(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211212032.9 (22)申请日 2022.09.30 (71)申请人 南京航空航天大 学 地址 211100 江苏省南京市江宁区将军大 道29号 (72)发明人 陈兵　谢袁源　张佳乐　 (74)专利代理 机构 苏州三英知识产权代理有限 公司 32412 专利代理师 潘时伟 (51)Int.Cl. G06N 20/00(2019.01) G06N 5/04(2006.01) (54)发明名称 基于联邦学习的成员推理攻击模型训练的 方法及应用 (57)摘要 本发明公开了一种基于联邦学习的成员推 理攻击模型训练的方法及应用， 所述方法包括： 基于联邦学习模型中每个攻击者所包含的带有 标签的第一训练样本构建已标注训练数据池， 并 基于生成式对抗网络生成的第二训练样本构建 未标注训练数据池； 基于对抗性表征主动学习模 型选择未标注训练数据池中的部分第二训练样 本设置标签， 并将已设置标签的部分第二训练样 本加入已标注训练数据池； 基于已标注训练数据 池中具有标签的第一训练样本、 部分第二训练样 本、 以及未标注训练数据池中剩余的第二训练样 本训练成员推理攻击模型。 该方法实现了丰富攻 击数据的多样性， 增强训练数据， 同时实现最大 限度地减少所需的数据标签量， 降低数据标注成 本， 提高数据准确性。 权利要求书2页 说明书11页 附图4页 CN 115496227 A 2022.12.20 CN 115496227 A 1.一种基于联邦学习的成员推理攻击模型训练的方法， 其特 征在于， 所述方法包括： 基于联邦学习模型中每个攻击者所包含的带有标签的第一训练样本构建已标注训练 数据池， 并基于生成式对抗网络所生成的第二训练样本构建未 标注训练数据池； 基于对抗性表征主动学习模型选择所述未标注训练数据池中的部分第二训练样本设 置标签， 并将已设置标签的所述部分第二训练样本加入至所述已标注训练数据池； 基于所述已标注训练数据池中具有标签的第一训练样本、 部分第二训练样本、 以及所 述未标注训练数据池中剩余的第二训练样本训练所述成员推理攻击模型。 2.如权利要求1所述的训练方法， 其特征在于， 所述生成式对抗网络包括第 一生成器和 第一判别器， 所述基于生成式对抗网络所生成的第二训练样本构建未标注训练数据池， 具 体包括： 基于所述第 一生成器和第 一判别器的极大极小博弈生成多个第 二训练样本， 所述多个 第二训练样本与所述目标联邦学习模型的训练数据集中的原始训练数据具有相同底层分 布； 将所述多个第二训练样本构建为所述未 标注训练数据池。 3.如权利要求2所述的训练方法， 其特征在于， 基于所述第 一生成器和第 一判别器的极 大极小博 弈生成多个第二训练样本， 具体包括： 初始化所述第一 生成器并使其从随机噪声中生成数据记录； 基于所述第一判别器判断所生成的数据记录与所述原始训练数据之间的相似程度更 新所述第一生成器， 以使 所述第一生成器生成与所述原始训练数据具有相同底层分布的数 据记录， 并将与所述原 始训练数据具有相同底层分布的数据记录作为第二训练样本 。 4.如权利要求2所述的训练方法， 其特 征在于， 所述方法还 包括： 将目标联邦学习模型的副本初始化为所述生成式对抗网络的第一判别器， 其中， 所述 目标联邦学习模型 由联邦学习模型迭代生成， 在每次迭代过程中， 所述攻击者下载当前迭 代轮次中的联邦学习模型， 并在本地保留所述目标 联邦学习模型的副本 。 5.如权利要求1所述的训练方法， 其特征在于， 所述对抗性表征主动学习 模型包括第 二 生成器， 所述基于对抗性表征主动学习模型选择所述未标注训练数据池中的部 分第二训练 样本设置标签， 具体包括： 基于所述第二生成器学习所述已标注训练数据池中具有标签的第一训练样本以及所 述未标注训练数据池中的第二训练样本的底层分布 表示； 基于所述对抗性表征主动学习 模型以及所述底层分布表示， 从所述未标注训练数据池 中选择信息量 最大的第二训练样本设置标签。 6.如权利要求1所述的训练方法， 其特征在于， 基于所述已标注训练数据池中具有标签 的第一训练样本、 部分第二训练样本、 以及所述未标注训练数据池中剩余的第二训练样本 训练所述成员推理攻击模型， 具体包括： 基于所述对抗 性表征主动学习模型构建多个 影子模型； 利用所述已标注训练数据池中具有标签的第一训练样本、 部分第二训练样本、 以及所 述未标注训练数据池中剩余的第二训练样本对所述多个影子模型进行训练， 以使 所述影子 模型输出样本向量； 将所述样本向量划分为训练集和测试集， 并利用所述训练集和测试集对所述成员推理权　利　要　求　书 1/2 页 2 CN 115496227 A 2攻击模型进行训练。 7.如权利要求6所述的训练方法， 其特征在于， 所述对抗性表征主动学习 模型还包括第 二判别器、 鉴别器以及编 码器， 利用所述已标注训练数据池中具有标签的第一训练样本、 部 分第二训练样本、 以及所述未标注训练数据池中剩余的第二训练样本对所述多个影子模型 进行训练， 具体包括： 基于所述对抗性表征主动学习模型选择所述未标注训练数据池中剩余的第二训练样 本； 基于所述编码器将所述未 标注训练数据池中剩余的第二训练样本映射到底层空间中； 基于所述第二 生成器在所述底层空间中对剩余的所述第二训练样本进行重建； 基于所述第二生成器和第二判别器的极大极小博弈生成与原始训练数据具有相同底 层分布的第三训练样本； 将所述已标注训练数据池中具有标签的第一训练样本、 部分第二训练样本、 以及所述 未标注训练数据池中的第三训练样本 输入所述多个 影子模型进行训练。 8.一种基于联邦学习的成员推理攻击模型训练的装置， 其特 征在于， 所述装置包括： 构建模块， 用于基于联邦学习 模型中每个攻击者所包含的带有标签的第 一训练样本构 建已标注训练数据池， 并基于生成 式对抗网络所生成的第二训练样本构建未标注训练数据 池； 选择模块， 用于基于对抗性表征主动学习 模型选择所述未标注训练数据池中的部分第 二训练样本 设置标签， 并将已设置标签的所述部分第二训练样本加入至所述已标注训练数 据池； 训练模块， 用于基于所述已标注训练数据池中具有标签的第一训练样本、 部分第二训 练样本、 以及所述未 标注训练数据池中剩余的第二训练样本训练所述成员推理攻击模型。 9.一种电子设备， 其特 征在于， 所述电子设备包括： 至少一个处 理器； 以及 存储器， 所述存储器存储指令， 当所述指令被所述至少一个处理器执行时， 使得所述至 少一个处理器执行如权利要求1至7中任一项所述的基于联邦学习的成员推理攻击模型训 练的方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1至7任一项 所述的基于联邦学习的 成员推理攻击模型训练的方法。权　利　要　求　书 2/2 页 3 CN 115496227 A 3