【技术实现步骤摘要】
基于联邦学习的成员推理攻击模型训练的方法及应用
[0001]本专利技术是关于机器学习
,特别是关于一种基于联邦学习的成员推理攻击模型训练的方法及应用。
技术介绍
[0002]联邦学习由于其隐私保护的特点近年来备受关注。然而,研究表明联邦学习容易受到各种推理攻击的影响。成员推理攻击旨在确定目标数据是否是目标联邦学习模型的训练数据集成员,这对训练数据集的隐私构成了严重的威胁。但是由于攻击数据的缺乏,联邦学习中的成员推理攻击仍然存在很多不足。之前的工作表明,生成式对抗网络(GANs)可以有效地丰富攻击者的攻击数据。然而,GANs生成的数据缺乏标签。之前的研究中通过将生成数据输入到目标分类器模型中来标记数据,但是当目标模型输出的结果模棱两可时,这种方法是不准确的。
[0003]为了克服缺乏攻击数据的困难,生成式对抗网络(GANs)因其在数据增强中的出色能力而被应用。攻击者可以使用GANs生成的丰富攻击数据训练二分类的攻击模型来推断成员信息。然而,GANs在联邦学习中增强的成员推理攻击仍然存在着一些不足之处。首先,GAN...
【技术保护点】
【技术特征摘要】
1.一种基于联邦学习的成员推理攻击模型训练的方法,其特征在于,所述方法包括:基于联邦学习模型中每个攻击者所包含的带有标签的第一训练样本构建已标注训练数据池,并基于生成式对抗网络所生成的第二训练样本构建未标注训练数据池;基于对抗性表征主动学习模型选择所述未标注训练数据池中的部分第二训练样本设置标签,并将已设置标签的所述部分第二训练样本加入至所述已标注训练数据池;基于所述已标注训练数据池中具有标签的第一训练样本、部分第二训练样本、以及所述未标注训练数据池中剩余的第二训练样本训练所述成员推理攻击模型。2.如权利要求1所述的训练方法,其特征在于,所述生成式对抗网络包括第一生成器和第一判别器,所述基于生成式对抗网络所生成的第二训练样本构建未标注训练数据池,具体包括:基于所述第一生成器和第一判别器的极大极小博弈生成多个第二训练样本,所述多个第二训练样本与所述目标联邦学习模型的训练数据集中的原始训练数据具有相同底层分布;将所述多个第二训练样本构建为所述未标注训练数据池。3.如权利要求2所述的训练方法,其特征在于,基于所述第一生成器和第一判别器的极大极小博弈生成多个第二训练样本,具体包括:初始化所述第一生成器并使其从随机噪声中生成数据记录;基于所述第一判别器判断所生成的数据记录与所述原始训练数据之间的相似程度更新所述第一生成器,以使所述第一生成器生成与所述原始训练数据具有相同底层分布的数据记录,并将与所述原始训练数据具有相同底层分布的数据记录作为第二训练样本。4.如权利要求2所述的训练方法,其特征在于,所述方法还包括:将目标联邦学习模型的副本初始化为所述生成式对抗网络的第一判别器,其中,所述目标联邦学习模型由联邦学习模型迭代生成,在每次迭代过程中,所述攻击者下载当前迭代轮次中的联邦学习模型,并在本地保留所述目标联邦学习模型的副本。5.如权利要求1所述的训练方法,其特征在于,所述对抗性表征主动学习模型包括第二生成器,所述基于对抗性表征主动学习模型选择所述未标注训练数据池中的部分第二训练样本设置标签,具体包括:基于所述第二生成器学习所述已标注训练数据池中具有标签的第一训练样本以及所述未标注训练数据池中的第二训练样本的底层分布表示;基于所述对抗性表征主动学习模型以及所述底层分布表示,从所述未标注训练数据池中选择信息量最大的第二训练样本设置标签。6.如权利要求1所述的训练方法,其特征在于,基于所述已标注训练数据池中具有标签的第一训练样本、部分第二训练样本、以及所...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。