专利一种联邦学习下数据源隐私属性推断攻击方法

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202111582624.5 (22)申请日 2021.12.2 2 (71)申请人安徽兰科智能科技有限公司地址 230000 安徽省合肥市中国（安徽）自由贸易试验区合肥市高新区创新大道 2800号创新产业园二期J1楼A座1008- 1室 (72)发明人许明雪　许广德　许明阳　 (74)专利代理机构合肥律众知识产权代理有限公司 34147 代理人朱波 (51)Int.Cl. G06N 20/00(2019.01) G06N 20/10(2019.01) G06N 3/08(2006.01)G06N 3/04(2006.01) G06F 21/62(2013.01) (54)发明名称一种联邦学习下数据源隐私属性推断攻击方法 (57)摘要本发明涉及数据安全，具体涉及一种联邦学习下数据源隐私属性推断攻击方法，在本地根据已有的算力和数据资源训练影子模型，基于影子模型进行主动攻击和被动攻击的攻击训练数据准备，根据积累的攻击训练数据在本地训练元模型，通过元模型在新的迭代轮次中实施推断攻击；本发明提供的技术方案能够有效克服现有技术所存在的不能在缺乏推断目标真实数据的情况下进行有效推断攻击的缺陷。权利要求书2页说明书4页附图2页 CN 114266359 A 2022.04.01 CN 114266359 A 1.一种联邦学习下数据源隐私属性推断攻击方法，其特征在于：在本地根据已有的算力和数据资源训练影子模型，基于影子模型进行主动攻击和被动攻击的攻击训练数据准备，根据积累的攻击训练数据在本地训练元模型，通过元模型在新的迭代轮次中实施推断攻击。 2.根据权利要求1所述的联邦学习下数据源隐私属性推断攻击方法，其特征在于：所述在本地根据已有的算力和数据资源训练影子模型，包括：攻击者在本地拥有和全局训练标签相同、数据来源不同的大量训练数据和足够的算力资源，对本地数据按数据源分割、属性向量标注，并据此进行影子模型的训练。 3.根据权利要求2所述的联邦学习下数据源隐私属性推断攻击方法，其特征在于：所述属性向量属于离散量，攻击者后期通过穷举可能的属性组合，观测选择后验最大的属性组合。 4.根据权利要求1所述的联邦学习下数据源隐私属性推断攻击方法，其特征在于：所述基于影子模型进行主动攻击和被动攻击的攻击训练数据准备，包括：对于主动攻击，为了解决本地关联数据的缺乏，生成待推测数据属性向量在全局模型上的梯度，用以在新的迭代轮次中验证该梯度是否存在来辅助判断；对于被动攻击，攻击者仅需在本地积累大量影子模型二次训练的中间输出即可。 5.根据权利要求4所述的联邦学习下数据源隐私属性推断攻击方法，其特征在于：所述梯度和数据属性之间的映射关系采用具有循环一致损失的C ycleGAN建立，循环一致损失的计算方法为： L(G,F,DX,DY)＝LGAN(G,DY,X,Y)+LGAN(F,DX,Y,X)+λLcyc(G,F) 其中， L为需要求解的损失函数， G为源域到目标域的生成器， F为目标域到源域的生成器， DX为源域， DY为目标域， LGAN为生成对抗网络损失函数， Lcyc为循环一致性损失， X为源域数据， Y为目标域数据， λ为可调节系数；其中， G*、 F*为两个生成器，进行主动攻击和被动攻击的攻击训练数据准备时仅需两个生成器G*、 F*即可。 6.根据权利要求5所述的联邦学习下数据源隐私属性推断攻击方法，其特征在于：生成所述梯度后，攻击者在本地将生成梯度注入联邦学习系统中，在新的迭代轮次中更新参数，并观察该梯度是否被削弱；其中，攻击者在本地将生成梯度注入联邦学习系统中，即： γ为可调节系数，为权重，为损失函数。 7.根据权利要求1所述的联邦学习下数据源隐私属性推断攻击方法，其特征在于：所述根据积累的攻击训练数据在本地训练元模型，包括：对于主动攻击，元模型需要跨迭代轮次判断注入的梯度是否蕴含在新的迭代轮次更新的参数中；权　利　要　求　书 1/2 页 2 CN 114266359 A 2对于被动攻击，元模型需要根据影子模型二次训练的中间输出判断本次全局迭代中推断目标数据源的隐私属性。 8.根据权利要求7所述的联邦学习下数据源隐私属性推断攻击方法，其特征在于：所述元模型的结构比全局模型的结构简单，所述元模型采用MLP或者SVM 。 9.根据权利要求1所述的联邦学习下数据源隐私属性推断攻击方法，其特征在于：所述通过元模型在新的迭代轮次中实施推断攻击，包括：在新的迭代轮次中，使用元模型根据观测得到的更新参数进行主动攻击或被动攻击。权　利　要　求　书 2/2 页 3 CN 114266359 A 3

专利 一种联邦学习下数据源隐私属性推断攻击方法

专利一种联邦学习下数据源隐私属性推断攻击方法