(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211047585.3 (22)申请日 2022.08.29 (71)申请人 成都安恒信息技 术有限公司 地址 610000 四川省成 都市自由贸易试验 区成都高新区天府 大道北段1480号高 新孵化园6号楼1 10室 (72)发明人 刘智远　熊虎　严航　姜毅　刘韬　 (74)专利代理 机构 成都君合集专利代理事务所 (普通合伙) 51228 专利代理师 尹新路 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 9/08(2006.01) G06F 21/60(2013.01)G06N 3/00(2006.01) (54)发明名称 一种群体学习抗毒化攻击方法、 系统、 设备 及存储介质 (57)摘要 本发明涉及人工智能和信息安全领域， 具体 地说， 涉及一种群体学习抗毒 化攻击方法、 系统、 设备及存储介质， 通过计算出第T ‑1轮全局模型 GT‑1和第T轮本地模型 之间的Pearson相关性 ρx， y， 并提高相关性高的本地模型在全局模型聚 合中的权重， 从而降低全局模型被毒化的概率， 屏蔽恶意用户的本地模型， 减少了其参与模型聚 合的权重， 从而解决了群体学习中恶意参与者使 用毒化数据来破坏模型训练的精度问题。 权利要求书3页 说明书11页 附图1页 CN 115442103 A 2022.12.06 CN 115442103 A 1.一种群 体学习抗毒化 攻击方法， 其特 征在于， 包括以下步骤： 步骤1： 从数据持有者节点获取身份信 息进行身份认证， 认证通过后将数据持有者节点 作为群体网络中的边 缘设备， 并从群 体网络中获取第T ‑1轮的全局模型GT‑1； 步骤2： 将从数据持有 者节点获取的第T轮扰动数据 调用SM9加密算 法Enc()， 得到加 密后的第T轮加噪的本地模型， 并发送至云平台， 云平台请求领导者节点发送第T ‑1轮扰动 数据 步骤3： 根据从领导者节点获取的第T ‑1轮加噪的全局模型和步骤2得到的加密后的第T 轮加噪的本地模型， 计算出第T ‑1轮全局模型GT‑1和第T轮本地模型 之间的Pearson相关 性ρx， y； 步骤4： 根据步骤3得到的Pearson相关性ρx， y， 计算出聚合阈值参数μi， 并发送至验证节 点； 步骤5： 根据步骤4计算的聚合阈值参数μi， 生成本地模型请求指令， 并发送至数据 持有 者节点； 步骤6： 根据步骤5得到的本地模型请求指令， 生成附加扰动的加密数据， 并返回至验证 节点； 步骤7： 根据步骤6生成的附加扰动的加密数据， 生成附加阈值参数的加密数据， 并发送 至领导者节点； 步骤8： 根据步骤7生成的附加阈值参数的加密数据， 生成聚合的全局模型， 并上传至群 体网络。 2.如权利要求1所述的一种群体学习抗毒化攻击方法， 其特征在于， 所述步骤2 的具体 包括以下步骤： 步骤21： 根据从数据持有者节点获取的数据持有者节点在群体网络中生成的两个非零 随机数 和步骤1获取的第T ‑1轮全局模型GT‑1， 训练本地数据集， 得到第T轮本地模型 GiT， 并将第T轮本地模型GiT转换为第T轮 扰动数据 步骤22： 根据步骤21得到的第T轮扰动数据 根据云平台的身份IDCP， 调用SM9加密算 法Enc()， 生成加密后的第T轮 扰动数据 步骤23： 将步骤22得到的加密后的第T轮扰动数据 和加密后 的第T‑1轮扰动数据 发送至云平台。 3.如权利要求2所述的一种群体学习抗毒化攻击方法， 其特征在于， 所述步骤3具体包 括以下步骤： 步骤31： 调用SM9解密算法Dec()， 将加密后的第T轮扰动 数据 和加密后的第T ‑1轮 扰动数据 解密为第T轮 扰动数据 和第T‑1轮扰动数据 步骤32： 根据步骤31得到的第T轮扰动数据 和第T‑1轮扰动数据 计算出数据持权　利　要　求　书 1/3 页 2 CN 115442103 A 2有者节点 μi第T轮本地模型 和第T‑1轮全局模型GT‑1之间的Pearso n相关性ρx， y。 4.如权利要求3所述的一种群体学习抗毒化攻击方法， 其特征在于， 所述步骤4具体包 括以下步骤： 步骤41： 根据步骤32得到的Pearson相关性ρx， y， 计算出聚合阈值参数 μi， 将聚合阈值参 数 μi和第T轮扰动数据 聚合， 得到聚合中间扰动数据 步骤42： 将从云平台获取的验证节点的身份IDCN和领导者节点的身份IDLN， 调用SM9加密 算法Enc()， 加密聚合阈值参数 μi和聚合中间扰动数据 得到加密后的聚合阈值参数|| μi||和加密后的聚合中间扰动数据 并将加密后的聚合中间扰动数据 发送至 领导者节点， 将加密后的聚合阈值 参数|| μi||发送至验证节点。 5.如权利要求4所述的一种群体学习抗毒化攻击方法， 其特征在于， 所述步骤5的具体 操作为： 将从验证节点获取的加密后的聚合阈值参数|| μi||， 调用SM9解密算法Dec()， 生成 解密后的聚合阈值 参数ui， 并向数据持有者节点ui发送本地模型请求指令 。 6.如权利要求5所述的一种群体学习抗毒化攻击方法， 其特征在于， 所述步骤6具体包 括以下步骤： 步骤61： 根据接收 的数据请求指令， 将从数据持有 者节点ui获取的本地模型转换 成本地 模型扰动数据 并生成噪声集 合数据Ri； 步骤62： 将从数据持有者节点ui获取的基于验证节点的身份IDCN和领导者节点的身份 IDLN， 根据步骤61得到的本地模型扰动数据 和噪声集合数据Ri， 调用SM9加密算 法Enc()， 生成加密后的本地模型扰动数据 和加密后的噪声集合数据||Ri||， 并将加密后的噪声 集合数据||Ri||发送至领导 者节点， 将加密后的本地模型扰动数据 发送至验证节点。 7.如权利要求6所述的一种群体学习抗毒化攻击方法， 其特征在于， 所述步骤7的具体 操作为： 将从验证节点获取的加 密后的本地模型扰动数据 调用SM9解密算法Dec()， 生 成解密后的扰动数据 聚合从验证者节点获取的聚合阈值参数 μi和解密后的本地模型扰 动数据 得到解密后的聚合中间参数 根据领导者节点 的身份IDLN和解密后的聚合 中间参数 调用SM9加密算法Enc()， 生成加密后的聚合中间参数 并发送到领 导者节点。 8.如权利要求7所述的一种群体学习抗毒化攻击方法， 其特征在于， 所述步骤8的具体 操作为： 根据步骤7得到的加密后的聚合中间参 数 步骤42得到的加密后的聚合中间扰 动数据 步骤62得到的加密后的噪声集合数据||Ri||， 调用SM9解密算法Dec()， 得到 解密后的聚合中间数据 解密后的聚合中间扰动数据 解密后的噪声集合 数据Ri， 根据从验证者节点获取的聚合阈值参数 μi， 得到第T轮的全局模型GT， 并发送至所有的数据权　利　要　求　书 2/3 页 3 CN 115442103 A 3