1.一种基于DAGMM的联邦学习后门攻击防御方法，其特征在于，包括以下步骤：(1)客户端接受全局模型，训练上传本地模型与相应的神经元激活情况；

(2)服务器接收更新，利用DAGMM计算对应客户端的损失；

(3)基于多轮重构误差的防御。

2.根据权利要求1所述的基于DAGMM的联邦学习后门攻击防御方法，其特征在于，步骤(1)包括：

(1.1)服务器调用全局模型，分发给各个客户端；

(1.2)客户端接收到全局模型后，运用本地数据训练模型，得到该轮训练完成的本地模型，之后客户端根据记录每个神经元的激活情况，得到所有神经元的激活情况排名；

(1.3)对模型与激活排名进行打包，发送给服务器。

3.根据权利要求1或2所述的基于DAGMM的联邦学习后门攻击防御方法，其特征在于，通过联邦学习的训练获得一个全局模型，所述全局模型在对来自N方的分布式训练结果进行聚合后，以概括测试数据；联邦学习的训练目标归结为一个有限的优化：其中N代表存在N方分别处理N个本地模型w，每一方基于私有数据集 利d

用本地目标fi：R→R进行训练，其中ai＝|Di|和 表示每个数据样本以及相应的标签。

4.根据权利要求3所述的基于DAGMM的联邦学习后门攻击防御方法，其特征在于，全局模型在对来自N方的分布式训练结果进行聚合后，以概括测试数据，具体为：t

在第t轮，中央服务器将当前共享模型G 发送给N个选定方，其中[N]表示整数集{1，

2，...，N}；所选方i通过使用自己的数据集Di和学习率lr运行E个本地轮次的优化算法来局部计算函数fi，以获得新的局部模型 客户端将模型更新 发送到中央服务器，中t+1

央服务器将以其自身的学习率η对所有更新进行平均，以生成新的全局模型G ：

5.根据权利要求1所述的基于DAGMM的联邦学习后门攻击防御方法，其特征在于，步骤(2)包括：

(2.1)对于更新中本地模型矩阵，首先连接矩阵中的所有行，以创建一个一维向量，然后将其馈送到DAGMM的自动编码器；

(2.2)将神经元激活排名矩阵压缩成一维向量，计算输入向量的标准差，堆叠这个度量以创建一个新的向量；

(2.3)新的向量与自动编码器学习的低维表示连接成输出级联向量，将输出级联向量馈送到用于多元高斯估计的估计网络，得到重构能量。

6.根据权利要求1或5所述的基于DAGMM的联邦学习后门攻击防御方法，其特征在于，所述DAGMM的整体网络结构包括压缩和估计网络；

所述压缩为深度自编码网络，通过所述深度自编码网络得到输入x的低维表示Zc，同时得到输入x与重构的x′之间的重构误差特征Zr以及神经元激活矩阵计算出的标准差Zs，三者进行拼接操作形成Z；估计网络输入为Z经过多层全连接得到一个概率分布。

7.根据权利要求6所述的基于DAGMM的联邦学习后门攻击防御方法，其特征在于，压缩网络计算其低维表示z，具体如下：zc＝h(x；θe)，x′＝g(zc；θd)，zr＝f(x，x′)，

*

zs＝σ(x)

z＝[zc，zr，zs]

其中zc是由深度自编码器学习的减少的低维表示，zr包括从重建误差导出的特征，zs是*

神经元激活矩阵计算出的标准差，x表示的是样本神经元激活矩阵，θe和θd是深度自编码器x的重建对应物，h()表示编码函数，g()表示解码函数，f()表示计算重建误差特征的函数，σ()表示标准差函数；最后，压缩网络将z馈送到后续估计网络。

8.根据权利要求1所述的基于DAGMM的联邦学习后门攻击防御方法，其特征在于，步骤(3)包括：

(3.1)中央服务器在最开始几轮记录每个客户端的重构损失，对于异常客户端进行标记，但并不进行后续操作；

(3.2)在记录了足够多轮数后，统计各个客户端被标记次数，筛除被多次标记的客户；

(3.3)重复步骤(3.1)和(3.2)，持续筛选，直至没有异常的更新。