一种基于联邦学习的图分类任务中毒攻击方法

技术领域

本发明属于联邦学习对抗攻击研究领域，尤其涉及图网络模型应用在联邦学习领域的鲁棒性分析。

背景技术

图神经网络在很多领域都取得了成功，并衍生出在现实行业中的各种研究和应用。然而，在一些隐私敏感场景(如金融、医疗保健)中，由于分布式数据孤岛，集中式训练图神经网络模型面临着一定挑战。

联邦学习是一种新颖的分布式学习框架，可以让数千名参与者协同构建深度学习模型。为了保护训练数据的机密性，服务器和客户端之间的共享参数仅限于模型参数，是分布式图神经网络训练的合理解决方案。

然而图神经网络的黑盒特性导致其在安全性和稳定性上存在隐患。在传统的集中式任务上，即使给图神经网络添加一个微小的扰动，也会对模型的最终决策造成巨大影响；此外，联邦学习也像其他机器学习模型一样容易受到攻击，联邦学习任务也易因数据中毒攻击而造成性能下降。

发明内容

发明目的：为反映联邦学习下图网络的鲁棒性，设计了不同的对抗分析方法，测试了联邦学习系统下图分类模型的鲁棒性。

技术方案：为实现上述目的，本发明采用的技术方案为：

一种基于目标攻击的鲁棒性分析，包括以下步骤：

步骤1)设置联邦学习框架参数，设置为50个参与者，一个中央服务器，并随机划分数据集到不同的客户端。

步骤2)确定本地模型，并设置本地模型参数。

步骤3)确定本轮联邦学习任务中参与训练的N个参与者，每个参与者拥有其本地数据集和本地模型。

步骤4)通过随机指定m个参与者为恶意客户端，其余部分为良性客户端，所有客户端都参与模型的参数更新。

步骤5)为本次参与训练的数据集实行标签翻转攻击设置，代表了对抗性攻击的不同条件。

有益效果：

1)本发明提出针对联邦图学习模型的对抗。使用目标中毒攻击测试了联邦学习框架下图分类任务的鲁棒性

2)本发明过对抗攻击实验验证了图分类任务在联邦学习模式下的脆弱性，在遭到恶意攻击者的破坏下，模型的性能会大幅下降，验证了了模型在训练阶段和测试都会因攻击者对客户端的恶意中毒破坏从而导致模型的性能大幅下降。

附图说明

图1为本发明方法具体实施流程图；

图2为本发明方法的总体结构图

图3为本发明方法本地客户端模型的结构图；

图4为本发明使用的无攻击模型准确率示意图；

图5为本发明使用的攻击后模型准确率示意图。

具体实施方式

本发明给出了可解释的基于联邦学习下图分类任务的中毒攻击方法实施用例，为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明：

本发明方法具体实施流程图如图1所示，其过程如下：

步骤1)设置联邦学习框架参数，设置参数聚合算法，设置为50个参与者，一个中央服务器，并随机划分数据集到不同的客户端。其中联邦学习算法的参数聚合方式如下：

对于一个回合t，服务器向所有客户端发送共享的全局模型参数w

图2是联邦学习框架的整体架构，每个客户端都拥有本地的图神经网络模型。

步骤2)设置本地图神经网络模型，每个模型架构一致。如图3所示，图神经网络一般采取领域聚合方式来学习节点特征X

步骤3)确定本轮联邦学习任务中参与训练的N个参与者，每个参与者拥有其本地数据集和本地模型。

步骤4)通过随机指定m个参与者为恶意客户端，其余部分为良性客户端，所有客户端都参与模型的参数更新。

步骤5)为本次参与训练的数据集实行标签翻转攻击设置，代表了对抗性攻击的不同条件。其中攻击设置依据数据集的不同而更改。

本发明在三个数据集上进行了种模型的对抗训练，最终准确率对比结果如图 4和图5所示，本发明提出的目标攻击方法能有效的降低模型的准确率。

参考文献

[1]Baracaldo,N.,Chen,B.,Ludwig,H.,Safavi,J.A.:Mitigating poisoningattacks on machine learning models:A data provenance based approach.In:10thACM Workshop on Artificial Intelligence and Security.pp.103–110(2017)

[2]Bhagoji,A.N.,Chakraborty,S.,Mittal,P.,Calo,S.:Analyzing federatedlearning through an adversarial lens.In:International Conference on MachineLearning. pp.634–643(2019).

[3]Fang,M.,Cao,X.,Jia,J.,Gong,N.Z.:Local model poisoning attacks tobyzantine-robust federated learning.In:To appear in USENIX Security Symposium(2020).

[4]Fang,M.,Yang,G.,Gong,N.Z.,Liu,J.:Poisoning attacks to graph-basedrecom- mender systems.In:Proceedings of the 34th Annual Computer SecurityApplica- tions Conference.pp.381–392(2018).

[5]Khazbak,Y.,Tan,T.,Cao,G.:Mlguard:Mitigating poisoning attacks inprivacy preserving distributed collaborative learning(2020).