CN116028933A - 一种基于特征训练的联邦学习中毒防御方法和装置 - Google Patents

Abstract

本发明公开了一种基于特征训练的联邦学习中毒防御方法和装置，利用联邦学习中泛化平均的思想，防御过程与训练过程结合，简单而高效；通过模型中间层的嵌入特征模糊中毒特征；隔离本地训练特征与全局学习特征，降低全局模型学习到中毒特征的概率。

Description

一种基于特征训练的联邦学习中毒防御方法和装置

技术领域

本发明涉及面向联邦学习中毒攻击安全领域，尤其涉及一种基于特征训练的联邦学习中毒防御方法和装置。

背景技术

作为一种新兴的机器学习型式，联邦学习被认为是一种非常有前途的隐私保护分布式学习方案。在联邦学习的规范训练中，本地客户端首先用本地训练数据与共享的全局模型训练本地模型，然后将本地梯度发送到服务器端。服务器的主要作用是接收各个客户端发送的本地更新，通过聚合规则聚合出新一轮的全局模型，再将该全局模型发布。通过这种方式，共享模型可以通过来自多个客户端的数据进行学习，而无需通过任何方式共享原始数据，进而保护本地的数据隐私。除了确保数据隐私外，联邦学习还能够通过并行化多个客户端之间的训练来降低通信成本，同时提高训练任务的效率和可扩展性。这种新兴的分布式机器学习已被多个应用程序所采用，包括Google的移动键盘预测，医疗与金融领域的分析等。

随着联邦学习的火热发展，其自然而然也成为了各种对抗性机器学习的新目标，如对抗攻击与中毒攻击。由于属于本地的客户端可以完全控制本地数据和本地训练过程，因此在训练阶段进行的中毒攻击非常容易被能够发动攻击。在中毒攻击中，恶意客户端可以通过向训练数据中注入中毒实例或直接操纵模型更新来毒害本地模型更新。联邦学习下的中毒攻击可以按照目标中毒攻击分为两类：阻止全局模型收敛的无目标攻击以及试图嵌入后门的有目标攻击。联邦学习下的中毒攻击已被证明是非高效的，例如，3％的中毒数据可能导致测试精度降低20％。鉴于中毒攻击在联邦学习中引起了极大的安全问题，设计抵御中毒攻击的解决方案至关重要。

目前为止，已有许多的研究者和许多的工作尝试设计鲁棒聚合算法降低中毒攻击的影响。由于非目标攻击试图降低主任务的测试精度，它们恶化了跨所有类的聚合模型的良性性能，因此良性更新与恶意更新之间的差异较大因此可以通过在服务器上操作的鲁棒聚合方案来检测或减轻。相反，在有目标攻击中，攻击者的期望在模型中成功嵌入后门，因此恶意更新之间由于具有相同的目标往往具有相似性，可以使用使用基于群集的或基于行为的模型检查方案来区分良性和潜在的恶意客户端。此外，另一些防御算法把重心放在了去除模型中的后门上。他们试图通过对更新向量剪切和添加噪声来消除中毒攻击的影响。然而，这些方法都未曾考虑同时对于无目标与有目标的中毒攻击的防御。

本发明动机利用分布式学习中泛化平均的思想，将模型学习到的特征进行平均模糊，保证全局模型能够学习到数据中的强特征，而忽略中毒数据上的弱特征。基于这个思想，本发明提出了一种基于特征训练的联邦学习中毒防御，通过对全局模型输出层的重训练来消除中毒攻击带来的影响。该方法基于服务器收集的本地标签信息，并通过该标签信息反向生成每个本地模型的嵌入特征。通过对本地嵌入特征进行聚合，服务器可以得到全局嵌入特征。最后使用全局嵌入特征对全局模型进行微调训练，保证全局模型能够关注数据上的强特征，而忽略中毒数据上的中毒特征。如此一来，无目标与有目标的中毒攻击的特征都无法被学习到，以此来防御无目标与有目标的中毒攻击。

发明内容

本发明的目的在于针对现有技术的不足，提供了一种基于特征训练的联邦学习中毒防御方法和装置。

本发明的目的是通过以下技术方案来实现的：一种基于特征训练的联邦学习中毒防御方法，包括以下步骤：

(1)初始化联邦学习训练环境：本地设置有M个客户端p_j参与联邦训练，云端设置1个服务器，其中，j＝1,2…,j,…,M；所述服务器由全连接层和非连接层组成；

(2)开始联邦学习训练前，本地的每个客户端上传数据集信息，云端的服务器根据上传的数据集信息收集得到检测数据集X：X＝{x₁,x₂,…,x_i,…,x_n}，其中，x_i表示第i个检测数据，i＝1,2…,i,…,n；每个检测数据x_i都有对应的真实标签y_i，得到检测数据集X的标签集合Y：Y＝{y₁,y₂,…,y_i,…,y_n}；标签集合Y总共包含R种标签：{Y₁,Y₂,…,Y_r,…,Y_R}，其中，Y_r表示第r种标签类别，r＝1,2…,r,…,R；

(3)服务器将初始全局模型参数

发送给本地的每个客户端，开始联邦学习训练；

(4)进行第k轮的联邦学习训练，每个客户端p_j通过总体损失函数进行本地模型训练，得到总体损失函数函数的梯度估计

通过梯度估计

得到本轮更新的本地模型参数

客户端p_j将本地模型参数

和标签信息

上传给服务器；所述本地模型参数

由本地模型的非连接层的参数

和本地模型的全连接层的参数

组成：

(5)服务器在收到标签信息

后，对每个客户端p_j生成相应的嵌入特征

针对每一种标签类别Y_r生成相对应的聚合嵌入特征

得到{Y₁,Y₂,…,Y_r,…,Y_R}相对应的聚合嵌入特征集合：

(6)服务器对上传的本地模型的非连接层的参数

进行聚合，得到更新后的全局模型的非全连接层的参数

服务器通过通过{Y₁,Y₂,…,Y_r,…,Y_R}和对应的聚合嵌入特征集合

得到更新后的全局模型的全连接层的参数

随后得到更新后的全局模型参数

并将更新后的全局模型参数

下发给各个客户端进行下一轮联邦学习训练；

(7)重复步骤(4)-步骤(6)，直至全局模型收敛，得到最后一轮的全局模型参数，用于基于特征训练的联邦学习中毒防御。

进一步地，所述步骤(4)具体包括以下子步骤：

(4.1)对于第k轮联邦学习训练，任意一个客户端p_j收到全局模型参数

后，所述全局模型参数

其中，

为全局模型的非全连接层的参数，

为全局模型的全连接层的参数；

根据本地数据

进行本地模型训练；客户端p_j第在k轮的总体损失函数表示为：

其中，

表示客户端p_j在第k轮联邦学习训练过程中使用的本地数据；

表示全局模型参数

与变量

的预测损失函数；

表示变量

的期望；

表示本地数据

中的任意一个检测数据，

表示检测数据

相对应的真实标签；

然后可以得到关于总体损失函数函数的梯度估计

通过对梯度估计

的反向传播，得到本轮更新的本地模型参数

其中，η^k表示第k轮联邦学习训练的学习率；

所述本地模型参数

由本地模型的非连接层的参数

和本地模型的全连接层的参数

组成：

(4.2)本地数据

包含

种标签，其中，

客户端p_j将本地模型参数

与包含

种标签的标签信息

上传给服务器，所述

进一步地，所述步骤(5)具体包括以下子步骤：

(5.1)服务器在收到标签信息

后，对每个客户端p_j生成相应的嵌入特征

其中，

表示虚假嵌入特征的标签输出置信度；

表示真实标签的最大输出置信度；

(5.2)查看通过真实标签Y_r生成的嵌入特征的客户端为

个，则将通过真实标签Y_r生成的嵌入特征进行聚合，得到真实标签Y_r在第k轮相对应的聚合嵌入特征

其中，α_b表示权重系数；

表示第b个通过真实标签Y_r生成的嵌入特征的客户端的嵌入特征；

对{Y₁,Y₂,…,Y_r,…,Y_R}重复上述步骤，得到聚合嵌入特征集合：

进一步地，所述步骤(6)具体包括以下子步骤：

(6.1)服务器对客户端上传的本地模型参数

中的本地模型的非连接层的参数

进行聚合，得到更新后的全局模型的非全连接层的参数

(6.2)服务器通过{Y₁,Y₂,…,Y_r,…,Y_R}和对应的聚合嵌入特征集合

采用以下损失函数进行训练，得到更新后的全局模型的全连接层的参数

损失函数为：

(6.3)得到更新后的全局模型参数

并将更新后的全局模型参数

下发给各个客户端进行下一轮联邦学习训练。

本发明还提供了一种基于特征训练的联邦学习中毒防御装置，包括一个或多个处理器，用于实现上述一种基于特征训练的联邦学习中毒防御方法。

本发明还提供一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时，用于实现上述一种基于特征训练的联邦学习中毒防御方法。

本发明的有益效果是：

1)利用联邦学习中泛化平均的思想，防御过程与训练过程结合，简单而高效；2)通过模型中间层的嵌入特征模糊中毒特征；3)隔离本地训练特征与全局学习特征，降低全局模型学习到中毒特征的概率。

附图说明

图1为一种基于特征训练的联邦学习中毒防御方法的流程图；

图2为一种基于特征训练的联邦学习中毒防御方法的系统框图；

图3为一种基于特征训练的联邦学习中毒防御装置的结构图。

具体实施方式

为了使本发明的目的、技术方案及优点更加明白清楚，结合附图和实施例，对本发明进一步的详细说明，应当理解，此处所描述的具体实施例仅仅用以解释本发明，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，均在本发明保护范围。

本发明的技术构思为：联邦学习中毒攻击的主要手段是毒化训练数据，通过训练保证模型能够学习到中毒特征。而联邦学习由于分布式的特点，会对模型学习到的特征进行平均模糊，因此在数据中出现频率较高的强特征更加容易在全局聚合中被保留，而出现频率较低的中毒特征相应会被忽略。基于这个思想，本发明提出了一种基于特征训练的联邦学习中毒防御，通过标签信息反向生成本地模型的嵌入特征，再将本地嵌入特征进行聚合得到全局嵌入特征。如此一来进一步模糊本地模型中的弱特征，只保留强特征。通过全局嵌入特征对全局模型进行训练，以降低全局模型学习到中毒特征的概率，进而达到对中毒攻击的防御。

实施例1

如图1和图2所示，本发明提供了一种基于特征训练的联邦学习中毒防御方法，包括以下步骤：

(1)初始化联邦学习训练环境：本地设置有M个客户端p_j参与联邦训练，云端设置1个服务器，其中，j＝1,2…,j,…,M；所述服务器由全连接层和非连接层组成；

(2)开始联邦学习训练前，本地的每个客户端上传数据集信息，云端的服务器根据上传的数据集信息收集得到检测数据集X：X＝{x₁,x₂,…,x_i,…,x_n}，其中，x_i表示第i个检测数据，i＝1,2…,i,…,n；每个检测数据x_i都有对应的真实标签y_i，得到检测数据集X的标签集合Y：Y＝{y₁,y₂,…,y_i,…,y_n}；标签集合Y总共包含R种标签：{Y₁,Y₂,…,Y_r,…,Y_R}，其中，Y_r表示第r种标签类别，r＝1,2…,r,…,R。

(3)服务器将初始全局模型参数

发送给本地的每个客户端，开始联邦学习训练。

(4)进行第k轮的联邦学习训练，每个客户端p_j通过总体损失函数进行本地模型训练，得到总体损失函数函数的梯度估计

通过梯度估计

得到本轮更新的本地模型参数

客户端p_j将本地模型参数

和标签信息

上传给服务器；所述本地模型参数

由本地模型的非连接层的参数

和本地模型的全连接层的参数

组成：

所述步骤(4)具体包括以下子步骤：

(4.1)对于第k轮联邦学习训练，任意一个客户端p_j收到全局模型参数

后，所述全局模型参数

其中，

为全局模型的非全连接层的参数，

为全局模型的全连接层的参数；

根据本地数据

进行本地模型训练；客户端p_j第在k轮的总体损失函数表示为：

其中，

表示客户端p_j在第k轮联邦学习训练过程中使用的本地数据；

表示全局模型参数

与变量

的预测损失函数；

表示变量

的期望；

表示本地数据

中的任意一个检测数据，

表示检测数据

相对应的真实标签；

然后可以得到关于总体损失函数函数的梯度估计

通过对梯度估计

的反向传播，得到本轮更新的本地模型参数

其中，η^k表示第k轮联邦学习训练的学习率；

表示第k-1轮客户端p_j的本地模型参数；

所述本地模型参数

由本地模型的非连接层的参数

和本地模型的全连接层的参数

组成：

(4.2)本地数据

包含

种标签，其中，

客户端p_j将本地模型参数

与包含

种标签的标签信息

上传给服务器，所述

(5)服务器在收到标签信息

后，对每个客户端p_j生成相应的嵌入特征

针对每一种标签类别Y_r生成相对应的聚合嵌入特征

得到{Y₁,Y₂,…,Y_r,…,Y_R}相对应的聚合嵌入特征集合：

所述步骤(5)具体包括以下子步骤：

(5.1)服务器在收到标签信息

后，对每个客户端p_j生成相应的嵌入特征

其中，

表示虚假嵌入特征的标签输出置信度；

表示真实标签的最大输出置信度；

(5.2)查看通过标签Y_r生成的嵌入特征的客户端为

个，则将通过真实标签Y_r生成的嵌入特征进行聚合，得到真实标签Y_r在第k轮相对应的聚合嵌入特征

其中，α_b表示权重系数；

表示第b个通过真实标签Y_r生成的嵌入特征的客户端的嵌入特征；

对{Y₁,Y₂,…,Y_r,…,Y_R}重复上述步骤，得到{Y₁,Y₂,…,Y_r,…,Y_R}相对应的聚合嵌入特征集合：

服务器在接收了本地更新后，将通过客户端的本地标签信息生成嵌入特征。由于模型中非线性激活函数的存在，通过反转模型结构获得嵌入特征的方法存在一定的不足之处。这是因为激活函数会抑制模型中的一部分神经元，进而在逆向生成嵌入特征时会导致部分特征的丢失。因此，本发明选择了训练恢复嵌入特征的方法，手动创建一个假的嵌入特征，并通过与真实标签计算均方误差进行最优化，不断迭代恢复出原始的嵌入特征。具体来说，将模型中的第一个全连接层作为嵌入特征恢复的目标，这是因为该层包含的特征信息最为丰富。

(6)服务器对上传的本地模型的非连接层的参数

进行聚合，得到更新后的全局模型的非全连接层的参数

服务器通过通过{Y₁,Y₂,…,Y_r,…,Y_R}和对应的聚合嵌入特征集合

得到更新后的全局模型的全连接层的参数

随后得到更新后的全局模型参数

并将更新后的全局模型参数

下发给各个客户端进行下一轮联邦学习训练；

所述步骤(6)具体包括以下子步骤：

(6.1)服务器对客户端上传的本地模型参数

中的本地模型的非连接层的参数

进行聚合，得到更新后的全局模型的非全连接层的参数

(6.2)服务器通过{Y₁,Y₂,…,Y_r,…,Y_R}和对应的聚合嵌入特征集合

采用以下损失函数进行训练，得到更新后的全局模型的全连接层的参数

损失函数为：

(6.3)得到更新后的全局模型参数

并将更新后的全局模型参数

下发给各个客户端进行下一轮联邦学习训练。

(7)重复步骤(4)-步骤(6)，直至全局模型收敛，得到最后一轮的全局模型参数，用于基于特征训练的联邦学习中毒防御。

实施例2

与前述基于特征训练的联邦学习中毒防御方法方法的实施例相对应，本发明还提供了基于特征训练的联邦学习中毒防御方法装置的实施例。

参见图3，本发明实施例提供的一种基于特征训练的联邦学习中毒防御方法装置，包括一个或多个处理器，用于实现上述实施例中的基于特征训练的联邦学习中毒防御方法方法。

本发明基于特征训练的联邦学习中毒防御方法装置的实施例可以应用在任意具备数据处理能力的设备上，该任意具备数据处理能力的设备可以为诸如计算机等设备或装置。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在任意具备数据处理能力的设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图3所示，为本发明基于特征训练的联邦学习中毒防御方法装置所在任意具备数据处理能力的设备的一种硬件结构图，除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的任意具备数据处理能力的设备通常根据该任意具备数据处理能力的设备的实际功能，还可以包括其他硬件，对此不再赘述。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本发明实施例还提供一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时，实现上述实施例中的基于特征训练的联邦学习中毒防御方法方法。

所述计算机可读存储介质可以是前述任一实施例所述的任意具备数据处理能力的设备的内部存储单元，例如硬盘或内存。所述计算机可读存储介质也可以是任意具备数据处理能力的设备，例如所述设备上配备的插接式硬盘、智能存储卡(Smart Media Card，SMC)、SD卡、闪存卡(Flash Card)等。进一步的，所述计算机可读存储介质还可以既包括任意具备数据处理能力的设备的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述任意具备数据处理能力的设备所需的其他程序和数据，还可以用于暂时地存储已经输出或者将要输出的数据。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims (6)

1.一种基于特征训练的联邦学习中毒防御方法，其特征在于，包括以下步骤：

(1)初始化联邦学习训练环境：本地设置有M个客户端p_j参与联邦训练，云端设置1个服务器，其中，j＝1,2…,j,…,M；所述服务器由全连接层和非连接层组成；

(2)开始联邦学习训练前，本地的每个客户端上传数据集信息，云端的服务器根据上传的数据集信息收集得到检测数据集X：X＝{x₁,x₂,…,x_i,…,x_n}，其中，x_i表示第i个检测数据，i＝1,2…,i,…,n；每个检测数据x_i都有对应的真实标签y_i，得到检测数据集X的标签集合Y：Y＝{y₁,y₂,…,y_i,…,y_n}；标签集合Y总共包含R种标签：{Y₁,Y₂,…,Y_r,…,Y_R}，其中，Y_r表示第r种标签类别，r＝1,2…,r,…,R；

(3)服务器将初始全局模型参数

发送给本地的每个客户端，开始联邦学习训练；

(4)进行第k轮的联邦学习训练，每个客户端p_j通过总体损失函数进行本地模型训练，得到总体损失函数函数的梯度估计

通过梯度估计

得到本轮更新的本地模型参数

客户端p_j将本地模型参数

和标签信息

上传给服务器；所述本地模型参数

由本地模型的非连接层的参数

和本地模型的全连接层的参数

组成：

(5)服务器在收到标签信息

后，对每个客户端p_j生成相应的嵌入特征

针对每一种标签类别Y_r生成相对应的聚合嵌入特征

得到{Y₁,Y₂,…,Y_r,…,Y_R}相对应的聚合嵌入特征集合：

(6)服务器对上传的本地模型的非连接层的参数

进行聚合，得到更新后的全局模型的非全连接层的参数

服务器通过通过{Y₁,Y₂,…,Y_r,…,Y_R}和对应的聚合嵌入特征集合

得到更新后的全局模型的全连接层的参数

随后得到更新后的全局模型参数

并将更新后的全局模型参数

下发给各个客户端进行下一轮联邦学习训练；

(7)重复步骤(4)-步骤(6)，直至全局模型收敛，得到最后一轮的全局模型参数，用于基于特征训练的联邦学习中毒防御。

2.根据权利要求1所述的一种基于特征训练的联邦学习中毒防御方法，其特征在于，所述步骤(4)具体包括以下子步骤：

(4.1)对于第k轮联邦学习训练，任意一个客户端p_j收到全局模型参数

后，所述全局模型参数

为

其中，

为全局模型的非全连接层的参数，

为全局模型的全连接层的参数；

根据本地数据

进行本地模型训练；客户端p_j第在k轮的总体损失函数表示为：

其中，

表示客户端p_j在第k轮联邦学习训练过程中使用的本地数据；

表示全局模型参数

与变量

的预测损失函数；

表示变量

的期望；

表示本地数据

中的任意一个检测数据，

表示检测数据

相对应的真实标签；

然后可以得到关于总体损失函数函数的梯度估计

通过对梯度估计

的反向传播，得到本轮更新的本地模型参数

其中，η^k表示第k轮联邦学习训练的学习率；

所述本地模型参数

由本地模型的非连接层的参数

和本地模型的全连接层的参数

组成：

(4.2)本地数据

包含

种标签，其中，

客户端p_j将本地模型参数

与包含

种标签的标签信息

上传给服务器，所述

为

3.根据权利要求2所述的一种基于特征训练的联邦学习中毒防御方法，其特征在于，所述步骤(5)具体包括以下子步骤：

(5.1)服务器在收到标签信息

后，对每个客户端p_j生成相应的嵌入特征

其中，

表示虚假嵌入特征的标签输出置信度；

表示真实标签的最大输出置信度；

(5.2)查看通过真实标签Y_r生成的嵌入特征的客户端为

个，则将通过真实标签Y_r生成的嵌入特征进行聚合，得到真实标签Y_r在第k轮相对应的聚合嵌入特征

其中，α_b表示权重系数；

表示第b个通过真实标签Y_r生成的嵌入特征的客户端的嵌入特征；

对{Y₁,Y₂,…,Y_r,…,Y_R}重复上述步骤，得到聚合嵌入特征集合：

4.根据权利要求3所述的一种基于特征训练的联邦学习中毒防御方法，其特征在于，所述步骤(6)具体包括以下子步骤：

(6.1)服务器对客户端上传的本地模型参数

中的本地模型的非连接层的参数

进行聚合，得到更新后的全局模型的非全连接层的参数

(6.2)服务器通过{Y₁,Y₂,…,Y_r,…,Y_R}和对应的聚合嵌入特征集合

采用以下损失函数进行训练，得到更新后的全局模型的全连接层的参数

损失函数为：

(6.3)得到更新后的全局模型参数

并将更新后的全局模型参数

下发给各个客户端进行下一轮联邦学习训练。

5.一种基于特征训练的联邦学习中毒防御装置，其特征在于，包括一个或多个处理器，用于实现权利要求1-4中任一项所述的基于特征训练的联邦学习中毒防御方法。

6.一种计算机可读存储介质，其上存储有程序，其特征在于，该程序被处理器执行时，用于实现权利要求1-4中任一项所述的基于特征训练的联邦学习中毒防御方法。

Images