CN113792331B 一种基于对抗性干扰的联邦学习成员推理攻击防御方法 （北京理工大学）.docxVIP

(19)国家知识产权局

(12)发明专利

(10)授权公告号CN113792331B(45)授权公告日2025.01.10

(21)申请号202111002422.9

(22)申请日2021.08.30

(65)同一申请的已公布的文献号申请公布号CN113792331A

(43)申请公布日2021.12.14

(73)专利权人北京理工大学

地址100081北京市海淀区中关村南大街5

号

(72)发明人沈蒙魏雅倩王焕祝烈煌

(74)专利代理机构北京正阳理工知识产权代理事务所(普通合伙)11639

专利代理师张利萍

(51)Int.CI.

GO6F21/62(2013.01)

GO6N3/0464(2023.01)

GO6N3/094(2023.01)

GO6N20/00(2019.01)

(56)对比文件

CN111754000A,2020.10.09CN112668044A,2021.04.16

审查员董洪梅

权利要求书4页说明书11页附图1页

(54)发明名称

年7场的玛模L

与方

(57)摘要

CN113792331B本发明涉及一种基于对抗性干扰的联邦学习成员推理攻击防御方法，属于机器学习中的联邦学习隐私保护技术领域。本方法建立了一种联邦学习成员推理攻击防御机制，在每次参与者上传利用本地数据训练好的模型参数之前，向模型参数中添加精心设计的对抗性干扰，使攻击者针对使用此种防御机制训练出来的模型进行成员推理攻击后得到的攻击准确率尽可能趋近50%,尽可能降低对目标模型性能的影响，从而同时满

CN113792331B

CN113792331B权利要求书1/4页

2

1.一种基于对抗性干扰的联邦学习成员推理攻击防御方法，其特征在于，包括以下步

骤：

步骤1:根据参与者数量|P|,将训练数据集TR和测试数据集JE平均划分成|P|份，得到TR?,…,TRp和TE?,…,TEp|;

将划分后的数据分配给各个参与者P1,…,Pp,每个参与者使用自己拥有的数据训练本地模型并得到模型参数；

步骤2:参与者训练攻击模型，让噪声生成器和攻击模型不断进行交互，得到使攻击模型对加噪声的本地模型攻击准确率趋近于50%的最小噪声，使攻击模型无法区别某一条数据是否是训练本地模型时使用的训练数据；

步骤3:服务器利用噪声优化器根据式4和式5得到噪声的缩放因子，并随机发送给各个

参与者；参与者利用缩放因子缩放噪声，将噪声加入本地模型参数并发送给服务器：

(4)

(5)

其中，m为参与者数量，Y?,Y?,…,Ym分别是m个参与者产生的噪声的缩放因子；x为一个变量，根据参与者数量m计算得到；

步骤4:服务器接收所有参与者发送的模型参数，并对这些模型参数求平均值，将平均后的模型参数作为新的全局模型参数；

步骤5:服务器将全局模型参数发送给所有参与者，使参与者更新本地模型，至此，完成了联邦学习模型训练的一个轮次；

重复步骤1至步骤5,直到达到设置的指定训练轮次，从而完成可防御成员推理攻击的联邦学习模型训练，利用该模型实现防御成员推理攻击。

2.如权利要求1所述的一种基于对抗性干扰的联邦学习成员推理攻击防御方法，其特征在于，方法基于联邦学习成员推理攻击防御模型如下：

包括联邦学习训练模型FL、成员推理攻击防御模型AD和模型数据D;

其中，联邦学习训练模型FL是参与联邦学习本地模型训练的参与者的集合P={P?…,Pp}和参与联邦学习模型聚合与分发的服务器S的并集，即，FL=

PUS,|P|为P中参与者个数；联邦学习训练模型FL中的参与者与服务器，基于平均聚合的算法，共同合作训练机器学习模型，其中，平均聚合是指服务器对接收的全部模型参数求平均值，并将该平均值作为新的全局模型的模型参数；

成员推理攻击防御模型AD,是攻击模型AM、噪声生成器NG和噪声优化器NO的

并，即，AD=AMUNGUNO;其中，攻击模型AM是为了进行成员推理攻击而训练

的模型，它通过对参与者训练的本地模型进行成员推理攻击来推断该模型被成员推理攻击成功的概率，即，受到成员推理攻击的风险；噪声生成器NG负责与攻击模