针对横向联邦学习中符号统计量过滤的对抗性攻击方法技术

本发明专利技术涉及针对横向联邦学习中符号统计量过滤的对抗性攻击方法，属于网络与信息安全。本发明专利技术的目的在于针对利用了梯度符号统计量差异来过滤恶意梯度的健壮聚合算法的防御脆弱性问题，提出一种新的模型对抗性攻击恶意梯度构造方法，该方法生成与本地梯度有着相似符号统计量分布的恶意梯度，能够轻易击破最新的符号防御，不仅能做到降低全局训练的收敛速度，而且还能造成全局训练模型精度下降。而且还能造成全局训练模型精度下降。而且还能造成全局训练模型精度下降。

【技术实现步骤摘要】
针对横向联邦学习中符号统计量过滤的对抗性攻击方法


[0001]本公开涉及网络与信息安全，尤其涉及针对横向联邦学习中符号统计量过滤的对抗性攻击方法。

技术介绍

[0002]Baruch等人在其发表的论文“A little is enough： Circumventing defenses for distributed learning.”(Advancesin Neural Information Processing Systems(NIPS))中提出一种能够逃避主流聚合算法检测和造成全局模型精度下降的恶意梯度构造方法，称为LIE攻击。该方法利用了标准正态分布φ(z)的属性，通过寻找值z，使诚实参与者的梯度值离梯度均值μ更远。恶意梯度构造具体包括以下五个阶段：(1)计算s值。恶意参与者首先计算表示需要诚实参与者的梯度值偏离梯度均值μ较远的个数，以使构造的恶意梯度能够逃避检测，其中n是参与者总数，m 是恶意参与者个数。(2)寻找最大z值。恶意参与者计算大z值。恶意参与者计算(3)获取参考梯度集合。恶意参与者窃取所有诚实参与者的梯度作为参考梯度集合(4)计算梯度均值和标准差。恶意参与者对每一个梯度维度j∈[d]，计算梯度均值μ
j
和标准差σ
j
，其中d为梯度的维数。(5)构造恶意梯度。每一个维度j，恶意参与者计算(p
mal
)
j
←
μ
j
+z
max
·
σ
j
，作为恶意梯度在分量j上的值。
[0003]Shejwalkar等人在其发表的论文“Manipulating the byzantine： Optimizing model poisoning attacks and defenses for federatedlearning.”(Network and Distributed System Security Symposium (NDSS))中提出两种能够逃避主流聚合算法检测和最大化造成全局模型精度下降的恶意梯度构造方法，分别称为Min
‑
Max攻击和Min
‑
Sum 攻击。Min
‑
Max攻击构造的恶意梯度相比Min
‑
Sum攻击更容易被检测出来，但攻击性能更高；而Min
‑
Sum攻击构造的恶意梯度相比Min
‑
Max 攻击更为隐蔽，攻击性能相比稍弱。该方法的恶意梯度构造具体包括以下五个阶段：(1)构造扰动向量该方法设计了3种扰动向量： 1)反向单位向量1)反向单位向量是诚实参与者的梯度；2)反向的标准差是诚实参与者的梯度；2)反向的标准差是所有参与者的梯度集合，std(
·
)是标准差函数；3)反向符号sign(
·
)符号函数，f
avg
是联邦平均算法。这三种扰动向量对不同的任务有着不同的效果。(2)设计恶意梯度。构造恶意梯度γ为最优缩放系数。(3)设计优化函数。1)Min
‑
Max攻击：2)Min
‑
Sum攻击：(4)寻求最优γ值。γ值初始
为一个较大的值γ
init
，给定γ变化阈值τ，初始化搜索步长 step为γ/2，所有参与者的梯度集合判断当前γ值对应的恶意梯度能否逃避聚合算法的检测，若不能，更新γ值为γ
‑
step/2；否则，设置γ
succ
为γ，再更新γ值为γ+step/2。判断|γ
succ
‑
γ|＞τ，若是，则继续判断能否逃避检测，更新γ值，否则得到最优γ值作为γ
succ
。(5) 构造恶意梯度。计算作为最终恶意梯度上传给聚合服务器。
[0004]上述两种恶意梯度构造方法中，Baruch等人是在本地原始梯度的每个分量上添加常数z
max
倍的标准差σ
j
，其中常数z
max
根据良性梯度集合的正态分布属性得到。Shejwalkar等人的恶意梯度构造方法是在简单平均聚合梯度上添加一定比例γ的扰动向量其中比例γ需要通过不断搜索来进行优化。两种恶意梯度构造方式都会在一定程度上改变梯度的原始符号统计信息，难以逃避利用符号统计量进行梯度过滤的健壮聚合算法。并且，Shejwalkar等人的优化函数和都只是在欧式距离方面进行扰动限制，其构造出的恶意梯度难以逃避利用余弦相似性度量进行梯度过滤的健壮聚合算法。

技术实现思路

[0005]针对上述现有技术，本专利技术的目的是针对利用了梯度符号统计量差异来过滤恶意梯度的健壮聚合算法的防御脆弱性问题，提出一种新的模型对抗性攻击恶意梯度构造方法，该方法构造的恶意梯度能够轻易击破最新的符号防御，造成全局训练模型精度下降。
[0006]为了实现上述目的，本专利技术的技术方案如下。
[0007]第一方面，本专利技术提出了针对横向联邦学习中符号统计量过滤的对抗性攻击方法，所述方法包括下述步骤：
[0008]在每一轮横向联邦学习中，恶意参与者获取参考梯度集合，所述参考梯度集合为恶意参与者的本地梯度、诚实参与者的本地梯度的并集；其中，本地梯度是利用聚合服务器下发的全局模型参数基于本地数据集训练得到；
[0009]恶意参与者基于参考梯度集合符号统计量中值，构造次优平均聚合梯度；
[0010]恶意参与者利用次优平均聚合梯度生成初始恶意梯度；
[0011]恶意参与者设置隐蔽条件，通过选择隐蔽优化条件以确定恶意梯度搜索算法，从而在初始恶意梯度中搜索最优恶意梯度；
[0012]恶意参与者将最优恶意梯度上传给聚合服务器，完成对抗性攻击。
[0013]在上述技术方案中，本专利技术提出一种新的恶意梯度构造方法，生成与本地梯度有着相似符号统计量分布的恶意梯度，该恶意梯度能够轻易击破最新的符号防御。参考梯度集合中的梯度最好包括诚实参与者训练的本地梯度，若窃取不到，可以没有。同时，参考梯度集合还包括恶意参与者本地训练计算得到的本地梯度。每个恶意参与者都与其他恶意参与者交换自己的本地梯度，以使参考梯度集合中的梯度尽可能多，从而得最准确的良性聚合梯度，以使攻击最大化。通过构造次优平均聚合梯度和设置隐蔽条件，使得构造的恶意梯
度能够逃避大多数主流聚合算法检测的能力。
[0014]在上述方法技术方案中，所述符号统计量中值获取的一种实施方式，包括下述步骤：
[0015]计算参考梯度集合中的每一个梯度的符号统计量，得到统计量集合，进而得到符号统计量中值。计算统计量集合的统计量中值利用了 krum算法，是利用距离度量得到的统计量中值，可以替换为任意一种利用其他度量的算法来获取统计量中值，如余弦相似性，也可以直接对统计量集合求均值，根据四舍五入原则获取统计量中值。
[0016]在上述方法技术方案中，所述构造次优平均聚合梯度的一种实施方式，包括下述步骤：<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.针对横向联邦学习中符号统计量过滤的对抗性攻击方法，其特征在于，所述方法包括下述步骤：在每一轮横向联邦学习中，恶意参与者获取参考梯度集合，所述参考梯度集合为恶意参与者的本地梯度、诚实参与者的本地梯度的并集；其中，本地梯度是利用聚合服务器下发的全局模型参数基于本地数据集训练得到；恶意参与者基于参考梯度集合符号统计量中值，构造次优平均聚合梯度；恶意参与者利用次优平均聚合梯度生成初始恶意梯度；恶意参与者设置隐蔽条件，通过选择隐蔽优化条件以确定恶意梯度搜索算法，从而在初始恶意梯度中搜索最优恶意梯度；恶意参与者将最优恶意梯度上传给聚合服务器，完成对抗性攻击。2.根据权利要求1所述的方法，其特征在于，所述符号统计量中值，通过下述步骤获得：计算参考梯度集合中的每一个梯度的符号统计量，得到统计量集合；计算统计量集合的符号统计量中值。3.根据权利要求1所述的方法，其特征在于，所述构造次优平均聚合梯度，包括下述步骤：恶意参与者根据下式计算参考梯度集合的平均聚合梯度恶意参与者根据下式计算参考梯度集合的平均聚合梯度并计算平均聚合梯度的符号统计量(avg
negative
，avg
zero
，avg
positive
)；将参考梯度集合符号统计量中值记作(median
negative
，media
zero
，median
positive
)，根据下述规则构造出次优平均聚合梯度若median
positive
小于等于avg
positive
且median
negative
小于等于avg
negative
，选择平均聚合梯度中avg
positive
‑
median
positive
个最小的正梯度分量值置为0，再选择avg
negative
‑
median
negative
个最大的负梯度分量值置为0；若median
positive
大于avg
positive
且median
negative
小于等于avg
negative
，将平均聚合梯度中最小的正梯度分量值作为正梯度分量填充值，从平均聚合梯度中随机选取median
positive
‑
avg
positive
个零梯度分量，设置梯度值为正梯度分量填充值，再选择avg
negative
‑
median
negative
个最大的负梯度分量值置为0；若median
positive
小于等于avg
positive
且median
negative
大于avg
negative
，将平均聚合梯度中最大的负梯度分量值作为负梯度分量填充值，从平均聚合梯度中随机选取median
negative
‑
avg
negative
个零梯度分量，设置梯度值为负梯度分量填充值，再选择avg
positive
‑
median
positive
个最小的正梯度分量值置为0；若median
positive
大...

【专利技术属性】
技术研发人员：苗银宾，雷宇和，李兴华，马建峰，郑玮，童秋云，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：