本发明专利技术提供了一种联邦学习中后门攻击的防御方法,该方法首先计算各个客户端两两之间的欧几里得距离,将其相加求取各个客户端最终的平均值,之后求取各个客户端最终的平均值在当前轮次所占的比例,将其记为当前轮次的信誉值。本发明专利技术在每轮筛选客户端的时候,都会将以往的信誉值作为参考的依据,从而达成过滤异常客户端的效果。本发明专利技术在应对联邦学习环境下的后门攻击能够有效过滤异常客户端,达成防御成功的效果,同时有效保护各个诚实客户端的正常协同训练。协同训练。协同训练。
【技术实现步骤摘要】
一种联邦学习中后门攻击的防御方法
:
[0001]本专利技术涉及信息安全领域,具体而言,涉及一种联邦学习中后门攻击的防御方法。
技术介绍
:
[0002]联邦学习最早是由谷歌在2016年提出,起初是用于解决安卓手机终端用户在本地更新模型的问题,目前已经广泛应用于人工智能领域。联邦学习是一种分布式的机器学习框架,能够有效的解决数据孤岛的问题。正是由于联邦学习是一种分布式框架,这将会导致恶意客户端可以随时对整个训练过程发起后门攻击,并且由于后门攻击的持久性和隐蔽性,将会对整个模型训练造成致命的缺陷。
技术实现思路
:
[0003]为解决上述问题,本专利技术提供了一种联邦学习中后门攻击的防御方法,该方法应用于联邦学习框架,所述联邦学习框架包括一个服务器端和n个客户端,所述服务器会进行T次更新轮次,每次更新轮次中,各个客户端接收服务器发送的全局模型来训练自己本地的私有数据集,然后更新自己本地的局部模型,最后将更新的局部模型发送给中央服务器,中央服务器会将多个客户端进行聚合更新全局模型,所述方法包括如下步骤:
[0004]步骤一:设定M1、
…
、M
n
分别为客户端1
……
、客户端n的模型参数,进行t0‑
1次更新轮次,每次更新选择其中部分客户端,t0为预定值;
[0005]步骤二:开始新一次更新轮次,随机选择部分客户端,中央服务器S计算选中的各个客户端两两之间的欧几里得距离距离;并计算各个客户端的欧几里得距离在当前轮次中所有客户端的欧几里得总距离中所占的百分比,将对应结果记为当前轮次中该客户端的信誉值;
[0006]步骤三:重复执行步骤二,直到完成所有轮次更新;
[0007]步骤四:计算各个客户端的累计信誉值,根据各个客户端从t0轮次开始被选中的次数,计算平均信誉值;
[0008]步骤五:根据各个客户端的平均信誉值,计算得到平均信誉值的平均数,再得到各个客户端的平均数偏差;
[0009]步骤六:将平均数偏差大于阈值的客户端识别为异常客户端,在全局聚合的过程中进行排除。
[0010]进一步的,步骤二中,客户端i的单次信誉值可以计算用公式表示:
[0011][0012]t表示当前更新轮次的次数,M
i
、M
j
分别表示客户端i、客户端j的模型参数,N当前轮次所选中客户端数量。
[0013]进一步的,步骤一和/或步骤二中,随机选中的客户端占总数的三分之二。
[0014]进一步的,t0为5或者10。
[0015]进一步的,步骤五中,平均数偏差的计算方法为:计算单个客户端的平均信誉值与平均值的绝对值偏差距离,然后将各个绝对值偏差距离相加后除以当前轮次所选中的客户端数量,得到平均偏差,再将各个客户端的绝对值偏差距离除以平均偏差,等到平均数偏差。
[0016]进一步的,步骤六中,阈值为1。
[0017]进一步的,各个客户端的欧几里得距离是该客户端与其余客户端两两之间求取的欧几里得距离的平均值。
[0018]本专利技术的有益效果为:
[0019]本专利技术利用良性客户端和异常客户端所更新的模型参数的不同,提出了一种新型的后门攻击防御框架MstFL,在各种机器学习任务上实现了MstFL,每轮筛选客户端的时候,都会将以往的信誉值作为参考的依据,从而达成过滤异常客户端的效果。与现有技术比,MstFL拥有更好的性能。此外,MstFL在单个和多个恶意客户端配置条件中都能够防御成功,能够有效的防御联邦学习中的后门攻击。本专利技术在应对联邦学习环境下的后门攻击能够有效过滤异常客户端,达成防御成功的效果,同时有效保护各个诚实客户端的正常协同训练。
附图说明:
[0020]图1为本方法应用的系统模型图。
[0021]图2为联邦学习中后门攻击的整个流程图。
具体实施方式:
[0022]以下结合图1
‑
2对本专利技术的具体实施方式进行详细的说明,应当理解的是,此处所描述的具体实施方式仅用于说明和解释本专利技术,并不用于限制本专利技术。
[0023]本专利技术的设计构思为:本专利技术利用良性客户端和异常客户端所更新的模型参数的不同,提出了一种新型的后门攻击防御框架MstFL。在该方案中首先计算各个客户端两两之间的欧几里得距离,将其相加求取各个客户端最终的平均值,之后求取各个客户端最终的平均值在当前轮次所占的比例,将其记为当前轮次的信誉值,和现有技术中防御方案不同的是,本专利技术在每轮筛选客户端的时候,都会将以往的信誉值作为参考的依据,从而达成过滤异常客户端的效果。
[0024]下面对本防御方法所应用的联邦学习框架进行介绍。
[0025]本专利技术所应用的场景为联邦学习中的后门攻击的防御。联邦学习是一种分布式的机器学习框架,由一个更新全局模型的中央服务器S和C个本地客户端组成。本地客户端包括诚实客户端和异常客户端,中央服务器更新的轮次由T表示,T主要和全局模型的准确度有关,当准确度不再上升的时候,这个时候训练就可以结束,一般认为上下波动幅度较小的时候,也可以考虑结束。在每轮训练中轮次t属于{1、
…
、T},本地客户端c属于{1、
…
、C},各个本地客户端接收服务器S发送的全局模型来训练自己本地的私有数据集D
k
,然后更新自己本地的局部模型,最后将更新的局部模型发送给中央服务器。中央服务器会将多个
客户端进行聚合更新全局模型目前最主流的聚合算法就是联邦平均算法,主要利用的是将收集来的各客户端的模型根据各样本方的数量进行加权平均,之后得到新一轮的全局模型。如公式1所示:
[0026][0027]代表在t轮次中,第k个客户端更新的本地模型,之后再服务器端进行全局聚合,更新t轮次的全局模型联邦学习体系结构如图1所示。
[0028]正是由于联邦学习分布式的特性,各个本地客户端都可能是后门攻击的发起者,多个攻击者通过上传通过训练中毒数据得到的局部模型,以此达到破坏全局模型的目的。对于后门攻击来说,只会影响被攻击者设置过的特定触发器的类别的性能,不会影响联邦学习系统的主体性能,所以后门攻击很难被检测出来。在后门攻击中,攻击者主要通过将原始数据的一小部分修改为一个触发器(一般为白色方块或者水印),然后将其生成攻击者想要的类别。图2展示了联邦学习中后门攻击的整个流程。
[0029]图2的上半部分展示了没有任何攻击者的联邦学习过程,图2的下半部分展示了联邦学习中遭到后门攻击的过程。攻击者在本地训练过程中会将带有后门的触发器注入到训练集中,之后会向服务器提交扩大一定倍数的局部模型,因为如果不将自己的局部模型扩大一定倍数,那么在整体模型聚合的过程中会平均攻击者所提交的局部模型的参数,致使攻击效果弱化。因此攻击者为了保证攻击效果,和正常参与者所提交的局部模型是存在较大差异。对于经典的后门攻击,首先假设模型聚合目前发生在第t轮,G
t
表示t轮聚合后的全局模型,表示t+1本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种联邦学习中后门攻击的防御方法,该方法应用于联邦学习框架,所述联邦学习框架包括一个服务器端和n个客户端,所述服务器会进行T次更新轮次,每次更新轮次中,各个客户端接收服务器发送的全局模型来训练自己本地的私有数据集,然后更新自己本地的局部模型,最后将更新的局部模型发送给中央服务器,中央服务器会将多个客户端进行聚合更新全局模型,T为整数,其特征在于,所述方法包括如下步骤:步骤一:设定M1、
…
、M
n
分别为客户端1
……
、客户端n的模型参数,进行t0‑
1次更新轮次,每次更新选择其中部分客户端,t0为预定值;步骤二:开始新一次更新轮次,随机选择部分客户端,中央服务器S计算选中的各个客户端两两之间的欧几里得距离距离;并计算各个客户端的欧几里得距离在当前轮次中所有客户端的欧几里得总距离中所占的百分比,将对应结果记为当前轮次中该客户端的信誉值;步骤三:重复执行步骤二,直到完成所有轮次更新;步骤四:计算各个客户端的累计信誉值,根据各个客户端从t0轮次开始被选中的次数,计算平均信誉值;步骤五:根据各个客户端的平均...
【专利技术属性】
技术研发人员:叶俊,苏龙,郭祯,安方林,刘志聪,贾东方,
申请(专利权)人:海南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。