[发明专利]一种采样聚合框架下的梯度泄露攻击方法

说明书

本发明公开了一种采样聚合框架下的梯度泄露攻击方法，实现步骤为：初始化联邦学习系统；联邦服务器判断客户端A_z上传的梯度形式；联邦服务器还原客户端A_z的近似梯度；联邦服务器更新客户端A_z的近似梯度符号；联邦服务器获取梯度泄露攻击结果。本发明通过客户端上传的多轮采样位置向量，结合联邦服务器本地训练的梯度重构出客户端的近似梯度，进一步通过聚合后的梯度符号更新梯度符号，从而实现了在采样聚合框架下既能从客户端上传的明文梯度中攻击出客户端真实图像数据，也能从客户端上传的密文梯度中攻击出客户端真实图像数据，从而拓宽了梯度泄露攻击的攻击范围。

技术领域

本发明属于机器学习中联邦学习技术领域，涉及一种梯度泄露攻击方法，具体涉及一种采样聚合框架下的梯度泄露攻击方法，可用于获取客户端本地数据。

背景技术

作为一种分布式机器学习框架，联邦学习可以在不共享数据的情况下实现联合建模。具体来说，联邦服务器首先初始化模型并将其发送给各客户端，各客户端利用本地数据作为模型输入训练得到模型梯度发送回联邦服务器，最终联邦服务器聚合梯度并更新模型。不断循环得到更精准的全局模型。现实中，联邦学习经常被部署在网络性能有限的设备上，于是针对梯度进行采样的联邦学习应运而生，即采样聚合框架。然而，梯度泄露攻击表明传统的联邦学习框架下的明文梯度会泄露客户端本地数据，于是安全聚合被引入到联邦学习框架中保护梯度数据，即客户端向联邦服务器发送梯度之前对梯度值进行加密。

Zhu,Ligeng等2019年在“Advances in Neural Information ProcessingSystems”期刊上发表的论文文献“Deep Leakage from Gradients”中公布了一种从公开共享的梯度中获取本地数据的梯度泄露攻击方法。该方法不依赖任何生成模型或任何数据的额外先验知识，可以通过公开共享的梯度对模型的输入和损失函数的输入进行更新，从而还原本地数据。梯度泄露攻击的核心思想在于通过优化随机数据使数据得到的模型梯度匹配客户端真实梯度，不断迭代以接近客户端本地数据。

然而，上述梯度泄露攻击方法仅能从公开共享的梯度中获取客户端本地数据，安全聚合算法的引入导致无法获取明文梯度，实现梯度泄露攻击。

发明内容

本发明的目的是克服上述现有技术中的不足，提出了一种采样聚合框架下的梯度泄露攻击方法，既能从客户端上传的明文梯度中攻击出客户端真实图像数据，也能从客户端上传的密文梯度中攻击出客户端真实图像数据，从而拓宽梯度泄露攻击的攻击范围。

为了实现上述目的，本发明采取的技术方案包括如下步骤：

(1)初始化联邦学习系统：

初始化包括联邦服务器S和N个客户端A＝{A₁,A₂,…,A_n,…,A_N}的联邦学习系统，联邦服务器S的全局卷积神经网络模型M⁰，联邦服务器S从客户端A中随机选择的客户端A_z作为受害者，联邦服务器S与客户端A_z的当前通信轮数为r，最大通信轮数为R，联邦服务器S与其余客户端通信轮数r＝1，其中A_n表示第n个客户端， N≥2，M⁰的参数为ω＝ω₁,ω₂,…,ω_m,…,ω_M，M表示M⁰的参数量，M≥2，ω_m表示M⁰的第m个参数，A_z∈A，R≥2；

(2)联邦服务器判断客户端A_z上传的梯度形式：