CN116432781A - 联邦学习防御方法、装置、计算机设备和存储介质 - Google Patents
联邦学习防御方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN116432781A CN116432781A CN202310440467.7A CN202310440467A CN116432781A CN 116432781 A CN116432781 A CN 116432781A CN 202310440467 A CN202310440467 A CN 202310440467A CN 116432781 A CN116432781 A CN 116432781A
- Authority
- CN
- China
- Prior art keywords
- model
- client
- model parameters
- euclidean distance
- global
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 79
- 230000007123 defense Effects 0.000 title claims abstract description 35
- 238000012549 training Methods 0.000 claims abstract description 76
- 230000008569 process Effects 0.000 claims abstract description 28
- 238000004590 computer program Methods 0.000 claims description 25
- 230000006870 function Effects 0.000 claims description 10
- 238000013473 artificial intelligence Methods 0.000 abstract description 3
- 238000010801 machine learning Methods 0.000 abstract description 2
- 231100000572 poisoning Toxicity 0.000 description 13
- 230000000607 poisoning effect Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000008260 defense mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000006854 communication Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 231100000331 toxic Toxicity 0.000 description 1
- 230000002588 toxic effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Medical Informatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种联邦学习防御方法、装置、计算机设备和存储介质,涉及机器学习技术领域、人工智能技术领域、信息安全领域。所述方法包括:获取各客户端模型的模型参数;对模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记;将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型;将添加噪声的模型参数作为更新后的模型参数,执行对模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记的步骤;在各轮次的全局模型的训练过程中,基于各疑似恶意客户端的标记次数确定恶意客户端,并将恶意客户端剔除联邦学习系统。采用本方法能够提高全局模型的鲁棒性。
Description
技术领域
本申请涉及人工智能技术领域,特别是涉及一种联邦学习防御方法、装置、计算机设备和存储介质。
背景技术
随着人工智能技术的发展,在模型训练的数据隐私限制下,出现了联邦学习技术。联邦学习可以在保证各训练数据隐私的前提下,在多个客户端或多计算结点之间开展高效率的机器学习,提升联邦学习中央服务器模型的效果。然而在联邦学习中由于客户端数据的不可见性,存在标签反转后门攻击。具体表现为恶意客户端可以篡改本地数据,从而,中央服务器对篡改后的有毒样本进行训练后,对特定特征做出错误的判断。
传统的标签翻转后门攻击的防御方法中,可以重新训练并验证中央服务器模型对特定样本的判断是否准确,以此来实现对标签翻转后门攻击的防御。
然而,目前的针对标签翻转后门攻击的防御方法得到的全局模型的稳定性较差,导致防御针对标签翻转后门攻击的联邦学习方法鲁棒性较低。
发明内容
基于此,有必要针对上述技术问题,提供一种联邦学习防御方法、装置、计算机设备和计算机可读存储介质。
第一方面,本申请提供了一种联邦学习防御方法。所述方法包括:
获取各客户端模型的模型参数;
对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记;
将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型;
将所述添加噪声的模型参数作为更新后的模型参数,执行所述对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记的步骤;
在各轮次的所述全局模型的训练过程中,基于各所述疑似恶意客户端的标记次数确定恶意客户端,并将所述恶意客户端剔除所述联邦学习系统。
在其中一个实施例中,所述获取各客户端模型的模型参数之前,所述方法还包括:
向各客户端发送初始模型;
接收所述各客户端的所述初始模型训练完成后返回的模型参数。
在其中一个实施例中,所述对所述模型参数中的目标模型参数进行裁剪,包括:
根据各所述客户端模型与所述全局模型间的第一欧氏距离以及第一欧氏距离均值,对各所述客户端模型的模型参数中目标模型参数进行裁剪。
在其中一个实施例中,所述根据各所述客户端模型与全局模型间的第一欧氏距离以及第一欧氏距离均值,对各所述客户端模型的模型参数中目标模型参数进行裁剪,包括:
针对每个所述客户端模型的模型参数,计算每个所述客户端模型与所述全局模型的第一欧氏距离,并根据各所述第一欧氏距离得到第一欧氏距离均值;
基于所述第一欧氏距离与所述第一欧氏距离均值以及预设裁剪比例,确定所述目标模型参数,对所述目标模型参数进行裁剪。
在其中一个实施例中,所述基于裁剪情况对疑似恶意客户端进行标记,包括:
根据所述目标模型参数确定疑似恶意客户端,并对所述疑似恶意客户端进行标记。
在其中一个实施例中,所述根据所述目标模型参数确定疑似恶意客户端,并对所述疑似恶意客户端进行标记,包括:
将所述目标模型参数所属的所述客户端模型确定为所述疑似恶意客户端。
在其中一个实施例中,所述将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型,包括:
针对被裁剪后的每个客户端模型的模型参数,计算每个所述客户端模型与全局模型的第二欧氏距离,并根据各所述第二欧氏距离得到第二欧氏距离均值;
根据所述第二欧氏距离均值以及预设的噪声函数,确定高斯噪声,并将所述高斯噪声添加至所述被裁剪后的每个客户端模型的模型参数中,得到第二目标模型参数;
根据所述第二目标模型参数对全局模型进行迭代训练,得到训练后的全局模型。
在其中一个实施例中,所述在各轮次的所述全局模型的训练过程中,基于各所述疑似恶意客户端的标记次数确定恶意客户端,并将所述恶意客户端剔除所述联邦学习系统,包括:
在各轮次的所述全局模型的训练过程中,将标记次数超出预设次数阈值的所述疑似恶意客户端确定为恶意客户端;
将所述恶意客户端剔除联邦学习系统。
第二方面,本申请还提供了一种联邦学习防御装置。所述装置包括:
获取模块,用于获取各客户端模型的模型参数;
第一裁剪模块,用于对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记;
添加噪声模块,用于将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型;
第二裁剪模块,用于将所述添加噪声的模型参数作为更新后的模型参数,执行所述对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记的步骤;
剔除模块,用于在各轮次的所述全局模型的训练过程中,基于各所述疑似恶意客户端的标记次数确定恶意客户端,并将所述恶意客户端剔除所述联邦学习系统。
在其中一个实施例中,所述获取模块还用于:
向各客户端发送初始模型;
接收所述各客户端的所述初始模型训练完成后返回的模型参数。
在其中一个实施例中,所述第一裁剪模块具体用于:
根据各所述客户端模型与所述全局模型间的第一欧氏距离以及第一欧氏距离均值,对各所述客户端模型的模型参数中目标模型参数进行裁剪。
在其中一个实施例中,所述第一裁剪模块具体用于:
针对每个所述客户端模型的模型参数,计算每个所述客户端模型与所述全局模型的第一欧氏距离,并根据各所述第一欧氏距离得到第一欧氏距离均值;
基于所述第一欧氏距离与所述第一欧氏距离均值以及预设裁剪比例,确定所述目标模型参数,对所述目标模型参数进行裁剪。
在其中一个实施例中,所述第一裁剪模块具体用于:
根据所述目标模型参数确定疑似恶意客户端,并对所述疑似恶意客户端进行标记。
在其中一个实施例中,所述第一裁剪模块具体用于:
将所述目标模型参数所属的所述客户端模型确定为所述疑似恶意客户端。
在其中一个实施例中,所述添加噪声模块具体用于:
针对被裁剪后的每个客户端模型的模型参数,计算每个所述客户端模型与全局模型的第二欧氏距离,并根据各所述第二欧氏距离得到第二欧氏距离均值;
根据所述第二欧氏距离均值以及预设的噪声函数,确定高斯噪声,并将所述高斯噪声添加至所述被裁剪后的每个客户端模型的模型参数中,得到第二目标模型参数;
根据所述第二目标模型参数对全局模型进行迭代训练,得到训练后的全局模型。
在其中一个实施例中,所述剔除模块具体用于:
在各轮次的所述全局模型的训练过程中,将标记次数超出预设次数阈值的所述疑似恶意客户端确定为恶意客户端;
将所述恶意客户端剔除联邦学习系统。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取各客户端模型的模型参数;
对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记;
将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型;
将所述添加噪声的模型参数作为更新后的模型参数,执行所述对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记的步骤;
在各轮次的所述全局模型的训练过程中,基于各所述疑似恶意客户端的标记次数确定恶意客户端,并将所述恶意客户端剔除所述联邦学习系统。
在其中一个实施例中,所述获取各客户端模型的模型参数之前,所述方法还包括:
向各客户端发送初始模型;
接收所述各客户端的所述初始模型训练完成后返回的模型参数。
在其中一个实施例中,所述对所述模型参数中的目标模型参数进行裁剪,包括:
根据各所述客户端模型与所述全局模型间的第一欧氏距离以及第一欧氏距离均值,对各所述客户端模型的模型参数中目标模型参数进行裁剪。
在其中一个实施例中,所述根据各所述客户端模型与全局模型间的第一欧氏距离以及第一欧氏距离均值,对各所述客户端模型的模型参数中目标模型参数进行裁剪,包括:
针对每个所述客户端模型的模型参数,计算每个所述客户端模型与所述全局模型的第一欧氏距离,并根据各所述第一欧氏距离得到第一欧氏距离均值;
基于所述第一欧氏距离与所述第一欧氏距离均值以及预设裁剪比例,确定所述目标模型参数,对所述目标模型参数进行裁剪。
在其中一个实施例中,所述基于裁剪情况对疑似恶意客户端进行标记,包括:
根据所述目标模型参数确定疑似恶意客户端,并对所述疑似恶意客户端进行标记。
在其中一个实施例中,所述根据所述目标模型参数确定疑似恶意客户端,并对所述疑似恶意客户端进行标记,包括:
将所述目标模型参数所属的所述客户端模型确定为所述疑似恶意客户端。
在其中一个实施例中,所述将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型,包括:
针对被裁剪后的每个客户端模型的模型参数,计算每个所述客户端模型与全局模型的第二欧氏距离,并根据各所述第二欧氏距离得到第二欧氏距离均值;
根据所述第二欧氏距离均值以及预设的噪声函数,确定高斯噪声,并将所述高斯噪声添加至所述被裁剪后的每个客户端模型的模型参数中,得到第二目标模型参数;
根据所述第二目标模型参数对全局模型进行迭代训练,得到训练后的全局模型。
在其中一个实施例中,所述在各轮次的所述全局模型的训练过程中,基于各所述疑似恶意客户端的标记次数确定恶意客户端,并将所述恶意客户端剔除所述联邦学习系统,包括:
在各轮次的所述全局模型的训练过程中,将标记次数超出预设次数阈值的所述疑似恶意客户端确定为恶意客户端;
将所述恶意客户端剔除联邦学习系统。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取各客户端模型的模型参数;
对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记;
将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型;
将所述添加噪声的模型参数作为更新后的模型参数,执行所述对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记的步骤;
在各轮次的所述全局模型的训练过程中,基于各所述疑似恶意客户端的标记次数确定恶意客户端,并将所述恶意客户端剔除所述联邦学习系统。
在其中一个实施例中,所述获取各客户端模型的模型参数之前,所述方法还包括:
向各客户端发送初始模型;
接收所述各客户端的所述初始模型训练完成后返回的模型参数。
在其中一个实施例中,所述对所述模型参数中的目标模型参数进行裁剪,包括:
根据各所述客户端模型与所述全局模型间的第一欧氏距离以及第一欧氏距离均值,对各所述客户端模型的模型参数中目标模型参数进行裁剪。
在其中一个实施例中,所述根据各所述客户端模型与全局模型间的第一欧氏距离以及第一欧氏距离均值,对各所述客户端模型的模型参数中目标模型参数进行裁剪,包括:
针对每个所述客户端模型的模型参数,计算每个所述客户端模型与所述全局模型的第一欧氏距离,并根据各所述第一欧氏距离得到第一欧氏距离均值;
基于所述第一欧氏距离与所述第一欧氏距离均值以及预设裁剪比例,确定所述目标模型参数,对所述目标模型参数进行裁剪。
在其中一个实施例中,所述基于裁剪情况对疑似恶意客户端进行标记,包括:
根据所述目标模型参数确定疑似恶意客户端,并对所述疑似恶意客户端进行标记。
在其中一个实施例中,所述根据所述目标模型参数确定疑似恶意客户端,并对所述疑似恶意客户端进行标记,包括:
将所述目标模型参数所属的所述客户端模型确定为所述疑似恶意客户端。
在其中一个实施例中,所述将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型,包括:
针对被裁剪后的每个客户端模型的模型参数,计算每个所述客户端模型与全局模型的第二欧氏距离,并根据各所述第二欧氏距离得到第二欧氏距离均值;
根据所述第二欧氏距离均值以及预设的噪声函数,确定高斯噪声,并将所述高斯噪声添加至所述被裁剪后的每个客户端模型的模型参数中,得到第二目标模型参数;
根据所述第二目标模型参数对全局模型进行迭代训练,得到训练后的全局模型。
在其中一个实施例中,所述在各轮次的所述全局模型的训练过程中,基于各所述疑似恶意客户端的标记次数确定恶意客户端,并将所述恶意客户端剔除所述联邦学习系统,包括:
在各轮次的所述全局模型的训练过程中,将标记次数超出预设次数阈值的所述疑似恶意客户端确定为恶意客户端;
将所述恶意客户端剔除联邦学习系统。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
获取各客户端模型的模型参数;
对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记;
将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型;
将所述添加噪声的模型参数作为更新后的模型参数,执行所述对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记的步骤;
在各轮次的所述全局模型的训练过程中,基于各所述疑似恶意客户端的标记次数确定恶意客户端,并将所述恶意客户端剔除所述联邦学习系统。
在其中一个实施例中,所述获取各客户端模型的模型参数之前,所述方法还包括:
向各客户端发送初始模型;
接收所述各客户端的所述初始模型训练完成后返回的模型参数。
在其中一个实施例中,所述对所述模型参数中的目标模型参数进行裁剪,包括:
根据各所述客户端模型与所述全局模型间的第一欧氏距离以及第一欧氏距离均值,对各所述客户端模型的模型参数中目标模型参数进行裁剪。
在其中一个实施例中,所述根据各所述客户端模型与全局模型间的第一欧氏距离以及第一欧氏距离均值,对各所述客户端模型的模型参数中目标模型参数进行裁剪,包括:
针对每个所述客户端模型的模型参数,计算每个所述客户端模型与所述全局模型的第一欧氏距离,并根据各所述第一欧氏距离得到第一欧氏距离均值;
基于所述第一欧氏距离与所述第一欧氏距离均值以及预设裁剪比例,确定所述目标模型参数,对所述目标模型参数进行裁剪。
在其中一个实施例中,所述基于裁剪情况对疑似恶意客户端进行标记,包括:
根据所述目标模型参数确定疑似恶意客户端,并对所述疑似恶意客户端进行标记。
在其中一个实施例中,所述根据所述目标模型参数确定疑似恶意客户端,并对所述疑似恶意客户端进行标记,包括:
将所述目标模型参数所属的所述客户端模型确定为所述疑似恶意客户端。
在其中一个实施例中,所述将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型,包括:
针对被裁剪后的每个客户端模型的模型参数,计算每个所述客户端模型与全局模型的第二欧氏距离,并根据各所述第二欧氏距离得到第二欧氏距离均值;
根据所述第二欧氏距离均值以及预设的噪声函数,确定高斯噪声,并将所述高斯噪声添加至所述被裁剪后的每个客户端模型的模型参数中,得到第二目标模型参数;
根据所述第二目标模型参数对全局模型进行迭代训练,得到训练后的全局模型。
在其中一个实施例中,所述在各轮次的所述全局模型的训练过程中,基于各所述疑似恶意客户端的标记次数确定恶意客户端,并将所述恶意客户端剔除所述联邦学习系统,包括:
在各轮次的所述全局模型的训练过程中,将标记次数超出预设次数阈值的所述疑似恶意客户端确定为恶意客户端;
将所述恶意客户端剔除联邦学习系统。
上述联邦学习防御方法、装置、计算机设备和存储介质,对客户端模型的模型参数进行裁剪并识别疑似恶意客户端,可以降低标签翻转后门攻击中投毒数据对全局模型的影响,并将裁剪后的客户端模型添加高斯噪声,可以进一步降低投毒数据对全局模型的影响,最后将根据客户端模型数据的裁剪情况,在疑似恶意客户端中确定恶意客户端,将恶意客户端剔除联邦学习系统,可以提高全局模型的鲁棒性。
附图说明
图1为一个实施例中联邦学习防御方法的应用环境图;
图2为一个实施例中联邦学习防御方法的流程示意图;
图3为一个实施例中获取客户端模型参数步骤的流程示意图;
图4为一个实施例中对目标模型参数进行裁剪步骤的流程示意图;
图5为一个实施例中确定第二目标模型参数方法的流程示意图;
图6为一个实施例中识别恶意客户端方法的流程示意图;
图7为一个实施例中一种联邦学习防御方法的示例的流程示意图;
图8为一个实施例中联邦学习防御装置的结构框图;
图9为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的联邦学习防御方法,可以应用于如图1所示的应用环境中。其中,中央服务器102通过网络与客户端104进行通信。数据存储系统可以中央服务器102需要处理的数据。数据存储系统可以集成在中央服务器102上,也可以放在云上或其他网络服务器上。中央服务器102获取各客户端模型的模型参数;中央服务器102对模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记;中央服务器102将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型;中央服务器102将添加噪声的模型参数作为更新后的模型参数,执行对模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记的步骤;在各轮次的全局模型的训练过程中,中央服务器102基于各疑似恶意客户端的标记次数确定恶意客户端,并将恶意客户端剔除联邦学习系统。
在一个实施例中,在中央服务器接收到的客户端的模型参数中可能包括恶意客户端的模型参数。通常情况下,恶意客户端可以根据中央服务器所下发的初始模型,针对某一特征进行植入投毒样本,客户端根据此投毒样本对初始模型进行训练,得到带毒模型参数,带毒模型参数使得全局模型针对此特征做出错误判断。因此,为了避免受到标签翻转后门攻击,提出了一种联邦学习防御方法,如图2所示,以该方法应用于图1中的中央服务器为例进行说明,包括以下步骤:
步骤202,获取各客户端模型的模型参数。
本申请实施例中,联邦学习系统包括中央服务器与多个客户端,客户端模型为中央服务器所下发的初始模型,中央服务器获取各客户端模型的模型参数,客户端模型参数用于对中央服务器的全局模型进行训练,提高全局模型的效果。
步骤204,对模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记。
本申请实施例中,中央服务器在接收到各客户端的模型参数后,根据各客户端的模型参数与中央服务器模型参数的欧氏距离,可以确定出模型参数中的需要被裁剪的模型参数,即目标模型参数。然后,中央服务器根据目标模型参数确定疑似恶意客户端,并在每一轮次训练中,根据目标模型参数的裁剪情况,将疑似恶意客户端进行标记。
步骤206,将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型。
本申请实施例中,中央服务器将裁剪后的模型参数添加高斯噪声,此高斯噪声由裁剪后的客户端模型参数与全局模型的模型参数的欧氏距离得到。中央服务器根据添加高斯噪声后的模型参数对全局模型进行训练,得到训练后的全局模型。
步骤208,将添加噪声的模型参数作为更新后的模型参数,执行对模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记的步骤。
本申请实施例中,在中央服务器将添加高斯噪声后的模型参数作为跟新后的模型参数后,中央服务器继续执行对各客户端模型参数的裁剪,然后,根据裁剪情况对疑似恶意客户端进行标记,在所有轮次中,各疑似恶意客户端的被标记次数用于判断各客户端是否为恶意客户端。
步骤210,在各轮次的全局模型的训练过程中,基于各疑似恶意客户端的标记次数确定恶意客户端,并将恶意客户端剔除联邦学习系统。
本申请实施例中,中央服务器在每一轮次中,将疑似恶意客户端进行标记,当中央服务器的全局模型达到预设迭代条件后,根据各客户端被标记为意思客户端的次数与迭代轮次的占比,确定出各客户端中的恶意客户端,最后,中央服务器将所有恶意客户端记入黑名单,并剔除联邦学习系统。
上述联邦学习防御方法中,中央服务器对客户端模型的模型参数进行裁剪并识别疑似恶意客户端,可以降低标签翻转后门攻击中投毒数据对全局模型的影响,并将裁剪后的客户端模型添加高斯噪声,可以进一步降低投毒数据对全局模型的影响,最后将根据客户端模型数据的裁剪情况,在疑似恶意客户端中确定恶意客户端,将恶意客户端剔除联邦学习系统,可以提高全局模型的鲁棒性。
在一个实施例中,如图3所示,步骤202获取各客户端模型的模型参数之前,方法还包括:
步骤302,向各客户端发送初始模型。
本申请实施例中,中央服务器先向各客户端发送初始模型,客户端终端接收到初始模型后,将客户端的样本数据输入至初始模型进行训练,得到在各客户端训练后的初始模型的模型参数。客户端模型参数用于对中央服务器的全局模型进行训练,以提高全局模型的效果。
步骤304,接收各客户端的初始模型训练完成后返回的模型参数。
本申请实施例中,在客户端根据客户端本地的样本数据对初始模型进行训练后,将训练完成后的初始模型的模型参数发送至中央服务器。
本实施例中,通过各客户端对中央服务器所下发的初始模型进行训练,能够得到中央服务器用于训练的模型参数。
在一个实施例中,步骤204对模型参数中的目标模型参数进行裁剪,包括:
根据各客户端模型与全局模型间的第一欧氏距离以及第一欧氏距离均值,对各客户端模型的模型参数中目标模型参数进行裁剪。
本申请实施例中,中央服务器分别计算各客户端模型的模型参数与全局模型的模型参数之间的欧氏距离,在确定各客户端模型的模型参数与全局模型的模型参数之间的第一欧氏距离后,计算第一欧氏距离均值。确定在各客户端模型与全局模型之间的欧氏距离与欧氏距离均值的误差在所有误差数据中前10%的客户端模型参数,确定为目标模型参数,中央服务器将目标模型参数进行裁剪。
本实施例中,通过将各客户端第一欧氏距离与第一欧氏距离均值的误差超过预设阈值的部分进行裁剪,将其剔除联邦学习系统,不参与全局模型的训练,能够降低投毒数据对全局模型训练的影响。
在一个实施例中,如图4所示,根据各客户端模型与全局模型间的第一欧氏距离以及第一欧氏距离均值,对各客户端模型的模型参数中目标模型参数进行裁剪,包括:
步骤402,针对每个客户端模型的模型参数,计算每个客户端模型与全局模型的第一欧氏距离,并根据各第一欧氏距离得到第一欧氏距离均值。
本申请实施例中,中央服务器计算各客户端模型与全局模型的第一欧氏距离值
,其中,/>
表示各客户端模型参数,/>
表示全局模型的模型参数,在第一轮训练中,全局模型的模型参数为初始模型的模型参数。根据此第一欧氏距离计算所有欧氏距离间的均值,得到第一欧氏距离均值。
步骤404,基于第一欧氏距离与第一欧氏距离均值以及预设裁剪比例,确定目标模型参数,对目标模型参数进行裁剪。
本申请实施例中,预设裁剪比例用于将欧氏距离误差值超过此预设裁剪比例的模型参数进行裁剪,基于专家规则,此预设裁剪比例可以是欧氏距离误差值在前10%的模型参数。中央服务器计算并得到所有客户端的第一欧氏距离与第一欧氏距离均值,根据第一欧氏距离与第一欧氏距离均值得到各客户端的欧氏距离误差,将所有欧氏距离误差中前10%的模型参数确定为目标模型参数,然后将目标模型进行裁剪,中央服务器的全局模型在此轮次中根据裁剪掉目标模型参数后的模型参数进行训练。
第一欧氏距离误差可以反映模型参数对于全局模型的影响,如果客户端模型与全局模型的第一欧氏距离误差过大,则该客户端的模型参数可能为投毒数据。
本实施例中,通过计算客户端模型与全局模型的欧氏距离误差并将欧氏距离误差超过预设裁剪比例的部分进行裁剪,能够识别可能的投毒数据,使用裁剪后的模型参数进行全局模型的训练可以降低投毒数据对全局模型效果的影响。
在一个实施例中,步骤204基于裁剪情况对疑似恶意客户端进行标记,包括:
根据目标模型参数确定疑似恶意客户端,并对疑似恶意客户端进行标记。
本申请实施例中,中央服务器在对各客户端第一欧氏距离与第一欧氏距离均值的误差超过预设阈值的部分进行裁剪后,根据裁剪情况对各客户端进行识别并标记。具体的,中央服务器客户端将被裁剪模型参数所属的客户端确定为疑似恶意客户端并标记为1,将正常客户端标记为0。
本实施例中,通过中央服务器对模型参数的裁剪情况对各客户端进行识别和标记,可以初步确定疑似恶意客户端,并在后续根据各客户端被标记为疑似恶意客户端的次数来识别恶意客户端,提高联邦学习系统针对标签翻转后门攻击防御的鲁棒性。
在一个实施例中,根据目标模型参数确定疑似恶意客户端,并对疑似恶意客户端进行标记,包括:
将目标模型参数所属的客户端模型确定为疑似恶意客户端。
本申请实施例中,中央服务器在接收各客户端的模型参数的同时,将模型参数所对应的客户端进行记录,在中央服务器对目标模型参数进行裁剪的同时,确定目标模型参数所属的客户端模型。
中央服务器将目标模型参数所对应的客户端标记为1,将不含目标客户端的模型参数所对应的客户端标记为0。
本实施例中,通过中央服务器对模型参数的裁剪情况对各客户端进行识别和标记,可以初步确定疑似恶意客户端,并在后续根据各客户端被标记为疑似恶意客户端的次数来识别恶意客户端,提高联邦学习系统针对标签翻转后门攻击防御的鲁棒性。
在一个实施例中,如图5所示,步骤206将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型,包括:
步骤502,针对被裁剪后的每个客户端模型的模型参数,计算每个客户端模型与全局模型的第二欧氏距离,并根据各第二欧氏距离得到第二欧氏距离均值。
本申请实施例中,在中央服务器对目标模型参数进行裁剪后,中央服务器重新计算裁剪后的客户端模型参数与全局模型的模型参数之间的欧氏距离,即第二欧氏距离,然后,中央服务器根据各客户端的第二欧氏距离计算第二欧氏距离均值。
步骤504,根据第二欧氏距离均值以及预设的噪声函数,确定高斯噪声,并将高斯噪声添加至被裁剪后的每个客户端模型的模型参数中,得到第二目标模型参数。
本申请实施例中,中央服务器根据第二欧氏距离均值可以确定高斯噪声,将此高斯噪声添加至被裁剪的各客户端的模型参数中,得到第二目标模型参数。其中,高斯噪声的概率函数如下所示:
其中,μ表示第二欧氏距离均值,
表示标准差,x是数据中的随机变量,由设置的标准偏差决定添加多少比例的噪声,一般为0.5。
步骤506,根据第二目标模型参数对全局模型进行迭代训练,得到训练后的全局模型。
本申请实施例中,中央服务器将对目标模型参数进行裁剪后并添加完高斯噪声的第二目标模型参数输入至中央服务器的全局模型中,完成本轮次的迭代训练。
可选的,在中央服务器对第二目标模型参数完成训练后,中央服务器为保证通信过程的安全,使用SSL协议进行加密传输,同时,使用Paillier(同态加密算法)进行数据加密,将第二目标模型参数传输至各客户端。
本实施例中,通过对裁剪目标模型参数后的客户端模型参数添加高斯噪声,能够进一步降低投毒数据对模型的影响,提升全局模型的鲁棒性。
在一个实施例中,如图6所示,步骤210在各轮次的全局模型的训练过程中,基于各疑似恶意客户端的标记次数确定恶意客户端,并将恶意客户端剔除联邦学习系统,包括:
步骤602,在各轮次的全局模型的训练过程中,将标记次数超出预设次数阈值的疑似恶意客户端确定为恶意客户端。
本申请实施例中,中央服务器在对全局模型的训练过程中,根据各客户端中被标记为疑似恶意客户端的标记次数确定出恶意客户端。具体的,在各轮次的全局模型的训练过程中,中央服务器将被标记为疑似恶意客户端次数在迭代轮次中占比2/3的客户端,记录为恶意客户端。
步骤604,将恶意客户端剔除联邦学习系统。
本申请实施例中,中央服务器将确定的恶意客户端计入黑名单,并剔除联邦学习系统。
本实施例中,根据各客户端模型被标记为疑似恶意客户端的次数来识别恶意客户端,并将恶意客户端剔除联邦学习系统,可以提高联邦学习系统针对标签翻转后门攻击防御的鲁棒性,提高联邦学习系统防御的通用性。
本申请实施例还提供了一种联邦学习防御方法的示例,如图7所示,具体包括以下步骤:
步骤S1,中央服务器获取各客户端的模型参数;
步骤S2,中央服务器根据各客户端的第一欧氏距离与第一欧氏距离均值对各客户端模型的模型参数进行裁剪;
步骤S3,中央服务器根据客户端模型参数的裁剪情况标记疑似恶意客户端;
步骤S4,中央服务器根据第二欧氏距离均值确定高斯噪声的值,对裁剪后的模型参数添加高斯噪声并根据添加高斯噪声后的模型参数更新全局模型;
步骤S5,根据各客户端被标记为疑似恶意客户端的次数在迭代轮次中的占比,识别恶意客户端并将恶意客户端剔除联邦学习系统。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的联邦学习防御方法的联邦学习防御装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个联邦学习防御装置实施例中的具体限定可以参见上文中对于联邦学习防御方法的限定,在此不再赘述。
在一个实施例中,如图8所示,提供了一种联邦学习防御装置800,包括:获取模块801、第一裁剪模块802、添加噪声模块803、第二裁剪模块804和剔除模块805,其中:
获取模块801,用于获取各客户端模型的模型参数;
第一裁剪模块802,用于对模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记;
添加噪声模块803,用于将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型;
第二裁剪模块804,用于将添加噪声的模型参数作为更新后的模型参数,执行对模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记的步骤;
剔除模块805,用于在各轮次的全局模型的训练过程中,基于各疑似恶意客户端的标记次数确定恶意客户端,并将恶意客户端剔除联邦学习系统。
在其中一个实施例中,第一裁剪模块包括数据裁剪单元与攻击识别单元。
在其中一个实施例中,获取模块801还用于:
向各客户端发送初始模型;
接收各客户端的初始模型训练完成后返回的模型参数。
在其中一个实施例中,第一裁剪模块802具体用于:
根据各客户端模型与全局模型间的第一欧氏距离以及第一欧氏距离均值,对各客户端模型的模型参数中目标模型参数进行裁剪。
在其中一个实施例中,第一裁剪模块802具体用于:
针对每个客户端模型的模型参数,计算每个客户端模型与全局模型的第一欧氏距离,并根据各第一欧氏距离得到第一欧氏距离均值;
基于第一欧氏距离与第一欧氏距离均值以及预设裁剪比例,确定目标模型参数,对目标模型参数进行裁剪。
在其中一个实施例中,第一裁剪模块802具体用于:
根据目标模型参数确定疑似恶意客户端,并对疑似恶意客户端进行标记。
在其中一个实施例中,第一裁剪模块802具体用于:
将目标模型参数所属的客户端模型确定为疑似恶意客户端。
在其中一个实施例中,添加噪声模块803具体用于:
针对被裁剪后的每个客户端模型的模型参数,计算每个客户端模型与全局模型的第二欧氏距离,并根据各第二欧氏距离得到第二欧氏距离均值;
根据第二欧氏距离均值以及预设的噪声函数,确定高斯噪声,并将高斯噪声添加至被裁剪后的每个客户端模型的模型参数中,得到第二目标模型参数;
根据第二目标模型参数对全局模型进行迭代训练,得到训练后的全局模型。
在其中一个实施例中,剔除模块805具体用于:
在各轮次的全局模型的训练过程中,将标记次数超出预设次数阈值的疑似恶意客户端确定为恶意客户端;
将恶意客户端剔除联邦学习系统。
上述联邦学习防御装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储模型参数。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种联邦学习防御方法。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取各客户端模型的模型参数;
对模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记;
将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型;
将添加噪声的模型参数作为更新后的模型参数,执行对模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记的步骤;
在各轮次的全局模型的训练过程中,基于各疑似恶意客户端的标记次数确定恶意客户端,并将恶意客户端剔除联邦学习系统。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
向各客户端发送初始模型;
接收各客户端的初始模型训练完成后返回的模型参数。
在其中一个实施例中,对模型参数中的目标模型参数进行裁剪,包括:
根据各客户端模型与全局模型间的第一欧氏距离以及第一欧氏距离均值,对各客户端模型的模型参数中目标模型参数进行裁剪。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
针对每个客户端模型的模型参数,计算每个客户端模型与全局模型的第一欧氏距离,并根据各第一欧氏距离得到第一欧氏距离均值;
基于第一欧氏距离与第一欧氏距离均值以及预设裁剪比例,确定目标模型参数,对目标模型参数进行裁剪。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据目标模型参数确定疑似恶意客户端,并对疑似恶意客户端进行标记。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
将目标模型参数所属的客户端模型确定为疑似恶意客户端。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
针对被裁剪后的每个客户端模型的模型参数,计算每个客户端模型与全局模型的第二欧氏距离,并根据各第二欧氏距离得到第二欧氏距离均值;
根据第二欧氏距离均值以及预设的噪声函数,确定高斯噪声,并将高斯噪声添加至被裁剪后的每个客户端模型的模型参数中,得到第二目标模型参数;
根据第二目标模型参数对全局模型进行迭代训练,得到训练后的全局模型。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
在各轮次的全局模型的训练过程中,将标记次数超出预设次数阈值的疑似恶意客户端确定为恶意客户端;
将恶意客户端剔除联邦学习系统。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric RandomAccess Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccessMemory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (11)
1.一种联邦学习防御方法,其特征在于,所述联邦学习防御方法应用于联邦学习系统,所述联邦学习系统包括客户端模型和全局模型,所述方法包括:
获取各客户端模型的模型参数;
对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记;
将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型;
将所述添加噪声的模型参数作为更新后的模型参数,执行所述对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记的步骤;
在各轮次的所述全局模型的训练过程中,基于各所述疑似恶意客户端的标记次数确定恶意客户端,并将所述恶意客户端剔除所述联邦学习系统。
2.根据权利要求1所述的方法,其特征在于,所述获取各客户端模型的模型参数之前,所述方法还包括:
向各客户端发送初始模型;
接收所述各客户端的所述初始模型训练完成后返回的模型参数。
3.根据权利要求1所述的方法,其特征在于,所述对所述模型参数中的目标模型参数进行裁剪,包括:
根据各所述客户端模型与所述全局模型间的第一欧氏距离以及第一欧氏距离均值,对各所述客户端模型的模型参数中目标模型参数进行裁剪。
4.根据权利要求3所述的方法,其特征在于,所述根据各所述客户端模型与所述全局模型间的第一欧氏距离以及第一欧氏距离均值,对各所述客户端模型的模型参数中目标模型参数进行裁剪,包括:
针对每个所述客户端模型的模型参数,计算每个所述客户端模型与所述全局模型的第一欧氏距离,并根据各所述第一欧氏距离得到第一欧氏距离均值;
基于所述第一欧氏距离与所述第一欧氏距离均值以及预设裁剪比例,确定所述目标模型参数,对所述目标模型参数进行裁剪。
5.根据权利要求1所述的方法,其特征在于,所述基于裁剪情况对疑似恶意客户端进行标记,包括:
根据所述目标模型参数确定疑似恶意客户端,并对所述疑似恶意客户端进行标记。
6.根据权利要求5所述的方法,其特征在于,所述根据所述目标模型参数确定疑似恶意客户端,并对所述疑似恶意客户端进行标记,包括:
将所述目标模型参数所属的所述客户端模型确定为所述疑似恶意客户端。
7.根据权利要求1所述的方法,其特征在于,所述将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型,包括:
针对被裁剪后的每个客户端模型的模型参数,计算每个所述客户端模型与全局模型的第二欧氏距离,并根据各所述第二欧氏距离得到第二欧氏距离均值;
根据所述第二欧氏距离均值以及预设的噪声函数,确定高斯噪声,并将所述高斯噪声添加至所述被裁剪后的每个客户端模型的模型参数中,得到第二目标模型参数;
根据所述第二目标模型参数对全局模型进行迭代训练,得到训练后的全局模型。
8.根据权利要求1所述的方法,其特征在于,所述在各轮次的所述全局模型的训练过程中,基于各所述疑似恶意客户端的标记次数确定恶意客户端,并将所述恶意客户端剔除所述联邦学习系统,包括:
在各轮次的所述全局模型的训练过程中,将标记次数超出预设次数阈值的所述疑似恶意客户端确定为恶意客户端;
将所述恶意客户端剔除联邦学习系统。
9.一种联邦学习防御装置,其特征在于,所述联邦学习防御装置应用于联邦学习系统,所述装置包括:
获取模块,用于获取各客户端模型的模型参数;
第一裁剪模块,用于对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记;
添加噪声模块,用于将裁剪后的模型参数添加噪声并在全局模型中进行训练,得到训练后的全局模型;
第二裁剪模块,用于将所述添加噪声的模型参数作为更新后的模型参数,执行所述对所述模型参数中的目标模型参数进行裁剪,并基于裁剪情况对疑似恶意客户端进行标记的步骤;
剔除模块,用于在各轮次的所述全局模型的训练过程中,基于各所述疑似恶意客户端的标记次数确定恶意客户端,并将所述恶意客户端剔除所述联邦学习系统。
10.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310440467.7A CN116432781A (zh) | 2023-04-23 | 2023-04-23 | 联邦学习防御方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310440467.7A CN116432781A (zh) | 2023-04-23 | 2023-04-23 | 联邦学习防御方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116432781A true CN116432781A (zh) | 2023-07-14 |
Family
ID=87083129
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310440467.7A Pending CN116432781A (zh) | 2023-04-23 | 2023-04-23 | 联邦学习防御方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116432781A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113282960A (zh) * | 2021-06-11 | 2021-08-20 | 北京邮电大学 | 一种基于联邦学习的隐私计算方法、装置、系统及设备 |
| CN113965359A (zh) * | 2021-09-29 | 2022-01-21 | 哈尔滨工业大学(深圳) | 面向联邦学习数据投毒攻击的防御方法及装置 |
| CN113962402A (zh) * | 2021-10-29 | 2022-01-21 | 中国工商银行股份有限公司 | 联邦学习防御方法、装置、计算机设备和计算机存储介质 |
| US20220318412A1 (en) * | 2021-04-06 | 2022-10-06 | Qualcomm Incorporated | Privacy-aware pruning in machine learning |
| CN115456192A (zh) * | 2022-08-19 | 2022-12-09 | 哈尔滨工业大学(深圳) | 一种联邦学习模型投毒防御方法、终端及存储介质 |
| CN115481441A (zh) * | 2022-09-23 | 2022-12-16 | 广东省农村信用社联合社 | 面向联邦学习的差分隐私保护方法及装置 |
-
2023
- 2023-04-23 CN CN202310440467.7A patent/CN116432781A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220318412A1 (en) * | 2021-04-06 | 2022-10-06 | Qualcomm Incorporated | Privacy-aware pruning in machine learning |
| CN113282960A (zh) * | 2021-06-11 | 2021-08-20 | 北京邮电大学 | 一种基于联邦学习的隐私计算方法、装置、系统及设备 |
| CN113965359A (zh) * | 2021-09-29 | 2022-01-21 | 哈尔滨工业大学(深圳) | 面向联邦学习数据投毒攻击的防御方法及装置 |
| CN113962402A (zh) * | 2021-10-29 | 2022-01-21 | 中国工商银行股份有限公司 | 联邦学习防御方法、装置、计算机设备和计算机存储介质 |
| CN115456192A (zh) * | 2022-08-19 | 2022-12-09 | 哈尔滨工业大学(深圳) | 一种联邦学习模型投毒防御方法、终端及存储介质 |
| CN115481441A (zh) * | 2022-09-23 | 2022-12-16 | 广东省农村信用社联合社 | 面向联邦学习的差分隐私保护方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109598509B (zh) | 风险团伙的识别方法和装置 | |
| CN114666162B (zh) | 一种流量检测方法、装置、设备及存储介质 | |
| CN111368887B (zh) | 雷雨天气预测模型的训练方法及雷雨天气预测方法 | |
| CN110796269B (zh) | 一种生成模型的方法、装置、信息处理的方法及装置 | |
| CN112468487B (zh) | 实现模型训练的方法、装置、实现节点检测的方法及装置 | |
| CN104506356A (zh) | 一种确定ip地址信誉度的方法和装置 | |
| CN117424754B (zh) | 针对集群联邦学习攻击的防御方法、终端及存储介质 | |
| CN115378619A (zh) | 敏感数据访问方法及电子设备、计算机可读存储介质 | |
| CN116432781A (zh) | 联邦学习防御方法、装置、计算机设备和存储介质 | |
| CN116861107A (zh) | 业务内容展示方法、装置、设备、介质和产品 | |
| CN116187431A (zh) | 面向非独立同分布场景的联邦学习蒸馏方法及装置 | |
| CN115883152A (zh) | 基于联邦学习的网络流量攻击检测方法、系统及存储介质 | |
| CN115622793A (zh) | 一种攻击类型识别方法、装置、电子设备及存储介质 | |
| CN116112209A (zh) | 漏洞攻击流量检测方法及装置 | |
| CN114611713A (zh) | 一种基于纵向联邦学习的树模型的构建方法及系统 | |
| CN111882054B (zh) | 对双方加密关系网络数据交叉训练的方法及相关设备 | |
| CN114417394A (zh) | 基于区块链的数据存证方法、装置、设备及可读存储介质 | |
| CN110138723B (zh) | 一种邮件网络中恶意社区的确定方法及系统 | |
| CN114567613A (zh) | 一种真实ip识别方法、装置、电子设备及存储介质 | |
| CN117710100B (zh) | 基于区块链的数据分析方法及计算服务器 | |
| CN117058493B (zh) | 一种图像识别的安全防御方法、装置和计算机设备 | |
| CN114219985B (zh) | 信息识别处理方法、装置、计算机设备、存储介质 | |
| CN115454676B (zh) | 位置信息融合方法、装置、设备、存储介质和程序产品 | |
| CN107770129A (zh) | 用于检测用户行为的方法和装置 | |
| CN117113304A (zh) | 资源交互方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20230714 |