CN115442103B

CN115442103B - 一种群体学习抗毒化攻击方法、***、设备及存储介质

Info

Publication number: CN115442103B
Application number: CN202211047585.3A
Authority: CN
Inventors: 刘智远; 熊虎; 严航; 姜毅; 刘韬
Original assignee: Chengdu DBAPPSecurity Co Ltd
Current assignee: Chengdu DBAPPSecurity Co Ltd
Priority date: 2022-08-29
Filing date: 2022-08-29
Publication date: 2024-05-31
Anticipated expiration: 2042-08-29
Also published as: CN115442103A

Abstract

本发明涉及人工智能和信息安全领域，具体地说，涉及一种群体学习抗毒化攻击方法、***、设备及存储介质，通过计算出第T‑1轮全局模型G^T‑1和第T轮本地模型之间的Pearson相关性ρ_x，y，并提高相关性高的本地模型在全局模型聚合中的权重，从而降低全局模型被毒化的概率，屏蔽恶意用户的本地模型，减少了其参与模型聚合的权重，从而解决了群体学习中恶意参与者使用毒化数据来破坏模型训练的精度问题。

Description

一种群体学习抗毒化攻击方法、***、设备及存储介质

技术领域

本发明涉及人工智能和信息安全领域，具体地说，涉及一种群体学习抗毒化攻击方法、***、设备及存储介质。

背景技术

随着分布式计算和机器学习的快速发展，对数据的需求也在不断的提高。但是，当前的数据合作同样遇到一些困境。例如，在跨机构数据合作过程中，企业、医院等数据提供者担心泄露用户数据隐私，导致数据合作受阻。传统的机器学习方法通过将所有的数据集中到中央服务器进行机器学习模型训练，但是这些数据可能包含用户的敏感信息，用户不想提供包含隐私信息的原始数据。为了解决这个问题，联邦学习FederatedLearning，FL于2016年由谷歌公司提出。FL允许用户使用本地数据库训练模型，用户可以直接上传训练好的本地模型而不是原始数据，这从根本上解决了由原始数据带来的隐私泄露问题。另一方面，由于用户只需要上传本地模型而不是大量原始数据，缓解了通信负担和服务器的计算开销。

目前，大多数联邦学习框架中均以服务器是诚实的这一假设为前提。但是，如果服务器是恶意的，就可以轻松获取参与者的梯度数据，并使用重构攻击来恢复参与者的原始数据。此外，恶意服务器可以修改聚合模型，从而影响到所有参与的客户端模型性能。为解决以上问题，群体学习SwarmLearning，SL被提出。SL是一种去中心化的联邦学习框架，使用区块链作为参与者本地模型上传、聚合和分发的工具，在参与者中动态地选举领导者来合并模型参数。此方法解决了联邦学习中中央服务器数据垄断的问题，并且提高了框架的健壮性。

然而，群体学习SL中的聚合算法均以各参与方是诚实的这一假设为前提。若参与方中出现恶意参与者，可以轻松修改本地数据并上传异常模型，通过服务器聚合算法污染全局模型，从而影响到所有参与的客户端模型性能。因此在众多参与方中检测恶意参与方，保证最终全局模型的性能，是去中心化联邦学习能否广泛应用的重要前提。

发明内容

本发明针对群体学习中恶意参与者使用毒化数据来破坏模型训练精度的问题，提出一种群体学习抗毒化攻击方法、***、设备及存储介质，通过计算出第T-1轮全局模型G^T-1和第T轮的本地模型之间的Pearson相关性ρ_x，y，并提高相关性高的本地模型在全局模型聚合中的权重，从而降低全局模型被毒化的概率，屏蔽恶意用户的本地模型，减少了其参与模型聚合的权重，从而解决了群体学习中恶意参与者使用毒化数据来破坏模型训练的精度问题。

本发明具体实现内容如下：

一种群体学习抗毒化攻击方法，包括以下步骤：

步骤1：从数据持有者节点获取身份信息进行身份认证，认证通过后将数据持有者节点作为群体网络中的边缘设备，并从群体网络中获取第T-1轮全局模型G^T-1；

步骤2：将从数据持有者节点获取的第T轮扰动数据调用SM9加密算法Enc()，得到加密后的第T轮加噪的本地模型，并发送至云平台。同时，云平台请求领导者节点发送第T-1轮扰动数据/>

步骤3：将从领导者节点获取的第T-1轮加噪的全局模型和步骤2得到的第T轮加噪的本地模型，计算出第T-1轮全局模型G^T-1和第T轮本地模型之间的Pearson相关性ρ_x，y；

步骤4：根据步骤3得到的Pearson相关性ρ_x，y，计算出聚合阈值参数μ_i，并发送至验证节点；

步骤5：根据步骤4计算的聚合阈值参数μ_i，生成本地模型请求指令，并发送至数据持有者节点；

步骤6：根据步骤5得到的本地模型请求指令，生成附加扰动的加密数据，并返回至验证节点；

步骤7：根据步骤6生成的附加扰动的加密数据，生成附加阈值参数的加密数据，并发送至领导者节点；

步骤8：根据步骤7生成的附加阈值参数的加密数据，生成聚合的全局模型，并上传至群体网络。

为了更好地实现本发明，进一步地，所述步骤2的具体包括以下步骤：

步骤21：根据从数据持有者节点获取的数据持有者节点在群体网络中生成的两个非零随机数和步骤1获取的第T-1轮全局模型G^T-1，训练本地数据集，得到第T轮本地模型G_i ^T，并将第T轮本地模型G_i ^T转换为第T轮扰动数据/>

步骤22：根据步骤21得到的第T轮扰动数据根据云平台的身份ID_CP，调用SM9加密算法Enc()，生成加密后的第T轮扰动数据/>

步骤23：将步骤22得到的加密后的第T轮扰动数据和加密后的第T-1轮扰动数据/>发送至云平台。

为了更好地实现本发明，进一步地，所述步骤3具体包括以下步骤：

步骤31：调用SM9解密算法Dec()，将加密后的第T轮扰动数据和加密后的第T-1轮扰动数据/>解密为第T轮扰动数据/>和第T-1轮扰动数据/>

步骤32：根据步骤31得到的第T轮扰动数据和第T-1轮扰动数据/>计算出数据持有者节点u_i第T轮本地模型/>和第T-1轮全局模型G^T-1之间的Pearson相关性ρ_x，y。

为了更好地实现本发明，进一步地，所述步骤4具体包括以下步骤：

步骤41：根据步骤32得到的Pearson相关性ρ_x，y，计算出聚合阈值参数μ_i，将聚合阈值参数μ_i和第T轮扰动数据聚合，得到聚合中间扰动数据/>

步骤42：将从云平台获取的验证节点的身份ID_CN和领导者节点的身份ID_LN，调用SM9加密算法Enc()，加密聚合阈值参数μ_i和聚合中间扰动数据得到加密后的聚合阈值参数||μ_i||和加密后的聚合中间扰动数据/>并将加密后的聚合中间扰动数据发送至领导者节点，将加密后的聚合阈值参数||μ_i||发送至验证节点。

为了更好地实现本发明，进一步地，所述步骤5的具体操作为：将从验证节点获取的加密后的聚合阈值参数||μ_i||，调用SM9解密算法Dec()，生成解密后的聚合阈值参数μ_i，并向数据持有者节点u_i发送本地模型请求指令。

为了更好地实现本发明，进一步地，所述步骤6具体包括以下步骤：

步骤61：根据接收的数据请求指令，将从数据持有者节点u_i获取的本地模型转换成本地模型扰动数据并生成噪声集合数据R_i；

步骤62：将从数据持有者节点u_i获取的基于验证节点的身份ID_CN和领导者节点的身份ID_LN，根据步骤61得到的本地模型扰动数据和噪声集合数据R_i，调用SM9加密算法Enc()，生成加密后的本地模型扰动数据/>和加密后的噪声集合数据||R_i||，并将加密后的噪声集合数据||R_i||发送至领导者节点，将加密后的本地模型扰动数据/>发送至验证节点。

为了更好地实现本发明，进一步地，所述步骤7的具体操作为：将从验证节点获取的加密后的本地模型扰动数据调用SM9解密算法Dec()，生成解密后的扰动数据/>聚合从验证者节点获取的聚合阈值参数μ_i和解密后的本地模型扰动数据/>得到解密后的聚合中间参数/>根据领导者节点的身份ID_LN和解密后的聚合中间参数/>调用SM9加密算法Enc()，生成加密后的聚合中间参数/>并发送到领导者节点。

为了更好地实现本发明，进一步地，所述步骤8的具体操作为：根据步骤7得到的加密后的聚合中间参数步骤42得到的加密后的聚合中间扰动数据/>步骤62得到的加密后的噪声集合数据||R_i||，调用SM9解密算法Dec()，得到解密后的聚合中间数据解密后的聚合中间扰动数据/>解密后的噪声集合数据R_i，根据从验证者节点获取的聚合阈值参数μ_i，得到第T轮的全局模型GT，并发送至所有的数据持有者节点进行下一轮训练。

为了更好地实现本发明，进一步地，基于上述提出的群体学习抗毒化攻击方法，提出一种群体学习抗毒化攻击***，包括身份认证单元、本地模型加密单元、相关性计算单元、聚合阈值参数单元、请求单元、扰动加密单元、阈值参数加密单元、聚合单元；

所述身份认证单元，用于从数据持有者节点获取身份信息进行身份认证，认证通过后将数据持有者节点作为群体网络中的边缘设备，并从领导者节点获取第T-1轮全局模型G^T-1；

所述本地模型加密单元，从数据持有者节点获取的第T轮扰动数据调用SM9加密算法Enc()，得到加密后的第T轮加噪的本地模型，并发送至云平台，云平台请求领导者节点发送第T-1轮扰动数据/>

所述相关性计算单元，用于根据从领导者节点获取的第T-1轮加噪的全局模型和步骤2得到的加密后的第T轮加噪的本地模型，计算出第T-1轮全局模型G^T-1和第T轮本地模型之间的Pearson相关性ρ_x，y；

所述聚合阈值参数单元，用于根据Pearson相关性ρ_x，y，计算出聚合阈值参数μ_i，并发送至验证节点；

所述请求单元，用于根据计算出的聚合阈值参数μ_i，生成本地模型请求指令，并发送至数据持有者节点；

所述扰动数据加密单元，用于根据得到的本地模型请求指令，生成附加扰动的加密数据，并返回至验证节点；

所述阈值参数加密单元，用于根据生成的附加扰动的加密数据，生成附加阈值参数的加密数据，并发送至领导者节点；

所述聚合单元，用于根据步骤7生成的附加阈值参数的加密数据，生成聚合的全局模型，并上传至群体网络。

为了更好地实现本发明，进一步地，提出一种电子设备，包括存储器，用于存储计算机程序；

所述处理器，用于执行所述计算机程序时实现上述的群体学习抗毒化攻击方法。

为了更好地实现本发明，进一步地，提出一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的群体学习抗毒化攻击方法。

本发明具有以下有益效果：

(1)本发明通过计算出第T-1轮全局模型G^T-1和第T轮本地模型之间的Pearson相关性ρ_x，y，提高相关性高的本地模型在全局模型聚合中的权重，降低了全局模型被毒化的概率。

(2)本发明允许在一个去中心化的联邦学习框架中检测数据持有者节点上传的模型参数是否含有毒化数据，并对其所提交的模型参数进行选择性接收和聚合，通过屏蔽恶意用户的本地模型，减少了恶意用户参与模型聚合的权重，从而解决了群体学习中恶意参与者使用毒化数据来破坏模型训练的精度问题。

(3)本发明在参数传输过程中实现了无隐私泄露，相比于传统的群体学习，通过SM9加解密算法，对用户数据进行加密运算，实现了隐私与效率之间的优化，本发明采用SM9加解密算法作为底层技术来防止模型参数在传输的过程中被恶意敌手截获，不仅保证了全局模型性能，而且实现了安全、可靠的联邦学习。

附图说明

图1为本发明具体流程示意图。

具体实施方式

为了更清楚地说明本发明实施例的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，应当理解，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例，因此不应被看作是对保护范围的限定。基于本发明中的实施例，本领域普通技术工作人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“设置”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；也可以是直接相连，也可以是通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

群体学***台CloudPlatfrom，CP，密钥生成中心KeyGenerationCenter，KGC和群体网络SwarmNetwork，SN；

数据持有者节点User，u_i：原始数据的拥有者利用本地原始数据与其他数据持有者节点协同训练。为了保护隐私，数据持有者节点调用SM9加密算法加密本地模型及其扰动数据后发送到其他实体进行聚合、相似性计算等操作。

领导者节点LeaderNode，LN：领导者节点是数据持有者节点中的一个，通过选举算法随机选出，选举算法如下所示：

在每一轮训练过后，验证节点挑选数据持有者节点中上传本地模型相关性最高的三个节点，并以相等的概率随机选取其中一个作为领导者节点。因此，在迭代过程中，选取到恶意数据持有者节点的概率很低。

云平台CloudPlatfrom，CP：CP负责相似性计算，计算数据持有者节点发送的模型参数与上一轮聚合的模型参数之间的相关性。

验证节点CheckNode，CN：CN负责数据持有者节点数据的有选择接收。

密钥生成中心KeyGenerationCenter，KGC：KGC是一个独立可信的第三方机构。KGC根据SM9算法来生成和管理所有的公钥和私钥。

群体网络SwarmNetwork，SN：SN是一个区块链网络，负责数据持有者节点本地模型数据上链和身份信息管理。

实施例1：

本实施例提出一种群体学习抗毒化攻击方法，如图1所示，包括以下步骤：

工作原理：本实施例通过计算出第T-1轮全局模型G^T-1和第T轮本地模型之间的Pearson相关性ρ_x，y，提高相关性高的本地模型在全局模型聚合中的权重，从而降低全局模型被毒化的概率，屏蔽恶意用户的本地模型，减少了其参与模型聚合的权重，从而解决了群体学习中恶意参与者使用毒化数据来破坏模型训练的精度问题。

实施例2：

本实施例在上述实施例1的基础上，提出一种群体学习抗毒化攻击***，包括身份认证单元、本地模型加密单元、相关性计算单元、聚合阈值参数单元、请求单元、扰动加密单元、阈值参数加密单元、聚合单元；

进一步地，提出一种电子设备，包括存储器，用于存储计算机程序；

进一步地，提出一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的群体学习抗毒化攻击方法。

工作原理：

本实施例的其他部分与上述实施例1相同，故不再赘述。

实施例3：

本实施例在上述实施例1-2任一项的基础上，对群体学习抗毒化攻击方法的具体步骤进行说明。

工作原理：所述步骤2的具体包括以下步骤：

进一步地，所述步骤3具体包括以下步骤：

所述步骤5的具体操作为：将从验证节点获取的加密后的聚合阈值参数||μ_i||，调用SM9解密算法Dec()，生成解密后的聚合阈值参数μ_i，并向数据持有者节点u_i发送本地模型请求指令。

所述步骤6具体包括以下步骤：

步骤61：将从数据持有者节点u_i获取的根据接收的数据请求指令将本地模型转换成的本地模型扰动数据生成噪声集合数据R_i；

步骤62：将从数据持有者节点u_i获取的基于验证节点节点的身份ID_CN和领导者节点的身份ID_LN，根据步骤61得到的本地模型扰动数据和噪声集合数据R_i，调用SM9加密算法Enc()，生成加密后的本地模型扰动数据/>和加密后的噪声集合数据||R_i||，并将加密后的噪声集合数据||R_i||发送至领导者节点，将加密后的本地模型扰动数据/>发送至验证节点。

进一步地，所述步骤7的具体操作为：将从验证节点获取的加密后的本地模型扰动数据调用SM9解密算法Dec()，生成解密后的扰动数据/>聚合从验证者节点获取的聚合阈值参数μ_i和解密后的本地模型扰动数据/>得到解密后的聚合中间参数/>根据领导者节点的身份ID_LN和解密后的聚合中间参数/>调用SM9加密算法Enc()，生成加密后的聚合中间参数/>并发送到领导者节点。

进一步地，所述步骤8的具体操作为：根据步骤7得到的加密后的聚合中间参数步骤42得到的加密后的聚合中间扰动数据/>步骤62得到的加密后的噪声集合数据||R_i||，调用SM9解密算法Dec()，得到解密后的聚合中间数据/>解密后的聚合中间扰动数据/>解密后的噪声集合数据R_i，根据从验证者节点获取的聚合阈值参数μ_i，得到第T轮的全局模型G^T，并发送至所有的数据持有者节点进行下一轮训练。

本实施例的其他部分与上述实施例1-2任一项相同，故不再赘述。

实施例4：

本实施例在上述实施例1-3任一项的基础上，如图1所示，以一具体的实施例进行详细说明。

工作原理：

一、***初始化：

步骤1：初始化全局模型G⁰和最大训练轮数M。将安全参数k输入到群体学习***中的密钥生成中心KGC，KGC初始化***并输出相关参数。初始化过程如下所示：

KGC使用生成元P₁、P₂和素数阶n在椭圆曲线E(Z_p)上生成N阶乘法循环群G₁，G₂。此外，生成双线性对映射e，其中e＝G₁×G₂→G_T；定义消息空间定义一个哈希函数H₁，/>选择一个随机数r_e∈[1，N-1]作为加密主私钥，计算G₁中元素P_pub-e＝[r_e]P₁作为加密主公钥，则加密主密钥对为(r_e，P_pub-e)，秘密保留r_e，公开P_pub-e，调用KDF和MAC函数。全局的参数为：params＝<G₁，G₂，G_T，e，P₁，P₂，P_pub-e，H₁，KDF，MAC>。其中KDF(Z，klen)为SM9规定的密钥派生函数，通过输入比特串Z、非负整数klen，输出长度为klen的密钥数据比特串K。MAC(K₂，Z)为消息认证码函数，通过输入为比特长度K₂_len的密钥K₂，比特串消息Z。其作用是防止消息数据Z被非法篡改。联邦学习实际上就是结合了机器学习和隐私保护，当开始训练的时候才初始化全局模型，并运行梯度自动下降算法SGD，所以当数据持有者节点进入区块链之后才能获取训练参数。

二、私钥提取：

步骤2：根据步骤1得到的加密主密钥对(r_e，P_pub-e)，KGC选择并公开用一个字节表示的签名私钥生成函数识别符h_i。给定参与者A的身份为ID_A，为了对参与者A的加密私钥进行提取，KGC在有限域F_N上计算

z_e1＝H_I(ID_A|h_i，N)+r_e

若z_e1＝0，则重新计算签名主密钥对，

若z_e1≠0，则计算得到A的加密私钥为

三、相关性计算：

步骤3：数据持有者节点u_i进行身份认证，其中i∈[1，N]。认证通过后成为SN中的边缘设备。同时，获取上一轮全局模型G^T-1。

步骤4：进入SN后，μ_i生成两个非零随机数该随机数用于扰动原始的本地模型，使原始本地模型对其他实体不可见。同时，根据上一轮聚合的全局模型G^T-1，u_i利用本地数据集进行训练，得到第T轮本地模型/>在每轮训练后，u_i将本地模型/>转换为扰动数据/>该步骤中用户即数据持有者节点利用上一轮的全局模型进行本地训练，产生本地模型。本地模型与用户梯度数据可以等价，用户参与训练必须提供自身数据集，这也是联邦学习的基本假设。该方法重点在于抵抗恶意参与者的数据毒化攻击。具体公式如下：

步骤5：根据步骤4得到的扰动数据持有者节点u_i基于云平台的身份ID_CP，调用SM9的加密算法/>生成加密后的扰动数据/>领导者节点基于云平台的身份ID_CP，调用SM9的加密算法/>生成/>其中||*||代表SM9加密后的数据。加密算法Enc()如下所示：

输入***公开参数params、IO_CP，明文M，输出密文C。对于消息长度为mlen比特的比特串M∈{0，1}^*，K_mlen为密钥K₁的比特长度，K₂_len为MAC(K₂，Z)中密钥K₂的比特长度。按如下计算过程运算：

Q_CP＝[H₁(ID_A)]P₁+P_pub-e；

随机选取r∈[1，N-1]；

C₁＝[r]Q_CP；

g＝e(P_pub-e，P2)；

w＝g^r；

计算K₁，K₂：

①klen＝mlen+K₂_len，

②K＝KDF(C₁||w||ID_CP，klen)

③令K₁为κ最左边的mlen比特，K₂为剩下的K₂_len比特。

C₃＝MAC(K₂，C₂)；

输出密文C＝C₁||C₃||C₂

步骤6：根据步骤5得到的和/>数据持有者节点u_i将/>上一轮全局模型/>发送到云平台。

步骤7：云平台在接收加密扰动数据和/>后，调用SM9的解密算法从而恢复出扰动数据/>和/>解密算法Dec()如下所示：

输入密文私钥/>和ID_CP：

验证C₁∈G₁，若不成立则无法解密；

klen＝mlen+K₂_len；

K＝KDF(C₁||w′||ID_cp，klen)

令K′₁为K′最左边的mlen比特，K′₂为剩下的K₂_len比特；

u＝MAC(K′₂，C₂)，若u≠C₃，则解密失败，密文完整性有误；输出明文

步骤8：根据步骤7得到的CP计算数据持有者节点u_i的本地模型/>与上一轮全局模型G^T-1之间的Pearson相关性ρ_x，y。同时，根据相关性计算聚合阈值参数μ_i，u_i的本地模型/>与上一轮全局模型G^T-1之间的Pearson相关性ρ_x，y越高，数据持有者所提供的本地模型毒化概率越低。随着训练次数的增加，全局模型被毒化的概率会越来越低，逐步趋近为0；为实现抗毒化的目的，我们提高相关性高的本地模型在全局模型聚合中的权重，从而降低全局模型被毒化的概率。具体公式如下：

其中，X，Y分别代表扰动数据和/>四、数据有选择接收：

步骤9：云平台基于验证节点和领导者节点的身份ID_CN、ID_LN，调用SM9加密算法Enc()，如步骤5所示，加密μ_i、后生成||μ_i||和/>其中该参数是聚合过程中的中间变量，其作用是提供过程中的隐私保护，通过加噪可以使其他的实体对用户梯度数据不可见。为经过聚合阈值参数μ_i裁剪的已加噪本地模型。并将||μ_i||、/>分别发送给CN和LN。

步骤10：验证节点接收到||μ_i||后，调用解密算法Dec()，如步骤7所示，进行解密并恢复μ_i。得到μ_i后，判断μ_i是不是为0。若为0，则不向数据持有者节点μ_i请求本地模型；若非0，则向数据持有者节点u_i发送本地模型请求。

五、数据聚合：

步骤11：数据持有者节点u_i在接收到请求指令后，u_i将本地模型转换为扰动/>同时，u_i生成噪声集合数据R_i，其中R_i用于聚合过程中的噪声消除。具体公式如下：

步骤12：数据持有者节点u_i基于CN节点和领导者节点的身份ID_CN、ID_LN，调用SM9加密算法Enc()，如步骤5所示。输入和R_i，生成加密数据/>||R_i||，分别发送到CN节点和领导者节点。

步骤13：验证节点在接收到数据持有者节点u_i加密数据后调用解密算法Dec()，如步骤7所示，生成/>验证节点聚合阈值参数μ_i和/>得到/>同时，验证节点调用加密算法Enc()，如步骤5所示。基于领导者节点的身份ID_LN并输入/>生成加密数据后发送到LN。

步骤14：领导者节点在接收到||R_i||之后，调用SM9解密算法Dec()，如步骤7所示，获取解密数据。然后基于步骤8获得的聚合阈值参数μ_i，进行聚合操作，聚合后还有一个上链的操作，数据上链后便通过区块链进行数据分享，并将获得的聚合结果即第T轮的全局模型G^T发布到群体网络中。SN接收到G^T后，将其发送到所有的数据持有者节点u_i进行下一轮的训练，具体过程如下：

本实施例的其他部分与上述实施例1-3任一项相同，故不再赘述。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。

Claims

1.一种群体学习抗毒化攻击方法，其特征在于，包括以下步骤：

步骤1：从数据持有者节点获取身份信息进行身份认证，认证通过后将数据持有者节点作为群体网络中的边缘设备，并从群体网络中获取第T-1轮的全局模型G^T-1；

步骤2：将从数据持有者节点获取的第T轮扰动数据调用SM9加密算法Enc()，得到加密后的第T轮加噪的本地模型，并发送至云平台，云平台请求领导者节点发送第T-1轮扰动数据/>

步骤3：根据从领导者节点获取的第T-1轮加噪的全局模型和步骤2得到的加密后的第T轮加噪的本地模型，计算出第T-1轮全局模型G^T-1和第T轮本地模型之间的Pearson相关性ρ_x，y；

步骤7：根据步骤6生成的附加扰动的加密数据，生成附加聚合阈值参数的加密数据，并发送至领导者节点；

步骤8：根据步骤7生成的附加聚合阈值参数的加密数据，生成聚合的全局模型，并上传至群体网络；

所述步骤4具体包括以下步骤：

步骤41：根据步骤3得到的Pearson相关性ρ_x，y，计算出聚合阈值参数μ_i，将聚合阈值参数μ_i和第T轮扰动数据聚合，得到聚合中间扰动数据/>

步骤42：将从云平台获取的验证节点的身份ID_CN和领导者节点的身份ID_LN，调用SM9加密算法Enc()，加密聚合阈值参数μ_i和聚合中间扰动数据得到加密后的聚合阈值参数||μ_i||和加密后的聚合中间扰动数据/>并将加密后的聚合中间扰动数据/>发送至领导者节点，将加密后的聚合阈值参数||μ_i||发送至验证节点；

所述步骤5的具体操作为：将从验证节点获取的加密后的聚合阈值参数||μ_i||，调用SM9解密算法Dec()，生成解密后的聚合阈值参数μ_i，并向数据持有者节点u_i发送本地模型请求指令；

所述步骤6具体包括以下步骤：

步骤62：将从数据持有者节点u_i获取的基于验证节点的身份ID_CN和领导者节点的身份ID_LN，根据步骤61得到的本地模型扰动数据和噪声集合数据R_i，调用SM9加密算法Enc()，生成加密后的本地模型扰动数据/>和加密后的噪声集合数据||R_i||，并将加密后的噪声集合数据||R_i||发送至领导者节点，将加密后的本地模型扰动数据/>发送至验证节点；

所述步骤7的具体操作为：将从验证节点获取的加密后的本地模型扰动数据调用SM9解密算法Dec()，生成解密后的扰动数据/>聚合从验证者节点获取的聚合阈值参数μ_i和解密后的本地模型扰动数据/>得到解密后的聚合中间参数/>根据领导者节点的身份ID_LN和解密后的聚合中间参数/>调用SM9加密算法Enc()，生成加密后的聚合中间参数/>并发送到领导者节点；

所述步骤8的具体操作为：根据步骤7得到的加密后的聚合中间参数步骤42得到的加密后的聚合中间扰动数据/>步骤62得到的加密后的噪声集合数据||R_i||，调用SM9解密算法Dec()，得到解密后的聚合中间数据/>解密后的聚合中间扰动数据/>解密后的噪声集合数据R_i，根据从验证者节点获取的聚合阈值参数μ_i，得到第T轮的全局模型G^T，并发送至所有的数据持有者节点进行下一轮训练。

2.如权利要求1所述的一种群体学习抗毒化攻击方法，其特征在于，所述步骤2的具体包括以下步骤：

步骤23：将步骤22得到的加密后的第T轮扰动数据和加密后的第T-1轮扰动数据发送至云平台。

3.如权利要求2所述的一种群体学习抗毒化攻击方法，其特征在于，所述步骤3具体包括以下步骤：

4.一种群体学习抗毒化攻击***，用于执行如权利要求1-3任一项所述的群体学习抗毒化攻击方法；其特征在于，包括身份认证单元、本地模型加密单元、相关性计算单元、聚合阈值参数单元、请求单元、扰动加密单元、阈值参数加密单元、聚合单元；

所述身份认证单元，用于从数据持有者节点获取身份信息进行身份认证，认证通过后将数据持有者节点作为群体网络中的边缘设备，并从领导者节点获取第T-1轮全局模型G^T ^-1；

所述相关性计算单元，用于根据从领导者节点获取的第T-1轮加噪的全局模型和得到的加密后的第T轮加噪的本地模型，计算出第T-1轮全局模型G^T-1和第T轮本地模型之间的Pearson相关性ρ_x，y；

所述阈值参数加密单元，用于根据生成的附加扰动的加密数据，生成附加聚合阈值参数的加密数据，并发送至领导者节点；

所述聚合单元，用于根据生成的附加聚合阈值参数的加密数据，生成聚合的全局模型，并上传至群体网络。

5.一种电子设备，其特征在于，包括存储器，用于存储计算机程序；

所述处理器，用于执行所述计算机程序时实现如权利要求1-3任一项所述的群体学习抗毒化攻击方法。

6.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1-3任一项所述的群体学习抗毒化攻击方法。