一种基于分散训练的标签推理攻击的防御方法和装置制造方法及图纸

本发明专利技术公开了一种基于分散训练的标签推理攻击的防御方法和装置，包括以下步骤：步骤S1：初始化参与方的底层模型；步骤S2：所述参与方根据各自的训练集和各自的参数进行训练得到底层模型参数；步骤S3：得到底层模型的所有的输出；步骤S4：更新顶层模型；步骤S5：利用训练后的顶层模型参数和顶层模型的标签进行损失函数的计算，得到顶层模型的梯度，顶层模型将梯度下传给恶意参与方A和诚实参与方B；步骤S6：重复步骤S1

【技术实现步骤摘要】
一种基于分散训练的标签推理攻击的防御方法和装置


[0001]本专利技术涉及一种联邦学习及密码学
，尤其涉及一种基于分散训练的标签推理攻击的防御方法和装置。

技术介绍

[0002]机器学习在做决策、风险识别和疾病诊断等众多领域取得了巨大成功。机器学习的广泛使用及其有效性，除了因为机器学习算法的进步外，还有收集、存储和处理大量数据，但是这样做的成本越来越高。特别是，整合使用来自多个来源的数据（例如，不同机构收集的数据或存储在不同数据中心的数据）。然而，共享数据可能会遇到安全和隐私问题。随着数据隐私保护意识的增强，法律禁止共享包含公民敏感信息的数据。例如，欧盟的一般数据保护条例（GDPR）、新加坡的个人数据保护法案（PDPA）、美国的加利福尼亚消费者隐私法案（CCPA）和我国的《个人信息保护法》等法规。
[0003]在这种情况下，联邦学习（FL）被提出并得到了广泛的使用。它使多个数据所有者（例如，客户端或数据中心）能够协作培训机器学习模型，而不会泄露其私人数据。基本工作流程是，联邦学习的参与者迭代地（i）对其数据进行本地计算，以得出某些中间结果，（ii）使用某些加密工具隐藏中间结果，以及（iii）与其他参与者共享受保护的结果，直到获得最终的训练结果。
[0004]根据数据划分的不同，联邦可以分为横向联邦学习（HFL）、纵向联邦学习（VFL）和迁移学习。横向联邦学习处理数据水平划分的情况，即数据集共享相同的特征空间，但样本空间不同。例如，两家医院拥有不同患者群体的病历（即样本空间），描述他们是否患有某种疾病（即特征空间）。相比之下，纵向联邦学习处理数据垂直划分的情况，即数据集共享相同的样本空间，但特征空间不同。纵向联邦学习的一个典型例子是，两家医院持有同一组患者的病历（即健全的样本空间），但每一家医院都描述了患者医疗状态的不同方面，例如，医院A的数据集记录了患者的COVID拭子测试，而医院A的数据集记录了他们的胸部CT扫描（即不同的特征空间）。
[0005]横向联邦学习模型的构造简单，它通常是通过模型平均来构建的——对于每次迭代，客户端都会为几个阶段训练一个模型，并将其模型发送给客户端，客户端随后会聚合上传的本地模型并获得更新的全局模型。但对于纵向联邦学习来说，特别是用模型划分构造的纵向联邦学习来说，训练过程相对复杂。在具有模型划分的纵向联邦学习中，整个模型被分为一个顶层模型（在服务端上保存）和几个底层模型（作为在客户端保存的特定中间状态）。训练过程通过反复的双边通信完成。客户端使用本地数据运行其底层模型，并将结果上传到服务端；服务端运行一个顶层模型来聚合参与者的输出，计算损失的梯度，并将梯度发回给每个参与者。
[0006]因此，横向联邦学习的潜在攻击者有机会窥探模型所有参数的梯度，这些参数可用于推断隐私信息。相比之下，纵向联邦学习的攻击者只控制联邦模型的一部分，因此只能获取不完整模型的梯度。因此，人们普遍认为纵向联邦学习具有更高的安全保障，特别是对
作为新的第一训练集，得到的 作为第三训练集。
[0013]进一步地，所述步骤S2中底层模型为线性模型，其中的激活函数也为线性关系。
[0014]进一步地，所述步骤S3中所述合并函数为Mergeshare，所述第一模型根据所述第一模型参数产生的中间结果和所述影子模型根据所述影子模型参数产生的中间结果利用合并函数Mergeshare进行加和得到更新后的第一模型的中间结果。
[0015]进一步地，所述步骤S3中将更新后的第一模型的中间结果和所述第二模型根据所述第二模型参数产生的中间结果采用函数Concat进行汇聚得到底层模型的所有的输出结果。
[0016]进一步地，所述步骤S5中当顶层模型将梯度下传给恶意参与方A时，首先生成恶意参与方A的梯度，以秘密分享函数得到新的恶意参与方梯度和新的诚实参与方C梯度，然后将新的恶意参与方梯度下传给恶意参与方A，将新的诚实参与方C梯度下传给诚实参与方C。
[0017]本专利技术还提供一种基于分散训练的标签推理攻击的防御装置，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，所述一个或多个处理器执行所述可执行代码时，用于实现上述任一项所述的一种基于分散训练的标签推理攻击的防御方法。
[0018]本专利技术还提供一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时，实现上述任一项所述的一种基于分散训练的标签推理攻击的防御方法。
[0019]本专利技术的有益效果是：在本专利技术中，提出了分散训练的模型框架，以此来抵抗此类攻击并实现纵向联邦学习的安全性。本专利技术分散训练的基本思想是利用秘密共享打破梯度和训练数据之间的相关性。参与者B拥有自己带标签的数据，希望训练模型；他希望利用参与者A的数据来提高模型的质量。参与者A是敌手，他打算推断参与者B的标签。在分散训练的框架中，为参与者A创建一个影子模型（即参与者C），参与者B的部分数据共享给参与者C。在训练阶段，客户端（即参与者A和C）使用共享的数据更新其底层模型，并将其部分输出上传到服务端。服务端聚合客户端的部分输出并训练其顶层模型；由于秘密共享方案的线性性质，它们的输出可以有效地聚合。服务端的训练输出也分为两部分，分别提供A和C两个部分，后者随后迭代地训练和更新其底层模型。使用这种方法，即使攻击者在训练阶段收到梯度，他也无法从底层模型推断标签的特征表示。本专利技术可以将纵向联邦学习的标签推理攻击的效果降低到随机猜测的程度，避免了在联邦学习训练时标签信息的泄露，有效防御了纵向联邦学习中的标签推理攻击。
附图说明
[0020]图1为本专利技术一种基于分散训练的标签推理攻击的防御方法的示意图；图2为本专利技术一种基于分散训练的标签推理攻击的防御方法的流程示意图；图3为原始的标签推理攻击效果和防御之后的效果对比图；图4为主动标签推理攻击和防御之后的攻击效果对比图。
具体实施方式
[0021]以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本专利技术及其应用或使用的任何限制。基于本专利技术中的实施例，本领域普通技术人员在没有作出创
造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0022]参见图1
‑
图2，一种基于分散训练的标签推理攻击的防御方法，包括以下步骤：步骤S1：初始化参与方的底层模型；其中，所述参与方包括有推理标签能力的恶意参与方A、诚实参与方B和诚实参与方C，所述恶意参与方A中的底层模型为第一模型，所述诚实参与方B中的底层模型为第二模型，所述诚实参与方C中的底层模型为影子模型，所述第一模型与所述影子模型结构相同；所述影子模型和所述第一模型结构相同。
[0023]步骤S2：所述参与方根据各自的训练集和各自的参数进行梯度的前向传播、后向传播对底层模型进行训练，得到底层模型参数；其中，训练第一模型的训练集为第一训练集，训练第二模型的训练集为第二训练集，训练影子模型的训练集为第三训练集，所述第三训练集由所述第一训练集拆分得到；所述底层模型参数包括第一模型参数、第本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于分散训练的标签推理攻击的防御方法，其特征在于，包括以下步骤：步骤S1：初始化参与方的底层模型；其中，所述参与方包括有推理标签能力的恶意参与方A、诚实参与方B和诚实参与方C，所述恶意参与方A中的底层模型为第一模型，所述诚实参与方B中的底层模型为第二模型，所述诚实参与方C中的底层模型为影子模型，所述第一模型与所述影子模型结构相同；步骤S2：所述参与方根据各自的训练集和各自的参数进行梯度的前向传播、后向传播对底层模型进行训练，得到底层模型参数；其中，训练第一模型的训练集为第一训练集，训练第二模型的训练集为第二训练集，训练影子模型的训练集为第三训练集，所述第三训练集由所述第一训练集拆分得到；所述底层模型参数包括第一模型参数、第二模型参数和影子模型参数，所述第一模型参数是所述恶意参与方A基于第一训练集对所述第一模型训练得到，所述第二模型参数是所述诚实参与方B基于第二训练集对所述第二模型训练得到，所述影子模型参数是所述诚实参与方C基于第三训练集对所述影子模型训练得到；步骤S3：将所述第一模型根据所述第一模型参数产生的中间结果和所述影子模型根据所述影子模型参数产生的中间结果通过合并函数合并得到更新后的第一模型的中间结果，将更新后的第一模型的中间结果和所述第二模型根据所述第二模型参数产生的中间结果进行汇聚，得到底层模型的所有的输出结果；步骤S4：将底层模型的所有的输出结果作为服务器中的顶层模型的输入，并根据顶层模型参数进行梯度的前向传播、后向传播进行训练，得到训练后的顶层模型并且更新顶层模型的参数；步骤S5：利用训练后的顶层模型参数和顶层模型的标签进行损失函数的计算，根据得到的损失函数和顶层模型参数进行梯度求解，得到顶层模型的梯度，顶层模型将梯度下传给恶意参与方A和诚实参与方B；步骤S6：重复步骤S1
‑
S5直至顶层模型和底层模型收敛。2.根据权利要求1所述的一种基于分散训练的标签推理攻击的防御方法，其特征在于，所述步骤S1中所述影子模型和所述第一模型结构相同。3.根据权利要求1所述的一种基于分散训练的标签推理攻击的防御方法，其特征在于，所述步骤S2中所述恶意参与方A...

【专利技术属性】
技术研发人员：方黎明，王伊蕾，吕庆喆，李涛，逯兆博，
申请(专利权)人：杭州量安科技有限公司，
类型：发明
国别省市：