【技术实现步骤摘要】
针对横向联邦学习中符号统计量过滤的对抗性攻击方法
[0001]本公开涉及网络与信息安全,尤其涉及针对横向联邦学习中符号统计量过滤的对抗性攻击方法。
技术介绍
[0002]Baruch等人在其发表的论文“A little is enough: Circumventing defenses for distributed learning.”(Advancesin Neural Information Processing Systems(NIPS))中提出一种能够逃避主流聚合算法检测和造成全局模型精度下降的恶意梯度构造方法,称为LIE攻击。该方法利用了标准正态分布φ(z)的属性,通过寻找值z,使诚实参与者的梯度值离梯度均值μ更远。恶意梯度构造具体包括以下五个阶段:(1)计算s值。恶意参与者首先计算表示需要诚实参与者的梯度值偏离梯度均值μ较远的个数,以使构造的恶意梯度能够逃避检测,其中n是参与者总数,m 是恶意参与者个数。(2)寻找最大z值。恶意参与者计算大z值。恶意参与者计算(3)获取参考梯度集合。恶意参与者窃取所有诚实参与者的梯度作为参考梯度集合(4)计算梯度均值和标准差。恶意参与者对每一个梯度维度j∈[d],计算梯度均值μ
j
和标准差σ
j
,其中d为梯度的维数。(5)构造恶意梯度。每一个维度j,恶意参与者计算(p
mal
)
j
←
μ
j
+z
max
·
σ
j
,作为恶意梯度在分 ...
【技术保护点】
【技术特征摘要】
1.针对横向联邦学习中符号统计量过滤的对抗性攻击方法,其特征在于,所述方法包括下述步骤:在每一轮横向联邦学习中,恶意参与者获取参考梯度集合,所述参考梯度集合为恶意参与者的本地梯度、诚实参与者的本地梯度的并集;其中,本地梯度是利用聚合服务器下发的全局模型参数基于本地数据集训练得到;恶意参与者基于参考梯度集合符号统计量中值,构造次优平均聚合梯度;恶意参与者利用次优平均聚合梯度生成初始恶意梯度;恶意参与者设置隐蔽条件,通过选择隐蔽优化条件以确定恶意梯度搜索算法,从而在初始恶意梯度中搜索最优恶意梯度;恶意参与者将最优恶意梯度上传给聚合服务器,完成对抗性攻击。2.根据权利要求1所述的方法,其特征在于,所述符号统计量中值,通过下述步骤获得:计算参考梯度集合中的每一个梯度的符号统计量,得到统计量集合;计算统计量集合的符号统计量中值。3.根据权利要求1所述的方法,其特征在于,所述构造次优平均聚合梯度,包括下述步骤:恶意参与者根据下式计算参考梯度集合的平均聚合梯度恶意参与者根据下式计算参考梯度集合的平均聚合梯度并计算平均聚合梯度的符号统计量(avg
negative
,avg
zero
,avg
positive
);将参考梯度集合符号统计量中值记作(median
negative
,media
zero
,median
positive
),根据下述规则构造出次优平均聚合梯度若median
positive
小于等于avg
positive
且median
negative
小于等于avg
negative
,选择平均聚合梯度中avg
positive
‑
median
positive
个最小的正梯度分量值置为0,再选择avg
negative
‑
median
negative
个最大的负梯度分量值置为0;若median
positive
大于avg
positive
且median
negative
小于等于avg
negative
,将平均聚合梯度中最小的正梯度分量值作为正梯度分量填充值,从平均聚合梯度中随机选取median
positive
‑
avg
positive
个零梯度分量,设置梯度值为正梯度分量填充值,再选择avg
negative
‑
median
negative
个最大的负梯度分量值置为0;若median
positive
小于等于avg
positive
且median
negative
大于avg
negative
,将平均聚合梯度中最大的负梯度分量值作为负梯度分量填充值,从平均聚合梯度中随机选取median
negative
‑
avg
negative
个零梯度分量,设置梯度值为负梯度分量填充值,再选择avg
positive
‑
median
positive
个最小的正梯度分量值置为0;若median
positive
大...
【专利技术属性】
技术研发人员:苗银宾,雷宇和,李兴华,马建峰,郑玮,童秋云,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。