WO2022151579A1

WO2022151579A1 - 边缘计算场景下后门攻击主动防御方法及装置

Info

Publication number: WO2022151579A1
Application number: PCT/CN2021/081596
Authority: WO
Inventors: 徐恪; 赵乙; 姚苏; 李子巍
Original assignee: 清华大学
Priority date: 2021-01-13
Filing date: 2021-03-18
Publication date: 2022-07-21
Also published as: CN112800421A

Abstract

本申请公开了一种边缘计算场景下后门攻击主动防御方法及装置，其中，方法包括：根据用于提升模型泛化能力的可选操作生成初始可选操作集合，并且为集合中的每一种操作构建配置参数集合；筛选出可选操作的配置参数与模型的准确性曲线呈现单调递减的凹函数特性的第一可选操作子集；筛选出可选操作的配置参数与模型被后门攻击成功概率的曲线呈现单调递减的凸函数特性的第二可选操作子集，构建相应的突变特性集合；确定可选操作的最终参数设定值，以主动防御可能的后门攻击。本申请实施例的方法可以在边缘计算场景下，有效地提升边缘计算场景下的网络安全，具有稳定性高、抵御能力强的特点，更加适合现实场景的部署与应用。

Description

边缘计算场景下后门攻击主动防御方法及装置

相关申请的交叉引用

本申请要求清华大学于2021年01月13日提交的、发明名称为“一种边缘计算场景下后门攻击主动防御方法及装置”的、中国专利申请号“202110042127.X”的优先权。

技术领域

本申请涉及互联网安全技术领域，特别涉及一种边缘计算场景下后门攻击主动防御方法及装置。

背景技术

相关技术中，得益于移动互联网和无线通讯技术的快速发展，边缘计算网络的相关理论和技术已经成熟，进一步促使边缘计算网络的广泛普及。同时，目前存在大量的网络异常行为，如SYN Flooding攻击引发的流量异常等安全事件。为了实现从边缘网络防御可能的攻击，从而降低骨干网被攻击的风险，许多基于深度学习的异常行为检测模型被部署在边缘网络的边缘节点。然而，相比于云端，边缘节点的设备资源十分受限，如计算性能差、存储能力低，难以满足深度学习训练所需的计算能力和数据需求。而且，边缘节点所能够接触的异常行为样本有限，所拥有的训练数据也可能存在不便于公开的隐私信息。通过协作学习，边缘计算网络中的各个边缘节点不仅仅可以降低对数据量和计算能力的要求，而且无须公开自己的训练数据。边缘节点只需要与其它边缘节点共享训练好的模型，即可获得能够处理所有数据样本(包括自己拥有的训练数据以及其它边缘节点拥有的训练数据)的智能模型，从而享受到其它边缘节点的训练数据带来的性能提升。

然而，由于边缘计算网络中的每个边缘节点都是独立的，一旦被恶意的攻击者攻击，其它边缘节点无法感知。在其它边缘节点无任何感知的情况下，攻击者可以通过修改被攻击边缘节点所拥有的训练数据来向深度学习模型中植入后门，从而实现后门攻击。这里提及的后门攻击，指的是通过篡改训练数据的部分特征来形成后门攻击的触发器，同时将训练数据的标签修改为特定的错误标签。随后，恶意的攻击者操纵被攻击的边缘节点，利用篡改后的数据进行模型训练。被嵌入后门的模型同步至其它未被攻击的边缘节点后，其它边缘节点的深度学习模型也会被嵌入后门。在没有遇到包含触发器的样本时，深度学习模型能够正常工作。但是，在遇到包含触发器的样本时，模型将输出攻击者指定的错误结果。因此，在边缘计算场景下面向协作学习的后门攻击是非常难以检测的。

发明内容

本申请旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本申请的第一个目的在于提出一种边缘计算场景下后门攻击主动防御方法，该方法可以在边缘计算场景下，有效地提升边缘计算场景下的网络安全，具有稳定性高、抵御能力强的特点，更加适合现实场景的部署与应用。

本申请的第二个目的在于提出一种边缘计算场景下后门攻击主动防御装置。

本申请的第三个目的在于提出一种电子设备。

本申请的第四个目的在于提出一种计算机可读存储介质。

为达到上述目的，本申请第一方面实施例提出了一种边缘计算场景下后门攻击主动防御方法，包括以下步骤：根据用于提升模型泛化能力的可选操作生成初始可选操作集合，并且为所述集合中的每一种操作构建配置参数集合；从所述初始可选操作集合中筛选出可选操作的配置参数与模型的准确性曲线呈现单调递减的凹函数特性的第一可选操作子集；从所述初始可选操作集合中筛选出可选操作的配置参数与模型被后门攻击成功概率的曲线呈现单调递减的凸函数特性的第二可选操作子集；按照预设公式对所述第一可选操作子集与所述第二可选操作子集的交集内的每一种可选操作，构建相应的突变特性集合；对所述第一可选操作子集与所述第二可选操作子集的交集内的每一种可选操作，根据其相应的突变特性集合，确定该可选操作的最终参数设定值，以主动防御可能的后门攻击。

本申请实施例的边缘计算场景下后门攻击主动防御方法，无须人为干预，即可依据特定公式找到符合条件的超参数来主动防御边缘计算场景下面向协作学习的后门攻击，且该方法不要求其它边缘节点的配合，也不需要知道哪些边缘节点被攻击者操纵为恶意的边缘节点。在主动防御边缘计算场景下面向协作学习的后门攻击方面，此方法具有稳定性高、抵御能力强的特点，有效地提升边缘计算场景下的网络安全，更加适合现实场景的部署与应用。

另外，根据本申请上述实施例的边缘计算场景下后门攻击主动防御方法还可以具有以下附加的技术特征：

可选地，在本申请的一个实施例中，所述根据用于提升模型泛化能力的可选操作生成初始可选操作集合，并且为所述集合中的每一种操作构建配置参数集合，包括：构建与模型泛化能力相关的初始可选操作集合；构建每一种可选操作的配置参数集合。

可选地，在本申请的一个实施例中，所述从所述初始可选操作集合中筛选出可选操作的配置参数与模型的准确性曲线呈现单调递减的凹函数特性的第一可选操作子集，包括：构建配置参数与模型准确性的二元组集合；筛选符合预设单调递减凹函数特性的可选操作子集。

可选地，在本申请的一个实施例中，所述从所述初始可选操作集合中筛选出可选操作的配置参数与模型被后门攻击成功概率的曲线呈现单调递减的凸函数特性的第二可选操作子集，包括：构建配置参数与模型被后门攻击成功概率的二元组集合；筛选符合预设单调递减凸函数特性的可选操作子集。

可选地，在本申请的一个实施例中，所述按照预设公式对所述第一可选操作子集与所述第二可选操作子集的交集内的每一种可选操作，构建相应的突变特性集合，包括：构建最终选定的可选操作集合；针对所述最终选定的可选操作集合中的每一种操作，构建配置参数与模型泛化误差上界的二元组集合；针对所述最终选定的可选操作集合中的每一种操作，构建相应的所述突变特性集合。

可选地，在本申请的一个实施例中，所述对所述第一可选操作子集与所述第二可选操作子集的交集内的每一种可选操作，根据其相应的突变特性集合，确定该可选操作的最终参数设定值，包括：对于第一可选操作子集与第二可选操作子集的交集中的每一种可选操作相关联的突变特性集合，按照预设策略逐渐增加，且在检测到大于预设阈值时，确定所述最终参数设定值；对于边缘计算场景下每个协作学习的边缘节点，在训练模型时，将每一种最终选定的可选操作的参数设置为所述最终参数设定值。

为达到上述目的，本申请第二方面实施例提出了一种边缘计算场景下后门攻击主动防御装置，包括：第一构建模块，用于根据用于提升模型泛化能力的可选操作生成初始可选操作集合，并且为所述集合中的每一种操作构建配置参数集合；第一筛选模块，用于从所述初始可选操作集合中筛选出可选操作的配置参数与模型的准确性曲线呈现单调递减的凹函数特性的第一可选操作子集；第二筛选模块，用于从所述初始可选操作集合中筛选出可选操作的配置参数与模型被后门攻击成功概率的曲线呈现单调递减的凸函数特性的第二可选操作子集；第二构建模块，用于按照预设公式对所述第一可选操作子集与所述第二可选操作子集的交集内的每一种可选操作，构建相应的突变特性集合；防御模块，用于对所述第一可选操作子集与所述第二可选操作子集的交集内的每一种可选操作，根据其相应的突变特性集合，确定该可选操作的最终参数设定值，以主动防御可能的后门攻击。

本申请实施例的边缘计算场景下后门攻击主动防御装置，无须人为干预，即可依据特定公式找到符合条件的超参数来主动防御边缘计算场景下面向协作学习的后门攻击，且该装置不要求其它边缘节点的配合，也不需要知道哪些边缘节点被攻击者操纵为恶意的边缘节点。在主动防御边缘计算场景下面向协作学习的后门攻击方面，此装置具有稳定性高、抵御能力强的特点，有效地提升边缘计算场景下的网络安全，更加适合现实场景的部署与应用。

另外，根据本申请上述实施例的边缘计算场景下后门攻击主动防御装置还可以具有以下附加的技术特征：

可选地，在本申请的一个实施例中，所述防御模块具体用于对于第一可选操作子集与第二可选操作子集的交集中的每一种可选操作相关联的突变特性集合，按照预设策略逐渐增加，且在检测到大于预设阈值时，确定所述最终参数设定值；对于边缘计算场景下每个协作学习的边缘节点，在训练模型时，将每一种最终选定的可选操作的参数设置为所述最终参数设定值。

本申请第三方面实施例提供一种电子设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被设置为用于执行如上述实施例所述的边缘计算场景下后门攻击主动防御方法。

本申请第四方面实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上述实施例所述的边缘计算场景下后门攻击主动防御方法。

本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本申请实施例的边缘计算场景下后门攻击主动防御方法的流程图；

图2为根据本申请实施例的边缘计算场景下后门攻击主动防御装置的方框示意图；

图3为本申请实施例提供的电子设备的结构示意图。

具体实施方式

下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。

下面参照附图描述根据本申请实施例提出的边缘计算场景下后门攻击主动防御方法及装置，首先将参照附图描述根据本申请实施例提出的边缘计算场景下后门攻击主动防御方法。

图1是本申请一个实施例的边缘计算场景下后门攻击主动防御方法的流程图。

如图1所示，该边缘计算场景下后门攻击主动防御方法包括以下步骤：

在步骤S101中，根据用于提升模型泛化能力的可选操作生成初始可选操作集合，并且为集合中的每一种操作构建配置参数集合。

作为一种可能实现的方式，本申请实施例主要用于边缘计算场景下多个边缘节点通过协作学习来实现网络智能化的系统之中。由此，本申请实施例针对深度学习模型拥有多种可选择操作来提升模型的泛化能力的现状，首先将选定的用于提升模型泛化能力的可选操作构成一个初始可选操作集合，并且为集合中的每一种操作构建配置参数集合。

可选地，在本申请的一个实施例中，根据用于提升模型泛化能力的可选操作生成初始可选操作集合，并且为集合中的每一种操作构建配置参数集合，包括：构建与模型泛化能力相关的初始可选操作集合；构建每一种可选操作的配置参数集合。随后，本申请实施例利用不同的配置参数，为每一种可选操作训练多个模型。

例如，步骤S1：考虑到深度学习模型存在多种可选操作来提升模型的泛化能力，并且随着可选操作的配置参数的改变，深度学习模型的泛化能力也会随之改变。可选地将用于提升模型泛化能力的可选操作构成一个初始可选操作集合，并且为集合中的每一种操作构建配置参数集合。

在实际执行过程中，步骤S1可以包括：

步骤S11：构建与模型泛化能力相关的初始可选操作集合。在训练深度学习模型时，存在大量的可选操作，如dropout(一定比例的网络结构在训练过程中不更新)、正则化、梯度裁剪等。可选地将与模型泛化能力相关的N种可选操作构成一个初始可选操作集合，由P＝{p ₁,p ₂,…,p _N-1,p _N}表示。

步骤S12：构建每一种可选操作的配置参数集合。对于P中的每一种可选操作p _i,都存在一个可选的参数配置范围，由

表示，其中

为最小的可选配置参数，

为最大的可选配置参数。在可选的参数配置范围内，均匀地选择K+2个参数(包含

和

)，即参数间隔可以表示为s _i,具体计算方式如下：

最后，每一种可选操作p _i都会存在一个配置参数集合，表示为

其中

在步骤S102中，从初始可选操作集合中筛选出可选操作的配置参数与模型的准确性曲线呈现单调递减的凹函数特性的第一可选操作子集。

可以理解的是，在配置参数与模型的准确性方面，筛选符合单调递减凹函数特性的可选操作子集。

可选地，在本申请的一个实施例中，从初始可选操作集合中筛选出可选操作的配置参数与模型的准确性曲线呈现单调递减的凹函数特性的第一可选操作子集，包括：构建配置参数与模型准确性的二元组集合；筛选符合预设单调递减凹函数特性的可选操作子集。

例如，步骤S2：筛选出可选操作的配置参数与模型的准确性曲线呈现单调递减的凹函数特性的可选操作子集。

在实际执行过程中，步骤S2可以包括：

步骤S21：构建配置参数与模型准确性的二元组集合。对于可选操作集合P中的每一种可选操作p _i，分别用对应的配置参数集合E _i中的每个元素

来训练模型。在训练完成后，测试模型，得到模型的准确性

从而构建配置参数与模型准确性的二元组，即

将可选操作p _i的所有二元组构成集合，即

步骤S22：筛选符合单调递减凹函数特性的可选操作子集。对于可选操作集合P中的每一种可选操作p _i，利用其二元组集合F _i构建配置参数与模型准确性的曲线，并拟合出近似曲线函数f _i。将所有的符合单调递减凹函数特性的曲线函数f _i对应的操作p _i构成特定的子集，表示为

and f _i(x ₁)>f _i(x ₂),and x ₁<x ₂}，其中

这里的x ₁与x ₂只是为了说明函数的单调性以及凹凸性，并无其实际意义。

在步骤S103中，从初始可选操作集合中筛选出可选操作的配置参数与模型被后门攻击成功概率的曲线呈现单调递减的凸函数特性的第二可选操作子集。

可以理解的是，本申请实施例在配置参数与模型被后门攻击成功概率方面，筛选符合单调递减凸函数特性的可选操作子集。

可选地，在本申请的一个实施例中，从初始可选操作集合中筛选出可选操作的配置参数与模型被后门攻击成功概率的曲线呈现单调递减的凸函数特性的第二可选操作子集，包括：构建配置参数与模型被后门攻击成功概率的二元组集合；筛选符合预设单调递减凸函数特性的可选操作子集。

例如，步骤S3：筛选出可选操作的配置参数与模型被后门攻击成功概率的曲线呈现单调递减的凸函数特性的可选操作子集。

在实际执行过程中，步骤S3可以包括：

步骤S31：构建配置参数与模型被后门攻击成功概率的二元组集合。这里的模型被后门攻击成功概率指的是模型错误地将具有后门攻击触发器的样本识别错误的概率。对于可选操作集合P中的每一种可选操作p _i，分别用对应的配置参数集合E _i中的每个元素

来训练模型。在训练完成后，利用带有后门攻击触发器的样本来测试模型，得到模型被后门攻击成功概率

从而构建配置参数与模型被后门攻击成功概率的二元组，即

将可选操作p _i的所有二元组构成集合，即

步骤S32：筛选符合单调递减凸函数特性的可选操作子集。对于可选操作集合P中的每一种可选操作p _i，利用其二元组集合G _i构建配置参数与模型被后门攻击成功概率的曲线，并拟合出近似曲线函数g _i。将所有的符合单调递减凸函数特性的曲线函数g _i对应的操作p _i构成特定的子集，表示为

and g _i(x ₁)>g _i(x ₂),and x ₁<x ₂}，其中

需要说明的是，这里的x ₁与x ₂只是为了说明函数的单调性以及凹凸性，并无其实际意义。

在步骤S104中，按照预设公式对第一可选操作子集与第二可选操作子集的交集内的每一种可选操作，构建相应的突变特性集合。

即言，本申请实施例将上述两个子集取交集后，构成一个新的用于主动防御可能的后门攻击的最终选定的可选操作集合。

可选地，在本申请的一个实施例中，按照预设公式对第一可选操作子集与第二可选操作子集的交集内的每一种可选操作，构建突变特性集合，包括：构建最终选定的可选操作集合；针对最终选定的可选操作集合中的每一种操作，构建配置参数与模型泛化误差上界的二元组集合；针对最终选定的可选操作集合中的每一种操作，构建相应的突变特性集合。

例如，步骤S4：按照指定公式，对步骤S2与步骤S3获得的两个子集的交集内的每一种可选操作，构建突变特性集合。

在实际执行过程中，步骤S4可以包括：

步骤S41：构建最终选定的可选操作集合。在完成步骤S2与步骤S3之后，将两个步骤中获得的可选操作子集取并集，即P'＝P _A∩P _B。

步骤S42：针对最终选定的可选操作集合中的每一种操作p _i∈P'，构建配置参数与模型泛化误差上界的二元组集合。这里的模型泛化误差上界，能够表达模型的泛化能力。具体来说，可选地存在一个良性的数据集D _benign，所有样本都不包含后门攻击的触发器。可选地从D _benign取出一定比例的样本，构成一个良性的子集D' _benign，其中

对于良性的子集D' _benign，将其所有的样本都增加后门攻击触发器，并且篡改真实的标签，从而构成一个后门攻击的子集D' _backdoor。构造两个用于训练的数据集D ₁＝D _benign\D' _benign和D ₂＝(D _benign\D' _benign)∪D' _backdoor。分别地在D ₁和D ₂两个数据集上训练两个模型M ₁和M ₂。对于数据集D ₂中的每一个样本d∈D ₂，分别地计算该样本在训练好的两个模型M ₁和M ₂上的损失值

和

的差的绝对值，即

所定义的模型泛化误差上界即可表示为φ，具体的计算方式如下：

where d∈D ₂，

对于可选操作集合P'中的每一种可选操作p _i∈P'，分别用对应的配置参数集合E _i中的每个元素

来计算模型泛化误差上界

从而构建配置参数与模型泛化误差上界的二元组，即

将可选操作p _i∈P'的所有二元组构成集合，即

步骤S43：针对最终选定的可选操作集合中的每一种操作，构建相应的突变特性集合。对于V _i中的每一个元素

定义该二元组的突变特性为

具体的计算方式如下：

其中，Δ是一个大于等于1的整数型超参数。于是，与V _i相对应的可选操作p _i∈P' 的突变特性集合

将j从1开始逐渐变大。

在步骤S105中，对于第一可选操作子集与第二可选操作子集的交集中的每一种可选操作，根据其相应的突变特性集合，确定该可选操作的最终参数设定值，以主动防御可能的后门攻击。

综上，本申请实施例基于模型泛化误差上界，为第一可选操作子集与第二可选操作子集的交集(也就是最终选定的可选操作集合)中的每一种可选操作，构建相应的突变特性集合，从而通过突变特性集合中的元素与预先设定阈值的关系，为每一种可选操选定最终的参数设定值，从而主动防御可能的后门攻击。

需要说明的是，设定阈值可以由本领域技术人员根据实际情况进行设置，在此不做具体限定。

在本申请的实施例中，不要求其它边缘节点的配合，也不需要知道其它边缘节点是否已经遭受后门攻击，能够有效地提升边缘计算场景下的网络安全，对于投入现实部署和应用意义深远。

可选地，在本申请的一个实施例中，对于第一可选操作子集与第二可选操作子集的交集中的每一种可选操作，根据其相应的突变特性集合，确定该可选操作的最终参数设定值，包括：对于第一可选操作子集与第二可选操作子集的交集中的每一种可选操作相关联的突变特性集合，按照预设策略逐渐增加，且在检测到大于预设阈值时，确定最终参数设定值；对于边缘计算场景下每个协作学习的边缘节点，在训练模型时，将每一种最终选定的可选操作的参数设置为最终参数设定值。

例如，步骤S5：根据步骤S4中为每一种最终选定的可选操作p _i∈P'的突变特性集合W _i，确定可选操作p _i∈P'的最终参数设定值，以主动防御可能的后门攻击。

在实际执行过程中，步骤S5可以包括：

步骤S51：对于每一种最终选定的可选操作p _i∈P'相关联的突变特性集合W _i，可选地按照j从1开始以1的单位逐渐增加，比较

与人为设定阈值σ的大小。在首次出现

时，停止比较，并记录此时

所对应的参数值

可选地将其表示为η _i。

步骤S52：对于边缘计算场景下每个协作学习的边缘节点，在训练模型时，将每一种最终选定的可选操作p _i∈P'的参数设置为η _i，从而主动防御可能发生的后门攻击。

本领域技术人员应该理解到的是，考虑到深度学习模型的稳定性与后门攻击的成功概率存在关联，本申请实施例可以对边缘计算场景下的深度学习模型进行稳定性分析。随后，根据稳定性分析的结果，本申请实施例可以依据公式找到模型泛化能力变化拐点所对应的超参数。这里所提及的拐点具有如下特性。当超参数的值小于拐点所对应的超参数时，随着超参数的增加，边缘计算场景下的深度学习模型的准确性缓慢降低，但是深度学习模型被嵌入有效后门的概率明显降低；当超参数的值大于拐点所对应的超参数时，随着超参数的增加，边缘计算场景下的深度学习模型的准确率明显降低，但是深度学习模型被嵌入有效后门的概率缓慢降低。该方法无须人为干预，即可依据特定公式找到符合条件的超参数来主动防御边缘计算场景下面向协作学习的后门攻击。而且，本申请实施例不要求其它边缘节点的配合，也不需要知道哪些边缘节点被攻击者操纵为恶意的边缘节点。总的来说，此方法及装置在主动防御边缘计算场景下面向协作学习的后门攻击方面，具有稳定性高、抵御能力强的特点，更加适合现实场景的部署与应用。

综上，边缘计算网络的广泛部署促进了边缘节点之间协作学习的进一步发展。然而，各个边缘节点无法获知其它边缘节点的训练数据是否被恶意攻击者篡改而演化为具有后门攻击触发器的样本。在这样一个场景下，后门攻击能够由一个或者多个被恶意攻击者控制的边缘节点传播至其它良性边缘节点，让所有参与协作学习的边缘节点的深度学习模型都被嵌入后门。这将导致深度学习模型在遇到具有后门攻击触发器的样本时，表现出攻击者期望的错误行为，给边缘节点、边缘节点所在的边缘计算网络以及相关设备带来潜在的安全风险。特别是诸如网络异常(SYN Flooding攻击)检测的场景，一旦边缘节点被植入后门，将会造成巨大的经济损失，甚至危害国家安全。边缘计算场景下面向协作学习而发起的后门攻击具有难以发现的特点，仅在遇到特定的后门攻击触发器时，才会表现出恶意行为。为此，可选地提出了一种边缘计算场景下后门攻击主动防御方法及装置，有效地主动防御潜在的后门攻击。

本申请实施例解决了边缘计算场景下后门攻击难以被检测的问题。同时，各个边缘节点可以单独地按照本发明来主动防御边缘计算场景下面向协作学习的后门攻击，不要求边缘节点之间相互配合来共同防御，也不需要知道是否有边缘节点已经被恶意攻击者控制。另外，本方案不需要依赖人为干预，每个边缘节点在配置好本发明所需的超参数之后，完全按照本发明自动部署防御。

根据本申请实施例的边缘计算场景下后门攻击主动防御方法，无须人为干预，即可依据特定公式找到符合条件的超参数来主动防御边缘计算场景下后门攻击，而且不要求其它边缘节点的配合，也不需要知道哪些边缘节点被攻击者操纵为恶意的边缘节点，在主动防御边缘计算场景下后门攻击方面，具有稳定性高、抵御能力强的特点，有效地提升边缘计算场景下的网络安全，更加适合现实场景的部署与应用。

其次参照附图描述根据本申请实施例提出的边缘计算场景下后门攻击主动防御装置。

图2是本申请一个实施例的边缘计算场景下后门攻击主动防御装置的方框示意图。

如图2所示，该边缘计算场景下后门攻击主动防御装置10包括：第一构建模块100、第一筛选模块200、第二筛选模块300、第二构建模块400和防御模块500。

具体地，第一构建模块100，用于根据用于提升模型泛化能力的可选操作生成初始可选操作集合，并且为集合中的每一种操作构建配置参数集合。

第一筛选模块200，用于从初始可选操作集合中筛选出可选操作的配置参数与模型的准确性曲线呈现单调递减的凹函数特性的第一可选操作子集。

第二筛选模块300，用于从初始可选操作集合中筛选出可选操作的配置参数与模型被后门攻击成功概率的曲线呈现单调递减的凸函数特性的第二可选操作子集。

第二构建模块400，用于按照预设公式对第一可选操作子集与第二可选操作子集的交集内的每一种可选操作，构建相应的突变特性集合。

防御模块500，用于对第一可选操作子集与第二可选操作子集的交集内的每一种可选操作，根据其相应的突变特性集合，确定该可选操作的最终参数设定值，以主动防御可能的后门攻击。

其中，在本申请的一个实施例中，防御模块500具体用于对于第一可选操作子集与第二可选操作子集的交集中的每一种可选操作相关联的突变特性集合，按照预设策略逐渐增加，且在检测到大于预设阈值时，确定最终参数设定值；对于边缘计算场景下每个协作学习的边缘节点，在训练模型时，将每一种最终选定的可选操作的参数设置为最终参数设定值。

需要说明的是，前述对边缘计算场景下后门攻击主动防御方法实施例的解释说明也适用于该实施例的边缘计算场景下后门攻击主动防御装置，此处不再赘述。

根据本申请实施例的边缘计算场景下后门攻击主动防御装置，无须人为干预，即可依据特定公式找到符合条件的超参数来主动防御边缘计算场景下面向协作学习的后门攻击，而且该装置不要求其它边缘节点的配合，也不需要知道哪些边缘节点被攻击者操纵为恶意的边缘节点。在主动防御边缘计算场景下面向协作学习的后门攻击方面，该装置具有稳定性高、抵御能力强的特点，有效地提升边缘计算场景下的网络安全，更加适合现实场景的部署与应用。

图3为本申请实施例提供的电子设备的结构示意图。该电子设备可以包括：

存储器1201、处理器1202及存储在存储器1201上并可在处理器1202上运行的计算机程序。

处理器1202执行程序时实现上述实施例中提供的边缘计算场景下后门攻击主动防御方法。

进一步地，电子设备还包括：

通信接口1203，用于存储器1201和处理器1202之间的通信。

存储器1201，用于存放可在处理器1202上运行的计算机程序。

存储器1201可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

如果存储器1201、处理器1202和通信接口1203独立实现，则通信接口1203、存储器1201和处理器1202可以通过总线相互连接并完成相互间的通信。总线可以是工业标准体系结构(Industry Standard Architecture，简称为ISA)总线、外部设备互连(Peripheral Component，简称为PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture，简称为EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图3中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

可选的，在具体实现上，如果存储器1201、处理器1202及通信接口1203，集成在一块芯片上实现，则存储器1201、处理器1202及通信接口1203可以通过内部接口完成相互间的通信。

处理器1202可能是一个中央处理器(Central Processing Unit，简称为CPU)，或者是特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路。

本实施例还提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如上的边缘计算场景下后门攻击主动防御方法。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

尽管上面已经示出和描述了本申请的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本申请的限制，本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims

一种边缘计算场景下后门攻击主动防御方法，其特征在于，包括以下步骤：

根据用于提升模型泛化能力的可选操作生成初始可选操作集合，并且为所述集合中的每一种操作构建配置参数集合；

从所述初始可选操作集合中筛选出可选操作的配置参数与模型的准确性曲线呈现单调递减的凹函数特性的第一可选操作子集；

从所述初始可选操作集合中筛选出可选操作的配置参数与模型被后门攻击成功概率的曲线呈现单调递减的凸函数特性的第二可选操作子集；

按照预设公式对所述第一可选操作子集与所述第二可选操作子集的交集内的每一种可选操作，构建相应的突变特性集合；

对所述第一可选操作子集与所述第二可选操作子集的交集内的每一种可选操作，根据其相应的突变特性集合，确定该可选操作的最终参数设定值，以主动防御可能的后门攻击。
根据权利要求1所述的方法，其特征在于，所述根据用于提升模型泛化能力的可选操作生成初始可选操作集合，并且为所述集合中的每一种操作构建配置参数集合，包括：

构建与模型泛化能力相关的初始可选操作集合；

构建每一种可选操作的配置参数集合。
根据权利要求1所述的方法，其特征在于，所述从所述初始可选操作集合中筛选出可选操作的配置参数与模型的准确性曲线呈现单调递减的凹函数特性的第一可选操作子集，包括：

构建配置参数与模型准确性的二元组集合；

筛选符合预设单调递减凹函数特性的可选操作子集。
根据权利要求1所述的方法，其特征在于，所述从所述初始可选操作集合中筛选出可选操作的配置参数与模型被后门攻击成功概率的曲线呈现单调递减的凸函数特性的第二可选操作子集，包括：

构建配置参数与模型被后门攻击成功概率的二元组集合；

筛选符合预设单调递减凸函数特性的可选操作子集。
根据权利要求1所述的方法，其特征在于，所述按照预设公式对所述第一可选操作子集与所述第二可选操作子集的交集内的每一种可选操作，构建相应的突变特性集合，包括：

构建最终选定的可选操作集合；

针对所述最终选定的可选操作集合中的每一种操作，构建配置参数与模型泛化误差上界的二元组集合；

针对所述最终选定的可选操作集合中的每一种操作，构建相应的所述突变特性集合。
根据权利要求1所述的方法，其特征在于，所述对所述第一可选操作子集与所述第二可选操作子集的交集内的每一种可选操作，根据其相应的突变特性集合，确定该可选操作的最终参数设定值，包括：

对于第一可选操作子集与第二可选操作子集的交集中的每一种可选操作相关联的突变特性集合，按照预设策略逐渐增加，且在检测到大于预设阈值时，确定所述最终参数设定值；

对于边缘计算场景下每个协作学习的边缘节点，在训练模型时，将每一种最终选定的可选操作的参数设置为所述最终参数设定值。
一种边缘计算场景下后门攻击主动防御装置，其特征在于，包括：

第一构建模块，用于根据用于提升模型泛化能力的可选操作生成初始可选操作集合，并且为所述集合中的每一种操作构建配置参数集合；

第一筛选模块，用于从所述初始可选操作集合中筛选出可选操作的配置参数与模型的准确性曲线呈现单调递减的凹函数特性的第一可选操作子集；

第二筛选模块，用于从所述初始可选操作集合中筛选出可选操作的配置参数与模型被后门攻击成功概率的曲线呈现单调递减的凸函数特性的第二可选操作子集；

第二构建模块，用于按照预设公式对所述第一可选操作子集与所述第二可选操作子集的交集内的每一种可选操作，构建相应的突变特性集合；

防御模块，用于对所述第一可选操作子集与所述第二可选操作子集的交集内的每一种可选操作，根据其相应的突变特性集合，确定该可选操作的最终参数设定值，以主动防御可能的后门攻击。
根据权利要求7所述的装置，其特征在于，所述防御模块具体用于对于第一可选操作子集与第二可选操作子集的交集中的每一种可选操作相关联的突变特性集合，按照预设策略逐渐增加，且在检测到大于预设阈值时，确定所述最终参数设定值；对于边缘计算场景下每个协作学习的边缘节点，在训练模型时，将每一种最终选定的可选操作的参数设置为所述最终参数设定值。
一种电子设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序，以实现如权利要求1-6任一项所述的边缘计算场景下后门攻击主动防御方法。
一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行，以用于实现如权利要求1-6任一项所述的边缘计算场景下后门攻击主动防御方法。