[发明专利]一种基于联邦学习的防窃取攻击医疗诊断模型保护方法

说明书

本发明公开了一种基于联邦学习的防窃取攻击医疗诊断模型保护方法，属于医疗诊断保护技术领域，该保护方法具体步骤如下：S1、假设有N个医疗机构各收集N个敏感医疗数据集，各机构基于这些数据集独立训练不同的本地模型，得到N个teacher；S2、在各医疗机构本地部署训练好的teacher，记录每一个teacher的预测结果，用于最终结果投票；S3、引入拉普拉斯噪声，将票数的统计情况打乱，实现差分隐私保护；S4、在联邦全局服务器聚合所有teacher投票，得到aggregated teacher；S5、在联邦全局服务器用aggregated teacher标记脱敏公共数据集，传递已习得的知识；S6、在联邦全局服务器用标记后的公共数据集训练student；S7、将训练好的student模型提供给用户使用，能够降低泄露的风险。

技术领域

本发明涉及医疗诊断保护技术领域，尤其涉及一种基于联邦学习的防窃取攻击医疗诊断模型保护方法。

背景技术

智能医疗领域中，通常会运用电子健康数据，提取患者特征，识别患者人群，简单来说就是用临床数据训练一个疾病诊断模型。这些临床数据通常是涉及病患隐私的敏感数据，因此医疗机构之间的数据往往无法互通。然而大部分医院(或数据中心)数据量都是有限的，持有的数据不足以训练一个好的模型。只有大型医疗AI云服务商可以提供好的模型服务，例如模型训练和识别等，这些服务通常以接口形式对外开放，用户可以调用其完成医疗影像识别、疾病诊断预测等操作；模型窃取攻击是指攻击者通过查询，分析系统的输入输出和其他外部信息，推测系统模型的参数及训练数据信息，对于攻击者来说，模型是一个黑盒，攻击者可以挑选输入值，来观察模型的预测结果；

攻击者可以通过多次调用医疗AI云服务的接口，把AI模型“窃取”出来，这会带来两个问题：一是知识产权的窃取。样本收集和模型训练需要耗费很大资源，训练出来的模型是重要的知识产权；二是攻击者可以通过窃取的模型构造对抗样本，因此，可以在模型训练阶段采取特殊的保护方法降低模型被窃取的风险。

为了利用各医院或数据机构收集的敏感医疗数据训练效果更好的医疗诊断模型，并防止模型被窃取，我们提出一种基于联邦学习的防窃取攻击医疗诊断模型保护方法。

发明内容

本发明的目的是为了解决现有技术中存在的缺陷，而提出的一种基于联邦学习的防窃取攻击医疗诊断模型保护方法。

为了实现上述目的，本发明采用了如下技术方案：

一种基于联邦学习的防窃取攻击医疗诊断模型保护方法，该医疗诊断模型保护方法具体步骤如下：

S1、假设有N个医疗机构各收集N个敏感医疗数据集，各机构基于这些数据集独立训练不同的本地模型，得到N个teacher；

S2、在各医疗机构本地部署训练好的teacher，记录每一个teacher的预测结果，用于最终结果投票；

S3、引入拉普拉斯噪声，将票数的统计情况打乱，实现差分隐私保护；

S4、在联邦全局服务器聚合所有teacher的预测结果并进行投票，选取票数最高的作为最终结果，得到aggregated teacher；

S5、在联邦全局服务器用aggregated teacher对无标签的脱敏公共数据集进行标注，得到有标签脱敏公共数据集；

S6、在联邦全局服务器用步骤S5得到的有标签脱敏公共数据集训练新的深度神经网络模型student；

S7、将训练好的student提供给用户使用。

作为本发明进一步的方案：步骤S3中实现差分隐私保护的具体过程为：

SS1、在联邦全局邦服务器统计N个医疗机构本地训练的teacher模型的投票情况，形成聚合结果；