买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：南京信息工程大学

摘要：本发明公开了一种基于激活图的联邦学习版权保护方法、系统及设备，涉及人工智能隐私保护技术领域。本发明包括：构建检测器，并对检测器进行预训练；分别为每个客户端定义一个正态分布的潜在空间和一个约束，以便生成不同强度的高斯噪声触发集，触发集输入到模型得到某一层的激活图，同时构建投影模型，将水印信息无缝嵌入到客户端模型对应层的激活图中。本发明通过服务器端水印技术，可以在每一轮或数轮联邦学习模型更新过程中有效地插入水印，每个客户端模型都被嵌入了一个唯一的水印，这使得通过比较不同模型中的水印，可以有效地识别并追踪到窃取模型的恶意客户端。

主权项：1.一种基于激活图的联邦学习版权保护方法，其特征在于，具体包括以下步骤：S1.构建检测器，并对检测器进行预训练；S2.分别为每个客户端定义一个正态分布的潜在空间和一个约束，以便生成不同强度的高斯噪声触发集，触发集输入到模型得到某一层的激活图，同时构建投影模型，将水印信息无缝嵌入到客户端模型对应层的激活图中，包含水印信息的模型记为水印模型，不包含水印信息的模型记为非水印模型；S3.保存每一轮的投影模型参数，将水印模型分发给各个客户端，各个客户端利用本地数据对水印模型进行训练，完成训练后，客户端将更新后的水印模型上传到服务器；S4.利用训练后的检测器对更新后的各个水印模型进行全面检测，识别并过滤掉含有恶意修改或潜在风险的水印模型；S5.在确认各水印模型的安全性后，服务器采用联邦学习算法对各个更新后的水印模型进行聚合，通过计算各个水印模型参数的加权平均值生成全局模型，重复上述步骤S2-S5对全局模型进行重复训练直至符合精度要求；S6.全局模型训练完成后，保存为客户端正态分布的潜在空间和约束、投影模型的参数，用于后续追溯恶意客户端；S7.面对可疑模型，通过服务器保存的所有客户端的正态分布及约束参数、投影模型提取可疑模型的水印，并将其与客户端水印逐一进行匹配，若匹配率大于预先设定的阈值，则对应客户端视为泄露模型的恶意客户端；分别为多个客户端模型嵌入水印，将水印嵌入到目标模型的秘密选择的层中，具体如下：水印正则化项被定义为： 式中，为投影模型，为水印提取器，是的水印版本，是随机水印，是第n个客户端的水印，是水印距离度量，TS是来自潜在空间的触发集样本，是秘密提取密钥；全局嵌入损失如下： 式中，为原始目标模型损失项，为水印正则化项，是调整原始目标模型损失项和水印正则化项之间的权衡，为训练集的特征，为训练集的标签； 的参数根据以下正则化项进行相应更新，以保持原始目标模型的准确性并最小化激活图的投影与水印之间的距离； 式中，表示水印模型的模型参数权重，为原始目标模型损失项，为训练集的特征，为训练集的标签，为投影模型，是调整原始目标模型损失项和水印正则化项之间的权衡，是水印距离度量，为水印提取器，TS是来自潜在空间的触发集样本，是秘密提取密钥，是第n个客户端的水印，是的水印版本； 的参数根据以下正则化项进行更新： 式中，是调整原始目标模型损失项和水印正则化项之间的权衡，是水印距离度量，为投影模型，为水印提取器，为水印模型，TS是来自潜在空间的触发集样本，是秘密提取密钥，为无关投影模型，是第个客户端的水印，是随机水印，是投影模型的相关参数；对各个更新后的水印模型进行聚合，通过计算各个水印模型参数的加权平均值生成全局模型，具体步骤如下：（1）服务器将值与动态阈值进行比较，值不大于动态阈值，则将对应的水印模型应用于联邦学习的聚合过程中，具体如下： 式中，为联邦学习第轮的阈值，是第n个客户端第t轮的均方误差，N代表客户端数量；（2）服务器对良性客户端的模型进行聚合，具体如下： 式中，表示第t轮的全局模型，表示第n个客户端第t轮的模型，N表示客户端数量；所述泄露模型的恶意客户端的追溯，具体步骤如下：（1）服务器将使用为相关客户端保存的参数生成触发集样本，这些参数包括客户端特有的正态分布和约束，生成的触发集样本被输入到疑似恶意的模型中，通过模型的反应产生相应的激活图，将相应的激活图输入到投影模型中，提取水印；（2）将提取的水印与服务器为各个客户端预定义的水印集合进行匹配，若匹配率大于预先设定的阈值，则对应客户端视为泄露模型的恶意客户端，具体为： 式中，为字符逐一匹配，是第个客户端的水印，为从客户端模型中提取的水印，为预先设定的阈值，为匹配率。

全文数据：

权利要求：

百度查询： 南京信息工程大学 一种基于激活图的联邦学习版权保护方法、系统及设备