[发明专利]基于联邦学习的攻击检测与防御方法、装置及存储介质

说明书

本发明公开了一种基于联邦学习的攻击检测与防御方法，包括：根据原始模型的模型参数，将原始模型聚类为多个模型集合；确定每个模型集合对应的第一可疑度值；将第一可疑度值超出第一预设阈值的模型集合确定为异常集合，并计算异常集合中每个原始模型的第二可疑度值；将第一可疑度值未超出第一预设阈值的模型集合确定为正常集合，并将正常集合对应的第一可疑度值确定为正常集合中每个原始模型的第二可疑度值；按照预设可疑度计算规则，计算第二可疑度值，以得到第三可疑度值；将第三可疑度值超过第二预设阈值的客户端，从服务器中删除。本发明能够在大规模客户端的应用场景下，针对全部的攻击种类，进行高效率高准确度的检测与防御，且鲁棒性强。

技术领域

本发明属于人工智能领域，具体涉及一种基于联邦学习的攻击检测与防御方法、装置及存储介质。

背景技术

随着各界对用户数据安全性的重视，本领域技术人员提出了联邦学习技术，所述联邦学习技术中所有训练数据都保留在本地客户服务器上，能够防止数据的泄露，减小服务器压力，能够实现多参与者共同建模。具体的，所述联邦学习技术的步骤是：服务器端建立有一个虚拟的共有模型供各参与者(客户端)下载，各参与者用本地数据训练所述模型，将训练后得到的梯度更新信息等数据用加密通信的方式上传至服务器，在服务器将多个参与者上传的数据进行平均聚合，得到新的模型，将所述新的模型分发给参与下一轮训练的参与者继续进行训练，以实现基于用户数据安全的多参与者共同建模。

所述联邦学习技术存在安全隐患，如：当攻击者控制一台或多台参与者时，攻击者能够对参与者进行恶意投毒，包括但不局限于修改标签、植入后门等操作，从而会通过参与者向服务器传递恶意数据，导致建模失败，或者，被植入后门。

现有技术中针对上述安全隐患提出的检测防御机制仍存在许多问题。首先，大部分防御机制受限于客户端的数量，当客户端数目超过客户端总数的一定比例时，防御机制会失效；其次，现有防御机制的防御攻击种类单一，基本上仅能针对特定的攻击种类进行防御，其防御机制无法通用于多数或者全部的攻击种类；另外，现有防御机制在执行防御任务时，耗时长，效率低，会占用大量的计算资源，不适用于大规模联邦学习的应用场景。

发明内容

为了解决现有技术中存在的上述问题，本发明提供了一种攻击检测与防御方法、装置及系统。本发明要解决的技术问题通过以下技术方案实现：

一种基于联邦学习的攻击检测与防御方法，应用于服务器，所述服务器连接有多个客户端，所述客户端上部署有原始模型，所述方法包括：

根据所述原始模型的模型参数，将所述原始模型聚类为多个模型集合；

确定每个模型集合对应的第一可疑度值；

将所述第一可疑度值超出第一预设阈值的模型集合确定为异常集合，并计算所述异常集合中每个原始模型的第二可疑度值；

将所述第一可疑度值未超出第一预设阈值的模型集合确定为正常集合，并将所述正常集合对应的第一可疑度值确定为所述正常集合中每个原始模型的第二可疑度值；

按照预设可疑度计算规则，对所述第二可疑度进行计算，以得到第三可疑度值；

将所述第三可疑度值超过第二预设阈值的所述原始模型，从所述服务器中删除。

在本发明的一个实施例中，所述根据所述原始模型的模型参数，将所述原始模型聚类为多个模型集合，包括：

按照预设模型选取规则，在多个所述原始模型中确定一个参考模型；

根据所述原始模型与所述参考模型的相似度值，对所述原始模型聚类，以得到多个模型集合。

在本发明的一个实施例中，所述确定每个模型集合对应的第一可疑度值，包括：

获取每个模型集合对应的代表模型；

获取所述代表模型的权重值；