本发明专利技术公开了一种联邦学习场景下后门攻击的图像分类方法,包括:1.定义模型梯度与触发器等准备工作;2.初始化本地模型梯度;3.后门客户端利用无梯度下降得到后门攻击前的最优触发器;4.后门客户端利用最优触发器进行数据重新插入后门,且在模型梯度掩码和距离目标函数的约束下进行梯度下降训练,得到后门客户端的图像分类模型梯度;5.正常客户端利用本地数据集进行梯度下降训练,得到图像分类模型梯度;6.中央服务器进行联邦聚合;7.获得最优梯度对应的后门攻击下的图像分类模型,用于实现图像分类。本发明专利技术提出了一种针对联邦学习场景的图像后门攻击方法,可有效在联邦分类模型中插入后门。通过避免模型参数冲突并规避现有防御机制的检测,该方法显著提升了后门攻击的持久性和隐蔽性,同时在图像分类任务中保持了高效的攻击效果。
【技术实现步骤摘要】
本专利技术属于联邦学习图像分类领域,具体的说是一种基于联邦学习的后门攻击场景下的图像分类方法。
技术介绍
1、随着信息化社会的不断发展,各行各业积累了海量的数据,由于技术、安全和监管的限制,私有数据无法有效的共享和聚集,形成一个个独立的数据孤岛,严重影响着机器学习的发展。因此,联邦学习技术应运而生。联邦学习作为一种新兴的分布式机器学习范式,它不需要将数据集中在一起,每个参与方在本地使用私有数据训练模型,并通过协作学习来提高全局模型的性能。联邦学习作为一种优秀的模型训练方法,目前在图像分类任务中已经广泛应用,例如在医学领域中,通过联邦学习训练出的医学图像分类模型,可以准确地识别出肿瘤、病变区域等关键信息,为医生提供重要的辅助诊断依据。
2、随着攻击方法的进步,联邦学习基于参与方模型训练和本地模型更新的特性使得容易遭受后门攻击。在图像分类任务中,后门攻击者通过操作多个参与方本地图像分类模型训练过程以达到攻击效果,当遇到特定的触发器时,它可能会导致错误的预测,同时保持正常样本的准确性。这些攻击利用联邦学习的聚合性质,在不同的本地模型之间损害模型完整性,而不容易被检测到。然而,联邦后门攻击在攻击停止后随着轮次的增加而变得逐渐失去效果,并且普通的联邦后门攻击不能突破先进的防御检测。这会导致后门攻击插入中央服务器失败,导致攻击失败。
3、综上所述,联邦学习图像分类领域中,一旦后门攻击停止,联邦后门会逐渐失去作用;在越来越多的联邦后门检测技术的出现,联邦后门不容易插入到中央服务器中,图像后门攻击的隐蔽性也面临着挑战。</p>
技术实现思路
1、本专利技术是为了解决上述现有技术存在的不足之处,提出一种基于联邦学习的后门攻击场景下的图像分类方法,以期能提高联邦学习图像分类的后门的隐蔽性和持久性。
2、本专利技术为达到上述专利技术目的,采用如下技术方案:
3、本专利技术一种基于联邦学习的后门攻击场景下的图像分类方法的特点在于,应用于由1个中央服务器、个正常客户端和个后门客户端所组成的网络环境中,所述中央服务器中存储有带有标签的测试图像数据集,其中,为第个测试图像,,c为测试图像的总数,个正常客户端和个后门客户端分别存储有带标签的本地图像数据集,k为个正常客户端和个后门客户端各自的本地图像总数;其中,第个正常客户端的本地带标签的私有图像数据集记为,其中,为第个正常客户端中的第个本地图像,为的标签;第个后门客户端的本地带标签的私有图像数据集记为,其中,为第个后门客户端存储的第个本地图像,为的类别标签;所述图像后门攻击方法包括以下步骤:
4、步骤1.定义当前轮次为,初始化,定义为任一正常客户端的序号,定义为任一后门客户端的序号,,;
5、定义第个正常客户端的第轮本地图像分类模型的梯度为、第个后门客户端的第轮本地图像分类模型的梯度为;
6、假设从第轮开始后门攻击,定义中央服务器在第轮后门攻击下的图像分类模型的梯度为,定义第轮的触发器为;
7、步骤2.中央服务器将分别分发给个正常客户端和个后门客户端,从而初始化,;
8、步骤3.第个后门客户端利用对本地带标签的私有图像数据进行处理后,输入第个后门客户端第轮本地图像分类模型中进行第轮无梯度下降训练以优化,从而得到第轮的触发器;
9、步骤4.第个后门客户端利用对进行处理后,输入第个后门客户端的第轮本地图像分类模型中进行第轮梯度下降训练,得到第轮的梯度;
10、步骤5.第个正常客户端利用本地数据集对本地图像分类模型进行第轮梯度下降训练,得到第轮的梯度;
11、步骤6.中央服务器利用式(6)对m个正常客户端在第轮的梯度和m个后门客户端在第轮的梯度进行聚合,得到第轮后门攻击图像分类模型的梯度;
12、 (6)
13、式(6)中,表示聚合函数;
14、步骤7.将赋值给后,返回步骤2顺序执行,直到达到最大轮数,从而得到最优梯度对应的后门攻击下的图像分类模型;
15、步骤8.中央服务器利用最优梯度对应的后门攻击下的图像分类模型对c个测试图像进行预测,得到c个后门攻击下的预测类别标签。
16、本专利技术所述的一种基于联邦学习的后门攻击场景下的图像分类方法的特点也在于,所述步骤3包括:
17、步骤3.1.利用第轮的触发器对第k个图像样本进行预处理,得到预处理后的第k个图像样本,表示预处理后的第个本地图像,且;表示的类别标签;
18、步骤3.2. 第个后门客户端将输入第个后门客户端的第轮本地图像分类模型中进行处理,从而利用式(1)得到第轮的触发器;
19、 (1)
20、式(1)中,ψ为超参数,为范数;为优化函数。
21、进一步的,所述步骤4包括:
22、步骤4.1.利用式(2)对进行处理,得到再次预处理后的第个图像,从而得到本地带标签的再次预处理后的私有图像数据集;
23、 (2)
24、步骤4.2.定义本地训练的总轮次为,本地训练的当前轮次为,初始化,初始化第个后门客户端的第轮本地图像分类模型在第轮本地训练的梯度;
25、定义为第个后门客户端在第轮本地训练的距离目标函数,并初始化=0;
26、将第轮梯度对应的图像分类模型的多维向量进行一维展开后,得到向量参数的绝对值再进行升序排序,选取前若干个向量参数,记录其对应的图像分类模型中的位置标记为1,其余位置标记为0,从而得到作为图像分类模型的梯度掩码;
27、步骤4.3.第个后门客户端利用式(3)对第轮本地图像分类模型进行第e轮本地训练,得到第个后门客户端的第轮本地图像分类模型在第轮本地训练的梯度:
28、 (3)
29、式(3)中,为第个后门客户端的第轮本地图像分类模型的梯度在上进行第轮训练时的梯度下降函数,为第个后门客户端的第轮本地图像分类模型的梯度在本地数据集上进行第轮训练时的梯度下降函数,ρ代表超参数;
30、步骤4.4.按照式(4)计算第个后门客户端的第轮本地图像分类模型在第+1轮本地训练的目标距离函数;
31、 (4)
32、式(4)中,为第个后门客户端的第轮本地图像分类模型的梯度在本地数据集上进行第轮训练时的梯度下降函数,为余弦相似值函数,为第个后门客户端的第轮本地图像分类模型的梯度在本地数据集上进行第轮训练时的梯度下降函数,为范数,,,分别为3个超参数;
33、步骤4.5.将赋值给后,返回步骤4.3.中顺序执行,直至e>为止,从而将得到的第个后门客户端的第轮本地图像分类模型在第轮本地训练的梯度赋值给第个后门客户端的第+1轮本地图像分类模型的梯度。
34、进一步的,所述步骤5包括:
35、步骤5.1.初始化,初始化第个正常客户端的第轮本地图像分类模型在第轮本地训练的梯度;
36、步骤5.2.第个正常客户端将第k个图像样本输入第个正本文档来自技高网
...
【技术保护点】
1.一种基于联邦学习的后门攻击场景下的图像分类方法,其特征是,应用于由1个中央服务器、个正常客户端和个后门客户端所组成的网络环境中,所述中央服务器中存储有带有标签的测试图像数据集,其中,为第个测试图像,,C为测试图像的总数,个正常客户端和个后门客户端分别存储有带标签的本地图像数据集,K为个正常客户端和个后门客户端各自的本地图像总数;其中,第个正常客户端的本地带标签的私有图像数据集记为,其中,为第个正常客户端中的第个本地图像,为的标签;第个后门客户端的本地带标签的私有图像数据集记为,其中,为第个后门客户端存储的第个本地图像,为的类别标签;所述图像后门攻击方法包括以下步骤:
2.根据权利要求1所述的一种基于联邦学习的后门攻击场景下的图像分类方法,其特征是,所述步骤3包括:
3.根据权利要求2所述的一种基于联邦学习的后门攻击场景下的图像分类方法,其特征是,所述步骤4包括:
4.根据权利要求3所述的一种基于联邦学习的后门攻击场景下的图像分类方法,其特征是,所述步骤5包括:
5.一种电子设备,包括存储器以及处理器,其特征在于,所述存储器用于存储支持处理器执行权利要求1-4中任一所述后门攻击场景下的图像分类方法的程序,所述处理器被配置为用于执行所述存储器中存储的程序。
6.一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器运行时执行权利要求1-4中任一所述后门攻击场景下的图像分类方法的步骤。
...
【技术特征摘要】
1.一种基于联邦学习的后门攻击场景下的图像分类方法,其特征是,应用于由1个中央服务器、个正常客户端和个后门客户端所组成的网络环境中,所述中央服务器中存储有带有标签的测试图像数据集,其中,为第个测试图像,,c为测试图像的总数,个正常客户端和个后门客户端分别存储有带标签的本地图像数据集,k为个正常客户端和个后门客户端各自的本地图像总数;其中,第个正常客户端的本地带标签的私有图像数据集记为,其中,为第个正常客户端中的第个本地图像,为的标签;第个后门客户端的本地带标签的私有图像数据集记为,其中,为第个后门客户端存储的第个本地图像,为的类别标签;所述图像后门攻击方法包括以下步骤:
2.根据权利要求1所述的一种基于联邦学习的后门攻击场景下的图像...
【专利技术属性】
技术研发人员:陈得鹏,李梦雨,蒋啸,仲红,崔杰,
申请(专利权)人:安徽大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。