联邦学习中毒攻击的检测方法技术

技术编号：43796372 阅读：3 留言：0更新日期：2024-12-24 16:26

本发明专利技术属于网络安全技术领域，具体涉及联邦学习中毒攻击的检测方法，包括以下步骤：（1）服务器初始化模型以及学习率并将其广播给客户端；（2）客户端接收服务器的全局模型，使用本地数据集计算局部更新权重，再将局部更新权重上传到服务器；（3）服务器通过循环变分自编码器生成对抗网络检测恶意客户端并剔除；（4）服务器通过正常客户端上传的更新权重计算下一轮的全局模型权重；（5）不断迭代步骤（2）至步骤（4），直到全局模型收敛。本发明专利技术基于循环变分自编码器生成对抗网络的联邦学习中毒攻击的检测方法可有效防止恶意客户端的中毒攻击对全局模型性能的破坏。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于网络安全，具体涉及一种联邦学习中毒攻击的检测方法。

技术介绍

1、联邦学习作为一种有前景的分布式机器学习范式，它能够实现数据的去中心化管理，从而保护数据隐私。与需要数据集中的传统中心化方法不同，联邦学习允许孤立的客户端在各自的数据上独立训练本地模型，然后由中心服务器聚合这些本地训练的模型以构建一个全局模型。通过迭代的本地训练和全局聚合，联邦学习能够收敛到一个高性能的全局模型，而不会暴露客户端数据给中心服务器或其他客户端。这种范式具有显著的优势，包括数据隐私的保护、通过分布式数据源的协同学习提高模型准确性，以及通过利用分布式计算资源提高可扩展性。它通过消除数据中心化的需求来保护数据隐私，增强了模型准确性并提高了系统的可扩展性。然而，联邦学习系统因无法直接控制客户端行为而易受恶意客户端的攻击，这种攻击包括数据投毒攻击，其中敌对者将污染数据注入训练数据集，并且模型投毒攻击，涉及对模型更新的操纵。投毒攻击的目标有两种：一是有针对性的攻击，旨在操纵联邦模型以生成特定样本的特定标签；二是无目标攻击，旨在导致所有测试样本普遍的错误分类。这些攻击的隐秘和欺骗性质允许敌对者微妙地影响分布式模型的收敛，使得检测成为一个巨大的挑战。因此，虽然联邦学习在传统机器学习中提供了显著的优势，确保其安全性和鲁棒性免受这些威胁依然是一个极为重要的关注点。

技术实现思路

1、本专利技术的目的在于针对现有技术存在的上述不足，提供一种联邦学习中毒攻击的检测方法。

2、为了实现上述专利技术目的，本专利技术采用如下技术方案：

3、一种联邦学习中毒攻击的检测方法，包括以下步骤：

4、（1）服务器初始化模型以及学习率并将其广播给客户端；

5、（2）客户端接收服务器的全局模型，使用本地数据集计算局部更新权重，再将局部更新权重上传到服务器；

6、（3）服务器通过循环变分自编码器生成对抗网络检测恶意客户端并剔除；

7、（4）服务器通过正常客户端上传的局部更新权重计算下一轮的全局模型权重；

8、（5）不断迭代步骤（2）至步骤（4），直到全局模型收敛。

9、作为优选方案，所述循环变分自编码器生成对抗网络包括生成器和判别器，生成器采用循环变分自编码器，包括双编码器和解码器；

10、客户端上传的局部更新权重先经过第一个编码器生成隐变量，将隐变量输入到解码器中生成重构更新权重，生成的重构更新权重输入第二个编码器生成隐变量，并计算隐变量和隐变量的均值和之间的欧氏距离的平方，同时将与输入判别器计算对抗损失。

11、作为优选方案，所述步骤（3）具体包括以下步骤：

12、通过循环变分自编码器生成对抗网络计算各客户端的更新权重误差；

13、判断客户端的更新权重误差是否大于动态误差阈值；若是，则为恶意客户端；若否，则为正常客户端。

14、作为优选方案，所述更新权重误差采用复合损失函数计算得到；

15、所述复合损失函数为：；

16、其中，表示通过第一编码器参数化的隐变量，并利用解码器重构局部更新权重的期望对数似然；表示在给定隐变量的条件下观察到局部更新权重的似然性；表示隐变量的变分后验分布与其先验分布之间的kl散度；表示两个隐变量和的均值和之间的欧氏距离的平方；表示通过第二编码器参数化的隐变量的变分后验分布与其先验分布之间的kl散度；为权重因子。

17、作为优选方案，所述动态误差阈值为：

18、；

19、其中，为第个客户端的更新权重误差，为客户端的数量。

20、作为优选方案，所述步骤（4）中，第t轮次的全局模型权重计算公式为：

21、；

22、其中，表示正常客户端的数量，表示第个客户端在第轮次的局部更新权重；为：

23、。

24、作为优选方案，所述步骤（2）中，在本地模型训练过程中，每个客户端使用其本地训练数据及接收到的第轮次的全局模型权重执行本地学习过程；第个客户端在第轮次的局部更新权重随后通过随机梯度下降法sgd进行更新，更新公式为：

25、；

26、其中，是第个客户端的本地模型训练学习率，是第个客户端的训练数据集，表示第个客户端基于本地优化损失的梯度。

27、本专利技术与现有技术相比，有益效果是：

28、（1）本专利技术提供了一种新颖的方法用于检测恶意客户端，由于良性客户更新权重参数范围有限而恶意客户端攻击种类繁多，该方法能有效地捕捉来自良性客户更新权重参数中的简洁而信息密集的潜在表示，同时在潜在空间中识别恶意活动，维护整个系统的安全与稳定；

29、（2）本专利技术利用一个编码器-解码器-编码器循环框架，内部采用循环一致性机制，以确保精确映射对良性更新的统计细节，通过引入对抗性训练模式，循环变分自编码器生成对抗网络能够对多种异常行为保持敏感，并保持对复杂投毒攻击的抵抗力。此外，在循环变分自编码器生成对抗网络中设计了一种动态阈值策略，以防止攻击者提前学习循环变分自编码器生成对抗网络的检测机制；

30、（3）本专利技术已通过在三个广泛使用的分类数据集（fashionmnist，cifar10和imdb）上的实证验证，并对几种检测方法进行了广泛测试。研究结果表明，本专利技术在对抗各种类型的恶意攻击（符号翻转、加性噪声、标签翻转攻击）方面表现出显著的有效性，并在存在高度异质性的联邦学习环境中实现了最高的攻击检测率。

本文档来自技高网...

【技术保护点】

1.一种联邦学习中毒攻击的检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的检测方法，其特征在于，所述循环变分自编码器生成对抗网络包括生成器和判别器，生成器采用循环变分自编码器，包括双编码器和解码器；

3.根据权利要求2所述的检测方法，其特征在于，所述步骤（3）具体包括以下步骤：

4.根据权利要求3所述的检测方法，其特征在于，所述更新权重误差采用复合损失函数计算得到；

5.根据权利要求4所述的检测方法，其特征在于，所述动态误差阈值为：

6.根据权利要求5所述的检测方法，其特征在于，所述步骤（4）中，第轮次的全局模型权重计算公式为：

7.根据权利要求1-6任一项所述的检测方法，其特征在于，所述步骤（2）中，在本地模型训练过程中，每个客户端使用其本地训练数据及接收到的第轮次的全局模型权重执行本地学习过程；第个客户端在第轮次的局部更新权重随后通过随机梯度下降法SGD进行更新，更新公式为：

【技术特征摘要】

1.一种联邦学习中毒攻击的检测方法，其特征在于，包括以下步骤：

3.根据权利要求2所述的检测方法，其特征在于，所述步骤（3）具体包括以下步骤：

4.根据权利要求3所述的检测方法，其特征在于，所述更新权重误差采用复合损失函数计算得到；

5.根...

【专利技术属性】
技术研发人员：张忠良，王婧雯，阮锦昊，刘万安，阮渊鹏，韩一龙，
申请(专利权)人：杭州电子科技大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人