[发明专利]基于神经元分布特征的联邦学习中毒检测方法

权利要求书

1.一种基于神经元分布特征的联邦学习中毒检测方法，其特征在于，包括以下步骤：

(1)获取在客户端训练并上传的多个边缘模型，依据每个客户端对应的相邻几次上传的边缘模型的相似度，从每次上传的多个边缘模型筛选满足筛选要求的多个边缘模型作为候选中毒模型；

(2)依据模型参数的分布状态，从候选中毒模型中筛选至少1个模型作为中毒模型，并剔除中毒模型。

2.如权利要求1所述的基于神经元分布特征的联邦学习中毒检测方法，其特征在于，步骤(1)中，依据客户端对应的相邻几次上传的边缘模型参数的KL散度值作为边缘模型的相似度，筛选KL散度值小于散度阈值的边缘模型作为候选中毒模型。

3.如权利要求2所述的基于神经元分布特征的联邦学习中毒检测方法，其特征在于，步骤(2)中，针对每个候选中毒模型，计算模型参数的标准差，并依据标准差与所有候选中毒模型对应的模型参数的标准差均值的比例作为用于评价中毒概率的异常指数，筛选异常指数大于异常指数阈值的候选中毒模型作为中毒模型。

4.如权利要求1～3任一项所述的基于神经元分布特征的联邦学习中毒检测方法，其特征在于，还包括：

(3)根据样本数据和标签对中毒模型进行反演以得到中毒补丁数据，依据中毒补丁数据优化服务端的聚合模型参数，得到优化后的聚合模型。

5.如权利要求4所述的基于神经元分布特征的联邦学习中毒检测方法，其特征在于，步骤(3)中，对中毒模型进行反演时，根据损失函数loss，以最小代价改变模型的标签值为目标，迭代优化数据集，并将优化数据与原数据的差值作为中毒补丁数据；

其中，x,y是原良性数据和对应标签，x^*,τ表示优化数据和可能攻击类标，l_norm(·)表示对中毒补丁数据x^*-x进行限制的约束函数，α表示约束权重，取值为0～1，G_θ(·)表示中毒模型在模型参数θ下的预测置信度，表示交叉熵函数，表示对交叉熵函数中θ的求导，符号·,·表示求余弦值。

6.如权利要求4所述的基于神经元分布特征的联邦学习中毒检测方法，其特征在于，步骤(3)中，利用每个中毒模型对应的中毒补丁数据分别对服务端的聚合模型进行再训练，以消除聚合模型的中毒补丁，获得与中毒模型个数相同的修复模型；

当存在一个中毒模型时，则对应的一个修复模型作为优化后的聚合模型；当存在多个中毒模型时，聚合所有修复模型得到优化后的聚合模型。

7.如权利要求6所述的基于神经元分布特征的联邦学习中毒检测方法，其特征在于，步骤(3)中，将中毒补丁数据添加到与原良性数据上组成中毒数据，组成中毒数据集，利用中毒数据集和良性数据集对服务端的聚合模型进行再训练，再训练时，依据公式(II)更新聚合模型的模型参数Θ，获得修复模型。

其中，X_be表示良性数据集，X_p表示中毒数据集，Y表示良性数据集的标签，G_Θ(·)表示聚合模型的预测置信度，L_Θ(·)表示交叉熵函数。

8.如权利要求6所述的基于神经元分布特征的联邦学习中毒检测方法，其特征在于，步骤(3)中，采用公式(III)聚合所有修复模型得到优化后的聚合模型：

其中，n表示中毒模型的索引，取值范围为1～N，N为中毒模型个数，AIⁿ表示中毒模型的异常指数，表示利用第n个中毒模型对应中中毒数据集优化得到的修复模型，G_t+1表示优化后的聚合模型，t表示轮次。

9.如权利要求1～8任一项所述的基于神经元分布特征的联邦学习中毒检测方法，其特征在于，还包括：

(4)在获得优化后的聚合模型后，将优化后的聚合模型由服务端下发到客户端作为客户端的边缘模型，用于下一轮次的边缘训练。