买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:南开大学
摘要:本发明提供一种基于历史信息的无目标模型中毒攻击动态联合学习防御框架,涉及针对联邦学习的中毒攻击技术领域。包括攻击部分和防御部分,第一部分是一个基于横向联邦学习的一个从无触发的MSA攻击派生的通用框架。它在不同的隐私策略之外表现出色,增强了隐秘性,并且即使在大规模场景中只有2%的攻击者,也会持续降低联邦学习模型的性能。此外,针对非目标模型攻击的存在,提出了基于历史信息的通用防御框架DynHisFL。该框架具有自适应能力,能够检测恶意参与者,并已在各种现有模型攻击方法上进行了有效性测试。最后,对近年来流行的通用数据集和设置进行了广泛的实验。通过比较各种特定于模型的统计度量来找到最合适的距离度量。
主权项:1.基于历史信息的无目标模型中毒攻击动态联合学习防御框架,其特征是:具体实施过程分为两部分,包括攻击部分和防御部分,攻击部分中:攻击者从服务器接收到第T-1轮的全局模型WT-1并开始使用干净的数据进行训练,在前向传播过程中,使用表示要被恶意攻击的模型的CNN层,其中表示要在第i个CNN层的全局T轮中的第T-1轮中被攻击的模型、设为CNN层中第i-1层到第i层的权重,为恶意对手进行错位攻击时第i-1层到第i层的权重偏差;攻击部分包括以下步骤:步骤1,洗牌:MSA需要交换卷积层中的第一层和第二层,这种交换然后以相同的顺序扩展到下面的卷积层和线性层,线性层反映了当前层和后续的层中的这些变化,以保持一致性: 步骤2,缩放操作:MSA通过将CNN层的参数乘以缩放因子来操作这些参数,并在下一层执行相应的缩减操作,目的是通过引入参数缩放β来破坏模型的反向传播,同时确保前向传播过程中输出结果的准确性, 步骤3,恶意梯度剪裁:利用交替训练模式,在恶意任务和良性任务之间交替进行,错综复杂地优化交替最小化过程,从而确保在被攻击模型内保持高精度, 恶意模型接收到服务器在第T轮发送的全局模型WT,通过计算恶意参与者接收到的所有全局模型来计算模型更新的最大值和最小值恶意参与者被训练为交替计算MSA经验模型参数和良性模型更新;防御部分中:利用历史模型更新信息进行动态聚类,在每一轮训练中,都会引入一个过滤过程,以识别并排除被标记为异常的模型,通过这种方法,能够处理动态攻击场景,即同时注入多个恶意模型,并拒绝它们参与当前一轮聚合,同时,在识别有毒模型时尽量减少误报,确保当前一轮模型聚合的可靠性;防御部分包括以下步骤:步骤1,在恶意参与者检测算法中采用了DyhisFL,服务器在T轮全局更新中获得数据集的全局模型,表示为WT,并将其发送给参与本轮更新的本地客户端,每个本地客户端根据每个batch都会执行一次本地更新变成wt+1←wt,经过T+1轮更新后得到的本地模型分别表示为然后发送回服务器;步骤2,在接收到T+1本地模型更新后,服务器会根据相应客户端的ID从上一轮中检索出相应的本地模型,包括良性模型和恶意模型 分别表示为然后,计算历史更新与本轮之间的分布变化量,计算公式如下: 步骤3,服务器会将所有客户的纵向变化值归一化为分数,即: 然后,根据客户的可疑分数对其进行聚类,为了确定最优的K-top大小,使用GapStatistics方法,k-means对置信度得分进行聚类,得到聚类后的聚类{Ci}和均值μ,计算所有的聚类 接着计算 然后计算 选择满足条件Gapk≥Gapk+1+s'k+1的最小k作为最优集群数,如果是,就代表里面具有一个以上的类别,计算每个聚类的平均轮廓系数 以验证K-top在确定聚类数量时的合理性和适应性;步骤4,如果簇值K大于1,则对所有进行二分类聚类,恶意分值较高的客户端聚类被标记为“恶意”,丢弃并排除在本轮聚类之外,随后,一组新的本地模型更新被添加进来,形成一个新的聚合组;步骤5,将另一个簇组成新的训练数据集,并执行正常的全局模型聚合,计算新一轮全局模型。
全文数据:
权利要求:
百度查询: 南开大学 基于历史信息的无目标模型中毒攻击动态联合学习防御框架
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。