[发明专利]面向联邦学习的数据隐私安全机制评估方法、设备及介质

说明书

本发明涉及数据隐私保护领域，具体公开了一种面向联邦学习的数据隐私安全机制评估方法、设备及介质，包括对用于训练本地模型的样本数据集进行采样，得到原始样本；通过重构模型，重构一组与原始样本相关的重构样本；计算原始样本与重构样本的梯度差异，并依据梯度差异迭代重构样本，获得最终重构样本；计算最终重构样本与原始样本的相似度和匹配率，作为所述样本数据集的监测值；比较所述监测值是否大于等于预设值时，如是，则发出梯度泄露风险告警；否则，提示安全。本发明根据重构样本与输入样本的相似度来制定风险评估指标，不依赖于预训练的统计模型。

技术领域

本发明涉及数据隐私保护领域，尤其涉及一种面向联邦学习的数据隐私安全机制评估方法、设备及介质。

背景技术

联邦学习是一种有效解决数据孤岛问题的框架：参与联邦学习的实体，可以实现数据不离本地，通过交换和聚合模型梯度的方式实现联合构建模型，促成多方数据价值的融合。在传统联邦学习中，模型梯度被认为不会泄露参与方的本地数据，然而事实上，有研究表明，模型梯度存在泄露出输入数据信息的可能性；因此众多围绕联邦学习隐私保护技术相继被提出，如差分隐私、同态加密等。针对联邦学习中模型梯度会泄露哪些参与方的本地数据，这些隐私保护方式是否能够有效保护参与方的数据隐私，急需一种风险评估方法进行评估，为进一步改进面向联邦学习的数据隐私安全机制提供依据。

参见中国发明专利（公开号：CN112765559A），具体公开了一种联邦学习的过程中模型参数的处理方法、装置及相关设备，该发明主要思路为：一、对联邦学习中某一参与方选择待训练的本地数据；二、利用所选的数据对全局模型进行训练得到对应的模型梯度；三、利用预先训练的统计模型计算所选数据与其模型梯度的互信息值；四、当该互信息值大于等于预设阈值时,发出该模型梯度隐私泄露风险提醒，否则将该模型梯度上传至参数服务器。该方案存在两个主要缺陷：一是该方案通过预先训练好的统计模型发送至参与方端，计算待训练数据与其模型梯度的互信息值，据此衡量样本的梯度隐私泄露风险，但该技术要求预先训练的统计模型这一先决条件，且模型效能会影响互信息计算的准确性，针对不同的参与方可能需要训练不同的模型，而训练用的数据如何获取是一个问题；二是互信息值的调节难度较大，即便获得了互信息值，此单一数值也难以让参与方具体地理解到梯度泄露数据风险的程度。

导致上述问题的原因在于两个方面：一是需要预先训练互信息计算统计模型，这降低了技术的构建和应用效率，且在深度学习模型的构建环境中，此类统计模型的构建方法是难以适用的；二是互信息值缺乏一定的可理解性，当联邦学习各参与方的数据存在非独立同分布时，不同数据对应的合适的互信息值的阈值可能有较大差异，而阈值的调节缺少依据。

发明内容

为了克服上述现有技术中存在的问题，本发明提供一种面向联邦学习的数据隐私安全机制评估方法、设备及介质。

本发明提供了一种面向联邦学习的数据隐私安全机制评估方法，包括：

对用于训练本地模型的样本数据集进行采样，得到原始样本；

通过重构模型，重构一组与原始样本相关的重构样本；

计算原始样本与重构样本的梯度差异，并依据梯度差异迭代重构样本，获得最终重构样本；

计算最终重构样本与原始样本的相似度和匹配率，作为所述样本数据集的监测值；

当所述监测值大于等于预设值时，发出梯度泄露风险告警；

当所述监测值小于所述预设值时，提示安全。

作为优选地，所述通过重构模型，重构一组与原始样本相关的重构样本，具体为：

依据原始样本，通过正态分布随机初始化，获得一组与原始样本相同维度的重构样本。

优选地，所述计算原始样本与重构样本的梯度差异，并依据梯度差异迭代重构样本，获得最终重构样本，具体为：