[发明专利]一种激励驱动的联邦欺诈防御方法

说明书

本发明公开了一种激励驱动的联邦欺诈防御方法，本发明首先提出了激励驱动的联邦欺诈者模型，提出保护隐私与验证信息真实性之间的矛盾。进而，提出了一种激励驱动的联邦欺诈防御方法，确保欺诈者无法满足其目标的激励/花费比值来上报与激励分配相关的本地信息，而不是通过遵守学习规则获得与其本地数据集相关的真实的本地信息，即参与者有较少的经济动机来产生一个编造的本地信息而不是真实的本地信息。实验表明，该防御方法能够有效抵御欺诈者，并且不会给客户和服务器带来过多的传输和计算代价。

技术领域

本发明属于数据挖掘技术领域，涉及一种攻击的防御方法，特别是涉及一种激励驱动的联邦欺诈防御方法。

背景技术

联邦学习(FL)使许多客户能够共同创建高性能的全局模型，而不暴露其原始数据。同时，激励机制对于鼓励客户贡献其高质量和大量的本地数据至关重要。然而，在不披露本地数据集的情况下，激励机制仅基于每个客户声称的与其本地数据集相关的本地信息来计算每个客户的激励值，如数据集大小，目的是在于保证每个客户贡献的公平性。并且客户的激励值的大小与其上传的本地信息正相关，主要是本地数据集大小以及本地更新的质量。

现有的FL激励机制大多假设所有的客户都是诚实的客户，在本地训练和参数上传中严格遵守学习协议。这种假设使得当欺诈客户参与进来时现有的激励机制变得对诚实参与者不公平。欺诈者可以违反学习协议，上传伪造的本地信息，以更低的成本骗取奖励。例如，欺诈者可以违背规定的学习准则，提前结束其本地训练来节省其的计算代价耗费。同时无限制的夸大其本地数据集大小。从而以较小的计算代价来欺诈激励，破坏激励机制的付出与收益的公平性。但是，由于客户的本地数据无法泄露，联邦学习中的隐私保护与验证信息的真实性间存在矛盾。现有的激励机制或者关于恶意参与者的防御方法无法解决欺诈者，尤其是对于数据集大小的谎报。

发明内容

针对现有技术的不足，在激励驱动的联邦学习中，为了保障客户的隐私保护并验证客户上传的本地信息的真实性，应对激励驱动的联邦欺诈者问题，从而保障激励机制分配的公平性的问题，本发明提供了一种激励驱动的联邦欺诈防御方法。

本发明的目的是通过以下技术方案来实现的：一种激励驱动的联邦欺诈防御方法，该方法下共有两类参与者：e个客户端和一个服务端，每个客户端i拥有一个本地训练数据集其中x_k表示输入样本，其维度与全局模型第一层f₁的输入维度相同，而y_k表示数据标签；客户端包含两类：诚实客户和欺诈攻击者；客户端和服务端通过信息迭代交互的方式来更新全局模型的参数，全局模型是一个假设函数集合共有Q层，其中f_k表示第k层的假设函数；则在每个交互轮次r中，防御方法包含以下步骤：

步骤1：服务端将欺诈层p分发给每个客户端；

步骤2：每个客户端i被要求上传给服务器其声称的本地信息其中表示该客户端声称的其本地训练数据集D_i的样本数量，表示客户声称的其本地模型，例如诚实参与者i的本地模型或欺诈攻击者j的伪造模型表示该客户端声称的其训练证明；让每个客户端提供训练证明是本发明的重点内容，训练证明被要求包含g个集合，每一个集合由其本地训练数据集的样本数量|D_i|个向量和数据标签组成，其中表示数据样本x_k在本地模型的第p-1层的输出向量，也就是说其维度应该等于第p层输入向量的维度；其中诚实参与者i在步骤1.1可以产生训练证明，而欺诈攻击者最终的合成数据集就是其训练证明；

步骤3：服务端收集所有客户声称的本地信息后对齐声称的本地信息进行验证；

步骤3.1：服务器将每个客户端i声称的训练证明输入其声称的本地模型的欺诈模型中，实施g次前向和后向传输得到待验证的模型的欺诈模型并验证其待验证的模型的欺诈模型是否与其声称的本地模型的欺诈模型相等；

步骤3.2：服务器验证每个客户端i声称的训练证明是否包含g个子集，并且每个子集包含的样本数量是否与其声称的训练数据集的大小相等；