CN115333825B

CN115333825B - 针对联邦学习神经元梯度攻击的防御方法

Info

Publication number: CN115333825B
Application number: CN202210955513.2A
Authority: CN
Inventors: 陈晋音; 刘嘉威; 郑海斌; 陈铁明
Original assignee: Zhejiang University of Technology ZJUT
Current assignee: Zhejiang University of Technology ZJUT
Priority date: 2022-08-10
Filing date: 2022-08-10
Publication date: 2024-04-09
Anticipated expiration: 2042-08-10
Also published as: CN115333825A

Abstract

本发明公开了一种针对联邦学***联邦学习。本发明方法在服务器端记录5个回合的参与者上传的梯度信息，统计神经元参数的变化趋势，计算每个用户每个神经元参数变化趋势，与其他用户该神经元参数变化趋势的Jaccard相似度，查找企图进行梯度攻击的恶意用户，一旦确定了恶意客户端，服务器将从记录的5个回合的梯度信息中剔除恶意用户，重新聚合生成新的全局模型，在保证联邦学习正常进行的情况下，提高学习***的安全鲁棒性。本发明能够检测哪一个是攻击者操控的客户端，并且通过模型回档的方式避免整个联邦学习***遭到毒害。

Description

针对联邦学习神经元梯度攻击的防御方法

技术领域

本发明属于面向联邦学习的防御领域，尤其涉及一种针对联邦学习神经元梯度攻击的防御方法。

背景技术

联邦学***均算法聚合新的全局模型。理论上全局模型比使用任何单个客户端的数据训练的模型具有更好的性能。因此联邦全局模型与每个客户端都有很高的相关性。

然而联邦学习***容易受到恶意客户端的攻击。中央服务器无法访问客户端的数据，因此无法验证来自客户端的模型更新，尤其是当***增加了安全聚合协议以进一步保护客户端的隐私时。实际上，恶意客户端可以向服务器发送任何更新，如果没有有效的保护来识别对神经网络学习权重的恶意更新，服务器很容易受到损害。

恶意客户端发送恶意模型到服务器是联邦学***均聚合，攻击者在几轮联邦学习后就能使全局模型中毒，相比于其他攻击方法，这种梯度投毒更加隐蔽。

发明内容

本发明的目的在于针对现有技术的不足，提供一种针对联邦学习神经元梯度攻击的防御方法。

本发明的目的是通过以下技术方案来实现的：一种针对联邦学习神经元梯度攻击的防御方法，包括：

(1)服务器调用全局模型，分发给各个客户端；

(2)客户端接收服务器下发的全局模型，并使用本地数据对全局模型进行训练，得到客户端梯度更新；

(3)客户端将梯度更新发送至服务器，服务器接收梯度更新；为每个客户端创建一个梯度存储器，存储设定轮数的客户端所上传的梯度信息，同时创建神经元梯度变化向量记录客户端i第a个神经元第b个参数的变化；i＝1～N，a＝1～A，b＝1～B；每次当前联邦学习回合数t达到设定轮数的倍数时，根据客户端梯度向量之间的广义Jaccard相似度，判断是否存在攻击者并找到攻击者客户端，一旦发现攻击者的存在，最近设定轮数的联邦学习将被作废，并重新聚合一个全局模型，发放到客户端；

(4)重复步骤(2)～(3)，直至联邦学习结束。

进一步地，步骤(1)包括：

联邦学习的训练目标：

其中，G(w)表示全局模型，w表示模型参数，R^d表示所有模型参数集合；N代表存在N个参与方，分别处理N个本地模型L_i(w)，每一方基于私有数据集进行训练，其中，数据集i样本数量a_i＝|D_i|，/>表示数据集i第j个数据样本以及相应的标签；

联邦学***均，以生成新的全局模型G^t+1：

进一步地，步骤(2)包括：

对于良性客户端来说，联邦学习参与者会在使用本地数据对服务器下发的全局模型进行正常训练，表示为：

其中，为数据样本，/>表示样本对应的样本标签；函数P为对应的训练优化函数，通过对数据的学习，可以得到当前轮t客户端i从数据中获得的模型梯度更新w_i；

对于攻击者客户端而言，在正常训练本地模型之外，在梯度更新上传阶段，攻击者会篡改梯度更新，具体为：

其中，表示攻击者的恶意篡改梯度；/>与w_i具有相同的网络结构，/>中非攻击目标的神经元参数值都为0，目标神经元参数值随着攻击者的攻击目的变化，得到中毒客户端梯度/>

进一步地，步骤(3)包括：

(3.1)如果当前联邦学习回合数t为设定轮数的倍数，将应用神经元参数中毒防御机制进行聚合；包括：

(3.1.1)计算所有联邦学习参与者相同梯度变化向量间的广义Jaccard相似度危险系数Dr_i、攻击者可能性Att_i；/>代表客户端i与客户端i’相同梯度变化向量之间的相似度，i＝1～N，i’＝1～N，i≠i’；

(3.1.2)判断是否存在攻击者；

存在Att_i大于攻击者可能性阈值时，服务器将该客户端i标记为攻击者，启动模型保护策略，并舍弃当前全局模型，为安全起见，从梯度存储器中调取最近设定轮数的联邦学习第一次接收到的客户端上传的梯度更新，其中不包括被标记为恶意客户端的梯度，重新聚合一个全局模型，并发放到客户端；

Att_i均小于等于攻击者可能性阈值时，不存在攻击者，直接执行步骤(3.2.2)；

(3.2)如果当前联邦学***均聚合；服务器聚合所有客户端的梯度更新得到全局模型；

(3.2.1)保存当前客户端梯度更新到梯度存储器；

(3.2.2)执行联邦平均聚合，获得新的全局模型，并发放到客户端。

进一步地，步骤(3.1.1)中，广义Jaccard相似度的，数学表达为：

式中，相似度JA是一个介于0到1之间的数，越接近1，说明相似度越高，反之相似度越低。

进一步地，步骤(3.1.1)中，危险系数Dr_i越高，代表该客户端越有可能是攻击者；

其中，函数1表示若满足条件，则返回值为1，若不满足条件则返回值为0。

进一步地，步骤(3.1.1)中，将危险系数Dr_i换算为攻击者可能性Att_i：

本发明的有益效果如下：

(1)本发明在联邦学习过程中及时分辨潜在攻击者，防止全局模型被毒害；

(2)本发明提高了联邦学习***的安全鲁棒性。

附图说明

图1为本发明针对联邦学习神经元梯度攻击的防御方法的示意图。

图2为本发明针对联邦学习神经元梯度攻击的防御方法的具体流程图。

具体实施方式

下面结合说明书附图对本发明的具体实施方式作进一步详细描述。

目前，联邦学习的应用领域越来越广泛，但随之而来的是多种不同的损害模型性能问题。例如，恶意客户端通过在每轮联邦学习中，修改上传到服务器的个别神经元的梯度，试图在几轮联邦学习后，操控联邦学习全局模型特定神经元的参数，达到模型投毒的目的，使联邦学习模型在特定任务上分类出错。

首先本发明先对最近出现的针对联邦学习的神经元梯度攻击进行深入的研究。针对神经元的梯度攻击是联邦学习所特有的，这是由于以下三个原因造成的：

1)联邦学习***的参与者众多，服务器难以分辨恶意攻击者；

2)由于联邦学习的隐私保护条例，参与者的本地数据和训练过程对服务器是不可见的，因此无法验证某个参与者更新的真实性；

3)由于联邦学习的固有特性，服务器的全局模型结构和所有客户端的模型结构是统一的。

另外一个已经被证实的问题是在深度学***性，甚至能够植入后门，因此联邦学习成为了针对神经元的梯度攻击者最喜爱的温床。作为发动梯度攻击的恶意客户端，他们在联邦学习的初始阶段就获得了本次联邦学习的模型结构，进而攻击者通过操控训练数据和模型等方法就能确定攻击者的攻击目标，即需要修改的目标神经元参数和数值；攻击者下一步要做的是设法使联邦学习全局模型的目标神经元参数值从正常值偏离到攻击者的目标值，本发明考虑攻击者采取最隐蔽的攻击方法：攻击者控制联邦学习恶意客户端适应本地数据正常训练模型，在客户端上传模型阶段，修改目标神经元参数，并且为了增加隐蔽性，攻击者并不会在一次联邦学习过程中大幅修改目标神经元参数值，而是将这一过程分散在多轮联邦学习过程中。

本发明针对水平联邦学***联邦学习中，不同良性客户端相同神经元参数之间的相似度随着联邦学习的进行是很高的，而攻击者为了达到攻击目标，神经元参数的相似度会降低，并标记相似度低的联邦学习参与者，通过计算所有神经元参数的相似度，找到所有神经元参数标记者的交集，就能够筛选出联邦学习的攻击者。

因此，本发明通过计算广义Jaccard相似度保证联邦学习的正常进行。首先，服务器在接收到5次客户端上传的模型后，对每个客户端的模型神经元的参数建立梯度向量和危险积分，计算每两个客户端梯度向量之间的广义Jaccard相似度，并将相似度低于0.3的客户端标记为潜在的攻击者，危险积分加1，当计算完所有的神经元参数值相似度，危险积分明显高于其他客户端的被当做攻击者，服务器使用保存的5次客户端梯度更新中的第一轮梯度重新聚合全局模型，当然，被标记为攻击者的客户端并不会参与全局模型的聚合。然后服务器将重新聚合的联邦全局模型下发到客户端，重新开始联邦学习。因此，一旦发现攻击者的存在，最近5次的联邦学习将被作废，但为了保障联邦学习的安全，这是值得的。

为了保护联邦学习的安全进行，本发明一种针对联邦学习神经元梯度攻击的防御方法，如图1所示，具体步骤如下：

(1)服务器调用全局模型，分发给各个客户端。

联邦学习的训练目标可以归结为一个有限的优化：

其中，G(w)表示全局模型，w表示模型参数，R^d表示所有模型参数集合；N代表存在N个参与方，分别处理N个本地模型L_i(w)，每一方基于私有数据集进行训练，其中，数据集i样本数量a_i＝|D_i|，/>表示数据集i第j个数据样本以及相应的标签。

联邦学***均，以生成新的全局模型G^t+1：

(2)客户端接收服务器下发的全局模型，并使用本地数据对全局模型进行训练，得到客户端梯度更新。

对于良性客户端来说，联邦学习参与者会在使用本地数据对服务器下发的全局模型进行正常训练，可以表示为：

其中，为数据样本，/>表示样本对应的样本标签；函数P为对应的训练优化函数，通过对数据的学习，可以得到当前轮t客户端i从数据中获得的模型梯度更新w_i。

但对于攻击者而言，在正常训练本地模型之外，在梯度更新上传阶段，攻击者会篡改梯度更新，具体可以概括为：

(3)如图2所示，客户端将梯度更新发送至服务器端，服务器接收梯度更新，判断当前联邦学习回合数t是否为5的倍数。防御机制将周期性的应用于联邦学习***，本发明方法将为每个客户端创建一个梯度存储器，存储5轮(设定轮数)用户所上传的梯度信息，同时创建神经元梯度变化向量记录客户端i第a个神经元第b个参数的变化，并假设每个客户端都有A个神经元,每个神经元B个参数。

(3.1)如果当前联邦学习回合数t为5的倍数，将应用神经元参数中毒防御机制进行聚合。

(3.1.1)计算所有联邦学习参与者相同梯度变化向量间的广义Jaccard相似度。

广义Jaccard相似度可以很好的反应两个集合间的相关性，数学表达为：

式中，代表客户端i与客户端i’相同梯度变化向量之间的相似度，i＝1～N，i’＝1～N，i≠i’；相似度JA是一个介于0到1之间的数，越接近1，说明相似度越高，反之相似度越低；当JA＜0.3(危险系数阈值)时，就认为两个梯度变化向量相关性很差。

然后，计算危险系数Dr_i(i＝1,2,…,N)，危险系数越高，代表该客户端越有可能是攻击者。

进一步，将危险系数换算为攻击者可能性Att_i：

(3.1.2)判断是否存在攻击者。

Att_i大于50％(攻击者可能性阈值)时，服务器将该客户端i标记为攻击者，启动模型保护策略，并舍弃当前全局模型，为安全起见，从梯度存储器中调取本5轮联邦学习第一次接收到的客户端上传的梯度更新，其中不包括被标记为恶意客户端的梯度，重新聚合一个全局模型，并发放到客户端。

Att_i均小于等于50％(攻击者可能性阈值)时，不存在攻击者，直接执行步骤(3.2.2)。

(3.2)如果当前联邦学***均聚合；服务器聚合所有客户端的梯度更新得到全局模型。

(3.2.1)保存当前客户端梯度更新到梯度存储器。

(4)重复步骤(2)～(3)，直至模型收敛或达到最大学习轮数，联邦学习结束。

本说明书实施例所述的内容仅仅是对发明构思的实现形式的列举，本发明的保护范围不应当被视为仅限于实施例所陈述的具体形式，本发明的保护范围也及于本领域技术人员根据本发明构思所能够想到的等同技术手段。

Claims

1.一种针对联邦学习神经元梯度攻击的防御方法，其特征在于，包括：

(1)服务器调用全局模型，分发给各个客户端；

其中，为数据样本，/>表示样本对应的样本标签；函数P为对应的训练优化函数，通过对数据的学习，得到当前轮t客户端i从数据中获得的模型梯度更新w_i；

其中，w_i表示攻击者的恶意篡改梯度；w_i与w_i具有相同的网络结构，w_i中非攻击目标的神经元参数值都为0，目标神经元参数值随着攻击者的攻击目的变化，得到中毒客户端梯度

(3.1.2)判断是否存在攻击者；

(3.2.1)保存当前客户端梯度更新到梯度存储器；

(3.2.2)执行联邦平均聚合，获得新的全局模型，并发放到客户端；

(4)重复步骤(2)～(3)，直至联邦学习结束。

2.如权利要求1所述针对联邦学习神经元梯度攻击的防御方法，其特征在于，步骤(1)包括：

联邦学习的训练目标：

联邦学***均，以生成新的全局模型G^t+1：

3.如权利要求1所述针对联邦学习神经元梯度攻击的防御方法，其特征在于，步骤(3.1.1)中，广义Jaccard相似度的，数学表达为：

4.如权利要求1所述针对联邦学习神经元梯度攻击的防御方法，其特征在于，步骤(3.1.1)中，危险系数Dr_i越高，代表该客户端越有可能是攻击者；

5.如权利要求1所述针对联邦学习神经元梯度攻击的防御方法，其特征在于，步骤(3.1.1)中，将危险系数Dr_i换算为攻击者可能性Att_i：