[发明专利]一种基于生成对抗网络的用户级成员推理方法

说明书

本发明公开了一种基于联邦学习环境下的用户级成员推理方案，采用生成对抗网络(GANs)的方法用来获取数据分布从而发动成员推理。在联邦学习环境下，攻击者在不访问用户数据的情况下发动成员推理攻击，推断出给定数据记录是否属于目标训练集以窃取目标数据集的数据隐私。包括以下内容：1)用户级成员推理：由恶意用户发动成员推理攻击，窃取特定用户的成员隐私，进一步揭示了当前联合学习的安全漏洞。2)使用在本地部署的生成对抗网络进行数据扩充，进而获得其他用户的数据分布。本发明充分考虑到了当用户数据持有多种标签的情况下我们提出的攻击方法的有效性。

技术领域

本发明涉及人工智能安全领域，尤其涉及一种基于生成对抗网络的用户级成员推理方法。

背景技术

随着去机器学习的去中心化发展，对联邦学习技术的研究正在不断增加。联邦学习是多个用户共同参与模型的训练过程，所有用户通过汇总自身训练参数来更新全局模型，并将所有训练数据保留在本地。尽管联邦学习可以通过本地训练提供基本的隐私保证，但是在参数聚合和与联邦模型通信的过程中仍然存在隐私问题，包括成员推理攻击在内的许多攻击方法已经破坏了联邦学习的安全性。从根本上说，成员推理问题是一个分类问题，攻击者需要判断出未知所有权的数据是否属于某个用户。这是一种间接的隐私窃取，但是当它用作其他攻击的预攻击时，成员推理使这些攻击更具针对性和破坏性。

尽管当前已有的成员推理攻击可以获取用户训练数据的隐私，但它们存在一些局限性。首先，之前的集中式学习模式下的成员推理是假设用于训练攻击模型的数据集通常与属于目标模型的数据集具有相同的分布，甚至这些数据集也具有一定比例的交集。其次，没有关于恶意参与者发起成员推理的研究，实际上由恶意用户发动成员推理才接近于真实情况。

发明内容

发明目的：为了解决现有成员推理存在的问题，本发明的目的是提供一种基于生成对抗网络的用户级成员推理方法，在联邦学习环境下针对用户隐私数据进行成员推理，能够进一步揭示当前联邦学习的安全漏洞。

技术方案：一种基于生成对抗网络的用户级成员推理方法，包括以下步骤：

(1)攻击者参与全局模型的训练过程；

(2)攻击者使用生成对抗网络重构数据；

(3)攻击者分析生成数据，选取分类算法，将生成数据作为训练数据训练成员推理攻击模型；

(4)攻击者使用成员推理攻击模型对目标数据集进行成员推理，得到分类结果。

进一步的，步骤(1)中，将先前的攻击目标由全局模型的训练数据细化到某个用户的训练数据，同时攻击者在训练过程中扮演一名普通用户，正常参与本地训练、梯度上传、模型下载。具体包括以下内容：

(1.1)所有用户向服务器发出请求，表明他们可以参加此轮训练；

(1.2)服务器收到请求后，选择一部分用户参加此轮训练，并在预设时间段后考虑用户参与人数和超时因素使他们重新请求；在超时之前有足够的参与者参加联邦学习的情况下，本轮训练成功；

(1.3)在反馈阶段，服务器等待每个学习参与者返回训练后的梯度参数；服务器接收到参数后，使用聚合算法进行聚合，然后将下一个请求时间通知参与者；如果在超时之前返回了足够多学习参与者的梯度，则本轮训练成功，否则失败。

进一步的，步骤(2)中，使用生成对抗网络通过全局模型的本地副本来生成仿真的其他用户使用的数据，所述生成对抗网络包括生成网络g(z；θ_G)和判别网络f(x；θ_D)，z代表生成网络的输入噪声，参数θ_G代表生成网络的内部参数；x代表由生成网络输出得到的样本，θ_D代表判别网络的参数；具体包括以下内容：

(2.1)攻击者对生成网络g(z；θ_G)进行初始化，并根据随机噪声生成数据记录；