中泛化平均的思想,防御过程与训练过程结合,简单而高效;2)通过模型中间层的嵌入特征模糊中毒特征;3)隔离本地训练特征与全局学习特征,降低全局模型学习到中毒特征的概率。
附图说明
图1为一种基于特征训练的联邦学习中毒防御方法的流程图;
图2为一种基于特征训练的联邦学习中毒防御方法的系统框图;
图3为一种基于特征训练的联邦学习中毒防御装置的结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加明白清楚,结合附图和实施例,对本发明进一步的详细说明,应当理解,此处所描述的具体实施例仅仅用以解释本发明,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,均在本发明保护范围。
本发明的技术构思为:联邦学习中毒攻击的主要手段是毒化训练数据,通过训练保证模型能够学习到中毒特征。而联邦学习由于分布式的特点,会对模型学习到的特征进行平均模糊,因此在数据中出现频率较高的强特征更加容易在全局聚合中被保留,而出现频率较低的中毒特征相应会被忽略。基于这个思想,本发明提出了一种基于特征训练的联邦学习中毒防御,通过标签信息反向生成本地模型的嵌入特征,再将本地嵌入特征进行聚合得到全局嵌入特征。如此一来进一步模糊本地模型中的弱特征,只保留强特征。通过全局嵌入特征对全局模型进行训练,以降低全局模型学习到中毒特征的概率,进而达到对中毒攻击的防御。
实施例1
如图1和图2所示,本发明提供了一种基于特征训练的联邦学习中毒防御方法,包括以下步骤:
(1)初始化联邦学习训练环境:本地设置有M个客户端pj参与联邦训练,云端设置1个服务器,其中,j=1,2…,j,…,M;所述服务器由全连接层和非连接层组成;
(2)开始联邦学习训练前,本地的每个客户端上传数据集信息,云端的服务器根据上传的数据集信息收集得到检测数据集X:X={x1,x2,…,xi,…,xn},其中,xi表示第i个检测数据,i=1,2…,i,…,n;每个检测数据xi都有对应的真实标签yi,得到检测数据集X的标签集合Y:Y={y1,y2,…,yi,…,yn};标签集合Y总共包含R种标签:{Y1,Y2,…,Yr,…,YR},其中,Yr表示第r种标签类别,r=1,2…,r,…,R。
(4)进行第k轮的联邦学习训练,每个客户端pj通过总体损失函数进行本地模型训练,得到总体损失函数函数的梯度估计通过梯度估计得到本轮更新的本地模型参数客户端pj将本地模型参数和标签信息上传给服务器;所述本地模型参数由本地模型的非连接层的参数和本地模型的全连接层的参数组成:
所述步骤(4)具体包括以下子步骤:
所述步骤(5)具体包括以下子步骤:
服务器在接收了本地更新后,将通过客户端的本地标签信息生成嵌入特征。由于模型中非线性激活函数的存在,通过反转模型结构获得嵌入特征的方法存在一定的不足之处。这是因为激活函数会抑制模型中的一部分神经元,进而在逆向生成嵌入特征时会导致部分特征的丢失。因此,本发明选择了训练恢复嵌入特征的方法,手动创建一个假的嵌入特征,并通过与真实标签计算均方误差进行最优化,不断迭代恢复出原始的嵌入特征。具体来说,将模型中的第一个全连接层作为嵌入特征恢复的目标,这是因为该层包含的特征信息最为丰富。
(6)服务器对上传的本地模型的非连接层的参数进行聚合,得到更新后的全局模型的非全连接层的参数服务器通过通过{Y1,Y2,…,Yr,…,YR}和对应的聚合嵌入特征集合得到更新后的全局模型的全连接层的参数随后得到更新后的全局模型参数并将更新后的全局模型参数下发给各个客户端进行下一轮联邦学习训练;
所述步骤(6)具体包括以下子步骤:
(7)重复步骤(4)-步骤(6),直至全局模型收敛,得到最后一轮的全局模型参数,用于基于特征训练的联邦学习中毒防御。
实施例2
与前述基于特征训练的联邦学习中毒防御方法方法的实施例相对应,本发明还提供了基于特征训练的联邦学习中毒防御方法装置的实施例。
参见图3,本发明实施例提供的一种基于特征训练的联邦学习中毒防御方法装置,包括一个或多个处理器,用于实现上述实施例中的基于特征训练的联邦学习中毒防御方法方法。
本发明基于特征训练的联邦学习中毒防御方法装置的实施例可以应用在任意具备数据处理能力的设备上,该任意具备数据处理能力的设备可以为诸如计算机等设备或装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在任意具备数据处理能力的设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本发明基于特征训练的联邦学习中毒防御方法装置所在任意具备数据处理能力的设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的任意具备数据处理能力的设备通常根据该任意具备数据处理能力的设备的实际功能,还可以包括其他硬件,对此不再赘述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本发明实施例还提供一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时,实现上述实施例中的基于特征训练的联邦学习中毒防御方法方法。
所述计算机可读存储介质可以是前述任一实施例所述的任意具备数据处理能力的设备的内部存储单元,例如硬盘或内存。所述计算机可读存储介质也可以是任意具备数据处理能力的设备,例如所述设备上配备的插接式硬盘、智能存储卡(Smart Media Card,SMC)、SD卡、闪存卡(Flash Card)等。进一步的,所述计算机可读存储介质还可以既包括任意具备数据处理能力的设备的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述任意具备数据处理能力的设备所需的其他程序和数据,还可以用于暂时地存储已经输出或者将要输出的数据。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (6)
1.一种基于特征训练的联邦学习中毒防御方法,其特征在于,包括以下步骤:
(1)初始化联邦学习训练环境:本地设置有M个客户端pj参与联邦训练,云端设置1个服务器,其中,j=1,2…,j,…,M;所述服务器由全连接层和非连接层组成;
(2)开始联邦学习训练前,本地的每个客户端上传数据集信息,云端的服务器根据上传的数据集信息收集得到检测数据集X:X={x1,x2,…,xi,…,xn},其中,xi表示第i个检测数据,i=1,2…,i,…,n;每个检测数据xi都有对应的真实标签yi,得到检测数据集X的标签集合Y:Y={y1,y2,…,yi,…,yn};标签集合Y总共包含R种标签:{Y1,Y2,…,Yr,…,YR},其中,Yr表示第r种标签类别,r=1,2…,r,…,R;
(4)进行第k轮的联邦学习训练,每个客户端pj通过总体损失函数进行本地模型训练,得到总体损失函数函数的梯度估计通过梯度估计得到本轮更新的本地模型参数客户端pj将本地模型参数和标签信息上传给服务器;所述本地模型参数由本地模型的非连接层的参数和本地模型的全连接层的参数组成:
(6)服务器对上传的本地模型的非连接层的参数进行聚合,得到更新后的全局模型的非全连接层的参数服务器通过通过{Y1,Y2,…,Yr,…,YR}和对应的聚合嵌入特征集合得到更新后的全局模型的全连接层的参数随后得到更新后的全局模型参数 并将更新后的全局模型参数下发给各个客户端进行下一轮联邦学习训练;
(7)重复步骤(4)-步骤(6),直至全局模型收敛,得到最后一轮的全局模型参数,用于基于特征训练的联邦学习中毒防御。
2.根据权利要求1所述的一种基于特征训练的联邦学习中毒防御方法,其特征在于,所述步骤(4)具体包括以下子步骤:
其中,ηk表示第k轮联邦学习训练的学习率;
5.一种基于特征训练的联邦学习中毒防御装置,其特征在于,包括一个或多个处理器,用于实现权利要求1-4中任一项所述的基于特征训练的联邦学习中毒防御方法。
6.一种计算机可读存储介质,其上存储有程序,其特征在于,该程序被处理器执行时,用于实现权利要求1-4中任一项所述的基于特征训练的联邦学习中毒防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211722198.5A CN116028933A (zh) | 2022-12-30 | 2022-12-30 | 一种基于特征训练的联邦学习中毒防御方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211722198.5A CN116028933A (zh) | 2022-12-30 | 2022-12-30 | 一种基于特征训练的联邦学习中毒防御方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116028933A true CN116028933A (zh) | 2023-04-28 |
Family
ID=86075374
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211722198.5A Pending CN116028933A (zh) | 2022-12-30 | 2022-12-30 | 一种基于特征训练的联邦学习中毒防御方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116028933A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116527393A (zh) * | 2023-06-06 | 2023-08-01 | 北京交通大学 | 面向联邦学习投毒攻击的防御方法、装置、设备及介质 |
-
2022
- 2022-12-30 CN CN202211722198.5A patent/CN116028933A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116527393A (zh) * | 2023-06-06 | 2023-08-01 | 北京交通大学 | 面向联邦学习投毒攻击的防御方法、装置、设备及介质 |
CN116527393B (zh) * | 2023-06-06 | 2024-01-16 | 北京交通大学 | 面向联邦学习投毒攻击的防御方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110659485B (zh) | 用于通过诱饵训练检测对抗攻击的方法和装置 | |
Rahman et al. | Membership inference attack against differentially private deep learning model. | |
US20230308465A1 (en) | System and method for dnn-based cyber-security using federated learning-based generative adversarial network | |
CN110941855A (zh) | 一种AIoT场景下的神经网络模型窃取防御方法 | |
Wang et al. | Adversarial attacks and defenses in machine learning-empowered communication systems and networks: A contemporary survey | |
CN114331829A (zh) | 一种对抗样本生成方法、装置、设备以及可读存储介质 | |
EP3648015A2 (en) | A method for training a neural network | |
CN116308762B (zh) | 一种基于人工智能的可信度评估及授信处理方法 | |
CN116028933A (zh) | 一种基于特征训练的联邦学习中毒防御方法和装置 | |
CN117150255A (zh) | 集群联邦学习中的分簇效果验证方法、终端及存储介质 | |
CN118020076A (zh) | 用于图上的异常检测的方法和装置 | |
CN112883377A (zh) | 一种基于特征对抗的联邦学习中毒检测方法和装置 | |
Chen et al. | Patch selection denoiser: An effective approach defending against one-pixel attacks | |
CN117424754B (zh) | 针对集群联邦学习攻击的防御方法、终端及存储介质 | |
CN113297574B (zh) | 基于强化学习奖励机制的激活函数自适应变化模型窃取防御方法 | |
Gangula et al. | Network intrusion detection system for Internet of Things based on enhanced flower pollination algorithm and ensemble classifier | |
Ning et al. | Hibernated backdoor: A mutual information empowered backdoor attack to deep neural networks | |
Chen et al. | Non trust detection of decentralized federated learning based on historical gradient | |
CN116233844A (zh) | 一种基于信道预测的物理层设备身份认证方法及系统 | |
CN115879108A (zh) | 基于神经网络特征提取的联邦学习模型攻击防御方法 | |
CN115758337A (zh) | 基于时序图卷积网络的后门实时监测方法、电子设备、介质 | |
Chakraborty et al. | Dynamarks: Defending against deep learning model extraction using dynamic watermarking | |
Wei et al. | Client-side gradient inversion against federated learning from poisoning | |
Sun et al. | Attacking-Distance-Aware Attack: Semi-targeted Model Poisoning on Federated Learning | |
Mozaffari et al. | Fake or Compromised? Making Sense of Malicious Clients in Federated Learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |