[发明专利]基于信用评估的面向联邦学习中毒攻击的防御方法

权利要求书

1.一种基于信用评估的面向联邦学习中毒攻击的防御方法，其特征在于，实现所述防御方法的系统包括一个服务器和K个终端，所述防御方法包括：

(1)为服务器配置图像数据集D_global、验证图像数据集D_val以及共享图像数据集D_share，利用所述图像数据集D_global训练初始化一个模型G_t；为每个终端配置一个本地图像数据集D_local；

(2)将所述当前模型G_t和所述共享图像数据集D_share发送至每个终端，t表示当前迭代次数；

(3)选择F个终端以模型G_t为基础，利用本地图像数据集D_local和共享图像数据集D_share中的训练图像样本对初始化模型G_t进行训练以更新模型参数，获得模型参数更新后的模型再利用共享图像数据集D_share中的测试图像样本对模型进行训练阶段的第一轮信用评估，获得第一轮信用评估结果，其中，F≤K，K为大于2的自然数，i为模型索引，i∈F；

(4)将F个模型上传到服务器，计算模型与其他模型之间的L2范数，对L2范数进行统计以完成上传阶段的第二轮信用评估，获得第二轮信用评估结果，其中，m∈F且m不等于i；

(5)服务器将F个模型与模型G_t聚合成模型利用验证图像数据集D_val对模型进行验证以完成聚合阶段的第三轮信用评估，获得第三轮信用评估结果；

(6)根据第一轮信用评估结果、第二轮信用评估结果以及第三轮信用评估结果统计F个模型的综合信用评估结果，根据综合信用评估结果筛选小于综合信用评估阈值的L个模型进行聚合获得模型G_t+1，利用图像数据集D_global和共享图像数据集D_share对模型G_t+1训练一定次数后，跳转执行步骤(2)，其中L≤F。

2.如权利要求1所述的基于信用评估的面向联邦学习中毒攻击的防御方法，其特征在于，步骤(3)中，第一轮信用评估的过程为：

首先，采用公式(1)计算第一轮信用评估值：

其中，rⁱ为第一轮信用评估值，{x_js,y_js}是共享图像数据集D_share的第j个图像样本和对应标签，表示图像样本x_js在模型的输出值，f(x_js；G_t)表示图像样本x_js在模型G_t的输出值，表示判断图像样本x_js在模型的输出值是否与标签y_js相同，C(f(x_js；G_t),y_js)表示判断图像样本x_js在模型G_t的输出值是否与标签y_js相同，sum(·)表示求和；

然后，比较第一轮信用评估值rⁱ与阈值γ_t，当第一轮信用评估值rⁱ大于阈值γ_t的模型给予较高的评价，对第一轮信用评估值rⁱ小于阈值γ_t的模型的第一轮信用评估值rⁱ清零，并将获得较高评价的模型的第一轮信用评估值rⁱ与信用参数α的乘积作为第一轮信用评估结果。