【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其是涉及一种优化后门攻击下的联邦学习模型防御机制性能评估方法。
技术介绍
1、在当今数字化时代,联邦学习作为一种新兴的分布式机器学习技术,正逐渐在各个领域展现出巨大的潜力。它允许多个参与方在不共享原始数据的情况下共同训练模型,从而保护了数据隐私。
2、然而,这一技术也面临着安全威胁,其中联邦学习后门攻击成为了一个备受关注的问题。联邦学习后门攻击是攻击方在联邦学习系统中通过篡改数据、优化触发器或破坏模型更新过程等手段,在模型中植入特定“后门”,以在特定条件下操纵模型输出达成恶意目的的攻击方式。目前已有一些自适应的攻击方法,在联邦学习环境中,后门攻击手段不断演变且极具隐蔽性。攻击方可以巧妙地在本地训练数据中混入带有特定触发模式的恶意样本。为应对后门攻击,研究人员提出了大量防御机制。包括基于鲁棒聚合算法的方法,旨在识别和过滤掉异常的模型更新;基于差分隐私技术的改进方案,在保证模型训练效果的同时,增强对恶意数据注入的抵抗力;还有基于可信执行环境的方案,从硬件层面保障模型训练过程的安全。然而,目前缺乏一种系统、全面且有效的评估这些防御机制性能的方法。不同的评估指标在不同场景下各有优劣,有的侧重于检测准确率,有的关注对正常模型训练的影响程度。没有统一的评估方法,难以准确比较不同防御机制的优劣,也无法确定某种防御机制在实际复杂环境中的适用性,从而阻碍了防御技术的进一步优化和推广应用。综上所述,针对目前没有统一评估方法和指标等问题,提出一种能够优化评估联邦学习模型防御后门攻击机制性能的方法,能够弥补该领
技术实现思路
1、为克服现有技术中的问题,本专利技术的目的是提供一种优化后门攻击下的联邦学习模型防御机制性能评估方法,来评估基于检测算法防御机制性能。
2、本专利技术的基于优化后门攻击下的联邦学习模型防御机制性能评估方法。首先在了解检测方法机理下,通过对触发器优化从而降低投毒后的数据集与原有数据集的分布差异来降低正常更新与恶意更新的差异来躲避防御。并且攻击采取提前优化的策略,利用训练中期的全局模型提前优化触发器。攻击方选择在训练后期进行后门攻击,同时为了适应全局模型的动态变化,交替进行优化触发器。通过重复性实验,来更加准确的评估防御方法的性能。
3、为了实现上述目的,本专利技术采用的具体技术方案如下:
4、一方面,本专利技术提出了一种优化后门攻击下的联邦学习模型防御机制性能评估方法,包括:
5、s1:建立包括一个发起方和多个参与方的联邦学习评估体系,发起方拥有待评估的全局模型,参与方拥有各自的用于全局模型训练的本地训练数据集,定义其中一个参与方为攻击方,预设训练总轮次、初期训练轮次和中期训练轮次;在所述发起方和参与方之间进行联邦学习训练过程中设有待评估的用于抵御后门攻击的防御机制;
6、s2:各参与方根据本地训练数据集对发起方的全局模型进行初期的联邦学习训练,直至达到初期训练轮次,得到初期的全局模型;
7、s3:各参与方根据本地训练数据集对初期的全局模型进行中期的联邦学习训练,直至达到中期训练轮次,得到中期的全局模型;在中期的联邦学习训练期间,攻击方初始化触发器并将触发器添加至本地训练数据集中,采用未添加触发器的训练数据集参与联邦学习训练,同时备份每轮联邦学习训练的全局模型,并在备份模型上采用添加触发器的训练数据集进行并行训练,基于两种训练对模型参数更新的差异采用自适应优化方法对触发器的参数进行优化更新;
8、s4:各参与方根据本地训练数据集对中期的全局模型进行后期的联邦学习训练,直至达到训练总轮次;在后期的联邦学习训练期间,攻击方将当前的触发器添加至本地训练数据集中,采用添加触发器的训练数据集参与联邦学习训练,同时备份每轮联邦学习训练的全局模型,并在备份模型上采用未添加触发器的训练数据集进行并行训练,基于两种训练对模型参数更新的差异采用自适应优化方法对触发器的参数进行优化更新;
9、s5:基于最终的触发器构建测试数据集,对训练完成的全局模型进行测试,计算模型输出的准确率,基于准确率评估防御机制性能。
10、进一步地,所述待训练的全局模型为图像识别模型,所述训练数据集包括图像样本及其标签;将触发器添加至本地训练数据集是指依据触发器参数修改训练数据集中的图像样本。
11、进一步地,每轮联邦学习训练包括:将全局模型下发给各参与方,各参与方在本地训练数据集上对全局模型进行本地训练,将本地训练完成后更新的模型参数上传至发起方,发起方综合上传的所有模型参数更新全局模型;
12、进一步地,所述防御机制包括:在每轮联邦学习训练期间,发起方在综合上传的所有模型参数更新全局模型之前,还对各参与方上传的模型参数进行检测过滤,综合过滤后的模型参数更新全局模型,更新后的模型即为训练完成的全局模型。
13、进一步地,所述联邦学习训练具体包括:攻击方采用参与联邦学习训练的训练数据集对当前接收到的全局模型进行本地训练,在每一轮本地训练后将训练更新的模型参数上传至发起方;所述并行训练具体包括:在每一轮本地训练时,攻击方采用参与联邦学习训练的训练数据集对备份的全局模型进行本地训练,训练更新的模型参数不上传至发起方;并行训练的轮次与联邦学习训练的轮次同步。
14、进一步地,步骤s6中,所述基于最终的触发器对联邦学习模型进行后门攻击测试,具体为:获取测试数据集,向测试数据集添加最终的触发器,采用添加触发器的测试数据集对联邦学习模型进行测试。
15、另一方面,本专利技术还提出了一种优化后门攻击下的联邦学习模型防御机制性能评估系统,用于实现上述方法。
16、与现有技术相比,本专利技术的有益效果至少包括:
17、(1)是通过对触发器优化,在了解检测方法机理的基础上,降低投毒后的数据集与原有数据集的分布差异,进而减少正常更新与恶意更新的差异,以此成功躲避防御,这为更精准地分析防御机制应对攻击的情况创造了条件。
18、(2)是攻击采取提前优化策略,利用训练中期的全局模型提前优化触发器,同时攻击方选择在训练后期进行后门攻击,而且为适应全局模型的动态变化,交替进行优化触发器,这种攻击策略的创新使评估过程更贴合实际复杂的攻击场景。此外,通过重复性实验,能够更加准确地评估防御方法的性能,从而为改进和优化防御机制提供更可靠的数据支持。
本文档来自技高网...【技术保护点】
1.一种优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,包括:
2.根据权利要求1所述的优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,所述全局模型为图像识别模型,所述训练数据集包括图像样本及其标签;将触发器添加至本地训练数据集是指依据触发器参数修改训练数据集中的图像样本。
3.根据权利要求1所述的优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,每轮联邦学习训练包括:将全局模型下发给各参与方,各参与方在本地训练数据集上对全局模型进行本地训练,将本地训练完成后更新的模型参数上传至发起方,发起方综合上传的所有模型参数更新全局模型。
4.根据权利要求3所述的优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,所述综合上传的所有模型参数更新全局模型具体为:对各参与方上传的模型参数计算平均值,作为更新后的全局模型的参数。
5.根据权利要求3所述的优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,所述防御机制包括:在每轮联邦学习训练期间,发起方在综合上传的所有模型参数更新全局模型之
6.根据权利要求1所述的优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,所述联邦学习训练具体包括:攻击方采用参与联邦学习训练的训练数据集对当前接收到的全局模型进行本地训练,在每一轮本地训练后将训练更新的模型参数上传至发起方;
7.根据权利要求1所述的优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,所述自适应优化方法具体为:
8.根据权利要求5所述的优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,步骤S5中,所述检测过滤采用异常检测算法进行,所述异常检测算法包括HDBSCAN算法和PCA算法。
9.根据权利要求1所述的优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,步骤S6中,所述基于最终的触发器对联邦学习模型进行后门攻击测试,具体为:获取测试数据集,向测试数据集添加最终的触发器,采用添加触发器的测试数据集对联邦学习模型进行测试。
10.一种优化后门攻击下的联邦学习模型防御机制性能评估系统,用于实现权利要求1所述方法,其特征在于,所述系统包括:
...【技术特征摘要】
1.一种优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,包括:
2.根据权利要求1所述的优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,所述全局模型为图像识别模型,所述训练数据集包括图像样本及其标签;将触发器添加至本地训练数据集是指依据触发器参数修改训练数据集中的图像样本。
3.根据权利要求1所述的优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,每轮联邦学习训练包括:将全局模型下发给各参与方,各参与方在本地训练数据集上对全局模型进行本地训练,将本地训练完成后更新的模型参数上传至发起方,发起方综合上传的所有模型参数更新全局模型。
4.根据权利要求3所述的优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,所述综合上传的所有模型参数更新全局模型具体为:对各参与方上传的模型参数计算平均值,作为更新后的全局模型的参数。
5.根据权利要求3所述的优化后门攻击下的联邦学习模型防御机制性能评估方法,其特征在于,所述防御机制包括:在每轮联邦学习训练期间,发起方在综合上传的所有模型参数更新全局模型之前,还对各参与方上传的模型参数进行检测过滤,综...
【专利技术属性】
技术研发人员:纪守领,陈曦,曾睿,周纯毅,蒲誉文,李清明,
申请(专利权)人:浙江大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。