本發明公開了一種基于神經元激活值聚類的縱向聯邦學習后門防御方法，包括：構建包含多個參與方和協作方的縱向聯邦推薦系統；聯邦學習，協作方在獲得聚合嵌入表示對應的構建商品導向鏈路后，通過對商品導向鏈路進行分類以有效第篩選出潛在后門攻擊的商品導向鏈路，并利用聚類結果對后門攻擊的商品導向鏈路進行修復，以指導后門攻擊的商品樣本朝著正確的預測方向進行學習，這樣無需獲得參與方的商品樣本，修復后的商品推薦模型能夠防御后門攻擊；還通過對與后門攻擊的聚合嵌入表示相同ID的聯合嵌入表示進行濾除或攻擊修復，以阻止或改善后門攻擊的聚合嵌入表示對商品推薦模型的參數優化，提升商品推薦模型對后門攻擊的防御能力。

技術領域

本發明屬于商品推薦的隱私安全技術領域，具體涉及一種基于神經元激活值聚類的縱向聯邦學習后門防御方法。

背景技術

深度學習在復雜多變的推薦任務中取得優異的性能，這使得其在現實場景中的商品推薦系統中得到大規模的應用和部署。通過深度學習構建的商品推薦系統相比傳統的商品推薦系統進一步提升了性能，這主要得益于豐富的計算資源和充足的計算數據。然而，近些年一些國家和地區出臺了數據隱私保護法規限制了商業數據的大規模收集，這給深度學習構建的商品推薦系統帶來很大的挑戰，隨著而來的是企業之間的數據孤島現象。

利用縱向聯邦學習技術搭建的商業推薦系統被稱為縱向聯邦推薦系統。縱向聯邦推薦系統被視作破解商業推薦系統中數據孤島難題的技術解決方案。參與縱向聯邦學習的企業無需共享商品屬性數據，僅僅在本地共享嵌入表示或梯度就可以構建完整的商品推薦系統。然而，由于所有參與縱向聯邦推薦系統的過程中難以保證所有的企業都是可信的，這其中極其有可能存在惡意的參與方。參與者試圖通過在縱向聯邦推薦系統中篡改數據或者操縱縱向聯邦學習訓練過程達到對商品推薦系統注入后門的目的。例如，參與者試圖在某件商品添加特殊標識后被惡意進行大量推送給用戶，這極大破壞商品推薦系統的安全性。

縱向聯邦推薦系統在訓練過程中，存在兩種不同攻擊者發動后門攻擊的范式，一方面作為主動方（參與縱向聯邦推薦系統中具有標簽的參與方）進行后門攻擊時，縱向聯邦推薦系統中的主動方在訓練過程中僅僅為數據特征上添加模式觸發器并且為相應的樣本數據修改標簽信息就可以達到注入后門的目的；另一方面作為被動方（參與縱向聯邦推薦系統中只提供特征的參與方）進行后門攻擊時，縱向聯邦推薦系統的被動方通過在訓練過程中篡改梯度信息來注入后門。這兩種注入后門的目的都是在縱向聯邦推薦系統測試階段，攻擊者可以使得縱向聯邦推薦系統將特定的商品樣本惡意精準推薦給特定用戶。

為了防御縱向聯邦推薦系統的后門攻擊威脅，需要在協作方部署防御方法。現有技術中存在2種常見的防御方法：差分隱私技術和梯度稀疏技術。然而，這2種技術并不適用于商品推薦系統防御后門攻擊威脅，其中差分隱私技術通過添加隨機噪聲使得商品推薦任務的準確性急劇下降，無法權衡后門防御性能和推薦任務性能。梯度稀疏無法防御縱向聯邦推薦系統的主動方進行后門攻擊，這主要是由于主動方發動后門攻擊不依賴于模型的梯度信息。

發明內容

鑒于上述，本發明的目的是提供一種基于神經元激活值聚類的縱向聯邦學習后門防御方法，以使縱向聯邦學習系統中頂部模型能夠防御后門攻擊，提高頂部模型的魯棒性。

為實現上述發明目的，本發明提供以下技術方案：

一種基于神經元激活值聚類的縱向聯邦學習后門防御方法，包括以下步驟：

構建包含多個參與方和一個協作方的縱向聯邦推薦系統，該縱向聯邦推薦系統用于通過縱向聯邦學習構建商品推薦模型；

進行縱向聯邦推薦系統的聯邦學習，包括：每個參與方利用本地商品樣本訓練本地模型，并上傳商品樣本對應的嵌入表示至協作方；協作方聚合所有參與方上傳的嵌入表示得到聚合嵌入表示，并獲得聚合嵌入表示在頂部模型的神經元激活值以構建商品導向鏈路，通過對商品導向鏈路進行聚類來篩選被后門攻擊的商品導向鏈路，同時根據聚類結果對后門攻擊的商品導向鏈路進行修復，依據修復后的商品導向鏈路進行頂部模型的參數更新，并將更新參數下傳至參與方進行下一輪聯邦學習；