一种联邦学习领域的抵御后门攻击的方法和系统

技术领域

该技术属于计算机技术领域，具体涉及一种联邦学习领域的抵御后门攻击的方法和系统。

背景技术

近年来，随着各国隐私保护法案的陆续推出，个人数据隐私保护成为了全球范围内的重要议题。传统的集中式模型训练方法要求将所有参与方的数据集中到一个中心化的服务器进行模型训练，这引发了对数据隐私的担忧和法规限制。为了应对这一挑战，谷歌提出了一种新型的分布式机器学习技术——联邦学习。

联邦学习与传统的集中式模型训练方法有着显著的区别。在联邦学习中，模型的训练是在参与方的本地设备上进行的，而不需要将原始数据传输到中心服务器。参与方通过共享模型参数的加密更新来进行模型的训练和改进，而不必共享具体的个体数据。这种去中心化的训练方式极大地降低了对数据隐私的侵犯风险，并且减轻了来自隐私法案的压力。

然而，尽管联邦学习在数据隐私方面有优势，但研究表明它也容易受到后门攻击的影响。后门攻击是一种恶意攻击，攻击者通过操纵训练数据或模型参数，嵌入后门功能或漏洞，以在模型部署后触发特定行为。在联邦学习中，后门攻击可以通过模型投毒的方式来实施。当这些带有后门的模型更新与其他参与方的模型更新进行聚合时，全局模型将携带后门功能。这可能导致在实际系统中，当输入数据满足特定条件时，模型将执行意外的、恶意的操作，从而危及系统的安全性和可靠性。

因此，联邦学习下的攻防研究显得尤为重要，可以帮助解决联邦学习中的安全和隐私问题，提高联邦学习的实际应用价值。

发明内容

本发明要解决现有技术中存在的上述技术问题，提出了一种通过预测模型更新方向抵御联邦后门攻击的方法和系统。

为实现上述目的，本发明提供了一种联邦学习领域的抵御后门攻击的方法，服务器收集一部分干净数据作为服务器数据来源，并且使用这些数据预训练一个全局模型，并且记录模型预训练期间的模型更新量。预训练得到的模型可以使各个参与方首次参与联邦系统时即可获得较高的精度，而更新量则可用于训练一个循环神经网络模型，这个循环神经网络模型可以用于预测下一轮全局模型的更新方向。除此以外，服务器本地数据可以输入至当前轮次的模型中，得到的模型更新量也可以对模型更新方向进行一定的指导。

一种联邦学习领域的抵御后门攻击的方法，包括如下步骤：

S1：参与方和服务器通过各自的数据收集方式获取数据；

S2：服务器通过自身数据集预训练全局模型若干轮，记录下模型更新量和最终得到的预训练模型，并且使用模型更新量训练一个循环神经网络模型；

S3：参与方下载全局模型并且使用自身数据集训练若干轮，并且将更新量上传至服务器；

S4：首先，服务器接收各个参与方上传的更新向量后，使用循环神经网络模型预测模型更新方向，并对各参与方更新量评分；其次服务器将本地数据输入模型，得到的模型更新量与各参与方更新量对比并评分。服务器对双评分加权求和，将汇总评分低于阈值的客户端更新从本轮训练中排除；

S5：利用联邦平均算法聚合来自高评分客户端和服务器本地的模型更新得到新一轮的模型更新量，更新全局模型和循环神经网络模型，并且记录模型更新量；

S6：重复S3-S5的过程，直至模型收敛。

优选地，所述步骤S2具体包括：

S2.1：将模型更新扁平化后的向量用于训练一个循环神经网络模型。然而全局模型的更新扁平化得到的向量维度非常高，这导致了训练循环神经网络模型需要付出更加高昂的计算代价。从预训练过程中记录的模型更新量中顺序取出(n+1)轮次的模型更新量，将前n个轮次的模型更新量x扁平化后，组成一个扁平化向量组X∈R

X′＝X×W (1)

S2.2：将降维后的向量组输入循环神经网络模型，并且保证循环神经网络模型的输出向量

S2.3：循环神经网络模型选用可以是RNN、GRU、LSTM等，可自行调整。

优选地，所述步骤S4具体包括：

S4.1：服务器接收到各个参与方上传的更新向量后，首先将前n个轮次的模型更新量扁平化为向量X，输入至循环神经网络模型中，得到预测向量

S4.2：将各个参与方上传的更新向量单独右乘降维矩阵进行降维得到y，随后逐个与预测向量计算欧式距离，得到各个距离值distance

S4.3：将各个reward

S4.4：服务器模型将本地数据输入模型中，获得更新向量z，将该向量与各个客户端上传的模型更新向量逐个计算欧式距离，得到各个距离值distance

S4.5：将各个reward

S4.6：将各个参与方的两项分数进行加权求和，得到最终评分：

grade＝α×grade

α+β＝1 (10)

若参与方评分低于阈值δ，则认为其本轮上传的更新向量为恶意的，使其无法参与模型聚合。

本发明的第二个方面涉及实施本发明的一种联邦学习领域的抵御后门攻击的方法的系统，包括参数获取与处理模块、更新评分模块和联邦聚合模块；

所述参数获取与处理模块，用于收集并处理用作模型的参数，具体包括：参与方模型更新向量的获取，参与方评分计算。

所述更新评分模块，用于对各个参与方上传的模型更新进行评分，筛除低分的更新。

所述联邦聚合模块，各参与方在本地训练若干轮次后，上传其模型更新参数。服务器将高评分的更新参数与全局模型聚合获得新的全局模型重新发送给各个客户端。参与方更新模型继续下一批次的训练，直至模型收敛。

本发明的第三个方面涉及一种联邦学习领域的抵御后门攻击的装置，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，所述一个或多个处理器执行所述可执行代码时，用于实现本发明的一种联邦学习领域的抵御后门攻击的方法。

本发明的第四个方面涉及一种计算机可读存储介质，其特征在于，其上存储有程序，该程序被处理器执行时，实现本发明的一种联邦学习领域的抵御后门攻击的方法。

本发明的优点，与现有技术相比，本申请的技术方案的有益效果是：利用循环神经网络模型和服务器本地数据预测更新，筛除了恶意参与方上传的模型更新，从而保护了全局模型不受恶意参与方的影响，使其能更好地完成节点分类，链路预测等任务。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明方法的框架图；

图2为本发明方法的总流程图；

图3为本发明的系统结构示意图。

具体实施方式

现详细说明本发明的多种示例性实施方式，该详细说明不应认为是对本发明的限制，而应理解为是对本发明的某些方面、特性和实施方案的更详细的描述。

应理解本发明中所述的术语仅仅是为描述特别的实施方式，并非用于限制本发明。另外，对于本发明中的数值范围，应理解为还具体公开了该范围的上限和下限之间的每个中间值。在任何陈述值或陈述范围内的中间值以及任何其他陈述值或在所述范围内的中间值之间的每个较小的范围也包括在本发明内。这些较小范围的上限和下限可独立地包括或排除在范围内。

除非另有说明，否则本文使用的所有技术和科学术语具有本发明所述领域的常规技术人员通常理解的相同含义。虽然本发明仅描述了优选的方法和材料，但是在本发明的实施或测试中也可以使用与本文所述相似或等同的任何方法和材料。本说明书中提到的所有文献通过引用并入，用以公开和描述与所述文献相关的方法和/或材料。在与任何并入的文献冲突时，以本说明书的内容为准。

在不背离本发明的范围或精神的情况下，可对本发明说明书的具体实施方式做多种改进和变化，这对本领域技术人员而言是显而易见的。由本发明的说明书得到的其他实施方式对技术人员而言是显而易见得的。本申请说明书和实施例仅是示例性的。

关于本文中所使用的“包含”、“包括”、“具有”、“含有”等等，均为开放性的用语，即意指包含但不限于。

本发明中所述的“份”如无特别说明，均按质量份计。

实施例1

本实施例涉及应用本发明提供一种联邦学习领域的抵御后门攻击的图片分类方法，如图1所示，其步骤包括：

步骤S1：参与方和服务器通过各自的数据收集方式获取数据；

具体为：在一种图片分类任务的应用场景下，以手写数据集mnist为例，联邦学习的任务为训练一个全局模型，能够对各个手写数字进行正确的分类，属于图片分类任务。各参与方和服务器以各种方式获取mnist手写图片，并且将其中图片作为自身本地数据集。由于获取数据的方式不尽不同，允许参与方和服务器之间存在重合的图片。此处选取十个具有一定数据量的参与方参与联邦学习，十个参与方之间共有10种标签类型的手写图片，并且各不相同。各个参与方各标签的图片数量如下表所示：

服务器各标签的图片数量如下表所示：

步骤S2：服务器通过自身数据集预训练一个全局模型用于图片分类任务，并且记录模型更新量以训练一个循环神经网络模型，此处循环神经网络模型使用GRU模型；

步骤S3：为了展示防御算法的有效性，令9个参与方为恶意参与方。恶意参与方在源类标签数据上打上加号作为后门触发条件，并且将其标签改为目标类标签以污染自身本地数据集。恶意参与方通过这些被污染的数据集训练从服务器获得的全局模型，并且上传更新量对全局模型嵌入后门。而诚实客户端则依旧通过自身数据集对模型进行更新，并且上传更新量；

步骤S4：服务器接收到各个参与方上传，使用循环神经网络模型预测和服务器本地数据预测更新对各个参与方更新量进行评分，分数较低的参与方更新量将会被认定为恶意更新，并且排除出本轮的模型聚合过程；

步骤S5：利用联邦平均算法聚合得到新一轮的模型更新量，更新全局模型和循环神经网络模型，并且记录模型更新量；

步骤S6：重复S3-S5过程，直至模型收敛。

步骤S7：手写图片可以通过输入模型，得到各分类的预测概率，选取概率最高的分类标签作为图片的标签，以此达到分类的目的。

不同策略下的精度如下表所示：

其中后门攻击成功率指的是当源类标签的图片被加入了特定水印作为后门触发条件后被误分类为目标类标签的成功率，验证集精度指的是在原有验证集上的模型精度，源类标签精度指的是未被嵌入后门的源类图片分类精度。

本实施例采用的一种联邦学习领域的抵御后门攻击的方法，服务器收集一部分干净数据作为服务器数据来源，并且使用这些数据预训练一个全局模型，并且记录模型预训练期间的模型更新量。预训练得到的模型可以使各个参与方首次参与联邦系统时即可获得较高的精度，而更新量则可用于训练一个循环神经网络模型，这个循环神经网络模型可以用于预测下一轮全局模型的更新方向。除此以外，服务器本地数据可以输入至当前轮次的模型中，得到的模型更新量也可以对模型更新方向进行一定的指导。该方法额能够有效降低全局联邦模型的鲁棒性，防止联邦模型被恶意客户端污染，促进联邦学习的普及。

实施例2

本实施例涉及实本发明的一种联邦学习领域的抵御后门攻击的方法的系统，包括参数获取与处理模块、更新评分模块和联邦聚合模块；

所述参数获取与处理模块，用于收集并处理用作模型的参数，具体包括：参与方模型更新向量的获取，参与方评分计算。

所述更新评分模块，用于对各个参与方上传的模型更新进行评分，筛除低分的更新。

所述联邦聚合模块，各参与方在本地训练若干轮次后，上传其模型更新参数。服务器将高评分的更新参数与全局模型聚合获得新的全局模型重新发送给各个客户端。参与方更新模型继续下一批次的训练，直至模型收敛。

实施例3

本实施例涉及一种联邦学习领域的抵御后门攻击的装置，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，所述一个或多个处理器执行所述可执行代码时，用于实现本发明的一种联邦学习领域的抵御后门攻击的方法。

实施例4

本实施例涉及一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时，实现本发明的一种联邦学习领域的抵御后门攻击的方法。

以上所述的实施例仅是对本发明的优选方式进行描述，并非对本发明的范围进行限定，在不脱离本发明设计精神的前提下，本领域普通技术人员对本发明的技术方案做出的各种变形和改进，均应落入本发明权利要求书确定的保护范围内。