一种联邦学习中基于间隙的组混淆攻击方法技术

本发明专利技术公开了一种联邦学习中基于间隙的组混淆攻击方法，该方法包括以下步骤：步骤1)GGO攻击者首先逐元素测量两次迭代之间的间隙，得到局部元素更新变化大小；步骤2)攻击者根据间隙大小，判断不同元素重要性，从而定位某些重要元素；步骤3)攻击者使用特定攻击函数实现群体合谋，协作攻击步骤2)中所定位的重要元素，最终改变更新方向，破坏全局模型。该方法通过将背景设置为完全黑盒来拟合现实场景，控制更新差异，利用基于间隙的定位方法，从而提高GGO攻击成功率，优化GGO攻击性能，同时降低GGO攻击消耗成本。利用GGO攻击揭示现有联邦学习防御方法的脆弱性，赋能未来联邦学习安全应用系统的改造创新。用系统的改造创新。用系统的改造创新。

【技术实现步骤摘要】
一种联邦学习中基于间隙的组混淆攻击方法


[0001]本专利技术属于拜占庭式联邦学习防御攻击设置领域，尤其涉及一种联邦学习中基于间隙的组混淆攻击方法。

技术介绍

[0002]联邦学习是各种技术的基础设施，如移动无线设备、交通网络等。联邦学习的具体流程如图1所示，该过程由本地客户端下载全局模型、本地数据集训练模型、本地客户端上传本地模型、中央服务器聚合模型四部分组成。它的优势在于通过保护本地数据从而保护客户的隐私。然而，这样的特性也会导致恶意攻击者通过操作本地数据或参数来破坏全局模型。例如，一些恶意无线设备可以对移动网络注入异常参数，改变网络关键节点，最终导致整个网络的崩溃，这种攻击就是拜占庭式攻击。
[0003]目前研究人员提出了很多成功的防御策略来对抗拜占庭攻击，这些防御系统的侧重于过滤不可靠的本地更新或者通过拜占庭聚合技术删除一些更新坐标。例如，基于分数的防御系统设计不同分数函数来选择具有高可信度的更新，同时直接舍弃掉其它更新；而基于元素的防御系统使用数据统计方法剔除不可靠的元素。直观来看，这些防御系统选择的都是过滤方案。这些方案通常包含以下几项假设：首先，它们通常认为拜占庭异常更新与良性更新一定区别很大，如符号翻转攻击；其次，基于过滤的防御系统通常认为正常的更新大多相似；此外，拜占庭容忍防御系统通常平等对待所有局部更新，这便会导致客户端中非独立同分布数据更新的重要性被忽略。
[0004]之前的拜占庭攻击大多以白盒攻击为背景，并且充分利用白盒攻击特点。例如，有的攻击者通过控制异常更新与良性更新之间的差异，它们不断在本地更新中添加无法被检测到的轻微变化，最终累积分解模型；此外，有攻击者基于之前的假设，意图取良性更新的负均值来破坏模型更新方向。但若没有白盒攻击的假设，这些攻击很容易失败。然而在现实生活中，白盒攻击是不现实的。
[0005]综上所述，为了应对现实情况并提供有效性保证，本文提出了一种联邦学习中基于间隙的组混淆攻击方法，这种攻击与从前的白盒攻击不同，是在攻击者只能访问本地更新，而对良性客户端和服务器没有任何了解的背景下进行的，也称为黑盒攻击。基于此，本文所描述的GGO攻击者首先逐元素测量两次迭代之间的间隙，得到局部元素更新变化大小；攻击者根据间隙大小，判断不同元素重要性，从而定位某些重要元素；最后，攻击者使用特定攻击函数实现群体合谋，协作攻击所定位的重要元素，既为攻击函数提供最佳参数选择，从而优化GGO攻击性能，同时降低GGO攻击消耗成本。

技术实现思路

[0006]专利技术目的：针对以上问题，本专利技术提供一种联邦学习中基于间隙的组混淆攻击方法，构造基于联邦学习的完全黑盒攻击，根据应用特性和数据整合效果为攻击函数提供最佳参数选择，从而优化GGO攻击性能，同时降低GGO攻击消耗成本。
[0007]技术方案：为实现本专利技术的目的，本专利技术所采用的技术方案是：一种联邦学习中基于间隙的组混淆攻击方法，该方法包括以下步骤：
[0008](1)GGO攻击者首先逐元素测量两次迭代之间的间隙，得到局部元素更新变化大小；
[0009](2)攻击者根据间隙大小，判断不同元素重要性，从而定位某些重要元素；
[0010](3)攻击者使用特定攻击函数实现群体合谋，协作攻击步骤2)中所定位的重要元素，最终改变更新方向，破坏全局模型。
[0011]进一步的，步骤(1)中，GGO攻击者首先逐元素测量两次迭代之间的间隙，得到局部元素更新变化大小，方法如下：
[0012](101)GGO参数具体包括：(1)第t次迭代中第i个客户端的局部更新向量，记为w
t
；(2)第t次迭代中攻击者i的更新间隙，记为w
gap
；(3)第i个客户端的间隔，记为
[0013](102)GGO参数定义具体包括：(1)第t次迭代中攻击者i的更新间隙：w
gap
＝w
t+1
‑
w
t
；(2)由(1)中的定义可得：故第i个客户端的间隔可以用进行表示。
[0014]进一步的，步骤(2)中，攻击者根据间隙大小，判断不同元素重要性，从而定位某些重要元素，方法如下：
[0015](201)攻击者用间隙w
gap
判断不同元素重要性，从而定位某些重要元素。在不同场景，从不同的角度衡量更新元素的重要性，包括三种方法(1)基于阈值(2)基于符号(3)基于偏差。用表示对应的w
t+1
的第j个元素是重要的，会被攻击者污染。一般情况下，基于阈值的方法更受推荐；
[0016](202)方法一：基于阈值
[0017][0018]其中(w
gap
)和表示w
gap
和wt的第j个维度，γ表示阈值，d表示更新向量的维数。这种方法选择变化已经达到阈值的元素，适用于大多数情况；
[0019](203)方法二：基于符号
[0020][0021]其中sign(
·
)为符号函数，这种方法选择了方向变化的元素，在方向变化波动的更新过程中有效；
[0022](204)方法三：基于偏差
[0023][0024]其中σ是的标准偏差，这种方法选择了在标准差上保持变化的元素，与所有更新的标准偏差有关。当本地数据集分布严重非独立同分布时，它可能不适用。
[0025]进一步的，步骤(3)中，攻击者使用特定攻击函数实现群体合谋，协作攻击步骤(2)中所定位的重要元素，最终改变更新方向，破坏全局模型，方法如下：
[0026](301)从以下三个角度设计攻击函数：(1)GGO攻击者只攻击步骤(2)中所定位的重要元素；(2)GGO攻击时黑盒攻击，不受任何良性客户端影响；(3)通过基于间隙的定位方法，GGO攻击可以利用非独立同分布数据不平衡的重要性来攻破基于过滤的防御系统；
[0027](302)使用群函数g(.)来攻击步骤(2)中所定位的重要元素，攻击函数如下：
[0028][0029]其中δ为扰动权重，表示受攻击程度；f为拜占庭客户端总数；为攻击后收到的更新的防御结果；
[0030](303)于是一个GGO攻击者在第t次迭代中，它的本地更新结果w
t+1
如下式：
[0031][0032]其中符号
⊙
表示阿达玛的乘积；b
GGO
(
·
)表示拜占庭攻击方法；表示一个向量，记录了w
t+1
和w
t
之间间隙的重要性。
[0033]有益效果：与现有技术相比，本专利技术的技术方案具有以下有益技术效果：
[0034]1.GGO根据逐元素测量两次迭代之间的间隙，选定重要元素，且只攻击选定的元素，所以异常和良性更新之间的差异是可控的，从而提高GGO攻击成功率。
[0035]2.相较于之前的攻击普遍知道白盒信息，如某轮次参与更新的设备数量、服务器上的具体防御措施等，而GGO攻击者只能访问本本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种联邦学习中基于间隙的组混淆攻击方法，其特征在于，该方法包括以下步骤：(1)GGO攻击者首先逐元素测量两次迭代之间的间隙，得到局部元素更新变化大小；(2)攻击者根据间隙大小，判断不同元素重要性，从而定位某些重要元素；(3)攻击者使用特定攻击函数实现群体合谋，协作攻击步骤2)中所定位的重要元素，最终改变更新方向，破坏全局模型。2.根据权利要求1所述的一种联邦学习中基于间隙的组混淆攻击方法，其特征在于，步骤(1)中，GGO攻击者首先逐元素测量两次迭代之间的间隙，得到局部元素更新变化大小，方法如下：(101)GGO参数具体包括：(1)第t次迭代中第i个客户端的局部更新向量，记为w
t
；(2)第t次迭代中攻击者i的更新间隙，记为w
gap
；(3)第i个客户端的间隔，记为(102)GGO参数定义具体包括：(1)第t次迭代中攻击者i的更新间隙:w
gap
＝w
t+1
‑
w
t
；(2)由(1)中的定义可得：故第i个客户端的间隔用进行表示。3.根据权利要求2中所述的一种联邦学习中基于间隙的组混淆攻击方法，其特征在于，步骤(2)中，攻击者根据间隙大小，判断不同元素重要性，从而定位某些重要元素，方法如下：(201)攻击者用间隙w
gap
判断不同元素重要性，从而定位某些重要元素，在不同场景，从不同的角度衡量更新元素的重要性，包括三种方法(1)基于阈值(2)基于符号(3)基于偏差，用表示对应的w
t+1
的第j个元素是重要的，会被攻击者污染，(202)方法一：基于阈值其中(w
ga...

【专利技术属性】
技术研发人员：张伊扬，王贝伦，陈玉林，殷翔，
申请(专利权)人：东南大学，
类型：发明
国别省市：