联邦学习作为一种受欢迎的分布式机器学习模式，可以使得用户在不直接上传原始数据的条件下完成多方数据共享和交互，有效降低了隐私泄露风险。然而，现有的研究表明敌手仍可以通过共享的梯度信息重构出原始数据。为进一步保护联邦学习隐私，文中基于生成对抗网络提出一种联邦学习深度影子防御方案。首先，通过生成对抗网络学习原始真实数据分布特征，并生成可替代的影子数据；然后，通过影子数据训练影子模型替代原始模型，敌手无法直接获取真实数据训练过的原始模型；最后，利用影子数据在影子模型中产生的影子梯度替代真实梯度，使得敌手无法获取真实梯度。在CIFAR10和CIFAR100数据集上进行了实验：在CIFAR10数据集上，所提方案相较于添加噪声、梯度裁剪、梯度压缩、表征扰动和局部正则化和稀疏化五种防御措施，均方误差和特征均方误差最大增加到5.34E+00倍和1.03E+07倍，峰值信噪比最大减少了50.09%；在CIFAR100数据集上，所提方案相较于添加噪声、梯度裁剪、梯度压缩、表征扰动和局部正则化和稀疏化五种防御措施，将均方误差和特征均方误差最大增加到1.07E+00倍和4.32E+03倍，峰值信噪比最大减少了3.94%。在对比分析上，所提方案相较于深度影子防御方法，考虑了敌手的实际攻击能力和影子模型训练存在的问题，设计了威胁模型和影子模型生成算法，在理论和实验方面优于深度影子防御方法。实验结果表明，所提方案能够在保证准确率的前提下有效降低联邦学习隐私泄露风险。

• 单位
  贵州大学; 潍坊科技学院