专利 一种联邦学习毒化攻击检测方法

(19)国家知识产权局 (12)发明专利 (10)授权公告号 (45)授权公告日 (21)申请号 202111668344.6 (22)申请日 2021.12.31 (65)同一申请的已公布的文献号申请公布号 CN 114330750 A (43)申请公布日 2022.04.12 (73)专利权人西南民族大学地址 610041 四川省成都市武侯区一环路南四段16号 (72)发明人谢盈　李世鹏　刘政奇　丁旭阳　 (74)专利代理机构成都正德明志知识产权代理有限公司 513 60 专利代理师张小娟 (51)Int.Cl. G06N 20/00(2019.01) G06K 9/62(2022.01)G06Q 10/10(2012.01) 审查员李旭梅 (54)发明名称一种联邦学习毒化攻击检测方法 (57)摘要本发明公开了一种联邦学习毒化攻击检测方法，本发明在客户端使用非独立同分布数据前提下，能够对联邦学习系统中的恶意参与方进行检测。通过形成各参与方模型的历史距离函数曲线，观察各曲线变化情况，不聚合单次异常模型，剔除长期异常的恶意参与方，从而保证联邦学习最终全局模型的准确性。本发明能够在服务器无法确定各参与方真实身份的情况下，通过长期检测客户端模型变化，从非独立同分布的本地模型中检测异常，从而保证全局模型性能，实现安全、可靠的联邦学习。权利要求书2页说明书5页附图2页 CN 114330750 B 2022.08.16 CN 114330750 B 1.一种联邦学习毒化攻击检测方法，其特征在于，包括以下步骤： S1、确定参与方的个数，将参与方初始化为正常状态，并初始化全局模型和参与方的信誉值； S2、在每轮训练后，获取各个参与方上传的模型，并计算各参与方的模型与上轮全局模型之间的距离，以及所有参与方在本轮训练的平均距离； S3、在第T轮训练后，将获取的各参与方的模型与上轮全局模型之间的距离通过最小二乘法进行拟合，得到若干第一曲线；将平均距离进行拟合，得到第二曲线； S4、对第一曲线进行求导，得到若干第三曲线；对第二曲线进行求导，得到第四曲线；获取每条第三曲线与第四曲线的余弦相似度； S5、将余弦相似度大于等于1/2的参与方加入当前轮次聚合集合；根据余弦相似度调整对应参与方的信誉值； S6、将信誉值低于信誉阈值的参与方认定为恶意参与方并拒绝其加入训练，并将当前轮次聚合集合中符合信誉要求的参与方上传的模型进行聚合，得到新的全局模型； S7、判断新的全局模型是否收敛，若是则结束；否则进入步骤S 8； S8、将新的全局模型下发至所有参与方，将训练轮数加1，重复步骤S2至S7。 2.根据权利要求1所述的联邦学习毒化攻击检测方法，其特征在于，步骤S1中参与方信誉值的初始值为100。 3.根据权利要求1所述的联邦学习毒化攻击检测方法，其特征在于，步骤S2中计算各参与方的模型与上轮全局模型之间的距离的具体方法为：根据公式：获取第i个参与方在第t轮训练后上传的模型与上轮全局模型之间的距离其中W表示模型参数总个数；表示模型中第j个参数；表示全局模型中第j 个参数。 4.根据权利要求3所述的联邦学习毒化攻击检测方法，其特征在于，步骤S2中计算所有参与方在本轮训练的平均距离的具体方法为：根据公式：获取所有参与方在第t轮训练的平均距离avgDist；其中N表示第t轮训练的参与方数量。 5.根据权利要求1所述的联邦学习毒化攻击检测方法，其特征在于，步骤S3中T的数值为5。 6.根据权利要求1所述的联邦学习毒化攻击检测方法，其特征在于，步骤S4中获取第三曲线与第四曲线的余弦相似度的具体方法为：根据公式：权　利　要　求　书 1/2 页 2 CN 114330750 B 2获取第三曲线与第四曲线的余弦相似度cosθ；其中θk表示第三曲线中第k个项的系数；表示第四曲线中第k个项的系数，即训练T次时第三曲线和第四曲线均存在T个项。 7.根据权利要求3所述的联邦学习毒化攻击检测方法，其特征在于，步骤S5 中根据余弦相似度调整对应参与方的信誉值的具体方法为：若则根据公式creditt＝creditt‑1+cosθ×2更新参与方的信誉值；若则根据公式creditt＝creditt‑1更新参与方的信誉值；若则根据公式creditt＝creditt‑1‑(1‑cosθ )×2更新参与方的信誉值；其中， cosθ 为余弦相似度； creditt为参与方更新后的信誉值； creditt‑1为参与方更新前的信誉值。 8.根据权利要求7所述的联邦学习毒化攻击检测方法，其特征在于，步骤S6 中信誉阈值为60。权　利　要　求　书 2/2 页 3 CN 114330750 B 3

专利 一种联邦学习毒化攻击检测方法

专利一种联邦学习毒化攻击检测方法