本发明专利技术提供了基于日蚀策略的群体学习模型后门可传播性度量方法,包括:验证者遍历群体学习网络的各个节点,通过日蚀策略将其中数据贡献率最高的网络节点屏蔽;以使本地节点上参与训练的良性数据集中毒,生成中毒模型参数;参与模型训练的所有节点均上传本地模型参数,通过预设的选举算法随机产生的领导者下载所有参与者的参数文件并使用平均聚合算法合并;使得后门传播至此前未被投毒的良性节点上;调节日蚀策略的作用范围,观测群体学习中模型后门的传播特性。本发明专利技术提出的技术方案,不仅验证了后门攻击在群体学习场景下的可传播性,还对其传播速度、传播路径进行度量,为提高对模型后门威胁性的认知以及增强人工智能安全意识提供支撑。安全意识提供支撑。安全意识提供支撑。
【技术实现步骤摘要】
基于日蚀策略的群体学习模型后门可传播性度量方法
[0001]本专利技术涉及网络安全领域,具体地,涉及一种基于日蚀策略的群体学习模型后门可传播性度量方法。
[0002]
技术介绍
[0003]随着数据大爆炸的到来,现实场景中出现了大量的边缘节点,同时以深度学习为代表的人工智能技术的演进使得边缘节点和终端设备能够参与到人工智能计算和决策中。受限于当代设备的计算能力和通信网络的流量,人们引入联邦学习来解决大数据集的数据量过大和隐私敏感的挑战。联邦学习允许用户在本地训练模型,只共享参数更新,从而确保数据隐私和更好的训练效果。然而,模型参数转移和增加训练迭代使联邦环境面临风险,并为对手开辟了新途径。其中后门攻击是最隐蔽的攻击之一,它使攻击者能够在模型中插入隐藏的后门,并通过触发一个简单的后门触发器来实现恶意行为。此外,使用中央服务器生成全局模型的集中式联邦学习框架使得攻击者可能利用它来推断参与者的私人信息。
[0004]基于区块链的联邦学习,也被称为群体学习,是解决上述问题的一种潜在方法。区块链具有分布式、透明、匿名、不变性、可追溯性和可扩展性的特点,可以在不同的网络实体之间建立合作信任,从而实现联邦学习的去中心化。群体学习将去中心化联邦学习与区块链相结合,可以安全地加入联盟成员,自主选举领导者,并快速合并模型参数。分布式联邦学习用于在没有中央参数服务器的情况下跨大量节点训练通用模型;区块链引入了防篡改的加密货币框架,为系统提供去中心化控制、可扩展性和公平性,使群体学习网络中的节点能够在不共享本地数据的情况下协同训练机器学习模型。因此,对于那些深度学习数据源分布广泛、需要传输和整合海量数据进行学习的应用,例如无线网络,群体学习在解决数据爆炸带来的运营效率和隐私保护方面具有无可比拟的优势。
[0005]然而,区块链的引入不仅未能解决现有后门攻击等威胁,反而促进了后门在不同参与者之间的传播。因此,尽管与联邦学习相比,群体学习具有更高的分布式大数据处理能力,但其安全威胁仍需要进一步关注和深入研究。无线通信网络场景下群体学习的每个阶段都面临着各种各样的攻击:在本地训练阶段,存在不可靠方或外部攻击者造成的数据中毒;本地训练生成的元数据在存储到区块链之前,可能会遭受日蚀攻击、分布式拒绝服务攻击、路由攻击和其他基于点对点网络的攻击;在参数合并期间,恶意参与者上传的中毒参数可能使全局模型生成后门。
[0006]研究发现,在区块链和联邦学习基础上构建的群体学习架构也容易遭受后门攻击。但对于后门攻击是否能在多个节点间传播,以及后门的传播速度、传播路径还缺乏深入的认知。基于上述分析,我们提出了一种基于日蚀策略的群体学习模型后门可传播性度量方法,能够验证并度量群体学习模型后门的可传播性。
[0007]
技术实现思路
[0008]本专利技术的目的是提供一种基于日蚀策略的群体学习模型后门可传播性度量方法。
[0009]根据本专利技术提供的基于日蚀策略的群体学习模型后门可传播性度量方法,包括如下步骤:步骤1:访问群体学习网络以确定数据贡献率最高的网络节点,通过日蚀策略将其屏蔽,从而阻止与其相连的本地节点上传本地训练模型参数;步骤2:将局部触发器随机分散地投向未被日蚀的即将参与训练的本地节点,以对本地训练数据集进行投毒,然后通过本地训练过程生成中毒的模型参数;步骤3:参与模型训练的所有节点均上传本地模型参数,包括良性模型参数和中毒模型参数,通过预设的选举算法随机产生的领导者下载所有参与者的参数文件并使用平均聚合算法合并,以创建中毒的包含群体学习全局模型参数的新文件,并向其他节点发出新文件可用的信号;步骤4:参与训练的每个节点下载中毒的全局模型参数值,并使用它们更新其本地模型,即中毒的全局模型参数分发至所有本地节点,使得后门传播至未被投毒攻击的良性节点。
[0010]步骤5:调节日蚀策略的作用范围,观测群体学习中模型后门的传播特性,包括传播速度、传播路径等。
[0011]优选地,步骤1中的日蚀策略为预处理步骤,作用对象为与具有最大数据集的本地节点相连的群体学习网络节点,该节点特征为数据贡献率最高;攻击目的为屏蔽目标节点、弱化节点参与度、提高投毒效率;作用方式为攻击者持续向目标节点发送恶意地址并迫使节点重启。
[0012]优选地,步骤2中的局部触发器是由一个全局触发器拆分成的三类及以上小型局部触发器,所有中毒数据只使用自己对应的那类局部触发器来毒害本地训练模型参数,而最终的攻击目标是使用全局触发器激活后门。
[0013]优选地,步骤3中的领导者是由预先确定的领导者选举算法选举产生的,使用星型拓扑,该领导者将使用所有参与者的 URI 信息,并通过下载来自各个参与者的参数文件启动参数合并步骤。
[0014]优选地,领导者合并所下载的参数文件除使用平均聚合算法外,亦可使用其他合并算法,如加权平均值、中值等聚合算法。
[0015]优选地,步骤4期间,领导者不断检查来自各个节点的更新完成信号,当发现所有合并参与者均发出完成信号后,领导者将合并本地验证指标数,以计算全局指标数,然后将同步步骤标记为完成。随后会将系统的当前状态与停止标准进行比较,如果满足停止标准,则群体学习过程将停止;否则,将重复步骤2
‑
4,直到满足标准为止。
[0016]优选地,本地节点完成更新后,利用其本地数据对包含更新参数值的模型进行评估,以计算各种验证指标,使用智能合约状态变量进行共享,并向网络发出信号,表明更新和验证步骤已完成。
[0017]优选地,对日蚀策略作用范围的具体调整方法是根据数据贡献率的大小对网络节
点进行排列,然后根据数据贡献率选取作用对象,然后观测模型后门的传播速度和传播路径。
[0018]与现有技术相比,本专利技术具有如下的有益效果:1、验证了群体学习面临的安全威胁,弥补了对群体学习安全性方面研究的不足。与传统的后门投毒与防御不同,本专利技术另辟蹊径地利用日蚀策略度量群体学习后门的传播特性,将为在时空尺度上构建高隐蔽后门攻防机制提供新思路。
[0019]2、本专利技术针对群体学习模型后门威胁提出了一种特定的可传播性度量方法,可以根据数据贡献率选取不同节点作为作用对象,从而测试模型后门的传播速度、传播路径。
[0020]3、本专利技术不仅验证了后门攻击在群体学习场景下的可传播性,还对其传播速度、传播路径进行度量,为提高对模型后门威胁性的认知以及增强人工智能安全意识提供支撑。
[0021]附图说明
[0022]通过阅读参照以下附图对非限制性实施例所作的详细描述,本专利技术的其它特征、目的和优点将会变得更明显:图1为特定日蚀策略下的群体学习模型后门植入与传播过程示意图;图2为群体学习分层架构及其可能遭受的后门攻击模型示意图图3为群体学习场景下模型后门可传播性的度量效果示意图。
[0023]具体实施方式
[0024]下面结合具体实施例对本专利技术进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本专利技术,但不以任何形式限制本专利技术。应当指出的是,对本领域的普通技术本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于日蚀策略的群体学习模型后门可传播性度量方法,其特征在于,包括:步骤1:验证者遍历群体学习网络的各个节点,并确定其中数据贡献率最高的网络节点,通过日蚀策略将其屏蔽,阻止与其相连的本地节点上传本地训练模型参数;步骤2:验证者将局部触发器随机分散地投向未被日蚀策略影响的用于参与模型训练的本地节点,以使本地节点上参与训练的良性数据集中毒,生成中毒模型参数;步骤3:参与模型训练的所有节点均上传本地模型参数,所述本地模型参数包括良性模型参数和中毒模型参数,通过预设的选举算法随机产生的领导者下载所有参与者的参数文件并使用平均聚合算法合并,以创建带有后门的群体学习全局模型参数的新文件,并向其他节点发出新文件可用的信号;步骤4:参与训练的每个节点下载带有后门的全局模型参数,并使用所述全局模型更新其本地模型,使得后门传播至此前未被投毒的良性节点上;步骤5:调节日蚀策略的作用范围,观测群体学习中模型后门的传播特性,所述传播特性包括传播速度、传播路径等。2.根据权利要求1所述的基于日蚀策略的群体学习模型后门可传播性度量方法,其特征在于,所述日蚀策略包括:持续向目标节点发送恶意地址以迫使所述目标节点重启,所述目标节点为与具有最大数据集的本地节点相连的群体学习网络节点,以屏蔽目标节点、弱化节点参与度、提高投毒效率。3.根据权利要求1所述的基于日蚀策略的群体学习模型后门可传播性度量方法,其特征在于,所述局部触发器包括由一个全局触发器拆分成的三类及以上小型局部触发器,所有中毒数据使用对应的那类局部触发器来毒害本地训练模型...
【专利技术属性】
技术研发人员:李高磊,伍军,杨铮,陈贝,申小朋,
申请(专利权)人:工博士机器人技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。