[发明专利]基于联邦学习的后门攻击防御方法、系统及可存储介质

权利要求书

1.一种基于联邦学习的后门攻击防御方法，基于多个客户端，其特征在于，包括：

特征提取：获取参与联邦学习的n个客户端的局部模型数据，计算特征参数：除法差异DDifs、归一化能量更新NEUP以及余弦距离，并进行同质性特征提取；

分类：计算各个客户端的局部模型超过归一化能量更新NEUP阈值的数量，并使用其数量的1/2作为分类边界值，根据边界值对局部模型中的中毒模型进行标记；

聚类：根据计算得到的特征参数：除法差异DDifs、归一化能量更新NEUP以及余弦距离，使用动态聚类算法，对局部模型进行聚类，得到集群模型；

中毒簇识别与删除：根据聚类结果以及标记结果，计算每个聚类中毒标记模型的百分比，根据百分比结果对集群模型进行识别，根据识别结果保留或删除集群模型；

剪裁：计算所有保留模型更新的L2范数，并将其中位数作为剪裁边界，对集群模型中超出剪裁边界的局部模型进行缩放；

聚合：将同一集群模型中所剩余的剪裁模型使用FedAvg进行聚合，使每个客户端收到对应的集群聚合的模型；

其中，

所述计算除法差异DDifs的公式为：

式中，DDif_t,k,i为客户端k在第t轮提交的模型|W_t,k的除法差异DDifs，N_samples为随机输入样本s_m，其中，m∈[0,N_samples-1]的个数，p(s_m|W_t,k)_i为局部模型中每个输出层神经元i预测的概率，p(s_m|G_t)_i为全局模型|G_t的相应神经元预测的概率；

其中，全局模型是联邦学习中由局部模型聚合得到的模型；

所述计算归一化能量更新NEUP的公式为：

式中，ε_t,k,i表示客户端k在第t轮提交的模型的输出层神经元i的能量更新，P表示输出层神经元与前一层神经元的连接数，b_t,k,i是客户端k第t轮的输出层的神经元i的偏置，w_t,k,i,p是客户端k第t轮的输出层的神经元i连接到来自前一层的神经元p的权重，及是全局模型G_t中神经元的偏置和权重；

将同一模型的所有输出层神经元的能量更新归一化，使得各个能量更新不受模型更新能量总范围的影响，具体公式如下：

式中，c_t,k,i表示归一化后的客户端k在第t轮提交的模型的输出层神经元i的能量更新，表示表示客户端k在第t轮提交的模型的输出层神经元i的能量更新的平方；

所述计算特征参数余弦距离的公式为：

U_i，t＝w_i，t-w_Gt

U_j，t＝w_j，t-w_Gt

C_i，j，t＝1-cos(U_i，t-U_j，t)

式中，C_i，j，t是客户端i和客户端j在第t轮的余弦距离，U_i，t代表客户端i在第t轮的更新量，w_i，t代表代表客户端i在第t轮的输出层的神经元的偏置和，w_Gt表示全局模型G_t输出层的神经元的偏置和，U_j，t表示为客户端j在第t轮的更新量，w_j，t表示为客户端j在第t轮的输出层的神经元的偏置和。