【技术实现步骤摘要】
基于联邦学习的后门攻击防御方法、系统及可存储介质
[0001]本专利技术涉及人工智能
,更具体的说是涉及一种基于联邦学习的后门攻击防御方法、系统及可存储介质。
技术介绍
[0002]目前,机器学习中的隐私与安全问题是大数据时代非常重要的研究领域之一。随着数据挖掘等技术的深入发展,个人隐私通过数据泄露的现象越来越常见,甚至出现了大规模的信息泄露事件。此外,各种机器模型越发成熟且得到广泛应用,包括金融、医疗等多种领域,模型的安全性显得愈发重要。因此,在机器学习模型中部署针对可能存在的恶意攻击者的防御算法得到广泛关注。
[0003]随着大数据的不断发展,如何在保护数据隐私和安全的前提下进行跨组织的数据合作已经成为了世界性的议题,联邦学习(Federated Learning,FL)就在这样的背景下应运而生。联邦学习可以使多个客户端在一个中央服务器下协作训练神经网络模型。其中客户端使用他们自己的数据在本地训练他们的模型,并且只将训练好的模型更新发送到中央服务器,中央服务器聚合更新并将生成的全局模型分发回所有客户端。同时联邦学习承诺客户将他们的训练数据保密,使得提高效率的同时保障了安全。这些优点让联邦学习在具有隐私敏感数据的应用程序中大受欢迎。
[0004]但另一方面,因为服务器无法控制参与客户端的训练过程,所以攻击者可以破坏一部分客户端,后门攻击(Backdoor Attacks)就是一种常见的攻击方法。它指的是攻击者通过带有后门触发器的恶意数据训练模型后,获得一个带有后门的中毒模型。这类模型在输入恶意 ...
【技术保护点】
【技术特征摘要】
1.一种基于联邦学习的后门攻击防御方法,基于多个客户端,其特征在于,包括:特征提取:获取参与联邦学习的n个客户端的局部模型数据,计算特征参数:除法差异DDifs、归一化能量更新NEUP以及余弦距离,并进行同质性特征提取;分类:计算各个客户端的局部模型超过归一化能量更新NEUP阈值的数量,并使用其中数量的1/2作为分类边界值,根据边界值对局部模型中的中毒模型进行标记;聚类:根据计算得到的特征参数:除法差异DDifs、归一化能量更新NEUP以及余弦距离,使用动态聚类算法,对局部模型进行聚类,得到集群模型;中毒簇识别与删除:根据聚类结果以及标记结果,计算每个聚类中毒标记模型的百分比,根据百分比结果对集群模型进行识别,根据识别结果保留或删除集群模型。2.根据权利要求1所述的一种基于联邦学习的后门攻击防御方法,其特征在于,所述计算除法差异DDifs的公式为:式中,DDif
t,k,i
为客户端k在第t轮提交的模型|W
t,k
的除法差异DDifs,N
samples
为随机输入样本s
m
(m∈[0,N
samples
‑
1])的个数,p(s
m
|W
t,k
)
i
为局部模型中每个输出层神经元i预测的概率,p(s
m
|G
t
)
i
为全局模型|G
t
的相应神经元预测的概率;其中,全局模型是联邦学习中由局部模型聚合得到的模型。3.根据权利要求1所述的一种基于联邦学习的后门攻击防御方法,其特征在于,所述计算归一化能量更新NEUP的公式为:式中,ε
t,k,i
表示客户端k在第t轮提交的模型的输出层神经元i的能量更新,P表示输出层神经元与前一层神经元的连接数,b
t,k,i
是客户端k第t轮的输出层的神经元i的偏置,w
t,k,i,p
是客户端k第t轮的输出层的神经元i连接到来自前一层的神经元p的权重,及是全局模型G
t
中神经元的偏置和权重;将同一模型的所有输出层神经元的能量更新归一化,使得各个能量更新不受模型更新能量总范围的影响,具体公式如下:式中,c
t,k,i
表示归一化后的客户端k在第t轮提交的模型的输出层神经元i的能量更新,表示表示客户端k在第t轮提交的模型的输出层神经元i的能量更新的平方。4.根据权利要求1所述的一种基于联邦学习的后门攻击防御方法,其特征在于,所述计算特征参数余弦距离的公式为:U
i,t
=w
i,t
‑
w
Gt
U
j,t
=w
j,t
‑
w
Gt
C
i,j,t
=1
‑
cos(U
i,t
‑
U
j,t
)式中,C
i,j,t
是客户端i和客户端j在第t轮的余弦距离,U
i,t
代表客户端i在第t轮的更新
量,w
i,t
代表代表客户端i在第t轮的输出层的神经元的偏置和,w
Gt
表示全局模型G
t
输出层的神经元的偏置和,U
...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。