[发明专利]一种可防御后门攻击的联邦学习图像分类方法

权利要求书

1.一种可防御后门攻击的联邦学习图像分类方法，其特征在于，包括以下步骤：

步骤1、确定Worker节点本地训练的图像样本数据和后门攻击方式；

步骤2、Worker节点接收Server节点下发的全局模型，基于本地图像数据和训练方法进行训练；完成本地训练后，将梯度上传至Server节点；

步骤3、Server节点把各个Worker节点提交的梯度展成一维，并组成矩阵，所述矩阵中的行代表Worker节点提交的梯度，对所述矩阵进行降维；计算降维后的矩阵中每个Worker节点提交的梯度与其余Worker节点提交的梯度的欧式距离之和，剔除距离大于阈值ε₁的Worker节点的梯度；对剩余的梯度进行聚类分析；计算每类中各Worker节点提交的梯度与该类中其余Worker节点提交的梯度的余弦相似度，再对每个Worker节点进行平均处理，选择平均处理后的中位数作为该类的相似度；选择具有最小相似度的类，剔除该类中距离大于阈值ε₂的Worker节点；

步骤4、Server节点对步骤3中得到Worker节点提交的梯度进行聚合，生成下一轮迭代的全局模型；下发全局模型到各个Worker节点；

步骤5、返回步骤2直至全局模型收敛，得到最终的全局模型，作为训练得到的可防御后门攻击的联邦学习图像分类模型；

步骤6、将待分类图像预处理后，输入训练得到的可防御后门攻击的联邦学习图像分类模型中，得到所述待分类图像的类型。

2.根据权利要求1所述的联邦学习图像分类方法，其特征在于，所述步骤1中的所述图像样本数据是由图像数据经像素点数值的归一化处理后得到的。

3.根据权利要求1所述的联邦学习图像分类方法，其特征在于，所述步骤3中的Server节点把各个Worker节点提交的梯度合并成矩阵，包括以下步骤：

Server节点把收集到的所有工作节点的梯度展成一维向量，把多个一维向量在行维度进行拼接，组合成矩阵，矩阵的每一行为Worker节点提交的梯度，每一列为各个Worker节点提交的梯度在模型中某个参数的梯度集合。

4.根据权利要求1所述的联邦学习图像分类方法，其特征在于，所述步骤3中的降维方式为：采用PCA方法把矩阵降维到2维。

5.根据权利要求1所述的联邦学习图像分类方法，其特征在于，所述步骤3中的阈值ε₁的值为8。

6.根据权利要求1所述的联邦学习图像分类方法，其特征在于，所述步骤3中的计算每类中各Worker节点提交的梯度与该类中其余Worker节点提交的梯度的余弦相似度，所述梯度为原始梯度，计算公式如下：

式中，Δw_i、Δw_j分别为Worker节点i和Worker节点j提交的梯度，Δw_ik为Worker节点i在第k参数的梯度，Δw_jk为Worker节点j在第k参数的梯度，n为模型参数的数量。

7.根据权利要求1所述的联邦学习图像分类方法，其特征在于，所述步骤3中的阈值ε₂的值为4。