【技术实现步骤摘要】
本专利技术涉及联邦学习,尤其涉及一种基于联邦学习水印模型安全的验证方法及相关组件。
技术介绍
1、随着人工智能相关技术的广泛应用以及分布式学习和大数据赋能的发展,“数据不动模型动”的联邦学习框架逐渐成为多方合作训练模型的新范式,成功打破数据孤岛、保护数据隐私,在医疗、金融经济和个性化推荐系统等隐私敏感型行业中有着广泛的应用。尽管与集中式学习相比,联邦学习的数据隐私水平已有所提高,但模型中间参数(如梯度、权重和偏置)仍会泄露客户的隐私,某些不法分子能够反推出用户的原始数据,造成隐私泄露、模型窃取等问题,因此从模型安全角度,进一步防止联邦学习模型的非法复制或滥用变得更加迫切。
2、数字水印最早是用于嵌在需要保护数据中的数字信号,同时不影响原数据的可用性,水印技术可用于版权保护,数据追踪。现有技术中将水印嵌入需要被保护的联邦学习模型中,并用来保护联邦学习模型。当客户端(模型所有者)发现有疑似被窃取的模型时,就可以通过激活模型中隐藏的水印来应对版权纠纷,保证自己的权益。但是可能遇到的威胁主要归结为两类:一类是外部节点通过参数微调、剪枝等手段对模型进行外部攻击,试图移除水印进而获得模型使用权;另一类是非诚信客户端所有权泛化,此类客户端使用本地触发集作为水印嵌入到其他已训练好的模型中,试图利用联邦模型水印泛化的能力通过所有权验证。
3、因此,如何抵御上述两类威胁、设计一个可信的联邦模型安全验证方案成为亟待解决的问题。
技术实现思路
1、本专利技术提供一种基于联邦学习水印
2、本专利技术提供一种基于联邦学习水印模型的安全验证方法,应用于基于联邦学习水印模型的安全验证系统的服务器,所述系统包括一个服务器和多个客户端;所述方法包括:确定水印触发集,并将所述水印触发集分发至多个所述客户端;所述客户端本地存有本地触发集;在所述客户端检测可疑api为所述联邦学习水印模型的非法副本的情况下,接收所述客户端的所有权验证请求,所述所有权验证请求中包括所述本地触发集;根据所述本地触发集进行可疑api的所有权初步验证;在所述所有权初步验证通过的情况下,根据所述水印触发集进行所述可疑api的多级所有权验证。
3、根据本专利技术提供的一种基于联邦学习水印模型的安全验证方法,所述确定水印触发集,包括:接收多个所述客户端的本地触发集;将多个所述本地触发集进行水印预处理,生成水印触发集;所述水印预处理为去冲突水印处理和水印分级处理。
4、根据本专利技术提供的一种基于联邦学习水印模型的安全验证方法,所述将所述水印触发集分发至多个所述客户端,包括:从所述水印触发集中依次不放回抽取若干个触发样本形成多个水印触发子集;多个所述水印触发子集分为多个级别;基于预设分发策略,将多个所述水印触发子集分发至多个所述客户端。
5、根据本专利技术提供的一种基于联邦学习水印模型的安全验证方法,所述水印触发集和所述本地触发集拼接后的数据用于训练所述联邦学习水印模型,完成联邦水印嵌入。
6、根据本专利技术提供的一种基于联邦学习水印模型的安全验证方法,所述根据所述本地触发集进行可疑api的所有权初步验证,包括:将所述本地触发集输入至所述可疑api,得到输出的水印标签;根据所述输出的水印标签和所述触发集的真实标签确定水印检测率和假设检验结果参数;在所述水印检测率和所述假设检验结果参数满足预设条件的情况下,所述所有权初步验证通过;在所述水印检测率和所述假设检验结果参数不满足预设条件的情况下,所述所有权初步验证不通过。
7、根据本专利技术提供的一种基于联邦学习水印模型的安全验证方法,所述根据所述水印触发集进行所述可疑api的多级所有权验证,包括:根据所述水印触发集确定验证水印集,所述验证水印集作为所述可疑api的输入,所述验证水印集为从所述水印触发集中选取的预设数量的水印触发子集;将所述验证水印集按照预设级别顺序输入至所述可疑api,并进行所述水印检测率和所述假设检验结果参数计算,得到所有权验证级别,以完成所述多级所有权验证。
8、本专利技术还提供一种基于联邦学习水印模型的安全验证装置,应用于基于联邦学习水印模型的安全验证系统的服务器,所述系统包括一个服务器和多个客户端;所述装置包括:水印触发集预处理模块,用于确定水印触发集,并将所述水印触发集分发至多个所述客户端;所述客户端本地存有本地触发集;请求接收模块,用于在所述客户端检测可疑api为所述联邦学习水印模型的非法副本的情况下,接收所述客户端的所有权验证请求,所述所有权验证请求中包括所述本地触发集;初步验证模块,用于根据所述本地触发集进行可疑api的所有权初步验证;多级验证模块,用于在所述所有权初步验证通过的情况下,根据所述水印触发集进行所述可疑api的多级所有权验证。
9、本专利技术还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述基于联邦学习水印模型的安全验证方法。
10、本专利技术还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述基于联邦学习水印模型的安全验证方法。
11、本专利技术还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述基于联邦学习水印模型的安全验证方法。
12、本专利技术提供的一种基于联邦学习水印模型安全的验证方法及相关组件,基于联邦学习水印模型的安全验证系统包括一个服务器和多个客户端;首先服务器确定水印触发集,并将水印触发集分发至多个客户端;客户端本地存有本地触发集;当客户端检测可疑api为联邦学习水印模型的非法副本的情况下,服务器接收客户端的所有权验证请求,所有权验证请求中包括本地触发集;根据本地触发集进行可疑api的所有权初步验证;在所有权初步验证通过的情况下,根据水印触发集进行可疑api的多级所有权验证。本专利技术通过客户端和服务端双重验证能够更进一步提高所有权认证结果的可信度,既能抵御外部的水印抹除攻击,又能防止非诚信客户端的所有权泛化,提高了模型的鲁棒性。
本文档来自技高网...【技术保护点】
1.一种基于联邦学习水印模型的安全验证方法,其特征在于,应用于基于联邦学习水印模型的安全验证系统的服务器,所述系统包括一个服务器和多个客户端;
2.根据权利要求1所述的基于联邦学习水印模型的安全验证方法,其特征在于,所述确定水印触发集,包括:
3.根据权利要求1所述的基于联邦学习水印模型的安全验证方法,其特征在于,所述将所述水印触发集分发至多个所述客户端,包括:
4.根据权利要求1所述的基于联邦学习水印模型的安全验证方法,其特征在于,所述水印触发集和所述本地触发集拼接后的数据用于训练所述联邦学习水印模型,完成联邦水印嵌入。
5.根据权利要求1至4任一项所述的基于联邦学习水印模型的安全验证方法,其特征在于,所述根据所述本地触发集进行可疑API的所有权初步验证,包括:
6.根据权利要求5所述的基于联邦学习水印模型的安全验证方法,其特征在于,所述根据所述水印触发集进行所述可疑API的多级所有权验证,包括:
7.一种基于联邦学习水印模型的安全验证装置,其特征在于,应用于基于联邦学习水印模型的安全验证系统的服务器,所述
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述基于联邦学习水印模型的安全验证方法。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述基于联邦学习水印模型的安全验证方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述基于联邦学习水印模型的安全验证方法。
...【技术特征摘要】
1.一种基于联邦学习水印模型的安全验证方法,其特征在于,应用于基于联邦学习水印模型的安全验证系统的服务器,所述系统包括一个服务器和多个客户端;
2.根据权利要求1所述的基于联邦学习水印模型的安全验证方法,其特征在于,所述确定水印触发集,包括:
3.根据权利要求1所述的基于联邦学习水印模型的安全验证方法,其特征在于,所述将所述水印触发集分发至多个所述客户端,包括:
4.根据权利要求1所述的基于联邦学习水印模型的安全验证方法,其特征在于,所述水印触发集和所述本地触发集拼接后的数据用于训练所述联邦学习水印模型,完成联邦水印嵌入。
5.根据权利要求1至4任一项所述的基于联邦学习水印模型的安全验证方法,其特征在于,所述根据所述本地触发集进行可疑api的所有权初步验证,包括:
6.根据权利要求5所述的基于联邦学习水印模型的安全验...
【专利技术属性】
技术研发人员:邵苏杰,亓峰,王悦,杨超,李桐,刘岩,陈兴渝,孙峰,刘扬,杨舒钧,任帅,范维,陈剑,耿洪碧,陈得丰,杨智斌,刘芮彤,佟帅辰,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。