(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210586386.3 (22)申请日 2022.05.27 (71)申请人 支付宝 （杭州） 信息技 术有限公司 地址 310023 浙江省杭州市西湖区西溪路 556号8层B段801-1 1 (72)发明人 吴晓烽　王昊天　王维强　 (74)专利代理 机构 上海专利商标事务所有限公 司 31100 专利代理师 钱孟清 (51)Int.Cl. G06F 21/62(2013.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 基于主动攻击的模型 更新方法和系统 (57)摘要 本公开提供了一种基于主动攻击的模型更 新方法， 包括： 接收来自用户端的模型更新请求； 基于模型更新请求备份神经网络模 型， 以获取备 份模型； 基于模 型更新请求使用可逆变换来混淆 神经网络模型， 以获取混淆模型； 向用户端发送 混淆模型和备份模型之一； 接收用户端基于所发 送模型和本地样本训练的本地模 型的模型梯度； 以及基于所接收模型梯度更新备份模型以达成 模型更新。 权利要求书2页 说明书9页 附图7页 CN 114912147 A 2022.08.16 CN 114912147 A 1.一种基于主动攻击的模型 更新方法， 包括： 接收来自用户端的模型 更新请求； 基于所述模型 更新请求备份神经网络模型， 以获取 备份模型； 基于所述模型 更新请求使用可逆变换来混淆 所述神经网络模型， 以获取混淆模型； 向所述用户端发送所述混淆模型和所述备份模型之一； 接收所述用户端基于所发送模型和本地样本训练的本地模型的模型梯度； 以及 基于所接收模型梯度更新所述备份模型以达成模型 更新。 2.如权利要求1所述的方法， 所述可逆变换包括通过移位、 代换、 线性变换等对所述神 经网络模型的部分参数进行变换。 3.如权利要求1所述的方法， 基于所述模型更新请求使用可逆变换来混淆所述神经网 络模型包括使用可逆变换混淆 所述神经网络模型的部分模块。 4.如权利要求3所述的方法， 所述使用可逆变换混淆的所述神经网络模型的所述部分 模块可以是 所述神经网络模型的一个、 多个、 或全部模块。 5.如权利要求1所述的方法， 基于所述模型更新请求使用可逆变换来混淆所述神经网 络模型包括使用可逆变换混淆 所述神经网络模型的全连接层。 6.如权利要求1所述的方法， 基于所述模型更新请求使用可逆变换来混淆所述神经网 络模型包括使用可逆变换混淆 所述神经网络模型的卷积层。 7.如权利要求1所述的方法， 基于所述模型更新请求使用可逆变换来混淆所述神经网 络模型包括使用可逆变换混淆 所述神经网络模型的全连接层和卷积层。 8.如权利要求1所述的方法， 向所述用户端发送所述混淆模型和所述备份模型之一包 括轮流发送所述混淆模型和所述备份模型。 9.如权利要求1所述的方法， 向所述用户端发送所述混淆模型和所述备份模型之一包 括仅按间隔发送一次所述混淆模型， 否则发送所述备份模型。 10.如权利要求9所述的方法， 所述间隔是 取决于应用场景 可变的。 11.如权利要求1所述的方法， 向所述用户端发送所述混淆模型和所述备份模型之一包 括始终发送所述混淆模型。 12.如权利要求1所述的方法， 基于所接收模型梯度更新所述备份模型以达成模型更新 包括： 如果所接收模型梯度 是基于所述混淆模型计算的， 则通过逆变换将所接收模型梯度转 换成适用于所述备份模型的模型梯度， 并用转换后的模型梯度更新所述备份模型。 13.如权利要求1所述的方法， 基于所接收模型梯度更新所述备份模型以达成模型更新 包括： 如果所接收模型梯度 是基于所述备份模型计算的， 则直接用所接收模型梯度 更新所述 备份模型。 14.一种基于主动攻击的模型 更新系统， 包括： 收发模块， 接收来自用户端的模型 更新请求； 模型获取模块， 基于所述模型更新请求备份神经网络模型， 以获取备份模型， 以及基于 所述模型 更新请求使用可逆变换来混淆 所述神经网络模型， 以获取混淆模型； 其中所述收发模块向所述用户端发送所述混淆模型和所述备份模型之一， 并接收所述权　利　要　求　书 1/2 页 2 CN 114912147 A 2用户端基于所发送模型和本地样本训练的本地模型的模型梯度； 以及 模型更新模块， 基于所接收模型梯度更新所述备份模型以达成模型 更新。 15.一种存储有指令的计算机可读存储介质， 当所述指令被执行时使得机器执行如权 利要求1‑13中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114912147 A 3