本發(fā)明公開了一種基于聯(lián)邦學(xué)習(xí)的防竊取攻擊醫(yī)療診斷模型保護(hù)方法，屬于醫(yī)療診斷保護(hù)技術(shù)領(lǐng)域，該保護(hù)方法具體步驟如下：S1、假設(shè)有N個醫(yī)療機(jī)構(gòu)各收集N個敏感醫(yī)療數(shù)據(jù)集，各機(jī)構(gòu)基于這些數(shù)據(jù)集獨(dú)立訓(xùn)練不同的本地模型，得到N個teacher；S2、在各醫(yī)療機(jī)構(gòu)本地部署訓(xùn)練好的teacher，記錄每一個teacher的預(yù)測結(jié)果，用于最終結(jié)果投票；S3、引入拉普拉斯噪聲，將票數(shù)的統(tǒng)計(jì)情況打亂，實(shí)現(xiàn)差分隱私保護(hù)；S4、在聯(lián)邦全局服務(wù)器聚合所有teacher投票，得到aggregated teacher；S5、在聯(lián)邦全局服務(wù)器用aggregated teacher標(biāo)記脫敏公共數(shù)據(jù)集，傳遞已習(xí)得的知識；S6、在聯(lián)邦全局服務(wù)器用標(biāo)記后的公共數(shù)據(jù)集訓(xùn)練student；S7、將訓(xùn)練好的student模型提供給用戶使用，能夠降低泄露的風(fēng)險(xiǎn)。

技術(shù)領(lǐng)域

本發(fā)明涉及醫(yī)療診斷保護(hù)技術(shù)領(lǐng)域，尤其涉及一種基于聯(lián)邦學(xué)習(xí)的防竊取攻擊醫(yī)療診斷模型保護(hù)方法。

背景技術(shù)

智能醫(yī)療領(lǐng)域中，通常會運(yùn)用電子健康數(shù)據(jù)，提取患者特征，識別患者人群，簡單來說就是用臨床數(shù)據(jù)訓(xùn)練一個疾病診斷模型。這些臨床數(shù)據(jù)通常是涉及病患隱私的敏感數(shù)據(jù)，因此醫(yī)療機(jī)構(gòu)之間的數(shù)據(jù)往往無法互通。然而大部分醫(yī)院(或數(shù)據(jù)中心)數(shù)據(jù)量都是有限的，持有的數(shù)據(jù)不足以訓(xùn)練一個好的模型。只有大型醫(yī)療AI云服務(wù)商可以提供好的模型服務(wù)，例如模型訓(xùn)練和識別等，這些服務(wù)通常以接口形式對外開放，用戶可以調(diào)用其完成醫(yī)療影像識別、疾病診斷預(yù)測等操作；模型竊取攻擊是指攻擊者通過查詢，分析系統(tǒng)的輸入輸出和其他外部信息，推測系統(tǒng)模型的參數(shù)及訓(xùn)練數(shù)據(jù)信息，對于攻擊者來說，模型是一個黑盒，攻擊者可以挑選輸入值，來觀察模型的預(yù)測結(jié)果；

攻擊者可以通過多次調(diào)用醫(yī)療AI云服務(wù)的接口，把AI模型“竊取”出來，這會帶來兩個問題：一是知識產(chǎn)權(quán)的竊取。樣本收集和模型訓(xùn)練需要耗費(fèi)很大資源，訓(xùn)練出來的模型是重要的知識產(chǎn)權(quán)；二是攻擊者可以通過竊取的模型構(gòu)造對抗樣本，因此，可以在模型訓(xùn)練階段采取特殊的保護(hù)方法降低模型被竊取的風(fēng)險(xiǎn)。

為了利用各醫(yī)院或數(shù)據(jù)機(jī)構(gòu)收集的敏感醫(yī)療數(shù)據(jù)訓(xùn)練效果更好的醫(yī)療診斷模型，并防止模型被竊取，我們提出一種基于聯(lián)邦學(xué)習(xí)的防竊取攻擊醫(yī)療診斷模型保護(hù)方法。

發(fā)明內(nèi)容

本發(fā)明的目的是為了解決現(xiàn)有技術(shù)中存在的缺陷，而提出的一種基于聯(lián)邦學(xué)習(xí)的防竊取攻擊醫(yī)療診斷模型保護(hù)方法。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用了如下技術(shù)方案：

一種基于聯(lián)邦學(xué)習(xí)的防竊取攻擊醫(yī)療診斷模型保護(hù)方法，該醫(yī)療診斷模型保護(hù)方法具體步驟如下：

S1、假設(shè)有N個醫(yī)療機(jī)構(gòu)各收集N個敏感醫(yī)療數(shù)據(jù)集，各機(jī)構(gòu)基于這些數(shù)據(jù)集獨(dú)立訓(xùn)練不同的本地模型，得到N個teacher；

S2、在各醫(yī)療機(jī)構(gòu)本地部署訓(xùn)練好的teacher，記錄每一個teacher的預(yù)測結(jié)果，用于最終結(jié)果投票；

S3、引入拉普拉斯噪聲，將票數(shù)的統(tǒng)計(jì)情況打亂，實(shí)現(xiàn)差分隱私保護(hù)；

S4、在聯(lián)邦全局服務(wù)器聚合所有teacher的預(yù)測結(jié)果并進(jìn)行投票，選取票數(shù)最高的作為最終結(jié)果，得到aggregated teacher；

S5、在聯(lián)邦全局服務(wù)器用aggregated teacher對無標(biāo)簽的脫敏公共數(shù)據(jù)集進(jìn)行標(biāo)注，得到有標(biāo)簽脫敏公共數(shù)據(jù)集；

S6、在聯(lián)邦全局服務(wù)器用步驟S5得到的有標(biāo)簽脫敏公共數(shù)據(jù)集訓(xùn)練新的深度神經(jīng)網(wǎng)絡(luò)模型student；

S7、將訓(xùn)練好的student提供給用戶使用。

作為本發(fā)明進(jìn)一步的方案：步驟S3中實(shí)現(xiàn)差分隱私保護(hù)的具體過程為：

SS1、在聯(lián)邦全局邦服務(wù)器統(tǒng)計(jì)N個醫(yī)療機(jī)構(gòu)本地訓(xùn)練的teacher模型的投票情況，形成聚合結(jié)果；