本發(fā)明屬于人工智能安全，具體涉及一種基于隱私推理的聯(lián)邦學(xué)習(xí)數(shù)據(jù)中毒攻擊系統(tǒng)、方法、程序及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、聯(lián)邦學(xué)習(xí)作為一種分布式框架，允許多方參與者以協(xié)作的方式共同訓(xùn)練學(xué)習(xí)模型。在聯(lián)邦學(xué)習(xí)框架中，參數(shù)服務(wù)器和參與者之間僅共享模型參數(shù)，而不會(huì)上傳隱私數(shù)據(jù)，這種方式保護(hù)了數(shù)據(jù)的隱私性，防止參數(shù)服務(wù)器直接訪問隱私數(shù)據(jù)。然而，由于聯(lián)邦學(xué)習(xí)框架的特點(diǎn)，它很容易受到內(nèi)部參與者的主動(dòng)攻擊。具體來說，攻擊者可以通過上傳惡意更新來影響模型性能。然而，現(xiàn)有的數(shù)據(jù)中毒攻擊方法要求攻擊者擁有與良性客戶端相同分布的驗(yàn)證數(shù)據(jù)集，并且要求攻擊者本地包含一定的數(shù)據(jù)量來保證攻擊效果，這嚴(yán)重限制了中毒攻擊的實(shí)施。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供一種基于隱私推理的聯(lián)邦學(xué)習(xí)數(shù)據(jù)中毒攻擊系統(tǒng)、方法、程序及存儲(chǔ)介質(zhì)。

2、一種基于隱私推理的聯(lián)邦學(xué)習(xí)數(shù)據(jù)中毒攻擊系統(tǒng)，包括隱私數(shù)據(jù)推理模塊、數(shù)據(jù)增強(qiáng)模塊和中毒數(shù)據(jù)生成模塊；

3、所述隱私數(shù)據(jù)推理模塊用于從聯(lián)邦學(xué)習(xí)中央服務(wù)器中獲取聯(lián)邦學(xué)習(xí)全局模型，通過兩個(gè)生成對(duì)抗網(wǎng)絡(luò)模型分別作為圖像數(shù)據(jù)生成器和標(biāo)簽數(shù)據(jù)生成器，生成與用戶隱私數(shù)據(jù)相似的訓(xùn)練數(shù)據(jù)集；

4、所述數(shù)據(jù)增強(qiáng)模塊用于對(duì)于訓(xùn)練數(shù)據(jù)集中的每張圖像隨機(jī)擦除一塊區(qū)域，并用隨機(jī)值填充該區(qū)域，增加訓(xùn)練數(shù)據(jù)集的多樣性；

5、所述中毒數(shù)據(jù)生成模塊用于修改訓(xùn)練數(shù)據(jù)集中數(shù)據(jù)和標(biāo)簽的對(duì)應(yīng)關(guān)系，生成中毒數(shù)據(jù)集，使真實(shí)數(shù)據(jù)的標(biāo)簽出現(xiàn)錯(cuò)誤，導(dǎo)致模型無法有效識(shí)別數(shù)據(jù)的真實(shí)類別。

6、一種基于隱私推理的聯(lián)邦學(xué)習(xí)數(shù)據(jù)中毒攻擊方法，包括以下步驟：

7、步驟1：從聯(lián)邦學(xué)習(xí)中央服務(wù)器中獲取聯(lián)邦學(xué)習(xí)全局模型，通過隱私數(shù)據(jù)推理模塊生成與用戶隱私數(shù)據(jù)相似的訓(xùn)練數(shù)據(jù)集；

8、步驟2：通過數(shù)據(jù)增強(qiáng)模塊對(duì)訓(xùn)練數(shù)據(jù)集進(jìn)行處理，對(duì)于訓(xùn)練數(shù)據(jù)集中的每張圖像隨機(jī)擦除一塊區(qū)域，并用隨機(jī)值填充該區(qū)域，增加訓(xùn)練數(shù)據(jù)集的多樣性；

9、步驟3：通過中毒數(shù)據(jù)生成模塊修改訓(xùn)練數(shù)據(jù)集中數(shù)據(jù)和標(biāo)簽的對(duì)應(yīng)關(guān)系，使真實(shí)數(shù)據(jù)的標(biāo)簽出現(xiàn)錯(cuò)誤，導(dǎo)致模型無法有效識(shí)別數(shù)據(jù)的真實(shí)類別，生成中毒數(shù)據(jù)集；

10、步驟4：將訓(xùn)練數(shù)據(jù)集與中毒數(shù)據(jù)集合并，訓(xùn)練局部模型并上傳至中央服務(wù)器。

11、進(jìn)一步地，所述步驟1具體為：

12、步驟1.1：獲取聯(lián)邦學(xué)習(xí)全局模型；

13、步驟1.2：初始化偽圖像生成器，偽標(biāo)簽生成器；

14、步驟1.3：生成偽數(shù)據(jù)及偽標(biāo)簽的隨機(jī)噪聲；

15、步驟1.4：由偽圖像生成器迭代更新，同時(shí)更新生成器和鑒別器；

16、步驟1.5：由偽標(biāo)簽生成器迭代更新，同時(shí)更新生成器和鑒別；

17、步驟1.6：返回生成的偽數(shù)據(jù)及偽標(biāo)簽，得到與用戶隱私數(shù)據(jù)相似的訓(xùn)練數(shù)據(jù)集。

18、進(jìn)一步地，所述步驟2具體為：

19、步驟2.1：定義圖像的高度h和長度w；

20、步驟2.2：隨機(jī)生成擦除面積s、擦除矩形的高度h和寬度w；

21、s＝h*w*u(smin,smax)

22、h＝sqrt(s*r)

23、

24、其中，r為隨機(jī)值，r＝u(rmin,rmax)；

25、步驟2.3：隨機(jī)選擇擦除區(qū)域(x0,y0)，在區(qū)域中擦除圖像(x0,y0,x0+w,y0+h)，返回擦除后的數(shù)據(jù)。

26、一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序/指令，該計(jì)算機(jī)程序/指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述基于隱私推理的聯(lián)邦學(xué)習(xí)數(shù)據(jù)中毒攻擊方法的步驟。

27、一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序/指令，該計(jì)算機(jī)程序/指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述基于隱私推理的聯(lián)邦學(xué)習(xí)數(shù)據(jù)中毒攻擊方法的步驟。

28、本發(fā)明的有益效果在于：

29、本發(fā)明提供了一種實(shí)際的數(shù)據(jù)中毒攻擊模型，減少了攻擊假設(shè)，保證中毒攻擊質(zhì)量。本發(fā)明可以實(shí)現(xiàn)在不要求攻擊者擁有與良性客戶端享有相同分布的驗(yàn)證數(shù)據(jù)集的情況下實(shí)現(xiàn)有效的中毒攻擊。本發(fā)明通過隱私推理技術(shù)，實(shí)現(xiàn)了數(shù)據(jù)獲取，并通過數(shù)據(jù)增強(qiáng)豐富了攻擊者數(shù)據(jù)多樣性，最后通過修改數(shù)據(jù)和真實(shí)標(biāo)簽的對(duì)應(yīng)關(guān)系實(shí)現(xiàn)中毒攻擊，大幅度破壞了聯(lián)邦學(xué)習(xí)模型的有效性，可部署在基于聯(lián)邦學(xué)習(xí)的架構(gòu)中，并適用于多種分布式機(jī)器學(xué)習(xí)場景。

技術(shù)特征：

1.一種基于隱私推理的聯(lián)邦學(xué)習(xí)數(shù)據(jù)中毒攻擊系統(tǒng)，其特征在于：包括隱私數(shù)據(jù)推理模塊、數(shù)據(jù)增強(qiáng)模塊和中毒數(shù)據(jù)生成模塊；

2.一種基于隱私推理的聯(lián)邦學(xué)習(xí)數(shù)據(jù)中毒攻擊方法，其特征在于，包括以下步驟：

3.根據(jù)權(quán)利要求2所述的一種基于隱私推理的聯(lián)邦學(xué)習(xí)數(shù)據(jù)中毒攻擊方法，其特征在于：所述步驟1具體為：

4.根據(jù)權(quán)利要求2所述的一種基于隱私推理的聯(lián)邦學(xué)習(xí)數(shù)據(jù)中毒攻擊方法，其特征在于：所述步驟2具體為：

5.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序/指令，其特征在于：該計(jì)算機(jī)程序/指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求2至4中任一項(xiàng)所述方法的步驟。

6.一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序/指令，其特征在于：該計(jì)算機(jī)程序/指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求2至4中任一項(xiàng)所述方法的步驟。

技術(shù)總結(jié)
本發(fā)明屬于人工智能安全技術(shù)領(lǐng)域，具體涉及一種基于隱私推理的聯(lián)邦學(xué)習(xí)數(shù)據(jù)中毒攻擊系統(tǒng)、方法、程序及存儲(chǔ)介質(zhì)。本發(fā)明提供了一種實(shí)際的數(shù)據(jù)中毒攻擊模型，減少了攻擊假設(shè)，保證中毒攻擊質(zhì)量。本發(fā)明可以實(shí)現(xiàn)在不要求攻擊者擁有與良性客戶端享有相同分布的驗(yàn)證數(shù)據(jù)集的情況下實(shí)現(xiàn)有效的中毒攻擊。本發(fā)明通過隱私推理技術(shù)，實(shí)現(xiàn)了數(shù)據(jù)獲取，并通過數(shù)據(jù)增強(qiáng)豐富了攻擊者數(shù)據(jù)多樣性，最后通過修改數(shù)據(jù)和真實(shí)標(biāo)簽的對(duì)應(yīng)關(guān)系實(shí)現(xiàn)中毒攻擊，大幅度破壞了聯(lián)邦學(xué)習(xí)模型的有效性，可部署在基于聯(lián)邦學(xué)習(xí)的架構(gòu)中，并適用于多種分布式機(jī)器學(xué)習(xí)場景。

技術(shù)研發(fā)人員：呂繼光,楊武,苘大鵬,王煥然,韓帥,許晨,徐術(shù)春,駱昱
受保護(hù)的技術(shù)使用者：哈爾濱工程大學(xué)
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/2