【技术实现步骤摘要】
本申请涉及联邦学习,特别是涉及一种对抗联邦梯度转置攻击的图像隐私保护方法、系统及介质。
技术介绍
1、联邦学习是一种保护客户数据隐私的训练范式。相比于传统的数据中心化深度学习,它不需要进行原始数据的传输,而是基于每个客户上传到服务器的模型更新信息,即梯度与辅助信息。联邦聚合得到更新后的全局模型,与基于数据中心化深度学习训练得到的模型具有近似的任务预测能力。
2、在联邦学习的场景下,梯度转置攻击可以基于客户上传到服务器的梯度与辅助信息重构客户本地的原始数据,从而造成严重的隐私泄露,违背了联邦学习保护本地数据的初衷。在现有对抗梯度转置攻击的相关防御研究中,主要集中于对梯度进行处理,为了保护原始数据不被梯度转置攻击重构,一般对梯度采用加噪、截断、稀疏化等操作。
3、然而,现有方法在对梯度进行防御处理时,没有将不同图像区域的隐私泄露差异考虑在内,导致容易被重构攻击的区域防御程度过小,而不容易被重构的内容又被过度保护,损害了主任务上的性能,并没有实现对客户图像数据的有效保护。
技术实现思路
1、本申请的目的是提供一种对抗联邦梯度转置攻击的图像隐私保护方法、系统及介质,实现了对客户端图像数据的有效保护。
2、为实现上述目的,本申请提供了如下方案:
3、第一方面,本申请提供一种对抗联邦梯度转置攻击的图像隐私保护方法,所述对抗联邦梯度转置攻击的图像隐私保护方法包括:
4、确定用于联邦学习的初始任务模型;
5、利用客户端的本地数
6、利用公共数据集对基于生成对抗网络构建的影子模型进行预训练,得到预训练影子模型;所述公共数据集与所述本地数据集的数据类型相同;
7、基于正态分布对所述本地数据集中的每个原始图像随机初始化一个隐变量,并利用所述预训练影子模型对每个初始化的隐变量进行更新,得到多个更新后的隐变量;
8、固定预训练影子模型映射层的权重和所有更新后的隐变量,以所述伪更新任务模型的梯度和统计信息为目标,调整预训练影子模型合成层的权重,得到更新影子模型;所述统计信息至少包括:批归一化层的均值和方差;
9、将所述本地数据集中原始图像对应的更新后的隐变量输入所述更新影子模型得到重构图像,并基于原始图像和所述重构图像确定相对噪声;
10、依次对所述相对噪声进行直方图均衡化和减弱前景区域噪声后,得到绝对噪声;
11、利用添加所述绝对噪声的本地数据集训练所述初始任务模型,得到真实更新任务模型,并将所述真实更新任务模型的梯度和统计信息上传至服务器;所述真实更新任务模型的梯度和统计信息用于后续联邦聚合。
12、可选地,依次对所述相对噪声进行直方图均衡化和减弱前景区域噪声后,得到绝对噪声,具体包括:
13、对所述相对噪声进行直方图均衡化,得到均衡噪声;
14、根据所述伪更新任务模型确定梯度激活图,并利用所述梯度激活图减弱所述均衡噪声对前景区域的影响,得到梯度激活噪声;
15、基于联邦学习中所述初始任务模型的当前训练状态减小所述梯度激活噪声,得到绝对噪声。
16、可选地,所述相对噪声的计算公式为:
17、
18、
19、式中,n1为相对噪声,σ(·)为softmax函数,fmse表示重构图像与原始图像的差异,t为温度系数,xi为原始图像中的第i个像素点,为重构图像中的第i个像素点,h,w分别为图像的高度和宽度,xj为原始图像中的第j个像素点。
20、可选地,所述均衡噪声的计算公式为:
21、n2=σ(g(n1));
22、
23、式中,n2为均衡噪声,σ(·)为softmax函数,g(·)表示直方图均衡化,n1为相对噪声,l为图像的灰度级总数,p(r)为关于灰度级r的概率密度函数,a,b表示图像的灰度范围。
24、可选地,所述梯度激活噪声的计算公式为:
25、n3=n2-αcamsign(n2)·fcam;
26、式中,n3为梯度激活噪声,n2为均衡噪声,sign(·)为符号函数,αcam为符号函数的系数,fcam为梯度激活图。
27、可选地,所述绝对噪声的计算公式为:
28、
29、式中,n为绝对噪声,n3为梯度激活噪声,x为原始图像,αn为控制噪声绝对量的超参数,r为初始任务函数的总训练轮数,r为初始任务函数的当前训练轮数。
30、可选地,在利用添加所述绝对噪声的本地数据集训练所述初始任务模型,得到真实更新任务模型,并将所述真实更新任务模型的梯度和统计信息上传至服务器之后,还包括:
31、获取各客户端上传至服务器的真实更新任务模型的梯度和统计信息;
32、基于所有真实更新任务模型的梯度和统计信息完成全局模型的聚合,并下发至各客户端。
33、第二方面,本申请还提供一种计算机系统,包括:存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序以实现所述的对抗联邦梯度转置攻击的图像隐私保护方法。
34、第三方面,本申请还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的对抗联邦梯度转置攻击的图像隐私保护方法。
35、根据本申请提供的具体实施例,本申请公开了以下技术效果:
36、本申请主要通过影子模型对抗的方式防御潜在的强敌手。为了在训练时高效模拟敌手对于数据低频信息的重构,在联邦训练开始前,先基于公共数据集对影子模型的权重和隐变量输入进行预训练。在联邦训练时,通过更新影子模型进一步模拟敌手对高频信息的攻击,并基于此攻击结果可解释地加入样本级别的相对噪声,同时利用直方图均衡化技术避免不同区域的噪声强度过大而提供的攻击捷径。为减少加噪过程对主任务的影响,达到更优的性能和隐私保护平衡,还通过减弱前景区域噪声得到绝对噪声,并将绝对噪声加入本地数据集,重点保护了图像中更易遭受重构攻击的区域,实现了对客户端图像数据的有效保护。
本文档来自技高网...【技术保护点】
1.一种对抗联邦梯度转置攻击的图像隐私保护方法,其特征在于,所述对抗联邦梯度转置攻击的图像隐私保护方法包括:
2.根据权利要求1所述的对抗联邦梯度转置攻击的图像隐私保护方法,其特征在于,依次对所述相对噪声进行直方图均衡化和减弱前景区域噪声后,得到绝对噪声,具体包括:
3.根据权利要求1所述的对抗联邦梯度转置攻击的图像隐私保护方法,其特征在于,所述相对噪声的计算公式为:
4.根据权利要求2所述的对抗联邦梯度转置攻击的图像隐私保护方法,其特征在于,所述均衡噪声的计算公式为:
5.根据权利要求2所述的对抗联邦梯度转置攻击的图像隐私保护方法,其特征在于,所述梯度激活噪声的计算公式为:
6.根据权利要求2所述的对抗联邦梯度转置攻击的图像隐私保护方法,其特征在于,所述绝对噪声的计算公式为:
7.根据权利要求1所述的对抗联邦梯度转置攻击的图像隐私保护方法,其特征在于,在利用添加所述绝对噪声的本地数据集训练所述初始任务模型,得到真实更新任务模型,并将所述真实更新任务模型的梯度和统计信息上传至服务器之后,还包括:
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1-7中任一项所述的对抗联邦梯度转置攻击的图像隐私保护方法。
...【技术特征摘要】
1.一种对抗联邦梯度转置攻击的图像隐私保护方法,其特征在于,所述对抗联邦梯度转置攻击的图像隐私保护方法包括:
2.根据权利要求1所述的对抗联邦梯度转置攻击的图像隐私保护方法,其特征在于,依次对所述相对噪声进行直方图均衡化和减弱前景区域噪声后,得到绝对噪声,具体包括:
3.根据权利要求1所述的对抗联邦梯度转置攻击的图像隐私保护方法,其特征在于,所述相对噪声的计算公式为:
4.根据权利要求2所述的对抗联邦梯度转置攻击的图像隐私保护方法,其特征在于,所述均衡噪声的计算公式为:
5.根据权利要求2所述的对抗联邦梯度转置攻击的图像隐私保护方法,其特征在于,所述梯度激活噪声的计算公式为:
6.根据权利要求2所述的对抗联邦梯度转置攻...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。