买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：西安电子科技大学

摘要：本发明公开了一种基于变分自编码器的成员推理攻击抵御方法，主要解决现有成员推理攻击抵御方法无法同时满足可用性和隐私性的问题。其方案是：划分训练和非训练数据；分别构建卷积神经网络、变分自编码器和推理攻击网络模型；用非训练数据集训练卷积神经网络和推理攻击网络模型；对变分自编码器和训练好的推理攻击网络模型进行对抗训练；利用训练后的变分自编码器生成新生数据集；用新生数据集训练出防御卷积神经网络；使用新生数据集和训练数据同时测试防御卷积神经网络和训练好的推理攻击网络模型，输出添加防御后的预测分类结果和预测攻击结果。本发明提高了预测精度，降低了成员推理攻击的成功概率，可用于防止机器学习模型的训练数据被泄露。

主权项：1.一种基于变分自编码器的成员推理攻击抵御方法，其特征在于，包括：1划分数据集：随机将现有的FASHION-MNIST数据集平均划分为训练集D和非训练集D’，并分别从中获取子集D1，D1’；2构建一个依次由卷积层、池化层、隐藏层、全连接层组成的卷积神经网络，初始化网络的各项参数，设置损失函数为交叉熵函数；3构建由均值编码器、方差编码器和译码器组成的变分自编码器，设置其损失函数为重构损失函数；4构建依次由6层全连接层组成的推理攻击网络模型，初始化该网络模型的各项参数，设定攻击损失函数为： 其中，h*和h'为推理攻击网络模型的输出结果，分别表示推理出训练数据的成功概率和失败概率；5选用非训练数据集D’，对卷积神经网络和推理攻击网络模型同时进行训练：5a将非训练数据集D’中的非训练数据样本输入到卷积神经网络，并将其输出结果和非训练数据样本对应的标签作为推理攻击网络模型的输入，得到推理攻击网络模型的输出结果；5b根据推理攻击网络模型的输出结果，采用小批量梯度下降算法对卷积神经网络和推理攻击网络模型的参数进行更新，直到它们的损失函数都收敛，得到训练好的卷积神经网络和推理攻击网络模型；6对变分自编码器和推理攻击网络模型进行对抗训练：6a设定对抗损失函数为：Loss＝min{L+λ*[maxmaxGain+1,0]}其中，maxGain为变分自编码器的重构损失函数，maxGain为影响因子，maxGain为本次训练中推理攻击模型的最大输出值；6b从训练集的子集D1中获取训练子数据x1输入到变分自编码器中，得到新生成的数据x*，并将x*输入到训练后的卷积神经网络中，得到训练预测向量V*；6c从非训练子集D1’中获取非训练子数据x1’，输入到训练好的卷积神经网络中，得到卷积神经网络对输入数据的非训练预测向量V’；6d将6b和6c的结果V*和V’分别输入到训练好的推理攻击模型中，分别得到攻击模型对于x*和x1’的判定结果向量h*和h’；6e根据判定结果向量h*和h’，选用梯度下降算法对训练好的推理攻击模型和变分自编码器的模型参数进行更新；6f重复以上6b-6e，直到对抗损失函数基本稳定，模型收敛，得到训练好的变分自编码器；7将训练集D中的数据输入训练好的变分自编码器中，得到新生数据集D*，该新生数据集D*的标签与训练集D的标签保持一致，将新生数据集D*分批次输入到训练前的卷积神经网络中，选用批量梯度下降算法对该网络进行训练，直到网络的损失函数收敛，得到训练好的防御卷积神经网络；8将新生数据集D*的数据作为训练好的防御卷积神经网络的输入，输出添加防御后的预测分类结果；9将防御卷积神经网络的输出和新生数据集D*中数据对应的标签输入到训练好的推理攻击模型，输出添加防御后的预测攻击结果。

全文数据：

权利要求：

百度查询： 西安电子科技大学 基于变分自编码器的成员推理攻击抵御方法