[发明专利]一种横向联邦学习架构下的Free Rider攻击检测方法

说明书

本发明提出了一种横向联邦学习架构下的Free rider攻击检测方法，属于人工智能安全领域。本发明首先，通过模型参数增量处理获取高维样本，对高维样本进行降维处理，抽取三部分特征，将特征合并得到压缩后的样本，在评估网络中计算样本的能量，根据能量判断攻击者，由于Free Rider攻击者生成的模型参数是在原本的全局模型参数的基础上按照训练的轮次加入差分扰动，因此在对其计算本地模型参数增量之后，其增量值等于攻击中加入的差分扰动，估计网络在评估样本的似然性时，其样本能量值的平均值会偏高，因此这样的样本数据会被检测为异常，我们设置阈值判断出Free Rider攻击者。解决了基于横向联邦学习架构下的Free Rider攻击的检测能力差的技术问题。

技术领域

本申请涉及一种攻击检测方法，尤其涉及一种横向联邦学习架构下的Free Rider攻击检测方法，属于人工智能安全领域。

背景技术

联邦学习是近年来提出的一种机器学习范式，它能够使多个客户能够合作训练并获得一个联合的最终模型。而针对联邦学习的Free Rider攻击是指某个或某些客户在不提供本地数据的情况下提供伪造的模型参数参与联邦学习，目的是获取最终的模型的一种攻击手段。横向联邦学习中的Free Rider攻击对于第t轮参数服务器A发送的全局参数θ(t)，有以下两种朴素的攻击策略，参照图5；

1、获取全局模型输出层矩阵的维度D_softmax，生成新的维度为D_softmax的高维矩阵，用固定值R填充这个新的矩阵，将该矩阵作为全局模型更新θ_i(t)返回给参数服务器A。

2、获取全局模型输出层矩阵的维度D_softmax，生成新的维度为D_softmax的高维矩阵，用F范围在[R1,R2]的随机生成数填充这个新的矩阵，将该矩阵作为全局模型更新θ_i(t)返回给参数服务器A。

上述针对Free Rider攻击的中，现有技术将DAGMM作为检测攻击者的一种手段，但DAGMM在针对以下两种攻击中会不起作用：

1、直接将当前轮次的全局模型参数θ(t)作为全局模型更新，即θ_i(t)＝θ(t)返回给参数服务器A。

2、通过添加差分时变扰动的方式处理获取的全局模型参数，并伪装成自己训练得到的模型参数返回给参数服务器。

上述这种基于真实的模型参数修改的样本数据在DAGMM很可能被认为是训练得到的真实样本而容易被DAGMM中的估计网络较好地还原，很难检测出攻击者。

发明内容

为解决现有技术中存在的基于横向联邦学习架构下的Free Rider攻击的检测能力差的技术问题，本发明提供了一种横向联邦学习架构下的Free Rider攻击检测方法，由于攻击者生成的模型参数是在原本的全局模型参数的基础上按照训练的轮次加入差分扰动，而为了使模型参数看起来总体呈一定的收敛性，这样的差分扰动的效果是逐轮递减的，因此在对其计算本地模型参数增量之后，其差值即为攻击中加入的差分扰动，这样的样本数据可以视为异常数据，估计网络在评估样本的似然性(能量值)时，其样本能量值的平均值En_i会偏高，我们可以据此找出其中的Free Rider攻击者。解决了基于横向联邦学习架构下的Free Rider攻击的检测能力差的技术问题。

一种横向联邦学习架构下的Free Rider攻击检测方法，包括以下步骤：

S1.对全局模型的增量进行线性处理，得到最终的高维样本x；

S2.高维样本x维在Delta-DAGMM模型中进行降维处理，抽取三部分特征，然后将三部分特征合并得到压缩后的样本z；

S3.将压缩后的样本z输入到评估网络中，并评估样本z的能量；

S4.根据评估能量得到检测结果。