2.如權(quán)利要求1所述的面向聯(lián)邦學(xué)習(xí)的對(duì)抗樣本投毒攻擊方法，其特征在于，所述步驟1中，定義如下場景，假設(shè)有m個(gè)參與者參與訓(xùn)練，m＝2，假設(shè)第k個(gè)參與方是攻擊者，聯(lián)邦學(xué)習(xí)系統(tǒng)中，每個(gè)參與方的本地訓(xùn)練看作是一個(gè)傳統(tǒng)的機(jī)器學(xué)習(xí)模型訓(xùn)練過程，攻擊者通過解決以下雙層優(yōu)化問題訓(xùn)練得到惡意本地模型參數(shù)，實(shí)現(xiàn)針對(duì)聯(lián)邦學(xué)習(xí)系統(tǒng)的投毒攻擊：

其中，x_i和y_i分別表示D_k中的每個(gè)訓(xùn)練樣本和對(duì)應(yīng)的標(biāo)簽，x＝{x_i}是所有訓(xùn)練樣本的集合，y＝{y_i}是標(biāo)簽集合，為攻擊者選取符合擾動(dòng)限制條件的可選噪聲集合，對(duì)D_k中每個(gè)樣本x_i添加的擾動(dòng)δ_i，限制擾動(dòng)||δ_i||_∞≤ε，ε為擾動(dòng)上限.δ＝{δ_i}為給所有訓(xùn)練樣本添加的擾動(dòng)集合，η為惡意參與方的本地訓(xùn)練學(xué)習(xí)率，為損失函數(shù)，θ為模型參數(shù)，對(duì)于每個(gè)δ，都會(huì)有一個(gè)對(duì)應(yīng)的在“有毒”的對(duì)抗樣本下訓(xùn)練得到的最優(yōu)模型參數(shù)θ(δ)，攻擊者的目標(biāo)是在集合中找到一組最優(yōu)的擾動(dòng)集合δ使得其對(duì)應(yīng)的最優(yōu)分類器F(θ(δ))在D_k的樣本空間分布上的泛化性能盡可能差。