午夜剧场成年免费视_999精品视频在线免费观看_久久国产精品视频_又爽又黄又免费的自己视频_国产日本欧美精品一二区_国产一级麻豆免费观看_中国一级精品毛片在线观看

近(jin)年來，網絡(luo)威脅環境發生了(le)(le)巨大(da)的(de)(de)變化，每天都有(you)新(xin)的(de)(de)威脅變體(ti)出現，大(da)規(gui)模(mo)(mo)的(de)(de)協(xie)(xie)調活(huo)動(dong)也變得越(yue)來越(yue)普遍(bian)。在(zai)這項研究中，我(wo)(wo)們提出了(le)(le)CELEST（CollaborativE LEarning for Scalable Threat detection），這是(shi)一(yi)個(ge)(ge)用于HTTP全(quan)(quan)球(qiu)(qiu)威脅檢(jian)測(ce)(ce)的(de)(de)聯(lian)合(he)機器學(xue)習框架，HTTP是(shi)最常用的(de)(de)惡(e)意(yi)(yi)(yi)軟(ruan)件傳播和(he)通(tong)信協(xie)(xie)議之一(yi)。CELEST利用聯(lian)邦學(xue)習，以便(bian)在(zai)本(ben)地保(bao)存數據的(de)(de)多個(ge)(ge)客戶之間協(xie)(xie)作訓(xun)練一(yi)個(ge)(ge)全(quan)(quan)球(qiu)(qiu)模(mo)(mo)型(xing)。通(tong)過(guo)與聯(lian)邦學(xue)習技(ji)術相結(jie)合(he)的(de)(de)新(xin)型(xing)主動(dong)學(xue)習組(zu)(zu)件，我(wo)(wo)們的(de)(de)系統不斷發現和(he)學(xue)習新(xin)的(de)(de)、不斷發展的(de)(de)和(he)全(quan)(quan)球(qiu)(qiu)協(xie)(xie)調的(de)(de)網絡(luo)威脅的(de)(de)行為(wei)。我(wo)(wo)們表明，CELEST能夠(gou)(gou)暴露出單(dan)個(ge)(ge)組(zu)(zu)織基本(ben)上(shang)看(kan)不到的(de)(de)攻擊(ji)。例如，在(zai)一(yi)個(ge)(ge)具(ju)有(you)挑戰性(xing)的(de)(de)數據滲透惡(e)意(yi)(yi)(yi)軟(ruan)件的(de)(de)攻擊(ji)場景中，與本(ben)地模(mo)(mo)型(xing)相比，全(quan)(quan)局(ju)模(mo)(mo)型(xing)實(shi)現了(le)(le)精準度-召回AUC的(de)(de)三倍增長(chang)。我(wo)(wo)們還設計(ji)了(le)(le)一(yi)種中毒檢(jian)測(ce)(ce)和(he)緩解方法，即(ji)DTrust，專門為(wei)協(xie)(xie)作威脅檢(jian)測(ce)(ce)領域(yu)的(de)(de)聯(lian)邦學(xue)習而設計(ji)。我(wo)(wo)們在(zai)兩個(ge)(ge)大(da)學(xue)網絡(luo)上(shang)部(bu)署(shu)了(le)(le)CELEST，并(bing)表明它能夠(gou)(gou)以高(gao)精確度和(he)低(di)假陽性(xing)率(lv)檢(jian)測(ce)(ce)惡(e)意(yi)(yi)(yi)的(de)(de)HTTP通(tong)信。此外(wai)，在(zai)其部(bu)署(shu)過(guo)程中，CELEST在(zai)一(yi)天內檢(jian)測(ce)(ce)到了(le)(le)一(yi)組(zu)(zu)以前(qian)未知的(de)(de)42個(ge)(ge)惡(e)意(yi)(yi)(yi)URL和(he)20個(ge)(ge)惡(e)意(yi)(yi)(yi)域(yu)名(ming)，并(bing)被(bei)VirusTotal證實(shi)為(wei)惡(e)意(yi)(yi)(yi)的(de)(de)。

圖(tu)1：用于(yu) URL 表示的聯(lian)合嵌入模型訓練。我(wo)們為 URL、Domain 和 Referer 生成嵌入式特征(zheng)。除(chu)了嵌入式特征(zheng)，我(wo)們還包(bao)括數字特征(zheng)和分類特征(zheng)。

圖2:主動聯邦學習框架

付費5元查看完整內容

架構

仿真器(qi)(qi)是(shi)基(ji)于(yu)一(yi)(yi)(yi)個(ge)(ge)協(xie)(xie)(xie)調(diao)(diao)器(qi)(qi)-工(gong)(gong)作(zuo)(zuo)(zuo)器(qi)(qi)的(de)(de)(de)(de)架(jia)構。有一(yi)(yi)(yi)個(ge)(ge)協(xie)(xie)(xie)調(diao)(diao)器(qi)(qi)進(jin)(jin)程(cheng)(cheng)，它是(shi)負責模擬(ni)中央服務器(qi)(qi)的(de)(de)(de)(de)行(xing)為者(zhe)。有一(yi)(yi)(yi)個(ge)(ge)或多個(ge)(ge)工(gong)(gong)作(zuo)(zuo)(zuo)器(qi)(qi)進(jin)(jin)程(cheng)(cheng)同時(shi)活動，執行(xing)本(ben)地步驟。每(mei)個(ge)(ge)工(gong)(gong)作(zuo)(zuo)(zuo)者(zhe)都作(zuo)(zuo)(zuo)為一(yi)(yi)(yi)個(ge)(ge)單獨的(de)(de)(de)(de)進(jin)(jin)程(cheng)(cheng)啟動，與其(qi)他工(gong)(gong)作(zuo)(zuo)(zuo)者(zhe)并行(xing)運行(xing)。協(xie)(xie)(xie)調(diao)(diao)器(qi)(qi)和工(gong)(gong)作(zuo)(zuo)(zuo)器(qi)(qi)之(zhi)間的(de)(de)(de)(de)通信(xin)是(shi)通過它們各自的(de)(de)(de)(de)REST API實現的(de)(de)(de)(de)。所采用的(de)(de)(de)(de)基(ji)于(yu)協(xie)(xie)(xie)調(diao)(diao)器(qi)(qi)-工(gong)(gong)作(zuo)(zuo)(zuo)器(qi)(qi)的(de)(de)(de)(de)架(jia)構允許將工(gong)(gong)作(zuo)(zuo)(zuo)器(qi)(qi)進(jin)(jin)程(cheng)(cheng)分布在(zai)不(bu)(bu)同的(de)(de)(de)(de)設(she)備上(shang)，因(yin)此(ci)可(ke)以利(li)用邊緣設(she)備的(de)(de)(de)(de)計算能力，而不(bu)(bu)是(shi)將整個(ge)(ge)計算集中在(zai)一(yi)(yi)(yi)個(ge)(ge)設(she)備上(shang)。此(ci)外，這種架(jia)構是(shi)高(gao)度可(ke)擴展的(de)(de)(de)(de)，因(yin)為工(gong)(gong)作(zuo)(zuo)(zuo)器(qi)(qi)的(de)(de)(de)(de)數(shu)量可(ke)以根據可(ke)用的(de)(de)(de)(de)設(she)備來增加或減(jian)少。在(zai)每(mei)一(yi)(yi)(yi)輪，協(xie)(xie)(xie)調(diao)(diao)器(qi)(qi)為每(mei)個(ge)(ge)選定的(de)(de)(de)(de)設(she)備創建一(yi)(yi)(yi)個(ge)(ge)作(zuo)(zuo)(zuo)業（JSON對(dui)象），包含執行(xing)訓練或評估步驟所需的(de)(de)(de)(de)信(xin)息。一(yi)(yi)(yi)個(ge)(ge)可(ke)用的(de)(de)(de)(de)工(gong)(gong)作(zuo)(zuo)(zuo)器(qi)(qi)請求一(yi)(yi)(yi)個(ge)(ge)作(zuo)(zuo)(zuo)業，在(zai)本(ben)地完成它，然后將其(qi)結果傳回。因(yin)此(ci)，工(gong)(gong)作(zuo)(zuo)(zuo)器(qi)(qi)和設(she)備之(zhi)間不(bu)(bu)存在(zai)1:1的(de)(de)(de)(de)關系。一(yi)(yi)(yi)個(ge)(ge)工(gong)(gong)作(zuo)(zuo)(zuo)器(qi)(qi)完成指定設(she)備的(de)(de)(de)(de)作(zuo)(zuo)(zuo)業。

關鍵組件

圖1顯示(shi)了協調器和工作器的主要組件。下面是(shi)對每個組件的簡要描述(shu)。

聯邦(bang)算(suan)法(fa)是(shi)主要組件，它(ta)是(shi)最重要的，因為它(ta)是(shi)訪問(wen)所有(you)其他子組件的組件。每個(ge)聯合(he)(he)算(suan)法(fa)的實(shi)現(xian)都是(shi)由研(yan)究人員提出的策略(lve)(lve)。每個(ge)聯合(he)(he)算(suan)法(fa)的實(shi)現(xian)都分(fen)為從協調者角度實(shi)施的策略(lve)(lve)和從工作者角度實(shi)施的策略(lve)(lve)。
本地(di)數據優化器是負(fu)責選擇一個設(she)備在參(can)與一個回(hui)合時用于本地(di)更(geng)新(xin)的樣本的組(zu)件。
全局更新優化(hua)器是在訓練或評估步驟(zou)之前使用，以計算設備必須(xu)執(zhi)行的(de)計算量。更詳(xiang)細地說，全局更新優化(hua)器必須(xu)為(wei)每個選(xuan)定(ding)的(de)設備計算歷時數、批量大小和要使用的(de)樣本數。
模型加載器組件負責提(ti)供數(shu)據集(ji)和(he)用于(yu)訓(xun)練和(he)評估的模型。
聚合策略組件定義了由設(she)備計算(suan)的本地更新如何被聚合以形成(cheng)全局模型。
客戶端(duan)選(xuan)擇(ze)器是一(yi)個(ge)優化器，負責為下一(yi)個(ge)擬合(he)或(huo)評估步驟選(xuan)擇(ze)設備。

付費5元查看完整內容

聯邦學習 · 安全威脅 · 隱私威脅 · 魯棒性提升方法 · 攻擊防御 ·

2023 年 3 月 12 日

[付費5元查看完(wan)整內容(rong)]「聯(lian)邦學習系統攻擊與防御技術」最新2023研究綜述

專知會員服務

專知，提供專業可信的知識分發服務，讓認知協作更快更好！

聯邦學習作為一種使用分布式訓練數據集構建機器學習模型的新興技術，可有效解決不同數據用戶之間因聯合建模而導致的本地數據隱私泄露問題，從而被廣泛應用于多個領域并得到迅速發展。然而，現有的聯邦學習系統已被證實在數據收集階段、訓練階段和推理階段都存在潛在威脅，危及數據的隱私性和系統的魯棒性。**本文從安全威脅和隱私威脅兩類潛在威脅入手，圍繞機密性、完整性和可用性（CIA 三元組）給出了聯邦學習場景中安全屬性的詳細定義，并對聯邦學習中各類攻擊方式和防御手段進行了系統全面綜述。**首先，本文對橫向、縱向聯邦學習過程，以及潛在威脅分別進行了概述，并從對抗性攻擊和非對抗性攻擊兩個角度，分析了投毒攻擊、對抗樣本攻擊和推理攻擊等常見攻擊的基本概念、實施階段和現有方案。進一步地，依據不同的攻擊方式，將防御手段劃分為魯棒性提升方法和隱私性增強技術兩類：魯棒性提升方法主要防御系統遭受的對抗性攻擊，包括有數據消毒、魯棒性聚合、異常檢測、對抗訓練、知識蒸餾、剪枝和其他方法等，隱私性增強技術主要防御系統遭受的非對抗性攻擊，包括有同態加密、安全多方計算、差分隱私和區塊鏈等。最后，本文給出了聯邦學習中魯棒性和隱私性方面的未來研究方向。//cjc.ict.ac.cn/online/bfpub/gy-2023222151851.pdf

**1. 引言****人工智能已成為引領新一代產業變革的新興技術，尤其對應用創新、企業轉型及社會發展有著重大影響，已經上升到國家戰略層面。**作為人工智能核心技術的機器學習卻面臨著隱私威脅和信任危機等問題[1]，迫使各個用戶將數據存儲在本地，彼此之間難以流通，形成了“數據孤島”。數據孤島問題阻礙了多個用戶進行有效的數據合作，導致數據的潛在價值難以發揮。此外，數據孤島中非同源的數據之間相互關聯但又存在較大差異，致使這些數據呈現非獨立同分布（Non-Independent and Identically Distributed，NON-IID），帶來了新的挑戰。聯邦學習（Federated Learning，FL）[2-4]作為機器學習技術的新分支，能滿足隱私數據不出本地的前提下，在多個用戶之間進行高效率的聯合建模、模型訓練，充分釋放數據潛在價值，近年來已被廣泛應用于鍵盤預測[5]、安全檢測[6-7]和信號識別[8]等。雖然聯邦學習能一定程度解決本地數據的隱私問題，但在模型參數共享、模型聚合時又會給攻擊者帶來新的可乘之機，如聯邦學習的梯度會泄露用戶數據或學習過程的隱私信息[9-11]，攻擊者會對訓練數據或局部模型進行投毒[12]或在輸入樣本中加入惡意擾動[13]，從而危害系統的安全性。針對不同目標、不同程度和不同類型的攻擊威脅，聯邦學習系統往往需要預先制定好相對應的防御策略，以增強系統的魯棒性和隱私性。**目前，國內外已有許多聯邦學習相關的研究，例如，Yin 等[14]面向隱私保護的聯邦學習進行了全面的綜述，Abdulrahman 等[15]詳細闡述了聯邦學習面臨的主要技術挑戰，但他們都未進一步區分安全威脅和隱私威脅的差異。在聯邦學習安全與隱私保護的綜述[16-18]中，分別探討了安全和隱私方面面臨的挑戰，但在魯棒性和隱私性防御手段方面沒有展開分析與總結。He 等[19]分析了深度學習中安全威脅相關的四種攻擊，通過定量和定性分析這些攻擊方法的敵手能力和攻擊目標，總結出這些方法的優缺點，并討論了其他的安全弱點和可能的防御措施。但提到的攻擊威脅在聯邦學習模型中不一定具有同等的攻擊效果，防御措施在聯邦學習模型中也可能受到限制。Lyu 等[20-21]提供了一種獨特的威脅模型分類方法，側重介紹聯邦學習中的安全與隱私問題，強調了隱私保護的重要性。但該篇文章只重點介紹了投毒攻擊和推理攻擊兩種攻擊威脅，對防御措施缺乏詳細的梳理與分析。2021 年，Mothukuri 等[22]針對聯邦學習中的安全和隱私問題，以及相應的防御措施做出了系統性綜述。但該篇文章中闡述的防御手段都是較為傳統的方法，缺少對前沿創新性工作的介紹，如聯邦學習結合同態加密、差分隱私、安全多方計算和區塊鏈等隱私增強技術。對比以上這些綜述，本文在文章架構、分析方法和側重點上都有所不同。本文更詳細且全面地梳理了聯邦學習中的安全威脅和隱私威脅，系統地對攻擊手段與防御手段進行了分類與剖析，側重分析了最前沿的聯邦學習與密碼技術相結合的隱私保護方案，并進一步討論了橫向和縱向聯邦學習中攻擊手段的區別，以及在此基礎上為后續研究者提供了具有發展前景的研究方向。本文的組織結構安排如下。第 2 節對聯邦學習和其潛在威脅進行概述；第 3 節詳細地介紹了幾種常見攻擊的分類和研究進展；第 4 節在已有的攻擊手段和研究成果基礎上，從魯棒性和隱私性兩個角度對提升手段進行了具體分析；第 5 節討論了聯邦學習未來研究發展趨勢；最后，在第 6 節總結全文。2 聯邦學習中的潛在威脅 **2.1 聯邦學習概述聯邦學習是一種以分布式方式訓練模型的機器學習技術，其主要思想是確保參與方的數據保留在本地，而將訓練的模型進一步上傳和聚合到服務器。后續學習過程僅使用模型進行訓練，保護了參與方的數據隱私，從而保護了數據安全。在用戶數據集中的訓練樣本包含多個特征數據，其中選擇一個或多個能夠將不同訓練樣本區分開來的特征作為樣本的標識符，即樣本 ID。在聯邦學習場景下，每個數據集的組織和使用形式存在差異，其特征和樣本 ID 可能存在差異。聯邦學習從不同數據分布方式可分為橫向聯邦學習（Horizontal Federated Learning，HFL）、縱向聯邦學習（Vertical Federated Learning ， VFL ）和遷移聯邦學習（Federated Transfer Learning，FTL）三種類型。依照傳統機器學習過程的劃分，聯邦學習則可以分為三個階段：數據收集階段、訓練階段和推理階段。聯邦學習在這三個階段都具有新的特點。(1) 數據收集階段：指訓練模型所需要的數據準備過程。在傳統機器學習中需要對每個用戶的數據進行集中收集，為模型訓練做準備。而在聯邦學習中，數據集不會離開本地，具體為本地的數據收集、用戶之間數據格式的協商等準備過程。(2) 模型訓練階段：指利用這些數據集執行機器學習訓練算法，挖掘數據的潛在價值，迭代訓練一定輪次后直至收斂的過程。在聯邦學習中，由于數據集的分布式劃分以及隱私性要求，需要使用特定的模型訓練算法。(3) 推理階段：指把訓練好的模型部署在具體的應用場景中，輸入真實樣本進行預測的過程。在橫向聯邦學習中這一階段和傳統機器學習沒有太大差異，但是在縱向聯邦學習場景中，由于每個用戶只擁有一部分模型，推理階段需要用戶之間的合作才能完成推理過程。目前常用的聯邦學習開源項目包括 Google 的 TensorFlow1、微眾銀行的 FATE2、百度的 PaddleFL3 以及 OpenMinded 的 PySyft4等。其中，Google 的 TensorFlow 應用最早，他們在數據不離開每個用戶本地的情況下訓練了一個循環神經網絡模型，之后又將聯邦學習操作進一步封裝，發布了專門為聯邦學習開發的框架 TensorFlow Federated（TFF）5，并提供了一組高級接口可以方便程序員實現基于聯邦平均的 HFL 算法。微眾銀行的 FATE 是首個工業級聯邦學習框架，使用安全多方計算和同態加密等技術構建底層安全計算協議，可以支持邏輯回歸、樹模型和深度學習等多種機器學習算法，與 TFF 相比其封裝程度更高，可以多方部署后直接開始訓練。PaddleFL 是基于百度的深度學習框架 Paddle 開發的聯邦學習框架，提供了多種聯邦學習策略，支持基于安全多方計算的縱向邏輯回歸和神經網絡的安全訓練與推理，也支持基于安全聚合的 HFL 和經典的基于聯邦平均和異步隨機梯度下降的 HFL，但不支持樹模型。PySyft 是第一個隱私保護深度學習框架，基于 PyTorch 開發，可以方便地實現聯邦深度學習并基于安全多方計算和差分隱私提供隱私保護。

**2.2 聯邦學習的安(an)全屬性 **

本節(jie)從(cong)機密(mi)性(xing)(xing)(xing)(xing)(xing) （ Confidentiality ）、完(wan)(wan)整(zheng)性(xing)(xing)(xing)(xing)(xing) （Integrity）和(he)可(ke)(ke)(ke)用(yong)(yong)性(xing)(xing)(xing)(xing)(xing)（Availability）安全(quan)三(san)元(yuan)(yuan)組(zu)[23] （簡稱 CIA 三(san)元(yuan)(yuan)組(zu)）的(de)(de)(de)(de)角度(du)(du)給出(chu)了聯邦(bang)學(xue)習(xi)場景中(zhong) 安全(quan)屬性(xing)(xing)(xing)(xing)(xing)的(de)(de)(de)(de)概念。(1) 聯邦(bang)學(xue)習(xi)的(de)(de)(de)(de)完(wan)(wan)整(zheng)性(xing)(xing)(xing)(xing)(xing)：依照數(shu)(shu)(shu)據(ju)(ju)(ju)收(shou)集和(he)模型訓(xun)練(lian)(lian)(lian)的(de)(de)(de)(de)不(bu)同階(jie)(jie)段可(ke)(ke)(ke)以進(jin)一(yi)(yi)步劃(hua)(hua)分為數(shu)(shu)(shu)據(ju)(ju)(ju)集完(wan)(wan)整(zheng)性(xing)(xing)(xing)(xing)(xing) 和(he)訓(xun)練(lian)(lian)(lian)過(guo)程完(wan)(wan)整(zheng)性(xing)(xing)(xing)(xing)(xing)。數(shu)(shu)(shu)據(ju)(ju)(ju)集完(wan)(wan)整(zheng)性(xing)(xing)(xing)(xing)(xing)是(shi)指(zhi)聯邦(bang)學(xue)習(xi)中(zhong) 用(yong)(yong)戶(hu)的(de)(de)(de)(de)數(shu)(shu)(shu)據(ju)(ju)(ju)始終(zhong)是(shi)良(liang)性(xing)(xing)(xing)(xing)(xing)的(de)(de)(de)(de)、未被篡改的(de)(de)(de)(de)[24]。訓(xun)練(lian)(lian)(lian)過(guo) 程完(wan)(wan)整(zheng)性(xing)(xing)(xing)(xing)(xing)是(shi)指(zhi)服(fu)務器、用(yong)(yong)戶(hu)等參與方(fang)都嚴(yan)格地(di)按照聯邦(bang)學(xue)習(xi)協議執(zhi)行(xing)算法[25]。(2) 聯邦(bang)學(xue)習(xi)的(de)(de)(de)(de)可(ke)(ke)(ke)用(yong)(yong)性(xing)(xing)(xing)(xing)(xing)：根據(ju)(ju)(ju)模型訓(xun)練(lian)(lian)(lian)和(he)推理階(jie)(jie)段可(ke)(ke)(ke)以進(jin)一(yi)(yi)步劃(hua)(hua)分為訓(xun)練(lian)(lian)(lian)可(ke)(ke)(ke)用(yong)(yong)性(xing)(xing)(xing)(xing)(xing)和(he)模型可(ke)(ke)(ke)用(yong)(yong)性(xing)(xing)(xing)(xing)(xing)。訓(xun)練(lian)(lian)(lian)可(ke)(ke)(ke)用(yong)(yong)性(xing)(xing)(xing)(xing)(xing)是(shi)指(zhi)能(neng)夠在(zai)預計時(shi)間內完(wan)(wan)成模型的(de)(de)(de)(de)訓(xun) 練(lian)(lian)(lian)，其包(bao)含(han)兩(liang)個方(fang)面：一(yi)(yi)是(shi)收(shou)斂性(xing)(xing)(xing)(xing)(xing)，指(zhi)模型能(neng)夠在(zai) 經(jing)過(guo)可(ke)(ke)(ke)接受的(de)(de)(de)(de)訓(xun)練(lian)(lian)(lian)輪數(shu)(shu)(shu)內達到收(shou)斂狀態；二(er)是(shi)合作公平(ping)性(xing)(xing)(xing)(xing)(xing)，是(shi)聯邦(bang)學(xue)習(xi)場景中(zhong)特有的(de)(de)(de)(de)，指(zhi)用(yong)(yong)戶(hu)能(neng)夠依據(ju)(ju)(ju)自身(shen)的(de)(de)(de)(de)貢獻獲得公平(ping)的(de)(de)(de)(de)補償[26]。模型可(ke)(ke)(ke)用(yong)(yong)性(xing)(xing)(xing)(xing)(xing)是(shi)指(zhi) 在(zai)推理階(jie)(jie)段模型部署(shu)后的(de)(de)(de)(de)準確性(xing)(xing)(xing)(xing)(xing)和(he)公平(ping)性(xing)(xing)(xing)(xing)(xing)，其中(zhong)公平(ping)性(xing)(xing)(xing)(xing)(xing)是(shi)指(zhi)保證(zheng)訓(xun)練(lian)(lian)(lian)的(de)(de)(de)(de)模型不(bu)會(hui)對某(mou)些(xie)屬性(xing)(xing)(xing)(xing)(xing)存在(zai)潛在(zai)的(de)(de)(de)(de)歧視性(xing)(xing)(xing)(xing)(xing)[27]。(3) 聯邦(bang)學(xue)習(xi)的(de)(de)(de)(de)機密(mi)性(xing)(xing)(xing)(xing)(xing)：機密(mi)性(xing)(xing)(xing)(xing)(xing)是(shi)指(zhi)本地(di)數(shu)(shu)(shu)據(ju)(ju)(ju)、全(quan)局模型等敏感信息(xi)不(bu)會(hui)泄露給非授權的(de)(de)(de)(de)用(yong)(yong)戶(hu)。另(ling) 外，機密(mi)性(xing)(xing)(xing)(xing)(xing)還保證(zheng)了用(yong)(yong)戶(hu)不(bu)會(hui)因為網(wang)絡不(bu)穩定、設備問題被動退出(chu)工作流后，導致本地(di)梯(ti)度(du)(du)的(de)(de)(de)(de)機密(mi)性(xing)(xing)(xing)(xing)(xing) 泄露[28]。 **2.3 潛在(zai)威脅 **

根據對安(an)全(quan)(quan)屬性(xing)的(de)(de)不(bu)(bu)同影響(xiang)，本(ben)文將聯(lian)(lian)(lian)邦(bang)(bang)(bang)(bang)(bang)學(xue)習(xi)(xi) 中(zhong)存在(zai)(zai)的(de)(de)潛(qian)在(zai)(zai)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)劃分為(wei)兩大類，即(ji)安(an)全(quan)(quan)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)和(he)隱私(si)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)。安(an)全(quan)(quan)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)會破(po)壞聯(lian)(lian)(lian)邦(bang)(bang)(bang)(bang)(bang)學(xue)習(xi)(xi)中(zhong)的(de)(de)完整(zheng)性(xing)和(he)可用性(xing)，對聯(lian)(lian)(lian)邦(bang)(bang)(bang)(bang)(bang)學(xue)習(xi)(xi)造成安(an)全(quan)(quan)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)的(de)(de)攻(gong)(gong)(gong)(gong)擊稱為(wei)對抗性(xing) 攻(gong)(gong)(gong)(gong)擊，其主(zhu)要(yao)目的(de)(de)是干擾聯(lian)(lian)(lian)邦(bang)(bang)(bang)(bang)(bang)學(xue)習(xi)(xi)訓(xun)(xun)練或推(tui)理(li)(li)(li)(li)過(guo) 程，影響(xiang)聯(lian)(lian)(lian)邦(bang)(bang)(bang)(bang)(bang)學(xue)習(xi)(xi)訓(xun)(xun)練時的(de)(de)收斂(lian)速度或推(tui)理(li)(li)(li)(li)結果。隱私(si)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)會破(po)壞聯(lian)(lian)(lian)邦(bang)(bang)(bang)(bang)(bang)學(xue)習(xi)(xi)中(zhong)的(de)(de)機(ji)密性(xing)，對聯(lian)(lian)(lian)邦(bang)(bang)(bang)(bang)(bang)學(xue)習(xi)(xi) 造成隱私(si)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)的(de)(de)攻(gong)(gong)(gong)(gong)擊稱為(wei)非對抗性(xing)攻(gong)(gong)(gong)(gong)擊，其主(zhu)要(yao)目的(de)(de)是試圖(tu)(tu)從聯(lian)(lian)(lian)邦(bang)(bang)(bang)(bang)(bang)學(xue)習(xi)(xi)各個階(jie)段獲取(qu)隱私(si)信息(xi)或其它好處，但不(bu)(bu)會破(po)壞模(mo)型訓(xun)(xun)練和(he)推(tui)理(li)(li)(li)(li)過(guo)程。在(zai)(zai)聯(lian)(lian)(lian)邦(bang)(bang)(bang)(bang)(bang)學(xue)習(xi)(xi)的(de)(de)不(bu)(bu)同階(jie)段會受到(dao)不(bu)(bu)同的(de)(de)安(an)全(quan)(quan)威(wei)(wei)(wei)(wei) 脅(xie)(xie)(xie)(xie)和(he)隱私(si)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)。在(zai)(zai)數據收集(ji)階(jie)段，受到(dao)的(de)(de)安(an)全(quan)(quan)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie) 包(bao)括(kuo)(kuo)數據投(tou)毒攻(gong)(gong)(gong)(gong)擊（Data Poisoning Attack）、女(nv)巫攻(gong)(gong)(gong)(gong)擊（Sybil Attack）和(he)搭便車攻(gong)(gong)(gong)(gong)擊（Free-riding Attacks），隱私(si)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)包(bao)括(kuo)(kuo)樣本(ben) ID 隱私(si)泄(xie)露。在(zai)(zai)訓(xun)(xun)練階(jie)段，受到(dao)的(de)(de)安(an)全(quan)(quan)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)包(bao)括(kuo)(kuo)模(mo)型投(tou)毒攻(gong)(gong)(gong)(gong)擊（Model Poisoning Attack）、針對通信瓶(ping)頸（Communication Bottlenecks）的(de)(de)攻(gong)(gong)(gong)(gong)擊和(he)搭便車攻(gong)(gong)(gong)(gong)擊，隱私(si)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)包(bao)括(kuo)(kuo) 推(tui)理(li)(li)(li)(li)攻(gong)(gong)(gong)(gong)擊（Inference Attack）。在(zai)(zai)推(tui)理(li)(li)(li)(li)階(jie)段，會受到(dao) 的(de)(de)安(an)全(quan)(quan)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)包(bao)括(kuo)(kuo)對抗樣本(ben)攻(gong)(gong)(gong)(gong)擊，隱私(si)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)包(bao)括(kuo)(kuo)模(mo)型提(ti)取(qu)攻(gong)(gong)(gong)(gong)擊（Model Extraction Attack）和(he)推(tui)理(li)(li)(li)(li)攻(gong)(gong)(gong)(gong)擊。聯(lian)(lian)(lian)邦(bang)(bang)(bang)(bang)(bang)學(xue)習(xi)(xi)過(guo)程的(de)(de)三個階(jie)段及潛(qian)在(zai)(zai)威(wei)(wei)(wei)(wei)脅(xie)(xie)(xie)(xie)如圖(tu)(tu) 1 所示。 **3 聯(lian)(lian)(lian)邦(bang)(bang)(bang)(bang)(bang)學(xue)習(xi)(xi)中(zhong)的(de)(de)攻(gong)(gong)(gong)(gong)擊手段 **

**3.1 對(dui)抗性攻擊 **

**3.1.1 投毒攻擊 **

機器(qi)學習(xi)(xi)中(zhong)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)[29-30]是(shi)指(zhi)(zhi)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)者通(tong)過(guo)(guo)(guo)(guo)(guo)(guo) 控制和(he)(he)(he)(he)操縱部(bu)分(fen)(fen)(fen)訓(xun)(xun)(xun)(xun)(xun)練(lian)(lian)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)或(huo)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)來(lai)破(po)壞(huai)(huai)(huai)學習(xi)(xi)過(guo)(guo)(guo)(guo)(guo)(guo)程。而(er)(er)(er)(er)聯邦(bang)學習(xi)(xi)中(zhong)每個(ge)用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)都(dou)(dou)擁有一(yi)(yi)(yi)個(ge)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)集(ji)，內部(bu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de) 惡(e)意(yi)(yi)(yi)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)者可(ke)以(yi)輕易(yi)地(di)對(dui)(dui)(dui)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)集(ji)、訓(xun)(xun)(xun)(xun)(xun)練(lian)(lian)過(guo)(guo)(guo)(guo)(guo)(guo)程和(he)(he)(he)(he)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing) 進(jin)(jin)行篡(cuan)改(gai)，實(shi)(shi)(shi)(shi)現(xian)降低模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)性(xing)(xing)(xing)(xing)(xing)能、插入后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)等(deng)一(yi)(yi)(yi)系(xi)列(lie) 攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)效(xiao)(xiao)(xiao)果(guo)。投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)是(shi)聯邦(bang)學習(xi)(xi)中(zhong)應用(yong)(yong)(yong)(yong)最廣泛、研究最深(shen)入的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)。通(tong)常(chang)，投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)按照攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)方(fang)式的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de) 不(bu)(bu)(bu)同(tong)(tong)可(ke)以(yi)分(fen)(fen)(fen)為(wei)(wei)(wei)(wei)(wei)(wei)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)和(he)(he)(he)(he)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)，而(er)(er)(er)(er)根(gen)據(ju)(ju)(ju)(ju)(ju)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)目(mu) 標(biao)(biao)(biao)(biao)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)不(bu)(bu)(bu)同(tong)(tong)可(ke)以(yi)分(fen)(fen)(fen)為(wei)(wei)(wei)(wei)(wei)(wei)拜占(zhan)庭(ting)(ting)(ting)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)（即非定向(xiang)(xiang)(xiang)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong) 擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)）和(he)(he)(he)(he)后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)（即定向(xiang)(xiang)(xiang)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)）。(1) 按攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)方(fang)式劃(hua)分(fen)(fen)(fen) ① 數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)：攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)者破(po)壞(huai)(huai)(huai)訓(xun)(xun)(xun)(xun)(xun)練(lian)(lian)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)集(ji)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)完整(zheng) 性(xing)(xing)(xing)(xing)(xing)，通(tong)過(guo)(guo)(guo)(guo)(guo)(guo)滲入惡(e)意(yi)(yi)(yi)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)以(yi)降低數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)集(ji)質(zhi)量或(huo)有目(mu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de) 的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)毒(du)(du)(du)(du)(du)害(hai)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)。數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)根(gen)據(ju)(ju)(ju)(ju)(ju)對(dui)(dui)(dui)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)集(ji)標(biao)(biao)(biao)(biao)簽(qian)(qian)(qian)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)不(bu)(bu)(bu)同(tong)(tong)操作(zuo)分(fen)(fen)(fen)為(wei)(wei)(wei)(wei)(wei)(wei)臟標(biao)(biao)(biao)(biao)簽(qian)(qian)(qian)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)（Dirty-label Attack）[31]和(he)(he)(he)(he)清潔(jie)標(biao)(biao)(biao)(biao) 簽(qian)(qian)(qian)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)（Clean-label Attack）[32]。臟標(biao)(biao)(biao)(biao)簽(qian)(qian)(qian)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)會篡(cuan) 改(gai)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)集(ji)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)標(biao)(biao)(biao)(biao)簽(qian)(qian)(qian)，如常(chang)見的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)標(biao)(biao)(biao)(biao)簽(qian)(qian)(qian)翻轉攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)[33]，而(er)(er)(er)(er)清潔(jie)標(biao)(biao)(biao)(biao)簽(qian)(qian)(qian)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)不(bu)(bu)(bu)篡(cuan)改(gai)標(biao)(biao)(biao)(biao)簽(qian)(qian)(qian)，僅對(dui)(dui)(dui)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)進(jin)(jin)行處(chu)理生(sheng)成新(xin)(xin) 的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)樣(yang)(yang)本(ben)(ben)。聯邦(bang)學習(xi)(xi)中(zhong)由(you)于(yu)(yu)(yu)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)不(bu)(bu)(bu)出(chu)(chu)本(ben)(ben)地(di)，只有模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing) 作(zuo)為(wei)(wei)(wei)(wei)(wei)(wei)信息載體(ti)，因(yin)此基(ji)(ji)本(ben)(ben)不(bu)(bu)(bu)考(kao)慮數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)不(bu)(bu)(bu)可(ke)感知(zhi)性(xing)(xing)(xing)(xing)(xing)，從而(er)(er)(er)(er)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)主(zhu)要(yao)是(shi)更(geng)(geng)(geng)加(jia)簡便有效(xiao)(xiao)(xiao)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)臟標(biao)(biao)(biao)(biao)簽(qian)(qian)(qian)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)。② 模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)：攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)者破(po)壞(huai)(huai)(huai)訓(xun)(xun)(xun)(xun)(xun)練(lian)(lian)過(guo)(guo)(guo)(guo)(guo)(guo)程完整(zheng)性(xing)(xing)(xing)(xing)(xing)，通(tong)過(guo)(guo)(guo)(guo)(guo)(guo)完全(quan)控制部(bu)分(fen)(fen)(fen)用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)訓(xun)(xun)(xun)(xun)(xun)練(lian)(lian)階(jie)段，對(dui)(dui)(dui)上(shang)傳的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)局(ju)部(bu) 模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)進(jin)(jin)行篡(cuan)改(gai)，實(shi)(shi)(shi)(shi)現(xian)對(dui)(dui)(dui)全(quan)局(ju)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)操縱。常(chang)見的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong) 擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)手(shou)段是(shi)通(tong)過(guo)(guo)(guo)(guo)(guo)(guo)提(ti)(ti)升(sheng)(sheng)（Boosting）惡(e)意(yi)(yi)(yi)更(geng)(geng)(geng)新(xin)(xin)來(lai)加(jia)強(qiang)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong) 擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)效(xiao)(xiao)(xiao)果(guo)[34]。為(wei)(wei)(wei)(wei)(wei)(wei)了(le)(le)增強(qiang)提(ti)(ti)升(sheng)(sheng)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)隱蔽(bi)(bi)性(xing)(xing)(xing)(xing)(xing)，Bhagoji 等(deng)[35] 還(huan)(huan)將(jiang)(jiang)(jiang)提(ti)(ti)升(sheng)(sheng)過(guo)(guo)(guo)(guo)(guo)(guo)程轉化(hua)(hua)為(wei)(wei)(wei)(wei)(wei)(wei)一(yi)(yi)(yi)個(ge)基(ji)(ji)于(yu)(yu)(yu)交替最小(xiao)化(hua)(hua)找(zhao)到(dao)(dao)合(he)(he)(he) 適的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)提(ti)(ti)升(sheng)(sheng)值優(you)化(hua)(hua)問題，使(shi)(shi)有毒(du)(du)(du)(du)(du)更(geng)(geng)(geng)新(xin)(xin)與(yu)(yu)正(zheng)常(chang)更(geng)(geng)(geng)新(xin)(xin)難(nan)以(yi) 區(qu)分(fen)(fen)(fen)。此外，還(huan)(huan)有其他(ta)(ta)實(shi)(shi)(shi)(shi)現(xian)更(geng)(geng)(geng)強(qiang)隱蔽(bi)(bi)性(xing)(xing)(xing)(xing)(xing)和(he)(he)(he)(he)更(geng)(geng)(geng)高成功率的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)[36]和(he)(he)(he)(he)針(zhen)對(dui)(dui)(dui)服務(wu)器(qi)先(xian)進(jin)(jin)防御聚(ju)(ju)合(he)(he)(he) 機制的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)隱蔽(bi)(bi)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)[37]等(deng)研究。雖然數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)和(he)(he)(he)(he)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)兩(liang)種攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)方(fang)式都(dou)(dou)對(dui)(dui)(dui) 模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)訓(xun)(xun)(xun)(xun)(xun)練(lian)(lian)產生(sheng)影響(xiang)，但(dan)(dan)單一(yi)(yi)(yi)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)相(xiang)較模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)投(tou)(tou)(tou)(tou) 毒(du)(du)(du)(du)(du)表(biao)(biao)現(xian)不(bu)(bu)(bu)佳(jia)，是(shi)因(yin)為(wei)(wei)(wei)(wei)(wei)(wei)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)本(ben)(ben)質(zhi)上(shang)與(yu)(yu)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)會同(tong)(tong)樣(yang)(yang)修改(gai)局(ju)部(bu)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)更(geng)(geng)(geng)新(xin)(xin)權重，而(er)(er)(er)(er)后(hou)(hou)(hou)(hou)(hou)者可(ke)以(yi)針(zhen)對(dui)(dui)(dui)聯邦(bang)學習(xi)(xi)聚(ju)(ju)合(he)(he)(he)等(deng)特(te)性(xing)(xing)(xing)(xing)(xing)實(shi)(shi)(shi)(shi)施針(zhen)對(dui)(dui)(dui)性(xing)(xing)(xing)(xing)(xing)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)。(2) 按攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)目(mu)標(biao)(biao)(biao)(biao)劃(hua)分(fen)(fen)(fen) ① 拜占(zhan)庭(ting)(ting)(ting)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)：攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)者試圖(tu)破(po)壞(huai)(huai)(huai)訓(xun)(xun)(xun)(xun)(xun)練(lian)(lian)可(ke)用(yong)(yong)(yong)(yong)性(xing)(xing)(xing)(xing)(xing) 和(he)(he)(he)(he)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)可(ke)用(yong)(yong)(yong)(yong)性(xing)(xing)(xing)(xing)(xing)，使(shi)(shi)其無法(fa)收(shou)斂或(huo)無法(fa)在(zai)(zai)(zai)主(zhu)要(yao)訓(xun)(xun)(xun)(xun)(xun)練(lian)(lian)任(ren) 務(wu)中(zhong)達(da)到(dao)(dao)最優(you)性(xing)(xing)(xing)(xing)(xing)能，并(bing)(bing)且不(bu)(bu)(bu)針(zhen)對(dui)(dui)(dui)任(ren)何特(te)定的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)或(huo) 數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)樣(yang)(yang)本(ben)(ben)。在(zai)(zai)(zai)聯邦(bang)學習(xi)(xi)中(zhong)，通(tong)過(guo)(guo)(guo)(guo)(guo)(guo)發送惡(e)意(yi)(yi)(yi)更(geng)(geng)(geng)新(xin)(xin)和(he)(he)(he)(he)其他(ta)(ta)良性(xing)(xing)(xing)(xing)(xing)更(geng)(geng)(geng)新(xin)(xin)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)線性(xing)(xing)(xing)(xing)(xing)組合(he)(he)(he)能實(shi)(shi)(shi)(shi)現(xian)拒(ju)絕服務(wu)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)[38]，但(dan)(dan) 此類(lei)(lei)簡單的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)很容易(yi)被(bei)檢測(ce)和(he)(he)(he)(he)過(guo)(guo)(guo)(guo)(guo)(guo)濾。文(wen)獻(xian)[39]則(ze)(ze) 表(biao)(biao)明更(geng)(geng)(geng)新(xin)(xin)中(zhong)輕微的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)擾(rao)動就(jiu)能夠實(shi)(shi)(shi)(shi)現(xian)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)效(xiao)(xiao)(xiao) 果(guo)，并(bing)(bing)且規避基(ji)(ji)于(yu)(yu)(yu)幅度(du)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)防御策略(lve)。已(yi)知(zhi)聚(ju)(ju)合(he)(he)(he)規則(ze)(ze)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)者可(ke)以(yi)針(zhen)對(dui)(dui)(dui)性(xing)(xing)(xing)(xing)(xing)地(di)實(shi)(shi)(shi)(shi)施更(geng)(geng)(geng) 具(ju)破(po)壞(huai)(huai)(huai)性(xing)(xing)(xing)(xing)(xing)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)拜占(zhan)庭(ting)(ting)(ting)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)，并(bing)(bing)且服務(wu)器(qi)為(wei)(wei)(wei)(wei)(wei)(wei)了(le)(le)吸(xi)引用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu) 或(huo)滿足用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)知(zhi)情權，其聚(ju)(ju)合(he)(he)(he)規則(ze)(ze)常(chang)常(chang)是(shi)透明公開。文(wen)獻(xian)[40]提(ti)(ti)出(chu)(chu)了(le)(le)局(ju)部(bu)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)（Local Model Poisoning Attack），在(zai)(zai)(zai)已(yi)知(zhi)聚(ju)(ju)合(he)(he)(he)規則(ze)(ze)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)情況下，攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji) 者將(jiang)(jiang)(jiang)構造惡(e)意(yi)(yi)(yi)更(geng)(geng)(geng)新(xin)(xin)轉化(hua)(hua)為(wei)(wei)(wei)(wei)(wei)(wei)在(zai)(zai)(zai)聚(ju)(ju)合(he)(he)(he)規則(ze)(ze)下全(quan)局(ju)更(geng)(geng)(geng)新(xin)(xin) 偏移值的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)優(you)化(hua)(hua)問題。同(tong)(tong)樣(yang)(yang)通(tong)過(guo)(guo)(guo)(guo)(guo)(guo)優(you)化(hua)(hua)實(shi)(shi)(shi)(shi)現(xian)拜占(zhan)庭(ting)(ting)(ting)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong) 擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)，文(wen)獻(xian)[41]使(shi)(shi)用(yong)(yong)(yong)(yong)了(le)(le)最優(you)比例(li)系(xi)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)γ和(he)(he)(he)(he)已(yi)優(you)化(hua)(hua)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju) 集(ji)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)擾(rao)動向(xiang)(xiang)(xiang)量? ??對(dui)(dui)(dui)惡(e)意(yi)(yi)(yi)梯度(du)進(jin)(jin)行微調并(bing)(bing)在(zai)(zai)(zai)結果(guo)中(zhong) 找(zhao)到(dao)(dao)近(jin)似的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)最大(da)(da)值，實(shi)(shi)(shi)(shi)現(xian)更(geng)(geng)(geng)好(hao)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)效(xiao)(xiao)(xiao)果(guo)。但(dan)(dan)文(wen)獻(xian) [40]的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)方(fang)案(an)在(zai)(zai)(zai)一(yi)(yi)(yi)輪迭(die)代(dai)中(zhong)就(jiu)能完成優(you)化(hua)(hua)過(guo)(guo)(guo)(guo)(guo)(guo)程，而(er)(er)(er)(er)文(wen) 獻(xian)[41]需要(yao)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)十(shi)次(ci)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)聚(ju)(ju)合(he)(he)(he)迭(die)代(dai)。當前，VFL 中(zhong)拜占(zhan)庭(ting)(ting)(ting)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)相(xiang)關(guan)研究還(huan)(huan)很少，由(you)于(yu)(yu)(yu)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)被(bei)用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)分(fen)(fen)(fen)割，數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)和(he)(he)(he)(he)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)隱蔽(bi)(bi) 性(xing)(xing)(xing)(xing)(xing)更(geng)(geng)(geng)強(qiang)、危(wei)害(hai)更(geng)(geng)(geng)大(da)(da)，是(shi)一(yi)(yi)(yi)個(ge)值得深(shen)入研究的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)方(fang)向(xiang)(xiang)(xiang)。② 后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)：又(you)叫木馬攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)（Trojan Attack）攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)者試圖(tu)使(shi)(shi)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)在(zai)(zai)(zai)某些目(mu)標(biao)(biao)(biao)(biao)任(ren)務(wu)上(shang)實(shi)(shi)(shi)(shi)現(xian)特(te)定表(biao)(biao) 現(xian)，同(tong)(tong)時保持模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)在(zai)(zai)(zai)主(zhu)要(yao)任(ren)務(wu)上(shang)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)良好(hao)性(xing)(xing)(xing)(xing)(xing)能[42]。不(bu)(bu)(bu) 同(tong)(tong)于(yu)(yu)(yu)拜占(zhan)庭(ting)(ting)(ting)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)由(you)于(yu)(yu)(yu)會降低主(zhu)要(yao)任(ren)務(wu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)總體(ti)性(xing)(xing)(xing)(xing)(xing)能易(yi)被(bei)檢測(ce)，后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)更(geng)(geng)(geng)難(nan)被(bei)檢測(ce)，這(zhe)是(shi)因(yin)為(wei)(wei)(wei)(wei)(wei)(wei)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)目(mu) 的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)通(tong)常(chang)是(shi)未知(zhi)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)，難(nan)以(yi)確定檢測(ce)標(biao)(biao)(biao)(biao)準。后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)可(ke) 以(yi)通(tong)過(guo)(guo)(guo)(guo)(guo)(guo)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)和(he)(he)(he)(he)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)來(lai)實(shi)(shi)(shi)(shi)現(xian)，其在(zai)(zai)(zai)缺乏防御時的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)表(biao)(biao)現(xian)在(zai)(zai)(zai)很大(da)(da)程度(du)上(shang)取決(jue)于(yu)(yu)(yu)當前敵手(shou)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)比例(li)和(he)(he)(he)(he) 目(mu)標(biao)(biao)(biao)(biao)任(ren)務(wu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)復雜(za)性(xing)(xing)(xing)(xing)(xing)。此外，相(xiang)同(tong)(tong)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)觸發條件可(ke) 能導(dao)致不(bu)(bu)(bu)同(tong)(tong)標(biao)(biao)(biao)(biao)簽(qian)(qian)(qian)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)樣(yang)(yang)本(ben)(ben)錯(cuo)誤(wu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)分(fen)(fen)(fen)類(lei)(lei)，這(zhe)不(bu)(bu)(bu)同(tong)(tong)于(yu)(yu)(yu)后(hou)(hou)(hou)(hou)(hou)文(wen) 的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)對(dui)(dui)(dui)抗(kang)(kang)樣(yang)(yang)本(ben)(ben)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)只對(dui)(dui)(dui)特(te)定修改(gai)后(hou)(hou)(hou)(hou)(hou)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)圖(tu)像進(jin)(jin)行錯(cuo)誤(wu) 分(fen)(fen)(fen)類(lei)(lei)，不(bu)(bu)(bu)會影響(xiang)到(dao)(dao)其他(ta)(ta)圖(tu)像樣(yang)(yang)本(ben)(ben)。用(yong)(yong)(yong)(yong)，包括基(ji)(ji)于(yu)(yu)(yu)深(shen)度(du)神經網絡（Deep Neural Networks， DNN ）的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de) 隱蔽(bi)(bi) 后(hou)(hou)(hou)(hou)(hou) 門(men)(men)(men) 攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong) 擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji) [43-45] 和(he)(he)(he)(he) 注入后(hou)(hou)(hou)(hou)(hou) 門(men)(men)(men) 的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de) “BadNets”模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)[46]等(deng)，以(yi)上(shang)方(fang)案(an)都(dou)(dou)是(shi)在(zai)(zai)(zai)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)集(ji)上(shang) 實(shi)(shi)(shi)(shi)現(xian)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)。而(er)(er)(er)(er)在(zai)(zai)(zai)聯邦(bang)學習(xi)(xi)中(zhong)，結合(he)(he)(he)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du) 實(shi)(shi)(shi)(shi)現(xian)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)更(geng)(geng)(geng)為(wei)(wei)(wei)(wei)(wei)(wei)常(chang)見。Bagdasaryan 等(deng)[47]指(zhi)(zhi)出(chu)(chu) 單一(yi)(yi)(yi)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)投(tou)(tou)(tou)(tou)毒(du)(du)(du)(du)(du)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)可(ke)能對(dui)(dui)(dui)聯邦(bang)學習(xi)(xi)無效(xiao)(xiao)(xiao)，因(yin)為(wei)(wei)(wei)(wei)(wei)(wei)惡(e) 意(yi)(yi)(yi)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)可(ke)能與(yu)(yu)數(shu)(shu)(shu)(shu)(shu)(shu)(shu)量眾多的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)良性(xing)(xing)(xing)(xing)(xing)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)聚(ju)(ju)合(he)(he)(he)，極大(da)(da)地(di)降低了(le)(le)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)效(xiao)(xiao)(xiao)果(guo)。他(ta)(ta)們(men)提(ti)(ti)出(chu)(chu)了(le)(le)一(yi)(yi)(yi)種基(ji)(ji)于(yu)(yu)(yu)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)替換(huan)(huan)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)投(tou)(tou)(tou)(tou) 毒(du)(du)(du)(du)(du)方(fang)法(fa)，其依據(ju)(ju)(ju)(ju)(ju)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)收(shou)斂性(xing)(xing)(xing)(xing)(xing)導(dao)致局(ju)部(bu)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)更(geng)(geng)(geng)新(xin)(xin)趨于(yu)(yu)(yu) 零，利(li)用(yong)(yong)(yong)(yong)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)替換(huan)(huan)在(zai)(zai)(zai)一(yi)(yi)(yi)輪迭(die)代(dai)中(zhong)將(jiang)(jiang)(jiang)全(quan)局(ju)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)替換(huan)(huan)為(wei)(wei)(wei)(wei)(wei)(wei) 后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)。此外，大(da)(da)多數(shu)(shu)(shu)(shu)(shu)(shu)(shu)后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)[48]并(bing)(bing)沒(mei)有考(kao)慮聯邦(bang)學習(xi)(xi)分(fen)(fen)(fen)布式特(te)點，Xie 等(deng)[49]則(ze)(ze)提(ti)(ti)出(chu)(chu)了(le)(le)新(xin)(xin)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)分(fen)(fen)(fen)布式后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)，即后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)在(zai)(zai)(zai)惡(e)意(yi)(yi)(yi)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)者控制的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)之間(jian)被(bei) 拆分(fen)(fen)(fen)，并(bing)(bing)將(jiang)(jiang)(jiang)每個(ge)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)式嵌(qian)入敵對(dui)(dui)(dui)客(ke)戶(hu)(hu)(hu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)訓(xun)(xun)(xun)(xun)(xun)練(lian)(lian)集(ji)中(zhong)，在(zai)(zai)(zai) 模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)聚(ju)(ju)合(he)(he)(he)后(hou)(hou)(hou)(hou)(hou)又(you)將(jiang)(jiang)(jiang)成為(wei)(wei)(wei)(wei)(wei)(wei)一(yi)(yi)(yi)個(ge)完整(zheng)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)并(bing)(bing)插入到(dao)(dao)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo) 型(xing)(xing)(xing)(xing)(xing)(xing)(xing)中(zhong)，從而(er)(er)(er)(er)提(ti)(ti)高后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)隱蔽(bi)(bi)性(xing)(xing)(xing)(xing)(xing)。與(yu)(yu) HFL 中(zhong)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)不(bu)(bu)(bu)同(tong)(tong)，在(zai)(zai)(zai)典型(xing)(xing)(xing)(xing)(xing)(xing)(xing) VFL 模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing) 中(zhong)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)無需提(ti)(ti)供也不(bu)(bu)(bu)能獲得標(biao)(biao)(biao)(biao)簽(qian)(qian)(qian)信息，也就(jiu)意(yi)(yi)(yi)味著不(bu)(bu)(bu)具(ju)備(bei)特(te)征實(shi)(shi)(shi)(shi)例(li)所對(dui)(dui)(dui)應的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)目(mu)標(biao)(biao)(biao)(biao)標(biao)(biao)(biao)(biao)簽(qian)(qian)(qian)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)知(zhi)識(shi)。Liu 等(deng)[50]為(wei)(wei)(wei)(wei)(wei)(wei)了(le)(le)研究 VFL 中(zhong)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)，其中(zhong)假設惡(e)意(yi)(yi)(yi) 用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)擁有至少一(yi)(yi)(yi)個(ge)訓(xun)(xun)(xun)(xun)(xun)練(lian)(lian)實(shi)(shi)(shi)(shi)例(li)對(dui)(dui)(dui)應標(biao)(biao)(biao)(biao)簽(qian)(qian)(qian)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)知(zhi)識(shi)，使(shi)(shi)用(yong)(yong)(yong)(yong) 梯度(du)替換(huan)(huan)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)方(fang)法(fa)，將(jiang)(jiang)(jiang)原(yuan)本(ben)(ben)實(shi)(shi)(shi)(shi)例(li)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)中(zhong)間(jian)梯度(du)替換(huan)(huan)為(wei)(wei)(wei)(wei)(wei)(wei)投(tou)(tou)(tou)(tou) 毒(du)(du)(du)(du)(du)實(shi)(shi)(shi)(shi)例(li)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)梯度(du)，向(xiang)(xiang)(xiang)最終(zhong)模(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)中(zhong)植入后(hou)(hou)(hou)(hou)(hou)門(men)(men)(men)。 **3.1.2 對(dui)(dui)(dui)抗(kang)(kang)樣(yang)(yang)本(ben)(ben)攻(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji)(ji) **

機(ji)器(qi)(qi)(qi)學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)中(zhong)的(de)(de)(de)(de)(de)(de)(de)(de)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)樣(yang)(yang)本(ben)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)是指在(zai)(zai)推理階段中(zhong)，刻意地給輸(shu)(shu)入(ru)樣(yang)(yang)本(ben)增加輕微的(de)(de)(de)(de)(de)(de)(de)(de)惡意擾動(dong)，使得分(fen)(fen)(fen)類(lei)器(qi)(qi)(qi)以(yi)(yi)極高概率對(dui)(dui)(dui)(dui)樣(yang)(yang)本(ben)進行(xing)錯誤分(fen)(fen)(fen)類(lei)，從而(er)導(dao)(dao)致模(mo)型(xing)(xing)輸(shu)(shu)出(chu)錯誤的(de)(de)(de)(de)(de)(de)(de)(de)預測結果[13,51]。按照攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)者(zhe)(zhe)(zhe)擁有的(de)(de)(de)(de)(de)(de)(de)(de) 信(xin)息(xi)，對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)可以(yi)(yi)分(fen)(fen)(fen)為(wei)白盒(he)(he)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)和(he)黑盒(he)(he)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)。在(zai)(zai) 白盒(he)(he)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)中(zhong)，攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)者(zhe)(zhe)(zhe)能夠(gou)獲得機(ji)器(qi)(qi)(qi)學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)算法(fa)以(yi)(yi)及模(mo) 型(xing)(xing)參(can)數，并根據這些已(yi)知(zhi)信(xin)息(xi)去制作對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)樣(yang)(yang)本(ben)。在(zai)(zai) 黑盒(he)(he)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)中(zhong)，攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)者(zhe)(zhe)(zhe)不知(zhi)道(dao)機(ji)器(qi)(qi)(qi)學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)的(de)(de)(de)(de)(de)(de)(de)(de)算法(fa)和(he)參(can)數信(xin)息(xi)，通(tong)(tong)過與(yu)(yu)(yu)系(xi)統(tong)(tong)(tong)的(de)(de)(de)(de)(de)(de)(de)(de)交(jiao)互過程來生(sheng)成對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)樣(yang)(yang)本(ben)。一方(fang)(fang)面，聯邦(bang)(bang)學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)的(de)(de)(de)(de)(de)(de)(de)(de)分(fen)(fen)(fen)布式特性(xing)增加了(le)模(mo)型(xing)(xing)參(can)數泄露的(de)(de)(de)(de)(de)(de)(de)(de)可能性(xing)，這意味著聯邦(bang)(bang)學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)比傳(chuan)統(tong)(tong)(tong)機(ji)器(qi)(qi)(qi)學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)更容(rong) 易(yi)遭受白盒(he)(he)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)的(de)(de)(de)(de)(de)(de)(de)(de)威脅(xie)。另一方(fang)(fang)面，與(yu)(yu)(yu)傳(chuan)統(tong)(tong)(tong)機(ji)器(qi)(qi)(qi)學(xue)(xue)(xue)(xue) 習(xi)(xi)(xi)類(lei)似(si)，在(zai)(zai)聯邦(bang)(bang)學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)模(mo)型(xing)(xing)部署之后，攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)者(zhe)(zhe)(zhe)也能夠(gou) 通(tong)(tong)過與(yu)(yu)(yu)系(xi)統(tong)(tong)(tong)的(de)(de)(de)(de)(de)(de)(de)(de)交(jiao)互實(shi)施黑盒(he)(he)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)。對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)樣(yang)(yang)本(ben)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)在(zai)(zai)機(ji)器(qi)(qi)(qi)學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)領域(yu)已(yi)有廣泛研究。GoodFellow 等(deng)(deng)[13]發(fa)現了(le)深(shen)度學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)輸(shu)(shu)入(ru)—輸(shu)(shu)出(chu)映射上(shang)的(de)(de)(de)(de)(de)(de)(de)(de)不連續(xu)性(xing)，通(tong)(tong)過施加難以(yi)(yi)察覺(jue)的(de)(de)(de)(de)(de)(de)(de)(de)擾動(dong)，最大化網(wang)絡(luo)的(de)(de)(de)(de)(de)(de)(de)(de)預測誤差。Szegedy 等(deng)(deng)[52]驗(yan)證說明了(le)幾種經(jing) 典神(shen)經(jing)網(wang)絡(luo)模(mo)型(xing)(xing)容(rong)易(yi)受到(dao)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)樣(yang)(yang)本(ben)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)的(de)(de)(de)(de)(de)(de)(de)(de)影響(xiang)。Akhtar 等(deng)(deng)[53]對(dui)(dui)(dui)(dui)深(shen)度學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)中(zhong)的(de)(de)(de)(de)(de)(de)(de)(de)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)樣(yang)(yang)本(ben)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)及防御進行(xing)了(le)全面性(xing)的(de)(de)(de)(de)(de)(de)(de)(de)綜述。llyas 等(deng)(deng)[54]開發(fa)了(le)一種新的(de)(de)(de)(de)(de)(de)(de)(de)黑盒(he)(he)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)視(shi)角，將此(ci)類(lei)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)的(de)(de)(de)(de)(de)(de)(de)(de)構造視(shi)為(wei)梯(ti)度估計問題(ti)，打(da)破了(le)利用(yong)(yong)(yong)梯(ti)度中(zhong)先驗(yan)信(xin)息(xi)發(fa)起(qi)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)樣(yang)(yang)本(ben)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji) 的(de)(de)(de)(de)(de)(de)(de)(de)最優性(xing)障礙。在(zai)(zai)聯邦(bang)(bang)學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)場景下的(de)(de)(de)(de)(de)(de)(de)(de)模(mo)型(xing)(xing)部署與(yu)(yu)(yu)機(ji)器(qi)(qi)(qi)學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)類(lei) 似(si)，傳(chuan)統(tong)(tong)(tong)的(de)(de)(de)(de)(de)(de)(de)(de)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)樣(yang)(yang)本(ben)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)可以(yi)(yi)拓展到(dao)聯邦(bang)(bang)學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)中(zhong)，但目前針對(dui)(dui)(dui)(dui)聯邦(bang)(bang)學(xue)(xue)(xue)(xue)習(xi)(xi)(xi)的(de)(de)(de)(de)(de)(de)(de)(de)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)樣(yang)(yang)本(ben)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)研究尚少。Wang 等(deng)(deng)[33]研究了(le)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)樣(yang)(yang)本(ben)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)與(yu)(yu)(yu)后門攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)之間的(de)(de)(de)(de)(de)(de)(de)(de) 聯系(xi)，表(biao)明模(mo)型(xing)(xing)對(dui)(dui)(dui)(dui)后門的(de)(de)(de)(de)(de)(de)(de)(de)魯棒(bang)性(xing)在(zai)(zai)通(tong)(tong)常情況下意味著對(dui)(dui)(dui)(dui)于對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)樣(yang)(yang)本(ben)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)的(de)(de)(de)(de)(de)(de)(de)(de)魯棒(bang)性(xing)。Pang 等(deng)(deng)[55]則針對(dui)(dui)(dui)(dui) VFL 中(zhong)用(yong)(yong)(yong)戶的(de)(de)(de)(de)(de)(de)(de)(de)特征(zheng)差異，提(ti)出(chu)了(le)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)性(xing)主(zhu)(zhu)導(dao)(dao)輸(shu)(shu)入(ru)攻(gong)(gong)(gong)(gong)(gong)(gong) 擊(ji)(ji)(ji)（Adversarial Dominating Inputs Attack）。與(yu)(yu)(yu)傳(chuan)統(tong)(tong)(tong) 的(de)(de)(de)(de)(de)(de)(de)(de)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)性(xing)樣(yang)(yang)本(ben)控制整個特征(zheng)空間不同(tong)，對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)性(xing)主(zhu)(zhu)導(dao)(dao) 輸(shu)(shu)入(ru)攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)僅僅控制部分(fen)(fen)(fen)特征(zheng)輸(shu)(shu)入(ru)，就能主(zhu)(zhu)導(dao)(dao)其他用(yong)(yong)(yong) 戶的(de)(de)(de)(de)(de)(de)(de)(de)全部輸(shu)(shu)入(ru)，實(shi)現對(dui)(dui)(dui)(dui)特定的(de)(de)(de)(de)(de)(de)(de)(de)輸(shu)(shu)入(ru)進行(xing)錯誤分(fen)(fen)(fen)類(lei)。同(tong)時，對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)(kang)(kang)性(xing)主(zhu)(zhu)導(dao)(dao)輸(shu)(shu)入(ru)使得其他用(yong)(yong)(yong)戶做(zuo)出(chu)非常少的(de)(de)(de)(de)(de)(de)(de)(de) 貢(gong)(gong)獻，從而(er)影響(xiang)了(le)激勵用(yong)(yong)(yong)戶貢(gong)(gong)獻的(de)(de)(de)(de)(de)(de)(de)(de)獎勵。 **3.1.3 搭(da)便車攻(gong)(gong)(gong)(gong)(gong)(gong)擊(ji)(ji)(ji) **

搭便車攻擊是指部分用戶不參與協作或者不具備足夠的條件，而試圖從集體性質的服務和公共產品中獲得優勢。其主要發生在帶有激勵的聯邦學習中，破壞訓練過程完整性和合作公平性。攻擊者一般不消耗或只消耗部分的本地數據和計算資源，通過向服務器發送隨機更新或與聚合模型相似的更新，偽裝成參與聯邦學習訓練的正常用戶，以獲得相應激勵，同時可能對模型性能造成一定影響。在聯邦學習中，常見的搭便車攻擊通過提供隨機參數更新實現攻擊，而服務器可以使用傳統的深度學習異常梯度檢測進行防御，如 DAGMM[56]。文獻[57]介紹了一個在基于模型平均的聯邦學習中進行搭便車攻擊的理論框架，證明了在每次迭代中返回全局模型會導致搭便車攻擊。通過向構造的參數更新中增加噪音、應用隨機梯度下降（Stochastic Gradient Descent，SGD）來最大化與其他用戶更新的相似性，實現更加隱蔽的攻擊。文獻[58]提出了一種新的搭便車攻擊，在本地使用小數據集訓練模型，偽裝成大數據集以獲取更多獎勵。此外，搭便車攻擊者也可能會通過提升方法來增大權重，從而在全局服務器上表現出更大的貢獻程度，以獲得更大的激勵份額。在 VFL 中的用戶也可能不進行完整的訓練，而應用未經充分訓練的低質量模型，會降低整體模型的性能。此外，VFL 的用戶并不公開模型信息，服務器更難區分低質量的模型，故 VFL 中的搭便車攻擊值得進一步研究。 3.1.4 女巫攻擊

女(nv)(nv)巫(wu)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)（Sybil Attack）指在允許(xu)成員(yuan)自由加(jia) 入(ru)和退出(chu)的(de)(de)(de)(de)(de)系統中(zhong)(zhong)，單個(ge)(ge)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)者通(tong)過(guo)多個(ge)(ge)合(he)謀的(de)(de)(de)(de)(de)身(shen) 份(fen)加(jia)入(ru)系統，從而巧(qiao)妙(miao)地分(fen)配(pei)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)，以增強隱蔽性和攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)效(xiao)果[59]。女(nv)(nv)巫(wu)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)常被(bei)用于投(tou)毒(du)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)中(zhong)(zhong)，也可(ke)以應(ying)用在其(qi)他(ta)對(dui)抗(kang)性攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)中(zhong)(zhong)，以擴大對(dui)抗(kang)性攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji) 的(de)(de)(de)(de)(de)優(you)勢。尤其(qi)在跨(kua)設備（Cross-device）聯邦(bang)學(xue)(xue)(xue)習中(zhong)(zhong)，用戶(hu)認證(zheng)強度(du)低，攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)者可(ke)以通(tong)過(guo)偽(wei)造多個(ge)(ge)身(shen)份(fen)實施女(nv)(nv)巫(wu)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)，以便提高(gao)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)效(xiao)果。Fung 等[60]中(zhong)(zhong)測試了(le)配(pei)合(he)女(nv)(nv)巫(wu)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)的(de)(de)(de)(de)(de)投(tou)毒(du)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji) 效(xiao)果，并提出(chu)了(le)防御女(nv)(nv)巫(wu)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)的(de)(de)(de)(de)(de)方(fang)案 FoolsGold。作為 FoolsGold 的(de)(de)(de)(de)(de)后續研(yan)(yan)究(jiu)，文(wen)獻[61]進一(yi)步研(yan)(yan)究(jiu)了(le) 聯邦(bang)學(xue)(xue)(xue)習對(dui)女(nv)(nv)巫(wu)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)的(de)(de)(de)(de)(de)脆弱性、目標和策略分(fen)類，提出(chu)一(yi)種被(bei)稱為訓(xun)練膨脹的(de)(de)(de)(de)(de) DoS 攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)，評估了(le)幾種分(fen)布式機器學(xue)(xue)(xue)習容錯方(fang)案，證(zheng)明了(le) FoolsGold 在防御配(pei)合(he)女(nv)(nv)巫(wu)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)的(de)(de)(de)(de)(de)投(tou)毒(du)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji)中(zhong)(zhong)有更好(hao)的(de)(de)(de)(de)(de)表現(xian)。而在 VFL 中(zhong)(zhong)，由于用戶(hu)數量較(jiao)少，認證(zheng)強度(du)高(gao)，女(nv)(nv)巫(wu)攻(gong)(gong)(gong) 擊(ji)(ji)(ji)(ji)(ji)的(de)(de)(de)(de)(de)應(ying)用將受到限(xian)制，較(jiao)難實施。 **3.1.5 針對(dui)通(tong)信瓶頸的(de)(de)(de)(de)(de)攻(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)(ji) **

在聯邦學習中，需要在大量參與設備和服務器之間來回交換更新后的梯度，頻繁的通信和傳輸的數據量都會產生大量的通信開銷；其次，大量異構設備有限的網絡帶寬，會增加成員掉隊的情況，進一步導致通信時間增長；此外，攻擊者可能通過破壞通信信道來影響聯邦學習系統的穩定性和魯棒性。以上這些問題成為了聯邦學習的主要通信瓶頸，統稱為針對通信瓶頸的攻擊，它影響了聯邦學習的訓練可用性，在 HFL 與 VFL 系統中都有可能發生。針對通信瓶頸的攻擊比投毒攻擊、對抗樣本攻擊和后門攻擊的普遍性更低，但其導致的后果非常嚴重，一旦系統遭受通信瓶頸攻擊，可能會顯著破壞聯邦學習環境，給系統帶來嚴重的損失。這種攻擊最直接的解決方法是降低通信開銷，把需要上傳的更新量化，顯著減少需要傳輸的數據大小[62]。2019 年，Luping 等[63]指出移動邊緣設備面對昂貴的網絡連接和復雜的 DNN 訓練，需要更新一個很大的梯度向量，使得通信開銷成為嚴重的瓶頸。Yao 等[64]則指出脆弱的通信帶寬和單一的聯邦學習訓練模型，使得通信成本成為影響聯邦學習模型收斂的主要因素。由于對聯邦學習完整性和可用性的破壞，以上對抗性攻擊體現出良性用戶與惡意攻擊者之間的對抗關系，更可能會在攻擊過程中被察覺，面臨風險更大，因此往往來自于敵對組織或勢力。如表 1 所示，綜合前文各類攻擊的實施難度、攻擊效果及防御難度，直觀地總結了聯邦學習中各種對抗性攻擊的威脅等級，梳理了其對 CIA 三元組的威脅情況、作用階段和對應的魯棒性提升方法。

3.2 非對抗性攻擊

3.2.1 模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)提(ti)(ti)取(qu)(qu)(qu)(qu)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji) 機(ji)(ji)器(qi)學(xue)習(xi)(xi)中(zhong)(zhong)的(de)(de)(de)(de)(de)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)提(ti)(ti)取(qu)(qu)(qu)(qu)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)是(shi)(shi)指(zhi)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)者嘗試反復發(fa)送數(shu)據以(yi)(yi)獲取(qu)(qu)(qu)(qu)響應結果，從模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)的(de)(de)(de)(de)(de) API 接口中(zhong)(zhong)恢復出(chu)原(yuan)始(shi)(shi)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)參數(shu)或功(gong)能，甚至構造出(chu)與原(yuan)始(shi)(shi) 模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)幾乎等(deng)(deng)效的(de)(de)(de)(de)(de)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)，一(yi)(yi)般(ban)發(fa)生在(zai)(zai)(zai)(zai)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)推(tui)理(li)(li)階段，破壞模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)機(ji)(ji)密性。一(yi)(yi)些場景中(zhong)(zhong)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)具有(you)(you)較高的(de)(de)(de)(de)(de)訓(xun)練(lian)(lian)(lian) 成本(ben)，其信(xin)息是(shi)(shi)敏感的(de)(de)(de)(de)(de)，易受到提(ti)(ti)取(qu)(qu)(qu)(qu)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)。現(xian)有(you)(you)針(zhen) 對(dui)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)提(ti)(ti)取(qu)(qu)(qu)(qu)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)的(de)(de)(de)(de)(de)研究主要集中(zhong)(zhong)在(zai)(zai)(zai)(zai)減少竊(qie)取(qu)(qu)(qu)(qu)目標模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)的(de)(de)(de)(de)(de)次(ci)數(shu)、提(ti)(ti)高查(cha)詢(xun)精準度和降(jiang)低查(cha)詢(xun)開(kai)銷等(deng)(deng)。一(yi)(yi)般(ban)而(er)言，受模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)提(ti)(ti)取(qu)(qu)(qu)(qu)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)影響最(zui)大的(de)(de)(de)(de)(de)是(shi)(shi)預測(ce)即服(fu) 務系統(tong)，因為(wei)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)本(ben)身屬于(yu)隱私信(xin)息，并且(qie)從模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing) 中(zhong)(zhong)可以(yi)(yi)推(tui)測(ce)出(chu)訓(xun)練(lian)(lian)(lian)數(shu)據集的(de)(de)(de)(de)(de)信(xin)息。 Tramèr 等(deng)(deng)[133]首次(ci)提(ti)(ti)出(chu)了機(ji)(ji)器(qi)學(xue)習(xi)(xi)中(zhong)(zhong)的(de)(de)(de)(de)(de)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)提(ti)(ti) 取(qu)(qu)(qu)(qu)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)，并對(dui) Google 等(deng)(deng)公(gong)司部(bu)署在(zai)(zai)(zai)(zai)云服(fu)務器(qi)上(shang)的(de)(de)(de)(de)(de) 預測(ce)系統(tong)發(fa)動(dong)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)，在(zai)(zai)(zai)(zai)短時間內提(ti)(ti)取(qu)(qu)(qu)(qu)出(chu)與原(yuan)始(shi)(shi)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing) 完(wan)全等(deng)(deng)效的(de)(de)(de)(de)(de)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)。2020 年，Chandrasekaran 等(deng)(deng)[134] 將模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)提(ti)(ti)取(qu)(qu)(qu)(qu)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)形式化(hua)并提(ti)(ti)出(chu)一(yi)(yi)種(zhong)(zhong)利(li)用主動(dong)學(xue)習(xi)(xi) 的(de)(de)(de)(de)(de)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)提(ti)(ti)取(qu)(qu)(qu)(qu)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)，能夠(gou)在(zai)(zai)(zai)(zai)無標簽(qian)數(shu)據上(shang)訓(xun)練(lian)(lian)(lian)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)模(mo) 型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)；Jagielski 等(deng)(deng)[135]改進(jin)了基于(yu)訓(xun)練(lian)(lian)(lian)的(de)(de)(de)(de)(de)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)提(ti)(ti)取(qu)(qu)(qu)(qu)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji) 的(de)(de)(de)(de)(de)效率(lv)，并提(ti)(ti)出(chu)了一(yi)(yi)種(zhong)(zhong)無需(xu)訓(xun)練(lian)(lian)(lian)的(de)(de)(de)(de)(de)可以(yi)(yi)直接提(ti)(ti)取(qu)(qu)(qu)(qu)模(mo) 型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)權重的(de)(de)(de)(de)(de)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)方(fang)案，圍繞準確性和忠誠(cheng)度兩個對(dui)抗目標對(dui)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)提(ti)(ti)取(qu)(qu)(qu)(qu)空間進(jin)行系統(tong)化(hua)，分(fen)別作(zuo)為(wei)衡量盜(dao) 竊(qie)動(dong)機(ji)(ji)敵手和反映偵(zhen)察動(dong)機(ji)(ji)敵手的(de)(de)(de)(de)(de)成功(gong)率(lv)。在(zai)(zai)(zai)(zai)聯(lian)邦(bang)學(xue)習(xi)(xi)中(zhong)(zhong)，攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)者同(tong)樣可以(yi)(yi)對(dui)已經部(bu)署的(de)(de)(de)(de)(de) 聯(lian)邦(bang)學(xue)習(xi)(xi)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)發(fa)動(dong)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)提(ti)(ti)取(qu)(qu)(qu)(qu)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)，由于(yu)大部(bu)分(fen)應用場景的(de)(de)(de)(de)(de)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)都公(gong)開(kai)，所(suo)以(yi)(yi)威脅較小。但(dan)是(shi)(shi)在(zai)(zai)(zai)(zai) VFL 中(zhong)(zhong)，由于(yu)每(mei)個用戶(hu)持(chi)有(you)(you)部(bu)分(fen)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)并允許(xu)保留隱私，模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)提(ti)(ti)取(qu)(qu)(qu)(qu)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)可能由其中(zhong)(zhong)一(yi)(yi)個用戶(hu)發(fa)起(qi)(qi)，嘗試獲得(de) 完(wan)整的(de)(de)(de)(de)(de)模(mo)型(xing)(xing)(xing)(xing)(xing)(xing)(xing)(xing)，并且(qie)由系統(tong)內參與方(fang)發(fa)起(qi)(qi)的(de)(de)(de)(de)(de)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji)可能更(geng)難防御(yu)，但(dan)目前這方(fang)面的(de)(de)(de)(de)(de)相關研究較少。 **3.2.2 推(tui)理(li)(li)攻(gong)(gong)(gong)(gong)擊(ji)(ji)(ji)(ji) **

按照攻擊目的不同，推理攻擊可分為成員推理攻擊和屬性推理攻擊，其中成員推理攻擊目的是推斷訓練數據集中是否包含特定的個人數據記錄，屬性推理攻擊目的是推斷訓練數據集的某些屬性。聯邦學習場景下的推理攻擊利用了系統的一個弊端，即每個用戶和參數服務器隨著訓練迭代更新相同的全局模型，攻擊者往往能夠推斷出模型的信息。此外，對抗性攻擊中的投毒攻擊也會對全局模型訓練結果產生影響，這種影響也包含了可用于推理攻擊的泄露信息，不同于被動地獲取模型信息，攻擊者可能會主動地實施投毒攻擊來獲取信息，這種攻擊也被稱為主動推理攻擊。(1) 成員推理攻擊：成員推理攻擊[10]嘗試推斷某個樣本點是否用于訓練給定模型，是最簡單的一種推理攻擊。當訓練樣本是敏感數據時，攻擊者推斷出訓練數據集中特定數據點的存在會構成隱私威脅。文獻[11]設計了一種白盒模型下的成員推理攻擊方案，并假設對手具有不同程度的先驗知識，在主動與被動攻擊者、聯邦與非聯邦場景下進行了實驗和對比，實驗結果表明，只要是用到 SGD 的深度學習模型，對于有機會獲取到模型參數的用戶或服務器，實施白盒模型下的成員推理攻擊準確率都可以達到 70%以上。在聯邦學習場景下，每個用戶隨著訓練進程逐漸更新全局模型，很容易具有實施攻擊的條件。參數服務器是好奇或惡意的，從而實施被動或主動的成員推理攻擊也是值得考慮的問題，而在集中式場景下白盒模型的條件通常難以達到。在 VFL 中，數據對齊階段需要進行樣本 ID 對齊，因此訓練集中的樣本信息會被所有用戶共享，通常不需要進行成員推理攻擊。但是這樣的隱私泄露在很多實際場景中可能是不合理的[136]，有必要進一步地研究在數據縱向劃分時如何在不泄露樣本 ID 信息的前提下進行模型訓練。(2) 屬性推理攻擊：屬性推理攻擊[137-138]是指攻擊者嘗試推斷訓練數據集的特征信息，包括某個樣本的具體數值或數據集的整體屬性，例如年齡分布、性別分布等。屬性推理攻擊可能發生在模型訓練過程中或模型訓練完成之后，后者又稱為模型反轉攻擊[139]。文獻[138]的屬性推理攻擊方案通過調用原始模型來訓練影子模型，該影子模型一定程度上包含了原始模型中包含的隱私信息，然后再用影子模型來訓練攻擊者感興趣屬性的分類器。文獻 [137]提出的屬性推理攻擊關注訓練樣本整體或子集的屬性，尤其是與類別特征無關的屬性。在該攻擊方案中，攻擊者同樣利用了聯邦學習的實時性，獲取全局模型鏡像并訓練攻擊模型。文獻[140]提出了黑盒模型下的屬性推理攻擊，即使攻擊者沒有參與訓練過程，僅通過調用訓練好的模型也可以推測出關于數據集的敏感屬性，即使敏感屬性沒有參與訓練，并且與訓練屬性相關度很低，也會被泄露。在 VFL 中，同樣有可能發生屬性推理攻擊。雖然惡意用戶只控制部分的模型，而且不能獨立運行，但通過分析中間輸出等交互消息，可以推斷出其他用戶的數據屬性信息。與 HFL 不同，VFL 中標簽信息通常只有一方擁有并且是敏感的，因此針對標簽信息的推理攻擊尤其需要關注。 3.2.3 基于 GAN 的攻擊生成對抗網絡（ Generative Adversarial Networks， GAN）[141]是一種很有前景的無監督深度學習模型，通過生成模型和判別模型的互相博弈產生很好的輸出樣本。通常，基于 GAN 的攻擊能夠發起投毒攻擊[142]或推理攻擊，它是一種威脅程度非常高的攻擊方式，通常作用于模型的訓練階段。2017 年， Hitaj 等[143]提出了基于 GAN 的屬性推理攻擊，該文獻指出大多數的聯邦學習方案都容易遭受該模型反轉攻擊，即使引入了差分隱私和同態加密這樣的防御措施，只要每個用戶會在本地迭代更新全局模型，且模型最終可以準確地進行分類，該攻擊方案就可以成功實施。但是該方案所使用的手寫數字數據集 MNIST 每一種類別都是相似的，如果同一種類別的訓練樣本并不相似，則該文獻的攻擊結果和訓練樣本會有很大差異[10]。Wang 等[144] 提出了一種將 GAN 和多任務鑒別器相結合的 mGAN-AI 框架，該框架通過惡意服務器計算攻擊目標的本地更新來恢復用戶指定的私有數據。mGAN-AI 在服務端隱蔽性的工作，不會影響訓練階段。在 VFL 中，由于每個用戶只有全局模型的一部分，基于 GAN 的攻擊可能會失效。表 2 總結梳理了聯邦學習中各種非對抗性攻擊的威脅等級、對 CIA 三元組的威脅情況、不同的作用階段和對應的隱私性增強技術。

**4 聯邦學習(xi)中的防御手段 **

4.1 聯邦學習魯棒性提升方法 4.1.1 數據消毒數據消毒（Data Sanitization）是指對有害的、異常的數據進行清理，是針對數據投毒攻擊的防御通用方法[65]，在機器學習中較為常用。為抵御在聯邦學習環境中的數據投毒攻擊，數據消毒成為了其中的第一道防線。選用數據消毒技術雖然可以過濾掉那些中毒信息，保護數據的可用性和有效性，但需要訪問用戶的本地數據[66]，無法保證數據隱私性，也難以在聯邦學習分布設置的服務器中實現。另外，隨著數據投毒攻擊的增強，數據消毒可能很難達到期望的防御效果。面對自適應投毒攻擊時，數據消毒防御效果并不樂觀[67]。所以數據消毒在聯邦學習中較難實施，只能在少數情況下，例如強認證的跨孤島（Cross-silo）聯邦學習，可依靠用戶自身來進行。4.1.2 魯棒性聚合在經典聯邦學習框架下，服務器的聚合方案是聯邦學習架構的核心部分。2017 年，McMahan 和 Ramage 1首次提出了實現多用戶分布式訓練的 FedSGD 算法，不泄露本地數據，僅將中間梯度發送給服務器。隨后的研究[3]為了減少用戶與服務器之間的通信量提出了 FedAvg 算法，選擇直接上傳多輪本地訓練的模型，并取平均值作為全局模型。FedAvg 是經典的聚合方案，確定了 HFL 的基本框架，后續聚合研究大多以此作為基礎。然而，FedAvg 并不具備對投毒攻擊、后門攻擊等對抗性攻擊的魯棒性。為了抵抗上述攻擊，需要進一步利用更新的內在屬性，識別并減弱惡意模型更新效果，從而實現魯棒性聚合（Robust Aggregation）。目前，魯棒性聚合的研究大致可以分為 3 類。(1) 基于統計特征和相似性的魯棒性聚合；(2) 基于局部模型性能的魯棒性聚合；(3) 基于訓練函數優化的魯棒性聚合。

**4.1.3 異常檢測 **

異常(chang)檢(jian)測(ce)(ce)（Anomaly Detection）旨在使用統計(ji) 和分析方法對(dui)(dui)模型(xing)(xing)的(de)訓練模式、數據集或相(xiang)關事件進行甄別，若檢(jian)測(ce)(ce)到(dao)不符合(he)預期的(de)模式、異常(chang)行為或異常(chang)數據，則(ze)系統會預警并(bing)做出反應措施。目(mu)前異常(chang)檢(jian)測(ce)(ce)模型(xing)(xing)主要集中(zhong)(zhong)對(dui)(dui)系統中(zhong)(zhong)的(de)客戶端(duan)異常(chang)檢(jian) 測(ce)(ce)和數據異常(chang)檢(jian)測(ce)(ce)兩個(ge)方面的(de)研究。 **4.1.4 對(dui)(dui)抗訓練 **

對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)（Adversarial Training）是指(zhi)在模(mo)型(xing)訓(xun)(xun)(xun) 練(lian)(lian)(lian)(lian)(lian)的過(guo)(guo)(guo)程中(zhong)加(jia)(jia)入(ru)微弱擾(rao)動(dong)(dong)，以提高(gao)(gao)系(xi)統魯棒性(xing)(xing)(xing)(xing)的防御方(fang)(fang)式。傳統對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)攻擊(ji)方(fang)(fang)法(fa)[92-93]大(da)(da)多(duo)應(ying)用(yong)(yong)于集(ji)(ji) 中(zhong)的機器(qi)學習(xi)框架下，并且(qie)主要(yao)(yao)關注對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)數(shu)據的生(sheng)成。例如(ru)，Tramèr 等(deng)(deng)[92]提出(chu)集(ji)(ji)合(he)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)方(fang)(fang)法(fa)，通過(guo)(guo)(guo)從其他(ta)(ta)預訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)模(mo)型(xing)中(zhong)轉移過(guo)(guo)(guo)來(lai)(lai)的單位輸入(ru)一起(qi)作為(wei)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)集(ji)(ji)。2019 年提出(chu)的 Deep Confuse 技術[93] 通過(guo)(guo)(guo)解耦交(jiao)替更新(xin)過(guo)(guo)(guo)程來(lai)(lai)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)網(wang)絡的穩定性(xing)(xing)(xing)(xing)，利用(yong)(yong) 訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)好的噪聲編碼器(qi)向(xiang)樣本(ben)添加(jia)(jia)有界擾(rao)動(dong)(dong)，從而高(gao)(gao) 效地(di)(di)生(sheng)成對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)數(shu)據。目前(qian)，對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)[94-95]已逐漸被研(yan)究(jiu)人員用(yong)(yong)于提升(sheng)聯(lian)邦學習(xi)系(xi)統魯棒性(xing)(xing)(xing)(xing)，而不僅僅局限于集(ji)(ji)中(zhong)式的機器(qi)模(mo)型(xing)。例如(ru)，Shah 等(deng)(deng)[94]研(yan)究(jiu)了(le)(le)在聯(lian)邦學習(xi)環(huan)境中(zhong)使用(yong)(yong)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)來(lai)(lai)減(jian)少(shao)模(mo)型(xing)偏移，顯(xian)著提高(gao)(gao)了(le)(le)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang) 精度(du)和模(mo)型(xing)收斂(lian)時(shi)間。但(dan)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)對(dui)(dui)(dui)(dui)于更復雜的黑盒攻擊(ji)可(ke)能(neng)不具備(bei)穩定性(xing)(xing)(xing)(xing)，且(qie)加(jia)(jia)入(ru)的擾(rao)動(dong)(dong)必然會影響分類(lei)的準(zhun)(zhun)確度(du)，故需(xu)要(yao)(yao)進(jin)一步采用(yong)(yong)適當的優化技術來(lai)(lai)改善(shan)這些(xie)問題。此(ci)外，對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)本(ben)身需(xu)要(yao)(yao)大(da)(da)量數(shu)據集(ji)(ji)，并且(qie)增加(jia)(jia)了(le)(le)計算(suan)資(zi)源(yuan)(yuan)的消耗。尤其在具有較多(duo)參與方(fang)(fang)的跨設備(bei)式聯(lian)邦學習(xi)環(huan)境中(zhong)，輕量級用(yong)(yong)戶(hu)可(ke)能(neng)無法(fa)負擔高(gao)(gao)昂的對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)成本(ben)。Hong 等(deng)(deng)[95]提出(chu)了(le)(le)新(xin)穎(ying)的共享資(zi)源(yuan)(yuan)學習(xi)方(fang)(fang)案，即準(zhun)(zhun)備(bei)最(zui)充(chong)分或功能(neng)最(zui)強大(da)(da)的高(gao)(gao) 資(zi)源(yuan)(yuan)設備(bei)與其他(ta)(ta)低(di)資(zi)源(yuan)(yuan)用(yong)(yong)戶(hu)共享安全(quan)模(mo)型(xing)，從而在 NON-IID 用(yong)(yong)戶(hu)之間有效地(di)(di)傳播對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)魯棒性(xing)(xing)(xing)(xing)。此(ci)外，為(wei)了(le)(le)防止對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)樣本(ben)攻擊(ji)中(zhong)的逃(tao)逸攻擊(ji)，文獻[96]通過(guo)(guo)(guo)采用(yong)(yong)高(gao)(gao)斯噪聲在訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)數(shu)據集(ji)(ji)中(zhong)包含對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)性(xing)(xing)(xing)(xing)數(shu)據來(lai)(lai)平滑訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)數(shu)據。就目前(qian)而言，對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)主要(yao)(yao)集(ji)(ji)中(zhong)于針對(dui)(dui)(dui)(dui)聯(lian)邦學習(xi)環(huan)境中(zhong)的對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)樣本(ben)攻擊(ji)進(jin)行防御，但(dan)分析發現 [94]，對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang)訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)也極大(da)(da)地(di)(di)減(jian)少(shao)了(le)(le)推理攻擊(ji)帶來(lai)(lai)的威脅，提高(gao)(gao)了(le)(le)用(yong)(yong)戶(hu)數(shu)據的隱(yin)私性(xing)(xing)(xing)(xing)，對(dui)(dui)(dui)(dui)于如(ru)何(he)利用(yong)(yong)對(dui)(dui)(dui)(dui)抗(kang)(kang)(kang)(kang) 訓(xun)(xun)(xun)練(lian)(lian)(lian)(lian)(lian)來(lai)(lai)抵御其他(ta)(ta)類(lei)型(xing)的攻擊(ji)研(yan)究(jiu)值得進(jin)一步研(yan)究(jiu)。 **4.1.5 知(zhi)識蒸餾(liu) **

在(zai)(zai)(zai)不同(tong)(tong)模(mo)(mo)型(xing)(xing)訓練(lian)場景(jing)中(zhong)，若想(xiang)實現更好的(de)(de)(de)預測結果(guo)，往往會(hui)選擇集(ji)(ji)成(cheng)許多(duo)(duo)較弱模(mo)(mo)型(xing)(xing)，但(dan)這樣會(hui)導致更大(da)(da)的(de)(de)(de)計算量和(he)更多(duo)(duo)的(de)(de)(de)資(zi)源空(kong)間占用(yong)。知(zhi)(zhi)識(shi)蒸餾(liu) （Knowledge Distillation）作為(wei)模(mo)(mo)型(xing)(xing)壓縮技術之一(yi)，就(jiu)是將大(da)(da)模(mo)(mo)型(xing)(xing)相關知(zhi)(zhi)識(shi)逐(zhu)步(bu)傳遞(di)到小模(mo)(mo)型(xing)(xing)中(zhong)，并(bing)從(cong) 大(da)(da)模(mo)(mo)型(xing)(xing)學(xue)(xue)(xue)到的(de)(de)(de)知(zhi)(zhi)識(shi)中(zhong)學(xue)(xue)(xue)習(xi)(xi)有用(yong)信(xin)息來指導小模(mo)(mo)型(xing)(xing) 訓練(lian)，使小模(mo)(mo)型(xing)(xing)具(ju)備和(he)大(da)(da)模(mo)(mo)型(xing)(xing)相當的(de)(de)(de)性(xing)能(neng)[86- 87]。在(zai)(zai)(zai) 需(xu)要(yao)頻繁交換(huan)訓練(lian)信(xin)息的(de)(de)(de)聯(lian)(lian)邦(bang)學(xue)(xue)(xue)習(xi)(xi)中(zhong)，知(zhi)(zhi)識(shi)蒸餾(liu)可(ke) 以(yi)有效地降(jiang)低(di)通(tong)信(xin)開銷、節(jie)省存儲空(kong)間和(he)降(jiang)低(di)參數(shu) 冗余，從(cong)而防(fang)御(yu)針(zhen)(zhen)對(dui)通(tong)信(xin)瓶頸的(de)(de)(de)攻(gong)擊(ji)(ji)(ji)。此外(wai)，知(zhi)(zhi)識(shi) 蒸餾(liu)還(huan)提高了模(mo)(mo)型(xing)(xing)的(de)(de)(de)泛(fan)化(hua)能(neng)力，能(neng)夠(gou)一(yi)定程度(du)上(shang)防(fang) 御(yu)投毒攻(gong)擊(ji)(ji)(ji)和(he)對(dui)抗樣本攻(gong)擊(ji)(ji)(ji)[86]。在(zai)(zai)(zai)聯(lian)(lian)邦(bang)學(xue)(xue)(xue)習(xi)(xi)與知(zhi)(zhi)識(shi)蒸餾(liu)的(de)(de)(de)融(rong)合(he)研究方面(mian)，Li 等(deng)(deng) [88]在(zai)(zai)(zai) 2019 年基(ji)于知(zhi)(zhi)識(shi)蒸餾(liu)和(he)遷移聯(lian)(lian)邦(bang)學(xue)(xue)(xue)習(xi)(xi)開發(fa)了一(yi)個(ge) FedMD 通(tong)用(yong)框架，其(qi)允許計算能(neng)力存在(zai)(zai)(zai)異質性(xing)的(de)(de)(de)不同(tong)(tong)用(yong)戶設計不同(tong)(tong)的(de)(de)(de)網絡結構，保護數(shu)據(ju)(ju)集(ji)(ji)的(de)(de)(de) 隱私性(xing)和(he)提高本地模(mo)(mo)型(xing)(xing)的(de)(de)(de)性(xing)能(neng)。與沒有協作的(de)(de)(de)情況相比(bi)(bi)，FedMD 能(neng)顯著提高局部(bu)模(mo)(mo)型(xing)(xing)的(de)(de)(de)性(xing)能(neng)，但(dan)需(xu)要(yao) 用(yong)戶適當犧牲一(yi)部(bu)分(fen)數(shu)據(ju)(ju)隱私來組成(cheng)共享數(shu)據(ju)(ju)集(ji)(ji)。之后(hou)，大(da)(da)部(bu)分(fen)方案[89-91]都是在(zai)(zai)(zai) FedMD 框架上(shang)進(jin)(jin)行探究。例(li)如，Lin 等(deng)(deng)[89]提出了用(yong)于模(mo)(mo)型(xing)(xing)融(rong)合(he)的(de)(de)(de)集(ji)(ji)成(cheng) 蒸餾(liu)，通(tong)過局部(bu)模(mo)(mo)型(xing)(xing)輸出的(de)(de)(de)未(wei)標記數(shu)據(ju)(ju)來進(jin)(jin)行模(mo)(mo)型(xing)(xing) 融(rong)合(he)，與 FedMD 對(dui)比(bi)(bi)，該(gai)方案進(jin)(jin)一(yi)步(bu)提高模(mo)(mo)型(xing)(xing)訓練(lian)速度(du)，并(bing)降(jiang)低(di)了通(tong)信(xin)輪數(shu)和(he)數(shu)據(ju)(ju)隱私泄露(lu)風險(xian)。知(zhi)(zhi)識(shi)蒸餾(liu)能(neng)夠(gou)具(ju)有降(jiang)低(di)通(tong)信(xin)開銷、提高模(mo)(mo)型(xing)(xing)魯棒性(xing)的(de)(de)(de)特(te)點(dian)(dian)，在(zai)(zai)(zai)深度(du)學(xue)(xue)(xue)習(xi)(xi)領域已經成(cheng)為(wei)一(yi)個(ge)研究熱點(dian)(dian)。當其(qi)與聯(lian)(lian)邦(bang)學(xue)(xue)(xue)習(xi)(xi)技術融(rong)合(he)時，需(xu)要(yao)考慮場景(jing)的(de)(de)(de) 分(fen)布式等(deng)(deng)特(te)點(dian)(dian)，包括(kuo)針(zhen)(zhen)對(dui)投毒攻(gong)擊(ji)(ji)(ji)等(deng)(deng)對(dui)抗性(xing)攻(gong)擊(ji)(ji)(ji)的(de)(de)(de) 防(fang)御(yu)效果(guo)研究，目前(qian)仍存在(zai)(zai)(zai)一(yi)些空(kong)白。 **4.1.6 剪枝(zhi) **

剪(jian)(jian)(jian)(jian)枝(zhi)（Pruning）技(ji)術也是一(yi)(yi)種(zhong)(zhong)模(mo)(mo)(mo)(mo)(mo)型(xing)(xing)壓縮技(ji)術，可以(yi)在(zai)用戶(hu)的(de)(de)(de)(de)計算能(neng)力和(he)(he)通信帶寬相(xiang)對(dui)較(jiao)低的(de)(de)(de)(de)情況下(xia)，將(jiang)聯(lian)邦學(xue)習(xi)模(mo)(mo)(mo)(mo)(mo)型(xing)(xing)的(de)(de)(de)(de)大小(xiao)進(jin)行修剪(jian)(jian)(jian)(jian)，降低模(mo)(mo)(mo)(mo)(mo)型(xing)(xing) 復(fu)雜度和(he)(he)提高精度。此(ci)(ci)(ci)外，在(zai)聯(lian)邦學(xue)習(xi)中(zhong)受到投毒攻(gong)擊(ji)后的(de)(de)(de)(de)模(mo)(mo)(mo)(mo)(mo)型(xing)(xing)會產生異(yi)常(chang)的(de)(de)(de)(de)神經元，而應用剪(jian)(jian)(jian)(jian)枝(zhi)技(ji)術可以(yi)刪除這部分異(yi)常(chang)神經元用以(yi)凈化整個模(mo)(mo)(mo)(mo)(mo)型(xing)(xing)。 2015 年(nian)，Han 等[128]首次提出(chu)了(le)一(yi)(yi)種(zhong)(zhong)啟(qi)發式和(he)(he) 迭(die)(die)代(dai)權(quan)重剪(jian)(jian)(jian)(jian)枝(zhi)方(fang)(fang)法(fa)去(qu)除神經網絡(luo)冗余連接，而不(bu)會造成(cheng)準確性損失(shi)。2018 年(nian)，文獻[129]提出(chu)一(yi)(yi)種(zhong)(zhong)新剪(jian)(jian)(jian)(jian) 枝(zhi)技(ji)術，通過(guo)(guo)對(dui)攻(gong)擊(ji)者放(fang)回的(de)(de)(de)(de)模(mo)(mo)(mo)(mo)(mo)型(xing)(xing)進(jin)行修剪(jian)(jian)(jian)(jian)，在(zai)修剪(jian)(jian)(jian)(jian)完成(cheng)后微(wei)調神經元上的(de)(de)(de)(de)權(quan)重，以(yi)便(bian)掌握后門控制的(de)(de)(de)(de)權(quan)重，最終能(neng)夠抵抗在(zai)訓練集上的(de)(de)(de)(de)后門投毒攻(gong)擊(ji) 和(he)(he)通信瓶頸攻(gong)擊(ji)。最近的(de)(de)(de)(de)一(yi)(yi)些研(yan)究成(cheng)果[130-132]廣泛(fan) 應用剪(jian)(jian)(jian)(jian)枝(zhi)技(ji)術來提升聯(lian)邦學(xue)習(xi)系統的(de)(de)(de)(de)魯(lu)棒性。例如，Jiang 等[130]提出(chu)一(yi)(yi)種(zhong)(zhong)在(zai)聯(lian)邦學(xue)習(xi)環境中(zhong)具有自適(shi)應和(he)(he)分布式參數修剪(jian)(jian)(jian)(jian)的(de)(de)(de)(de) PruneFL 方(fang)(fang)法(fa)，通過(guo)(guo)調整模(mo)(mo)(mo)(mo)(mo)型(xing)(xing)大小(xiao)顯著減少(shao)訓練時間，減少(shao)通信和(he)(he)計算開銷，同時保持與原始模(mo)(mo)(mo)(mo)(mo)型(xing)(xing)相(xiang)似的(de)(de)(de)(de)精度。作為模(mo)(mo)(mo)(mo)(mo)型(xing)(xing)壓縮技(ji)術之一(yi)(yi)，剪(jian)(jian)(jian)(jian)枝(zhi)可以(yi)提升模(mo)(mo)(mo)(mo)(mo)型(xing)(xing)的(de)(de)(de)(de) 泛(fan)化能(neng)力，避免(mian)過(guo)(guo)擬合(he)現象。然而，不(bu)規則(ze)的(de)(de)(de)(de)剪(jian)(jian)(jian)(jian)枝(zhi) 可能(neng)導(dao)致模(mo)(mo)(mo)(mo)(mo)型(xing)(xing)收斂需要更多(duo)的(de)(de)(de)(de)迭(die)(die)代(dai)才能(neng)完成(cheng)，或導(dao) 致系統參數偏差，這在(zai)特定聯(lian)邦學(xue)習(xi)場(chang)景(jing)下(xia)會消耗額外的(de)(de)(de)(de)資源。因此(ci)(ci)(ci)，合(he)適(shi)的(de)(de)(de)(de)剪(jian)(jian)(jian)(jian)枝(zhi)應從問題本身出(chu)發，保證不(bu)丟(diu)失(shi)正確的(de)(de)(de)(de)結果，并考(kao)慮(lv)整體效(xiao)果設定一(yi)(yi)個合(he)適(shi)的(de)(de)(de)(de)閾值，盡可能(neng)的(de)(de)(de)(de)剪(jian)(jian)(jian)(jian)去(qu)一(yi)(yi)些不(bu)必(bi)要的(de)(de)(de)(de)枝(zhi)條。在(zai) 此(ci)(ci)(ci)基礎上，還應該減少(shao)搜索的(de)(de)(de)(de)次數以(yi)提高剪(jian)(jian)(jian)(jian)枝(zhi)效(xiao) 率，以(yi)上這些因素(su)都是剪(jian)(jian)(jian)(jian)枝(zhi)研(yan)究考(kao)慮(lv)的(de)(de)(de)(de)優化思路。 **4.2 聯(lian)邦學(xue)習(xi)隱(yin)私性增(zeng)強(qiang)技(ji)術 **

為了應對聯邦學習中的隱私威脅，在聯邦學習中引入密碼學相關技術是目前主流的隱私保護研究方向，本節對這些方案進行介紹。 4.2.1 基于同態加密的隱私性增強

同態加密（Homomorphic Encryption，HE）是一種無需訪問數據本身即可對數據進行處理的概率加密技術[185]，即對經過同態加密的數據進行運算后再解密得到的結果與直接對明文進行運算得到的結果一致。若同態加密算法支持對密文進行任意形式或任意次數的計算，則稱之為全同態加密（Fully Homomorphic Encryption，FHE）；若僅支持加法或乘法其中一種計算，則稱之為半同態加密（Partial Homomorphic Encryption，PHE）。其中 PHE 又可以分為加法同態加密（Additively Homomorphic Encryption，AHE）和乘法同態加密（Multiplicatively Homomorphic Encryption，MHE）[186]。本節按照基于半同態加密和全同態加密兩條隱私性增強路線，對這些方案進行具體分析。

**4.2.2 基于安全多方(fang)計算(suan)的隱私(si)性增強 **

安全多方計算 (Secure Multi-Party Computation，SMPC）指無可信第三方參與下，多個參與方之間安全地計算一個模型或函數問題 [192-193]。不同于同態加密模型，SMPC 具備嚴格的安全定義和獨到的安全優勢，能為聯邦學習設計個性化的安全多方計算協議，為中間參數提供計算安全性，有效提升模型參數或梯度向量的隱私性。目前，已有許多基于 SMPC 的聯邦學習隱私性增強相關工作，按采用的 SMPC 種類不同，可分為基于加法秘密分享的隱私性增強、基于 Shamir 秘密分享的隱私性增強和多種技術組合的隱私性增強。

**4.2.3 基于差(cha)分隱私的隱私性(xing)增強(qiang) **

差(cha)分(fen)隱私(si)(si)（Differential privacy，DP）旨在(zai)傳(chuan)輸的(de)(de)(de)梯度(du)信息中加(jia)入隨機(ji)噪聲，將其查詢(xun)操(cao)作(zuo)的(de)(de)(de)實(shi)際結(jie)果隱藏起來或(huo)模(mo)糊化直(zhi)至(zhi)無(wu)法區(qu)分(fen)，從(cong)而實(shi)現(xian)對隱私(si)(si)數(shu)據的(de)(de)(de)保(bao)(bao)護。差(cha)分(fen)隱私(si)(si)一般是用來促(cu)進敏(min)感數(shu) 據上的(de)(de)(de)安全分(fen)析，使敵手無(wu)法在(zai)輸出結(jie)果中識別(bie)個體之(zhi)間(jian)的(de)(de)(de)敏(min)感性(xing)。通常，差(cha)分(fen)隱私(si)(si)可用于(yu)(yu)防御模(mo)型提取攻(gong)擊(ji)、成員推理攻(gong)擊(ji)、基于(yu)(yu) GAN 攻(gong)擊(ji)和竊(qie)聽等(deng)。因此，基于(yu)(yu)差(cha)分(fen)隱私(si)(si)的(de)(de)(de)聯(lian)邦學習模(mo)型可作(zuo)為保(bao)(bao) 護本地訓練數(shu)據私(si)(si)密(mi)性(xing)、梯度(du)信息機(ji)密(mi)性(xing)和衡量隱私(si)(si)損失閾值的(de)(de)(de)有(you)效(xiao)解決方(fang)案[169-172]。 **4.2.4 基于(yu)(yu)區(qu)塊鏈的(de)(de)(de)隱私(si)(si)性(xing)增強 **

以上提(ti)到的(de)(de)同態加密(mi)(mi)、安全(quan)多(duo)方計(ji)算和(he)差分(fen)隱私(si)等(deng)密(mi)(mi)碼技術能(neng)夠(gou)實現較好的(de)(de)隱私(si)保(bao)(bao)護(hu)，但(dan)這些技術大都依賴中心化參數(shu)(shu)服(fu)務(wu)器發送的(de)(de)模(mo)(mo)型(xing)參數(shu)(shu)，即無法(fa)保(bao)(bao)證(zheng)全(quan)局(ju)模(mo)(mo)型(xing)的(de)(de)可(ke)信度(du)，且多(duo)數(shu)(shu)用戶之間存(cun)在不信任等(deng)問題(ti)[107-108]。區(qu)塊(kuai)鏈作(zuo)為一種(zhong)以密(mi)(mi)碼學、共識(shi)算法(fa)和(he)分(fen)布式存(cun)儲等(deng)技術相結合的(de)(de)去中心化存(cun)儲架構(gou)，其特有的(de)(de)數(shu)(shu)據(ju)結構(gou)優勢結合密(mi)(mi)碼技術可(ke) 以增強聯邦學習(xi)的(de)(de)完整性和(he)機密(mi)(mi)性。以下梳理了(le)基于區(qu)塊(kuai)鏈的(de)(de)聯邦學習(xi)隱私(si)保(bao)(bao)護(hu)的(de)(de)研究現狀(zhuang)。 **4.2.5 其他(ta)隱私(si)增強技術 **

此外，還有其他一些隱私性增強技術。針對聯邦學習中梯度會泄露隱私的問題，梯度裁剪也可以一定程度上避免這種信息泄露[205]，可信執行環境（Trusted Execution Environment，TEE）[179]可以通過硬件手段提供一個安全區域來執行模型訓練操作以保護數據完整性和隱私性，VerifyNet[28]提供雙重屏蔽協議來保證用戶局部梯度的機密性，混合防御[180]融合多個防御技術防范服務器與惡意用戶勾結問題，模型水印技術[206]通過將水印嵌入模型參數中用來在遭受模型竊取攻擊之后進行舉證和維權，及 Anti-GAN 方法[181]通過使用 GAN 來生成假的訓練數據來保證私密性。

付費5元查看完整內容

聯邦學習 · 麻省理工學院 (MIT) · 博士論文 ·

2022 年 9 月 24 日

[付費5元查看完整(zheng)內(nei)容]【MIT博士論(lun)文(wen)】聯邦學習實用方法，143頁pdf

專知會員服務

專知，提供專業可信的知識分發服務，讓認知協作更快更好！

機(ji)器學(xue)習模(mo)型(xing)(xing)受益于(yu)龐大而(er)(er)(er)多(duo)樣(yang)的(de)(de)(de)訓(xun)(xun)練數(shu)據集。然而(er)(er)(er)，單個(ge)組(zu)織很難(nan)收集足夠多(duo)樣(yang)化的(de)(de)(de)數(shu)據。此外(wai)，數(shu)據的(de)(de)(de)敏感性(xing)和(he)政府(fu)法規(如(ru)GDPR、HIPPA和(he)CCPA)限制了(le)組(zu)織與其他實體共享(xiang)數(shu)據的(de)(de)(de)方式(shi)。這(zhe)(zhe)迫使擁有(you)敏感數(shu)據集的(de)(de)(de)組(zu)織開(kai)發(fa)只在(zai)局部(bu)最(zui)優的(de)(de)(de)模(mo)型(xing)(xing)。聯邦學(xue)習(FL)通(tong)過實現在(zai)不共享(xiang)敏感數(shu)據的(de)(de)(de)情況下開(kai)發(fa)全局模(mo)型(xing)(xing)，促進了(le)魯棒的(de)(de)(de)機(ji)器學(xue)習。然而(er)(er)(er)，部(bu)署FL系統(tong)有(you)兩個(ge)廣泛的(de)(de)(de)挑戰(zhan)(zhan):隱私(si)挑戰(zhan)(zhan)和(he)訓(xun)(xun)練/性(xing)能相(xiang)關的(de)(de)(de)挑戰(zhan)(zhan)。隱私(si)方面的(de)(de)(de)挑戰(zhan)(zhan)涉及(ji)到暴露本地客(ke)戶(hu)數(shu)據敏感信息(xi)的(de)(de)(de)攻擊(ji)。與訓(xun)(xun)練/性(xing)能相(xiang)關的(de)(de)(de)挑戰(zhan)(zhan)包括高溝通(tong)成本，跨(kua)客(ke)戶(hu)的(de)(de)(de)數(shu)據異構，以及(ji)缺乏個(ge)性(xing)化技術(shu)。為(wei)了(le)使FL實用(yong)(yong)、可擴(kuo)展和(he)有(you)用(yong)(yong)，必須(xu)解決(jue)所有(you)這(zhe)(zhe)些(xie)問題。在(zai)這(zhe)(zhe)篇(pian)論(lun)文中，我(wo)討(tao)論(lun)了(le)我(wo)為(wei)解決(jue)這(zhe)(zhe)些(xie)挑戰(zhan)(zhan)而(er)(er)(er)設計的(de)(de)(de)技術(shu)，并描述了(le)我(wo)為(wei)緩解這(zhe)(zhe)些(xie)挑戰(zhan)(zhan)而(er)(er)(er)開(kai)發(fa)的(de)(de)(de)兩個(ge)系統(tong)——PrivacyFL(用(yong)(yong)于(yu)FL的(de)(de)(de)隱私(si)保護模(mo)擬(ni)器)和(he)DynamoFL(用(yong)(yong)于(yu)FL的(de)(de)(de)易于(yu)使用(yong)(yong)的(de)(de)(de)生(sheng)產級系統(tong))。

付費5元查看完整內容

聯邦學習 · 知識蒸餾 · ICML 2021 ·

2021 年 7 月 9 日

[付費5元查看完整內(nei)容]【ICML2021】面向異構聯(lian)邦學習(xi)的無數據知識蒸餾

專知會員服務

專知，提供專業可信的知識分發服務，讓認知協作更快更好！

聯(lian)邦學(xue)習(xi)(federal Learning, FL)是(shi)一(yi)種(zhong)去(qu)中心化(hua)的(de)(de)機器(qi)學(xue)習(xi)范式，其(qi)中全局(ju)服(fu)務器(qi)迭代地(di)聚合本(ben)地(di)用(yong)(yong)戶(hu)的(de)(de)模型(xing)參數(shu)(shu)，而不(bu)(bu)訪問他們(men)的(de)(de)數(shu)(shu)據(ju)(ju)。用(yong)(yong)戶(hu)異質(zhi)性(xing)給FL帶來(lai)(lai)(lai)了重大(da)挑(tiao)戰，這(zhe)(zhe)可能(neng)(neng)導致漂(piao)移的(de)(de)全局(ju)模型(xing)收斂緩慢。為(wei)了解決(jue)這(zhe)(zhe)個問題，最近出現(xian)了知(zhi)識(shi)(shi)蒸(zheng)餾(Knowledge Distillation)，它使(shi)用(yong)(yong)來(lai)(lai)(lai)自異構用(yong)(yong)戶(hu)的(de)(de)聚合知(zhi)識(shi)(shi)來(lai)(lai)(lai)精煉(lian)服(fu)務器(qi)模型(xing)，而不(bu)(bu)是(shi)直接聚合他們(men)的(de)(de)模型(xing)參數(shu)(shu)。然而，這(zhe)(zhe)種(zhong)方(fang)法依賴于代理數(shu)(shu)據(ju)(ju)集，因此(ci)除(chu)非(fei)滿足這(zhe)(zhe)些前(qian)提條件(jian)，否則是(shi)不(bu)(bu)切實際的(de)(de)。此(ci)外，沒有充分利用(yong)(yong)集成知(zhi)識(shi)(shi)來(lai)(lai)(lai)指導局(ju)部模型(xing)學(xue)習(xi)，這(zhe)(zhe)可能(neng)(neng)會影響聚合模型(xing)的(de)(de)質(zhi)量。在這(zhe)(zhe)項工作中，我們(men)提出了一(yi)種(zhong)無數(shu)(shu)據(ju)(ju)的(de)(de)知(zhi)識(shi)(shi)蒸(zheng)餾方(fang)法來(lai)(lai)(lai)解決(jue)異構的(de)(de)FL，其(qi)中服(fu)務器(qi)學(xue)習(xi)一(yi)個輕量級的(de)(de)生成器(qi)以無數(shu)(shu)據(ju)(ju)的(de)(de)方(fang)式集成用(yong)(yong)戶(hu)信(xin)息(xi)，然后將這(zhe)(zhe)些信(xin)息(xi)廣(guang)播給用(yong)(yong)戶(hu)，使(shi)用(yong)(yong)學(xue)習(xi)到的(de)(de)知(zhi)識(shi)(shi)作為(wei)歸(gui)納偏差(cha)來(lai)(lai)(lai)調節本(ben)地(di)訓(xun)練。理論支持(chi)的(de)(de)實證(zheng)研究表(biao)明(ming)，與現(xian)狀相(xiang)比(bi)，我們(men)的(de)(de)方(fang)法使(shi)用(yong)(yong)更(geng)少的(de)(de)通信(xin)輪次，使(shi)FL具(ju)有更(geng)好的(de)(de)泛化(hua)性(xing)能(neng)(neng)。

//www.zhuanzhi.ai/paper/662ba057e6661b256a53516378ffbf30

付費5元查看完整內容

聯邦學習 ·

2020 年 11 月 16 日

[付費5元查看完整內容]聯邦學習安全與隱私保護綜述

專知會員服務

專知，提供專業可信的知識分發服務，讓認知協作更快更好！

聯(lian)邦(bang)學習(xi)(xi)(xi)是一種(zhong)新型的(de)分布(bu)式(shi)學習(xi)(xi)(xi)框架，它允許在(zai)多(duo)個參(can)與者之間(jian)共享訓練數(shu)據(ju)而不會(hui)泄露其(qi)(qi)數(shu)據(ju)隱私(si)。但是這種(zhong)新穎的(de)學習(xi)(xi)(xi)機制仍然可能受到來自各種(zhong)攻擊(ji)者的(de)前所(suo)未有(you)的(de)安(an)(an)(an)全(quan)和隱私(si)威(wei)脅(xie)。本文(wen)主(zhu)要(yao)探討(tao)聯(lian)邦(bang)學習(xi)(xi)(xi)在(zai)安(an)(an)(an)全(quan)和隱私(si)方面(mian)面(mian)臨(lin)的(de)挑戰。首先，本文(wen)介紹了(le)聯(lian)邦(bang)學習(xi)(xi)(xi)的(de)基本概念和威(wei)脅(xie)模型，有(you)助于理解(jie)其(qi)(qi)面(mian)臨(lin)的(de)攻擊(ji)。其(qi)(qi)次，本文(wen)總結了(le)由(you)內部(bu)惡意(yi)實體發起的(de)3種(zhong)攻擊(ji)類型，同時分析(xi)了(le)聯(lian)邦(bang)學習(xi)(xi)(xi)體系結構的(de)安(an)(an)(an)全(quan)漏洞和隱私(si)漏洞。然后從(cong)差分隱私(si)、同態密碼系統和安(an)(an)(an)全(quan)多(duo)方聚合等方面(mian)研究了(le)目(mu)前最(zui)先進的(de)防御方案。最(zui)后通(tong)過對這些解(jie)決方案的(de)總結和比(bi)較，進一步(bu)討(tao)論了(le)該領域未來的(de)發展(zhan)方向(xiang)。

//jnuaa.nuaa.edu.cn/ch/reader/create_pdf.aspx?file_no=202005001&flag=1&journal_id=njhkht&year_id=2020

付費5元查看完整內容

聯邦學習 · 隱私保護 ·

2020 年 8 月 7 日

[付費5元查看完整內容]聯邦學習安(an)全與隱(yin)私保護(hu)研究綜(zong)述(shu)

專知會員服務

專知，提供專業可信的知識分發服務，讓認知協作更快更好！

數據孤島以(yi)及模(mo)型訓練(lian)和應(ying)用過(guo)程中的(de)隱私泄(xie)露是當下阻礙人工智能技(ji)術發展的(de)主要難題。聯(lian)邦學習作為一(yi)種高(gao)效的(de)隱私保護手段應(ying)運而(er)生。聯(lian)邦學習是一(yi)種分(fen)(fen)布式的(de)機器學習方(fang)法，以(yi)在不直接獲取數據源(yuan)的(de)基(ji)礎上，通過(guo)參與方(fang)的(de)本地訓練(lian)與參數傳遞，訓練(lian)出一(yi)個無損的(de)學習模(mo)型。但聯(lian)邦學習中也存在較多的(de)安全(quan)隱患。本文著重(zhong)分(fen)(fen)析了聯(lian)邦學習中的(de)投毒攻(gong)擊、對抗攻(gong)擊以(yi)及隱私泄(xie)露三(san)種主要的(de)安全(quan)威(wei)脅，針對性地總結(jie)了最新的(de)防御措施，并提出了相(xiang)應(ying)的(de)解(jie)決(jue)思路。

付費5元查看完整內容