基于秘密共享的密文对抗样本检测与防御方法和介质

本发明属信息安全，尤其是涉及一种基于秘密共享的密文对抗样本检测与防御方法和介质。

背景技术：

1、基于秘密共享的隐私保护神经网络是一种结合了秘密共享技术和神经网络的方法，旨在解决在训练或使用神经网络时可能涉及的隐私泄露问题，可以在保护用户隐私的同时进行有效的模型训练或推断。传统的神经网络通常需要集中式地收集大量的用户数据进行模型训练，这可能会导致用户的隐私暴露；而基于秘密共享的隐私保护神经网络则提供了一种分布式的模型训练方法，用户数据i被分割成k个子数据ii(i＝1,2,...,k)并分别发送到相对应的服务器上，k个服务器共同训练一个分布式神经网络模型。训练过程中，为了保证运算的准确性，需要服务器间进行通信，最后将每个服务器的输出oi(i＝1,2,...,k)进行组合即可得到原始数据的输出：o＝o1+o2+...+ok。

2、为了使得在原始样本集合上训练好的模型以高置信度给出与原样本不同的分类输出，christian szegedy等人提出了对抗样本(adversarial example)的概念，在原始样本中添加精心设计的细微扰动所形成的样本即对抗样本。对抗样本在促进模型改进和安全测试方面具有积极作用，但其潜在的安全威胁、隐私泄露风险以及对模型鲁棒性的挑战也不容忽视。为了满足日益增长的隐私安全需求，研究人员开展了基于密文的隐私保护神经网络研究，用户数据经过加密再传入服务器进行计算。然而，数据加密也会给对抗样本检测与防御带来困难，难以从子数据ii的信息推测整体数据i是否包含对抗样本。因此，需要设计一种数据隐私保护方法，可以在保证数据安全的同时识别对抗样本，进一步提高抗扰动性能。

技术实现思路

1、本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于秘密共享的密文对抗样本检测与防御方法和介质，可以在保证数据安全的同时识别对抗样本，进一步提高抗扰动性能。

2、本发明的目的可以通过以下技术方案来实现：

3、本发明提供一种基于秘密共享的密文对抗样本检测与防御方法，包括以下步骤：

4、获取用户数据i，输入基于秘密共享的密文对抗样本检测与防御模型进行分割和重构；

5、其中，所述基于秘密共享的密文对抗样本检测与防御模型包括一个生成对抗网络和一个基于秘密共享的隐私保护神经网络，所述生成对抗网络包括一个生成器g和一个判别器d，所述生成器g用于输出生成样本，所述判别器d用于区分生成样本和真实样本，所述基于秘密共享的密文对抗样本检测与防御模型处理用户数据i的具体过程如下：

6、s1、将训练好的生成对抗网络中的判别器d拆分为浅层判别网络d1和深层判别网络d2；

7、s2、获取用户数据i，通过所述浅层判别网络d1进行加密，将加密后的用户数据i’发送至所述深层判别网络d2，通过所述深层判别网络d2判断加密后的用户数据i’是否包含对抗样本，得到结果集合c；

8、s3、根据所述结果集合c中对抗样本数量的占比判断提供用户数据i的用户是否为恶意用户，若否，则直接将用户数据i分割为多个子数据，输入所述基于秘密共享的隐私保护神经网络；若是，则将用户数据i分割为多个子数据，执行秘密滤波协议sfp进行修正后，再输入所述基于秘密共享的隐私保护神经网络；

9、s4、所述基于秘密共享的隐私保护神经网络对接收的多个子数据进行重构计算并输出。

10、进一步地，所述生成对抗网络基于明文数据集进行训练，训练过程中，所述生成器g根据随机噪声向量z输出生成样本x′，所述生成样本x′与真实样本x具有相同的分布。

11、进一步地，所述生成对抗网络的训练过程中，以最小最大化损失函数为训练目标，所述损失函数包括生成器损失和判别器损失。

12、进一步地，所述损失函数的表达式具体如下：

13、

14、其中，pdata(x)为真实样本x的分布，pz(z)为随机噪声向量z的分布。

15、进一步地，步骤s1的具体过程如下：

16、判别器d共计k层，按数据流向顺序分别为l1，l2，……，lk，每一层的输出即为下一层的输入，设置阈值t，将判别器d拆分为浅层判别网络d1和深层判别网络d2，其中，浅层判别网络d1包含第1至第t层，深层判别网络d2包含第t+1至第k层。

17、进一步地，所述浅层判别网络d1包含的层数小于所述深层判别网络d2包含的层数。

18、进一步地，所述基于秘密共享的隐私保护神经网络包括两个服务器s1和s2，用户数据i分割为两个子数据i1和i2，每个子数据对应一个服务器，执行秘密滤波协议sfp进行修正的具体过程如下：

19、服务器s1收到子数据i1后，随机加上一个低频噪声k获得加密子数据i′1，然后发给服务器s2；

20、服务器s2将子数据i2加上i′1获得i′，然后对i′进行高通滤波，得到i′中的高频分量ε′，将子数据i2修正为i′2。

21、进一步地，子数据i2修正的具体表达式为：i′2＝i2-ε′。

22、进一步地，步骤s4中，服务器s1对输入的子数据进行同态加密计算获得o1，服务器s2对输入的子数据进行同态加密计算获得o2，所述基于秘密共享的隐私保护神经网络最终输出的重构结果为o，o＝o1+o2。

23、本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述方法。

24、与现有技术相比，本发明具有以下有益效果：

25、1、本发明通过基于秘密共享的密文对抗样本检测与防御模型对用户数据i进行分割和重构，其中，基于秘密共享的密文对抗样本检测与防御模型包括一个生成对抗网络和一个基于秘密共享的隐私保护神经网络，生成对抗网络包括一个生成器g和一个判别器d，分别用于输出生成样本和区分生成样本与真实样本，将训练好的生成对抗网络中的判别器d拆分为浅层判别网络d1和深层判别网络d2，使用浅层判别网络d1对用户数据i进行加密，然后发送至深层判别网络d2，判断加密后的用户数据i′是否包含对抗样本，得到结果集合c，根据结果集合c中对抗样本数量的占比判断提供用户数据i的用户是否为恶意用户，若否，则直接将用户数据i分割为多个子数据，输入基于秘密共享的隐私保护神经网络，若是，则将用户数据i分割为多个子数据，执行秘密滤波协议sfp进行修正后，再输入基于秘密共享的隐私保护神经网络，最后，基于秘密共享的隐私保护神经网络对接收的多个子数据进行重构计算并输出；上述过程中，通过浅层判别网络d1对用户数据进行加密处理，可以增强数据在传输过程中的安全性，通过深层判别网络d2对加密后的数据进行对抗样本检测，可以有效识别并过滤潜在的恶意数据，对检测到包含对抗样本的用户数据执行秘密滤波协议sfp进行修正，可以进一步提高数据的纯净度和安全性，将用户数据分割后通过基于秘密共享的隐私保护神经网络进行重构计算，可以防止恶意攻击者获取完整的用户数据，保护数据隐私，综上所述，上述方法可以在维护数据安全的同时，提升模型的抗对抗性能。

26、2、本发明设计的基于秘密共享的密文对抗样本检测与防御模型中，生成对抗网络独立于基于秘密共享的隐私保护神经网络，可以根据具体任务的需求灵活调整生成对抗网络而不影响基于秘密共享的隐私保护神经网络，灵活性和可实现性较强。