【技术实现步骤摘要】
一种新型联邦学习后门防御方法
[0001]本专利技术属于信息处理
,具体涉及一种新型联邦学习后门防御方法。
技术介绍
[0002]在机器学习中,在测试集上获得较高的准确率是一个模型的设计目标,但是后门攻击不会对全局模型的准确率造成影响,但会诱使全局模型对后门样本进行错误的分类。具体来说,攻击者根据触发器来创建毒样本,并用毒样本给用户来训练深度模型。训练完成后的模型在普通的干净样本中会产生正确的结果,但是当攻击者对样本进行触发器的嵌入后,样本会被模型误分类为攻击者指定的标签,而受害者并不会意识到模型已被破坏。在联邦学习中,攻击者可以通过添加攻击者制定的触发器(如加号等)并修改数据标签来创建后门数据。这种含有后门信息的数据与干净的数据一起参与本地模型的训练,在训练过程中,后门信息逐渐扩散到全局模型,最终导致全局模型中毒。
[0003]针对常见的几种攻击方式,目前的防御方式主要分为两种,一种是依靠限制模型的更新,将模型更新限制在可控的范围内,通过正规化或者处理异常数据来减轻恶意更新对模型的影响。这种方法的局限性在于它...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.一种新型联邦学习后门防御方法,其特征在于,包括将完整的神经网络模型分为两部分:特征提取器和分类器;假设神经网络模型中的特征提取器为FE,分类器为CL,那么在预测过程中,可得如下提取结果:y
′
=FE(x
i
)y
i
=CL(y
′
)其中,x
i
是用户i的本地数据,y
′
是模型的特征提取结果,y
i
是模型的预测结果;具体包括如下步骤:S1:服务器进行特征提取器初始化,并分发给全体用户;S2:用户获得服务器分发的特征提取器后,用分发的特征提取器与本地的分类器M
CL
组合成为本地模型M,使用本地数据D进行训练得到本地模型M,并将本地模型M中的特征提取器进行上传;S3:服务器获得步骤S2中用户上传的特征提取器,进行本地模型M的聚合,并将其分发至参与用户;S4:重复执行上述步骤S2与步骤S3,直至用户模型完全收敛,此时每个用户的本地模型就是该用户的最终模型。2.如权利要求1所述的一种新型联邦学习后门防御方法,其特征在于,在步骤S2中,在第t
‑
1次迭代完成后,用户获得了全局特征处理器G
t
技术研发人员:张健毅,金琪超,孙志,黎振奎,韩禹洋,项紫啸,
申请(专利权)人:北京电子科技学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。