CN116187432A - 基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法 - Google Patents

基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法 Download PDF

Info

Publication number
CN116187432A
CN116187432A CN202310161251.7A CN202310161251A CN116187432A CN 116187432 A CN116187432 A CN 116187432A CN 202310161251 A CN202310161251 A CN 202310161251A CN 116187432 A CN116187432 A CN 116187432A
Authority
CN
China
Prior art keywords
back door
model
federal learning
training
iid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310161251.7A
Other languages
English (en)
Inventor
李高磊
梅皓琛
赵媛媛
李建华
郑龙飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jiaotong University
Original Assignee
Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University filed Critical Shanghai Jiaotong University
Priority to CN202310161251.7A priority Critical patent/CN116187432A/zh
Publication of CN116187432A publication Critical patent/CN116187432A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种基于生成对抗网络的non‑IID联邦学习模型后门鲁棒性评估方法,包括:选择联邦学习中的客户端作为测试节点,将下载的服务器端的全局模型作为判别器,并在本地设计生成器,组成生成对抗网络模型;指定后门攻击目标类别,在每一轮全局训练中利用生成器重建类代表样本,并标记目标类别,作为预投毒数据参与训练;本地生成补充数据集;指定后门攻击的源类别,进行后门触发器的优化,利用补充数据集进行类别特异性的后门训练,将判别器更新上传至服务器,更新全局模型;调节数据non‑IID程度以及指定的源类别数,观测对联邦学习全局模型后门攻击的鲁棒性。与现有技术相比,本发明能够验证不同程度的数据异构场景下后门攻击对于联邦学习模型的效果。

Description

基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估 方法
技术领域
本发明涉及网络安全领域,尤其是涉及一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法。
背景技术
近年来,机器学习在许多领域取得了令人瞩目的成就,这背后离不开海量的高质量训练数据的支撑。然而随着人们对于隐私保护的关注度越来越高以及各国隐私保护法案的出台,许多训练数据越来越难以流通,形成了“数据孤岛”式的分布式数据集。联邦学习是一种为隐私保护设计的分布式机器学习框架。联邦学习系统由一个中心服务器与多个客户端组成,它使得客户端之间能够在不共享本地数据的前提下经由中心服务器协调合作训练机器学习模型。因此,利用联邦学习可以有效地缓解数据的隐私与可用性的矛盾。
虽然与传统的集中式学习框架相比,联邦学习提供了更好的隐私保护效果,但也暴露出了新的攻击面。其中最为常见的就是由恶意客户端发起的投毒攻击。针对联邦学习的投毒攻击根据攻击目的的不同可以分为非定向性投毒和定向性投毒两类。前者旨在降低模型整体的性能,而后者旨在操控模型对特定分布的样本误分类,而保持在原始任务上的性能不受影响。因此,目标性投毒攻击也被称为后门攻击。后门攻击可以通过以下两种投毒方式实现:数据投毒和模型投毒。基于数据投毒的后门攻击通过操控训练样本间接地在模型中植入后门,而基于模型投毒的后门攻击则通过操控模型学习过程直接产生误导,达到后门植入的效果。
联邦学习中另一关键而普遍的挑战在于不同的客户端之间数据的非独立同分布(non-IID)特性。由于本地和全局的数据分布差异,本地训练可能严重偏离全局目标。异构性越强,也就越难由模型聚合得到预期性能的全局模型。除此之外,数据异构性也为联邦学习的安全性带来了新的挑战。研究发现,在non-IID数据联邦学习场景下,后门攻击的可行性和有效性都将受到影响。
发明内容
本发明的目的就是为了提供一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,能够验证在不同程度的数据异构场景下后门攻击对于联邦学习模型的效果。
本发明的目的可以通过以下技术方案来实现:
一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,包括以下步骤:
步骤1)选择联邦学习中某一客户端作为测试节点,将下载的服务器端的全局模型进行备份作为判别器,并在本地设计生成器,组成生成对抗网络模型;
步骤2)测试者指定后门攻击目标类别,在每一轮全局训练中利用生成器重建参与训练的所有类别数据的类代表样本,并将其错误标记为目标类别,作为预投毒数据参与训练,重复该步骤直至生成器达到预期效果;
步骤3)利用训练完毕的生成器在本地离线生成补充数据集以完善单一客户端的不均衡数据分布;
步骤4)测试者指定后门攻击的源类别,进行后门触发器的优化得到强化触发器,并基于强化触发器或随机触发器,利用补充数据集进行类别特异性的后门训练,将恶意攻击后的判别器更新上传至服务器,在服务器端进行全局模型的更新;
步骤5)调节联邦学习数据的non-IID程度以及后门攻击所指定的源类别数,观测对联邦学习全局模型后门攻击的鲁棒性。
所述步骤1)中在本地设计生成器采用基于插值的生成结构设计与判别器D相应的生成器G,优化过程遵循如下目标函数:
Figure BDA0004094244210000021
其中x代表从真实样本分布preal(x)中采样得到的样本,z代表从高斯分布pz(z)中采样得到的随机噪声。
所述步骤2)中生成器达到预期效果的判断条件为:如果下载的全局模型对生成样本的分类置信度达到预期阈值,则认为生成器训练完毕,停止迭代。
所述步骤3)中训练完毕的生成器生成的样本同时满足真实性与多样性的要求,其中多样性包括类别多样性与样本多样性,类别多样性指生成样本均匀分布于全局数据类别中,样本多样性指同一类别中的样本彼此之间呈现明显差异性。
所述步骤4)中的强化触发器为使用投影梯度下降算法或快速梯度下降算法生成的只对指定类别生效的后门触发器。
所述类别特异性的后门训练的目标包括主任务准确率、攻击成功率和非指定类准确率,其中,所述非指定类准确率为没有被攻击者指定的类别在被添加后门触发器后仍然能正确分类的准确率。
所述类别特异性的后门训练采用分阶段的多任务训练方式,首先以指定源类别的攻击成功率为训练目标,再以原始主任务准确率为训练目标,最后以非指定源类别对于后门的免疫性为训练目标进行鲁棒训练。
所述步骤5)中控制联邦学习数据的non-IID程度的方法是控制每个客户端获得的数据类别数量,同时保持总体数据量与每一类别的数据量趋于一致。
所述每个客户端获得的数据类别数量最小为1,最大为全局类别总数。
所述联邦学习在每个全局训练轮次中的工作流程分为以下三个阶段:1)本地训练:每个参与学习的节点接收服务器下发的全局模型,使用若干个数据批次进行迭代训练,得到更新后的模型参数;2)参数共享:节点计算新的模型参数与旧模型参数的差值作为模型更新上传至服务器;3)参数合并:服务器端收集所有参与者的模型参数,并使用如下联邦聚合算法得到全局模型参数,用于下一轮的模型分发:
Figure BDA0004094244210000031
/>
其中
Figure BDA0004094244210000032
分别代表联邦学习第t轮的全局模型参数和来自第i个客户端的模型更新,K为客户端总数,/>
Figure BDA0004094244210000033
代表第i个客户端的数据集大小与全局数据集大小的比值。
与现有技术相比,本发明具有以下有益效果:
(1)本发明验证了在non-IID数据场景下的联邦学习的安全威胁,弥补了对联邦学习安全性方面研究的不足。与传统的后门投毒不同,本发明另辟蹊径地利用生成对抗网络对本地缺失的数据进行重建,以控制投毒的范围,将为在更符合现实场景的高度异构的联邦学习构建隐蔽后门攻防机制提供新思路。
(2)本发明针对联邦学习模型后门威胁提出了一种特定的鲁棒性评估方法,可以利用生成对抗网络在数据受限的客户端节点上重建出高质量替代数据,从而测试模型后门在不同的数据异构程度以及不同源类别范围下的鲁棒性。
(3)本发明不仅验证了后门攻击在non-IID联邦学习场景中的可行性,还对其在不同异构性程度和攻击范围下的鲁棒性进行评估,为提高对联邦学习模型后门威胁性的认知以及增强人工智能安全意识提供支撑。
附图说明
图1为本发明的方法流程图;
图2为non-IID联邦学习中特异性后门植入过程示意图;
图3为联邦学习的训练流程以及后门攻击模型示意图;
图4为联邦学习中不同数据异构性程度下模型后门效果示意图;
图5为不同源类别作用范围下模型后门效果示意图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
本实施例提供一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,如图1所示,包括以下步骤:
步骤1)选择联邦学习中某一客户端作为测试节点,将下载的服务器端的全局模型进行备份作为判别器,并在本地设计生成器,组成生成对抗网络模型。
本实施例中的判别器与传统生成对抗网络不同,为联邦学习全局模型,其随着全局训练更新而不只受到生成器的影响,可促使生成器学习全局训练数据的分布。
本实施例采用基于插值的生成结构设计与判别器D相应的生成器G,优化过程遵循如下目标函数:
Figure BDA0004094244210000041
其中x代表从真实样本分布preal(x)中采样得到的样本,z代表从高斯分布pz(z)中采样得到的随机噪声。
步骤2)测试者指定后门攻击目标类别,在每一轮全局训练中利用生成器重建参与训练的所有类别数据的类代表样本,并将其错误标记为目标类别,作为预投毒数据参与训练,重复该步骤直至生成器达到预期效果。
本步骤中采用的预投毒策略为全局模型的判别任务提供负样本,促使其学习判别真实样本与假样本的能力,从而更好地指导生成器的生成任务;作用方式是将生成器生成的样本错误标记投入本地训练中产生有毒更新上传至服务器。
步骤2)期间,测试者在联邦学习每一轮中迭代进行预投毒操作与样本生成操作,并对每一轮生成样本的质量进行检验,如果下载的全局模型对生成样本的分类置信度达到预期阈值,则认为生成器训练完毕,该迭代停止;否则,将重复步骤2,直到满足标准。
本步骤中的生成器训练过程与传统生成对抗网络不同,不仅受到来自判别器(全局模型)的结果反馈,还受到来自生成样本统计信息以及生成器模型隐藏层的激活值的反馈,目的在于指导生成器生成兼具真实性与多样性的样本以解决non-IID联邦学习中的数据缺失问题。
步骤3)利用训练完毕的生成器在本地离线生成补充数据集以完善单一客户端的不均衡数据分布。
训练完毕的生成器生成的样本同时满足真实性与多样性的要求,组成补充数据集以完善本地数据分布,为后续的后门测试提供数据,其中多样性包括类别多样性与样本多样性,类别多样性指生成样本均匀分布于全局数据类别中,样本多样性指同一类别中的样本彼此之间呈现明显差异性。
步骤4)测试者指定后门攻击的源类别,进行后门触发器的优化得到强化触发器,并基于强化触发器或随机触发器,利用补充数据集进行类别特异性的后门训练,将恶意攻击后的判别器更新上传至服务器,在服务器端进行全局模型的更新。
强化触发器为使用投影梯度下降算法生成的只对指定类别生效的后门触发器,用于投入到后续的源类别特异性后门训练中。在另一种实施例中,也可以采用其他用于生成对抗样本的算法,如快速梯度下降算法。
传统的后门攻击只对目标类别进行了指定,而源类别特异性指的是对攻击者进一步对源类别进行指定,只有被指定的类别才会受到后门攻击的影响,而非指定的类别则对后门免疫。
所述类别特异性的后门训练的目标包括主任务准确率、攻击成功率和非指定类准确率,其中,所述非指定类准确率为没有被攻击者指定的类别在被添加后门触发器后仍然能正确分类的准确率。
所述类别特异性的后门训练采用分阶段的多任务训练方式,首先以指定源类别的攻击成功率为训练目标,再以原始主任务准确率为训练目标,最后以非指定源类别对于后门的免疫性为训练目标进行鲁棒训练。
步骤5)调节联邦学习数据的non-IID程度以及后门攻击所指定的源类别数,观测对联邦学习全局模型后门攻击的鲁棒性。
控制联邦学习数据的non-IID程度的方法是控制每个客户端获得的数据类别数量,同时保持总体数据量与每一类别的数据量趋于一致(即将均匀分布的全局数据集平均划分给每个客户端),其中,每个客户端获得的数据类别数量最小为1,最大为全局类别总数。
联邦学习的架构及其脆弱性如图2所示,联邦学习在每个全局训练轮次中的工作流程分为以下三个阶段:1)本地训练:每个参与学习的节点接收服务器下发的全局模型,使用若干个数据批次进行迭代训练,得到更新后的模型参数;2)参数共享:节点计算新的模型参数与旧模型参数的差值作为模型更新上传至服务器;3)参数合并:服务器端收集所有参与者的模型参数,并使用如下联邦聚合算法得到全局模型参数,用于下一轮的模型分发:
Figure BDA0004094244210000061
其中
Figure BDA0004094244210000062
分别代表联邦学习第t轮的全局模型参数和来自第i个客户端的模型更新,K为客户端总数,/>
Figure BDA0004094244210000063
代表第i个客户端的数据集大小与全局数据集大小的比值。
但由于联邦学习本身的脆弱性,各阶段都面临着对应的攻击威胁:在本地训练阶段,存在不可信节点或外部攻击者造成的数据投毒威胁;参数共享时,存在由不可信节点或外部攻击者造成的模型投毒威胁;在参数合并期间,存在由恶意服务器执行的全局模型篡改与隐私窃取的威胁。
具体地,如图3所示,本发明在对联邦学习安全威胁调研分析的基础上,设计了一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,通过改变联邦学习中的数据异构性程度以及后门攻击的类别范围,评估在真实场景中进行具有更高隐蔽的后门攻击的可行性和鲁棒性。该方案分为数据重建与后门植入两大阶段,先对本地缺失的数据类别进行重建,再基于重建数据与原有数据进行具有源类别特异性的后门植入。该过程包含的几个必要的步骤有:
生成对抗网络构建:客户端将每一轮中接受到的全局模型进行备份作为判别器D;再采用基于插值的生成结构设计相应的生成器G。
预投毒过程:将每一轮当前生成器生成的假样本进行错误标记,作为有毒数据投入训练,为全局模型的判别任务提供负样本。
补充数据集构建:利用训练完毕的生成器重建均匀分布的全局数据集,为后续的后门攻击测试提供数据源。
触发器优化:基于补充数据集,利用投影梯度下降算法,对随机触发器进行优化,使其只作用于特定的源类别。
源类别特异性后门训练:采用分阶段的多任务训练方式,首先以指定源类别的攻击成功率为训练目标,再以原始主任务准确率为训练目标,最后以非指定源类别对于后门的免疫性为训练目标进行鲁棒训练。
基于上述描述,本发明首次实现了一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,验证了后门攻击在non-IID联邦学习场景中的可行性,还对其在不同异构性程度和攻击范围下的鲁棒性进行评估,弥补了对联邦学习安全性方面研究的不足。如图4的实验结果表明,non-IID联邦学习中数据异构性程度对于后门攻击的有效性有着重要影响。经过数据重建后,后门的源类别作用范围控制实验如图5所示,在三个公共数据集中,分别将源类别作用范围设置为5、3、1,可以观察到,此时的后门攻击表现出更强的针对性与隐蔽性。结合non-IID联邦学习的场景,该类后门攻击在攻击假设上更具可行性,而在攻击效果上更具隐蔽性,为提高对联邦学习模型后门威胁性的认知以及增强人工智能安全意识提供了新思路。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依据本发明的构思在现有技术的基础上通过逻辑分析、推理、或者有限的实验可以得到的技术方案,皆应在权利要求书所确定的保护范围内。

Claims (10)

1.一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,其特征在于,包括以下步骤:
步骤1)选择联邦学习中某一客户端作为测试节点,将下载的服务器端的全局模型进行备份作为判别器,并在本地设计生成器,组成生成对抗网络模型;
步骤2)测试者指定后门攻击目标类别,在每一轮全局训练中利用生成器重建参与训练的所有类别数据的类代表样本,并将其错误标记为目标类别,作为预投毒数据参与训练,重复该步骤直至生成器达到预期效果;
步骤3)利用训练完毕的生成器在本地离线生成补充数据集以完善单一客户端的不均衡数据分布;
步骤4)测试者指定后门攻击的源类别,进行后门触发器的优化得到强化触发器,并基于强化触发器或随机触发器,利用补充数据集进行类别特异性的后门训练,将恶意攻击后的判别器更新上传至服务器,在服务器端进行全局模型的更新;
步骤5)调节联邦学习数据的non-IID程度以及后门攻击所指定的源类别数,观测对联邦学习全局模型后门攻击的鲁棒性。
2.根据权利要求1所述的一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,其特征在于,所述步骤1)中在本地设计生成器采用基于插值的生成结构设计与判别器D相应的生成器G,优化过程遵循如下目标函数:
Figure FDA0004094244200000011
其中x代表从真实样本分布preal(x)中采样得到的样本,z代表从高斯分布pz(z)中采样得到的随机噪声。
3.根据权利要求1所述的一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,其特征在于,所述步骤2)中生成器达到预期效果的判断条件为:如果下载的全局模型对生成样本的分类置信度达到预期阈值,则认为生成器训练完毕,停止迭代。
4.根据权利要求1所述的一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,其特征在于,所述步骤3)中训练完毕的生成器生成的样本同时满足真实性与多样性的要求,其中多样性包括类别多样性与样本多样性,类别多样性指生成样本均匀分布于全局数据类别中,样本多样性指同一类别中的样本彼此之间呈现明显差异性。
5.根据权利要求1所述的一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,其特征在于,所述步骤4)中的强化触发器为使用投影梯度下降算法或快速梯度下降算法生成的只对指定类别生效的后门触发器。
6.根据权利要求1所述的一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,其特征在于,所述类别特异性的后门训练的目标包括主任务准确率、攻击成功率和非指定类准确率,其中,所述非指定类准确率为没有被攻击者指定的类别在被添加后门触发器后仍然能正确分类的准确率。
7.根据权利要求6所述的一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,其特征在于,所述类别特异性的后门训练采用分阶段的多任务训练方式,首先以指定源类别的攻击成功率为训练目标,再以原始主任务准确率为训练目标,最后以非指定源类别对于后门的免疫性为训练目标进行鲁棒训练。
8.根据权利要求1所述的一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,其特征在于,所述步骤5)中控制联邦学习数据的non-IID程度的方法是控制每个客户端获得的数据类别数量,同时保持总体数据量与每一类别的数据量趋于一致。
9.根据权利要求8所述的一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,其特征在于,所述每个客户端获得的数据类别数量最小为1,最大为全局类别总数。
10.根据权利要求1所述的一种基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法,其特征在于,所述联邦学习在每个全局训练轮次中的工作流程分为以下三个阶段:1)本地训练:每个参与学习的节点接收服务器下发的全局模型,使用若干个数据批次进行迭代训练,得到更新后的模型参数;2)参数共享:节点计算新的模型参数与旧模型参数的差值作为模型更新上传至服务器;3)参数合并:服务器端收集所有参与者的模型参数,并使用如下联邦聚合算法得到全局模型参数,用于下一轮的模型分发:
Figure FDA0004094244200000021
其中
Figure FDA0004094244200000022
分别代表联邦学习第t轮的全局模型参数和来自第i个客户端的模型更新,K为客户端总数,/>
Figure FDA0004094244200000031
代表第i个客户端的数据集大小与全局数据集大小的比值。/>
CN202310161251.7A 2023-02-23 2023-02-23 基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法 Pending CN116187432A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310161251.7A CN116187432A (zh) 2023-02-23 2023-02-23 基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310161251.7A CN116187432A (zh) 2023-02-23 2023-02-23 基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法

Publications (1)

Publication Number Publication Date
CN116187432A true CN116187432A (zh) 2023-05-30

Family

ID=86440079

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310161251.7A Pending CN116187432A (zh) 2023-02-23 2023-02-23 基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法

Country Status (1)

Country Link
CN (1) CN116187432A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117436077A (zh) * 2023-11-23 2024-01-23 贵州师范大学 一种基于图像隐写的联邦学习后门攻击方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117436077A (zh) * 2023-11-23 2024-01-23 贵州师范大学 一种基于图像隐写的联邦学习后门攻击方法
CN117436077B (zh) * 2023-11-23 2024-05-24 贵州师范大学 一种基于图像隐写的联邦学习后门攻击方法

Similar Documents

Publication Publication Date Title
Zhang et al. Gan enhanced membership inference: A passive local attack in federated learning
CN112434280B (zh) 一种基于区块链的联邦学习防御方法
CN110460600A (zh) 可抵御生成对抗网络攻击的联合深度学习方法
CN113468521B (zh) 一种基于gan的联邦学习入侵检测的数据保护方法
CN115333825B (zh) 针对联邦学习神经元梯度攻击的防御方法
CN104601596B (zh) 一种分类数据挖掘系统中数据隐私保护方法
CN112767226B (zh) 基于gan网络结构自动学习失真的图像隐写方法和系统
CN114363043B (zh) 一种对等网络中基于可验证聚合和差分隐私的异步联邦学习方法
CN116187432A (zh) 基于生成对抗网络的non-IID联邦学习模型后门鲁棒性评估方法
CN115795518B (zh) 一种基于区块链的联邦学习隐私保护方法
Liang et al. Co-maintained database based on blockchain for idss: A lifetime learning framework
Li et al. Model architecture level privacy leakage in neural networks
CN116894484A (zh) 一种联邦建模方法及系统
Zhang et al. Safelearning: Enable backdoor detectability in federated learning with secure aggregation
Lai et al. Two-phase defense against poisoning attacks on federated learning-based intrusion detection
CN115238172A (zh) 基于生成对抗网络和社交图注意力网络的联邦推荐方法
Smahi et al. BV-ICVs: A privacy-preserving and verifiable federated learning framework for V2X environments using blockchain and zkSNARKs
Mao et al. A novel user membership leakage attack in collaborative deep learning
Ahmed et al. Investigated insider and outsider attacks on the federated learning systems
CN115310625A (zh) 一种纵向联邦学习推理攻击防御方法
CN114239049A (zh) 基于参数压缩的面向联邦学习隐私推理攻击的防御方法
Shen et al. Secure Decentralized Aggregation to Prevent Membership Privacy Leakage in Edge-based Federated Learning
Zhao et al. User‐Level Membership Inference for Federated Learning in Wireless Network Environment
CN116614273B (zh) 基于cp-abe的对等网络中联邦学习数据共享系统及模型构建方法
Xue et al. Fast Generation-Based Gradient Leakage Attacks against Highly Compressed Gradients

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination