买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：贵州师范大学

摘要：一种图像分类领域中联邦学习场景下的成员推理攻击方法，包括：1制作所需的有毒数据并混入目标的数据集之中；2在当攻击者作为中心聚合服务器或者攻击者作为本地训练客户端的两种情况下，凭借自身手段获得用于生成推断数据的模型参数；3利用影子数据集训练影子模型；4用影子模型产生的数据训练攻击用二分类器；5用该攻击用二分类器对目标模型实施成员推理攻击。本发明使用投毒攻击对目标模型产生影响，后在不同的训练轮次中对总体或者目标模型的模型参数进行提取，利用影子数据训练影子模型来模拟目标模型训练过程中的参数生成，利用影子模型产生的数据来训练用于攻击的二分类器，用该分类器来成功实施攻击。

主权项：1.一种图像分类领域中联邦学习场景下的成员推理攻击方法，通过使用投毒攻击以及序列置信度数据的方法在联邦学习的场景下实施攻击；首先引导目标客户端下载致使目标客户端的本地数据受污染的图片，即使用少量受污染数据集使目标模型发生一定程度的过拟合；其次在联邦学习的过程之中利用提取目标模型的参数并生成序列置信度用于推断的方法来成功实施攻击，包括了以下步骤：步骤1、生成受污染的图像数据集；步骤2、在联邦学习框架下进行模型的训练，与此同时攻击者在训练的过程中收集目标模型的训练参数；步骤3、利用攻击者自带的影子数据集对影子模型进行训练来模拟出目标模型的模型参数，并利用该参数训练用于成员推理攻击的二分类器；步骤4、利用目前主流的数据集CIFAR10、CIFAR100、MNIST、Fashion-MNIST在目前主流的网络模型ResNet18、AlexNet、MobileNetV2、InceptionV3上实施攻击以测试攻击性能；其特征在于：更具体的步骤为：步骤1具体为，使用标签反转攻击对目标数据集进行投毒攻击，在攻击开始时，从Dshadow中提取出b张c类的图像，对于每个样本x,c，将它们的标签c更改为任意标签i，生成数据x,c且i≠c并组成Dattack，然后将这个转换后的数据集与原始训练数据集Dtrain合并在一起，得到实施攻击用的最终训练数据集Dpoison；步骤2具体为，在测试的过程中，当攻击者作为中心服务器以及当攻击者作为本地客户端时都会使用多个不同全局训练轮次下的模型参数实施攻击；当中心服务器充当攻击者时，其会在特定的训练轮次单独保存目标客户端的模型参数作为攻击使用的模型参数；而当本地客户端作为攻击者时，其会将特定训练轮次中中心服务器下发的经过聚合的模型参数作为攻击所使用的模型参数进行保存；步骤3具体为，利用与目标训练数据集拥有相同的类别但是不同实例的影子数据集在与目标模型拥有相同架构的影子模型中进行训练；之后利用影子模型生成的序列置信度数据训练所选中的攻击二分类器，并且根据其对序列置信度数据生成的判别数据进行阈值判别最终得出成员以及非成员信息的攻击结果；步骤4具体为，分别在使用ResNet18、AlexNet、MobileNetV2、InceptionV3这几种主流的神经网络模型作为预训练模型的联邦学习场景下利用了几个主流的数据集CIFAR10、CIFAR100、MNIST、Fashion-MNIST进行了攻击效果测试。

全文数据：

权利要求：

百度查询： 贵州师范大学 图像分类领域联邦学习场景下的成员推理攻击方法