[发明专利]一种基于联邦学习的防窃取攻击医疗诊断模型保护方法

权利要求书

1.一种基于联邦学习的防窃取攻击医疗诊断模型保护方法，其特征在于，该医疗诊断模型保护方法具体步骤如下：

S1、假设有N个医疗机构各收集N个敏感医疗数据集，各机构基于这些数据集独立训练不同的本地模型，得到N个teacher；

S2、在各医疗机构本地部署训练好的teacher，记录每一个teacher的预测结果，用于最终结果投票；

S3、引入拉普拉斯噪声，将票数的统计情况打乱，实现差分隐私保护；

S4、在联邦全局服务器聚合所有teacher的预测结果并进行投票，选取票数最高的作为最终结果，得到aggregated teacher；

S5、在联邦全局服务器用aggregated teacher对无标签的脱敏公共数据集进行标注，得到有标签脱敏公共数据集；

S6、在联邦全局服务器用步骤S5得到的有标签脱敏公共数据集训练新的深度神经网络模型student；

S7、将训练好的student提供给用户使用。

2.根据权利要求1所述的一种基于联邦学习的防窃取攻击医疗诊断模型保护方法，其特征在于：步骤S3中实现差分隐私保护的具体过程为：

SS1、在联邦全局服务器统计N个医疗机构本地训练的teacher模型的投票情况，形成聚合结果；

SS2、如果大部分teacher模型都同意某个预测结果，则不依赖于具体的分散数据集，即隐私成本很小；如果两类预测结果有相近的票数，则这种不一致或许会泄露隐私信息，因此在投票形成aggregated teacher前，增加差分隐私；

SS3、把联邦全局服务器聚合的aggregated teacher视为差分隐私模块，用户提供输入数据，aggregated teacher能返回保护隐私的标签。

3.根据权利要求2所述的一种基于联邦学习的防窃取攻击医疗诊断模型保护方法，其特征在于：步骤SS2中所述差分隐私步骤具体为：引入拉普拉斯噪声，把票数的统计情况打乱，保护隐私。

4.根据权利要求1所述的一种基于联邦学习的防窃取攻击医疗诊断模型保护方法，其特征在于：步骤S6训练新的深度神经网络模型student的主要因素为：

(1)步骤S4中的aggregated teacher的差分隐私保护有限，如果攻击者多次调用aggregated teacher差分隐私模块，则可能会通过输出结果获得某些隐私信息；

(2)步骤S6中的深度神经网络模型student是脱敏的模型，可在用户设备上直接运行，能避免攻击者直接多次调用aggregated teacher差分隐私模块。

5.根据权利要求1所述的一种基于联邦学习的防窃取攻击医疗诊断模型保护方法，其特征在于：步骤S6中的深度神经网络模型student是基于未标记的脱敏公共数据集训练的，且在训练深度神经网络模型student前，需在联邦全局服务器先用aggregated teacher对该脱敏公共数据集完成标注。