申请/专利权人：浙江工业大学

申请日：2022-08-10

公开（公告）日：2024-04-09

公开（公告）号：CN115333825B

主分类号：H04L9/40

分类号：H04L9/40;G06N3/04;G06N3/098;G06N20/00

优先权：

专利状态码：有效-授权

法律状态：2024.04.09#授权;2022.11.29#实质审查的生效;2022.11.11#公开

摘要：本发明公开了一种针对联邦学习神经元梯度攻击的防御方法，基于强化学习的联邦系统偏见中毒防御，以保护模型免受梯度中毒攻击，可以应用于水平联邦学习。本发明方法在服务器端记录5个回合的参与者上传的梯度信息，统计神经元参数的变化趋势，计算每个用户每个神经元参数变化趋势，与其他用户该神经元参数变化趋势的Jaccard相似度，查找企图进行梯度攻击的恶意用户，一旦确定了恶意客户端，服务器将从记录的5个回合的梯度信息中剔除恶意用户，重新聚合生成新的全局模型，在保证联邦学习正常进行的情况下，提高学习系统的安全鲁棒性。本发明能够检测哪一个是攻击者操控的客户端，并且通过模型回档的方式避免整个联邦学习系统遭到毒害。

主权项：1.一种针对联邦学习神经元梯度攻击的防御方法，其特征在于，包括：1服务器调用全局模型，分发给各个客户端；2客户端接收服务器下发的全局模型，并使用本地数据对全局模型进行训练，得到客户端梯度更新；对于良性客户端来说，联邦学习参与者会在使用本地数据对服务器下发的全局模型进行正常训练，表示为： 其中，为数据样本，表示样本对应的样本标签；函数P为对应的训练优化函数，通过对数据的学习，得到当前轮t客户端i从数据中获得的模型梯度更新wi；对于攻击者客户端而言，在正常训练本地模型之外，在梯度更新上传阶段，攻击者会篡改梯度更新，具体为： 其中，wi表示攻击者的恶意篡改梯度；wi与wi具有相同的网络结构，wi中非攻击目标的神经元参数值都为0，目标神经元参数值随着攻击者的攻击目的变化，得到中毒客户端梯度3客户端将梯度更新发送至服务器，服务器接收梯度更新；为每个客户端创建一个梯度存储器，存储设定轮数的客户端所上传的梯度信息，同时创建神经元梯度变化向量记录客户端i第a个神经元第b个参数的变化；i＝1～N，a＝1～A，b＝1～B；每次当前联邦学习回合数t达到设定轮数的倍数时，根据客户端梯度向量之间的广义Jaccard相似度，判断是否存在攻击者并找到攻击者客户端，一旦发现攻击者的存在，最近设定轮数的联邦学习将被作废，并重新聚合一个全局模型，发放到客户端；3.1如果当前联邦学习回合数t为设定轮数的倍数，将应用神经元参数中毒防御机制进行聚合；包括：3.1.1计算所有联邦学习参与者相同梯度变化向量间的广义Jaccard相似度危险系数Dri、攻击者可能性Atti；代表客户端i与客户端i’相同梯度变化向量之间的相似度，i＝1～N，i’＝1～N，i≠i’；3.1.2判断是否存在攻击者；存在Atti大于攻击者可能性阈值时，服务器将该客户端i标记为攻击者，启动模型保护策略，并舍弃当前全局模型，为安全起见，从梯度存储器中调取最近设定轮数的联邦学习第一次接收到的客户端上传的梯度更新，其中不包括被标记为恶意客户端的梯度，重新聚合一个全局模型，并发放到客户端；Atti均小于等于攻击者可能性阈值时，不存在攻击者，直接执行步骤3.2.2；3.2如果当前联邦学习回合数t不为设定轮数的倍数，进行联邦平均聚合；服务器聚合所有客户端的梯度更新得到全局模型；3.2.1保存当前客户端梯度更新到梯度存储器；3.2.2执行联邦平均聚合，获得新的全局模型，并发放到客户端；4重复步骤2～3，直至联邦学习结束。

全文数据：

权利要求：

百度查询： 浙江工业大学 针对联邦学习神经元梯度攻击的防御方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD