[发明专利]一种激励驱动的联邦欺诈防御方法

权利要求书

1.一种激励驱动的联邦欺诈防御方法，其特征在于，该方法下共有两类参与者：e个客户端和一个服务端，每个客户端i拥有一个本地训练数据集其中x_k表示输入样本，其维度与全局模型第一层f₁的输入维度相同，而y_k表示数据标签；客户端包含两类：诚实客户和欺诈攻击者；客户端和服务端通过信息迭代交互的方式来更新全局模型的参数，全局模型是一个假设函数集合共有Q层，其中f_k表示第k层的假设函数；则在每个交互轮次r中，防御方法包含以下步骤：

步骤1：服务端将欺诈层p分发给每个客户端；

步骤2：每个客户端i被要求上传给服务器其声称的本地信息其中表示该客户端声称的其本地训练数据集D_i的样本数量，表示客户声称的其本地模型，例如诚实参与者i的本地模型或欺诈攻击者j的伪造模型表示该客户端声称的其训练证明；让每个客户端提供训练证明是本发明的重点内容，训练证明被要求包含g个集合，每一个集合由其本地训练数据集的样本数量|D_i|个向量和数据标签组成，其中表示数据样本x_k在本地模型的第p-1层的输出向量，也就是说其维度应该等于第p层输入向量的维度；其中诚实参与者i在步骤1.1可以产生训练证明，而欺诈攻击者最终的合成数据集就是其训练证明；

步骤3：服务端收集所有客户声称的本地信息后对齐声称的本地信息进行验证；

步骤3.1：服务器将每个客户端i声称的训练证明输入其声称的本地模型的欺诈模型中，实施g次前向和后向传输得到待验证的模型的欺诈模型并验证其待验证的模型的欺诈模型是否与其声称的本地模型的欺诈模型相等；

步骤3.2：服务器验证每个客户端i声称的训练证明是否包含g个子集，并且每个子集包含的样本数量是否与其声称的训练数据集的大小相等；

步骤3.3：服务器验证每个客户端声称的本地模型是否满足条件

步骤4：服务端聚合所有满足条件的客户声称的本地模型得到交互轮次r的全局模型其中表示所有满足条件的客户端声称的训练数据集大小之和；并且服务端对每个满足上述三个条件的客户计算激励值然后计算该客户的激励值

步骤5：最后，服务器将全局信息分发给满足3.1、3.2和3.3所有条件的客户端，以及(w^r,0)分发给其他不满足条件的客户端。

2.根据权利要求1所述激励驱动的联邦欺诈防御方法，其特征在于，所述步骤1中，为确定每个交互轮次r设定的欺诈层p的具体步骤如下：

步骤1.1：首先服务端将其数据集划分测试集D_U和e份训练集{D′₁,…,D′_e}；然后服务端任意选择一个或多个客户端作为欺诈攻击者，其他参与者为诚实参与者；基于交互轮次r的初始全局模型参数w^r-1，服务端假设每个参与者i通过本地训练得到它在交互轮次r的本地模型参数也就是说诚实参与者i实施g次前向和后向传输：其中，初始化为w^r-1，η表示一个固定的学习率，L(·)表示损失函数；

步骤1.2：然后服务器对每个本地模型满足条件的客户端i首先计算一个激励值其中S′表示一个由不包含客户i的所有客户的组成的集合，而S表示S′中一个不包含客户i的客户的组合，∈代表服务端设置的客户端本地模型最低阈值；并且V(S∪{i})-V(S)表示客户i对组合S的边际贡献，其中V(·)表示可用性函数，例如损失函数L(·)；之后服务端计算欺诈攻击者j欺诈前使用本地模型在交互轮次r所获得的激励值其中χ^r表示交互轮次r的总激励值；以及欺诈攻击者j在交互轮次r中所消耗的计算量例如使用FLOPs进行评估；接下来对于每一个p从1到Q-1，服务端的具体步骤如下：

步骤1.2.1：服务端将全局模型从欺诈层p划分为两部分：从1层到p-1层是诚实模型从p层到Q层是欺诈模型服务端假设欺诈攻击者j运行欺诈攻击模型得到伪造模型参首先欺诈者j选定伪造训练数据集大小并初始化一个大小为的合成数据集其中x′_k的维度与欺诈层p的输入维度相同，y′_k表示数据标签。然后迭代以下步骤来更新

步骤1.2.1.1：欺诈者j在交互轮次r-1的初始全局模型的欺诈模型P(w^r-2′)上使用合成数据集实施k次前向和后向传输获得交互轮次r-1的伪造模型的欺诈模型其中初始化为w^r-2′；

步骤1.2.1.2：欺诈者j根据使用合成数据集训练得到的交互轮次r-1的伪造模型的欺诈模型与使用训练数据集D′_j得到的交互轮次r-1的本地模型的欺诈模型的距离实施g′次前向和后向传输更新合成数据集其中η′表示用于更新合成数据集的学习率，L(·)′表示距离函数，例如cosine距离；

步骤1.2.1.3：欺诈者j在交互轮次r-1的初始全局模型的欺诈模型P(w^r-2′)上运行步骤1.2.1.1相同的更新步骤，也就是说使用更新后的合成数据集实施k次前向和后向传输获得交互轮次r-1的伪造模型的欺诈模型

步骤1.2.1.4：欺诈者j首先得到其在交互轮次r-1上此时全部的伪造模型由在训练数据集D′_j上训练的本地模型的诚实模型和在合成数据集上训练伪造模型的欺诈模型两部分组成；

步骤1.2.1.5：然后欺诈者j根据步骤1.2估算其在交互轮次r-1上的激励值，也就是说对每个其他客户端在交互轮次r-1上传其声称的本地模型满足条件的客户端i首先计算一个新的激励值然后得到此时新的激励值

步骤1.2.1.6：上述步骤1.2.1.1到1.2.1.4会重复若干次，直到在交互轮次r-1上的本地模型满足条件且激励/代价比值满足条件其中β代表欺诈者最低接受的目标激励/代价比值，D_V表示欺诈者的验证集；

步骤1.2.1.7：欺诈者j首先在交互轮次r的初始全局模型的欺诈模型P(w^r-1′)上运行步骤1.2.1.1或步骤1.2.1.3相同的更新步骤，也就是说使用最终满足步骤1.2.1.5条件的合成数据集实施k次前向和后向传输获得交互轮次r的伪造模型的欺诈模型

步骤1.2.1.8：然后欺诈者j得到其在交互轮次r上此时全部的伪造模型由在训练数据集D′_j上训练的本地模型的诚实模型和在合成数据集上训练伪造模型的欺诈模型两部分组成；该全部的伪造模型会作为欺诈者j在交互轮次r的声称的本地模型

步骤1.2.2：服务器对每个本地模型满足条件的客户端i首先计算一个新的激励值然后服务端计算欺诈攻击者j使用激励欺诈模型后在交互轮次r所获得的新的激励值

步骤1.2.3：步骤1.2.1到步骤1.2.2会迭代重复若干次，直到此时的p可以使得欺诈攻击者j的激励/计算比值满足条件