基于样本原生特征的投毒防御方法

为解决机器学习模型中投毒样本的注入问题,提出一种基于样本原生特征的投毒防御算法infoGAN_Defense。基于投毒样本的制作原理设计投毒样本原生特征的提取方法,提高模型对样本原生特征的训练权重;在此基础上,利用样本原生特征的不变性进行投毒防御,引入样本原生特征与人为特征的概念,采用耦合infoGAN结构实现样本特征的分离及提取;进行机器学习模型的重训练。在真实数据集上设计实验评估防御效果,其结果验证了infoGAN_Defense算法的可行性和有效性。

一种基于联邦学习参与方的投毒攻击防御方法

联邦学习分布式的训练结构易受到投毒攻击的威胁,现有方法主要针对中央服务器设计安全聚合算法以防御投毒攻击,但要求中央服务器可信且中毒参与方数量需低于正常参与方。为了解决上述问题,提出了一种基于联邦学习参与方的投毒攻击防御方法,将防御策略的执行转移到联邦学习的参与方。首先,每个参与方独立构造差异损失函数,通过计算全局模型与本地模型的输出并进行误差分析,得到差异损失权重与差异损失量;其次,依据本地训练的损失函数与差异损失函数进行自适应训练;最终,依据本地模型与全局模型的性能分析进行模型选取,防止中毒严重的全局模型干扰正常参与方。在MNIST与FashionMNIST等数据集上的实验表明,基于该算法的联邦学习训练准确率优于DnC等投毒攻击防御方法,在中毒参与方比例超过一半时,正常参与方仍能够实现对投毒攻击的防御。