联邦学习：安全与隐私 —— 投毒攻击、推断威胁与防御架构的深度剖析

字数

7937 字

阅读时间

32 分钟

1. 引言：分布式智能的双刃剑

在人工智能与大数据技术飞速发展的当下，数据孤岛问题与隐私保护法规（如GDPR、CCPA）之间的矛盾日益凸显。联邦学习（Federated Learning, FL）作为一种“数据不动模型动”的新兴分布式机器学习范式，应运而生并迅速成为解决这一矛盾的关键技术。其核心愿景是通过在本地设备上训练模型并仅传输模型更新（如梯度或权重），在不泄露原始数据的前提下实现多方协作学习。然而，随着联邦学习在金融、医疗、物联网等关键基础设施中的落地应用，其安全性与隐私性问题逐渐暴露，形成了一个复杂且充满对抗性的新战场。

本报告基于《联邦学习：安全与隐私》这一领域核心知识体系，结合最新的学术研究进展，旨在为网络安全专家、系统架构师及算法研究员提供一份详尽的风险评估与防御指南。我们将深入剖析联邦学习系统面临的两大核心威胁：破坏模型完整性的投毒攻击（Poisoning Attacks）与窃取数据隐私的推断攻击（Inference Attacks）。这并非简单的攻防罗列，而是一场关于数学原理、系统架构信任假设以及算法博弈的深度探讨。

传统的集中式机器学习假设训练数据存储在受控的数据中心，且训练过程完全可信。联邦学习打破了这一假设，将训练过程下放至数以万计的边缘设备。这一架构变革虽然规避了数据集中存储的隐私风险，却同时也极大地扩展了攻击面：每一个参与训练的客户端（Client）都可能成为潜在的攻击者，每一次模型聚合（Aggregation）都可能成为隐私泄露的窗口。正如我们将要分析的，无论是通过数学优化手段精心构造的恶意梯度，还是利用生成对抗网络（GAN）反向还原的私密图像，都证明了联邦学习并非天然安全。

本报告将遵循“威胁建模—攻击复现—防御演进—体系融合”的逻辑脉络，首先从攻击者的视角出发，解构SINE、LIE、DLG等前沿攻击手段的数学机理；随后从防御者的视角，评估Krum、FoolsGold、FLTC等统计防御机制的有效性与局限性，并探讨安全聚合（Secure Aggregation）、零知识证明（ZKP）及可信执行环境（TEE）等高级防御技术的应用前景；最后，我们将揭示隐私、鲁棒性与公平性之间存在的“不可能三角”，并展望未来混合防御架构的发展方向。

---

2. 投毒攻击：对模型完整性的深度破坏

投毒攻击是联邦学习面临的最直接、破坏性最强的威胁。在这一威胁模型中，攻击者控制一个或多个恶意客户端（Byzantine Clients），通过上传经过篡改的模型更新，意图破坏全局模型的收敛性（无差别攻击）或在模型中植入特定的后门（定向攻击）。由于服务器无法直接访问客户端的本地数据，验证更新的真实性变得异常困难。

2.1 数据投毒（Data Poisoning）：源头的污染

数据投毒发生在模型训练的最前端，即客户端的本地数据阶段。攻击者并不直接修改模型参数，而是通过污染训练数据集，利用机器学习算法自身的拟合能力将错误知识注入全局模型。

2.1.1 标签翻转与噪声注入

最基础的数据投毒形式是标签翻转（Label Flipping）。攻击者将特定类别的样本标签进行篡改，例如将所有的“猫”标记为“狗” 1。在传统的集中式训练中，少量的标签噪声可能被强大的模型平滑掉，但在联邦学习的非独立同分布（Non-IID）数据环境下，如果某个客户端拥有某类数据的独占性（例如某家医院独有的罕见病数据），该客户端的标签翻转可能导致全局模型在特定领域完全失效。然而，简单的随机噪声注入往往容易被基于统计的防御机制识别，因为其产生的梯度更新在方向上通常与诚实客户端存在显著差异。

2.1.2 后门攻击（Backdoor Attacks）与分布式的演进

相比于粗暴的标签翻转，后门攻击（又称特洛伊木马攻击）更为隐蔽。攻击者在训练数据中嵌入一个特定的触发器（Trigger），如图片角落的黄色方块或一段特定的文本序列，并将这些样本的标签修改为攻击者预设的目标类别 2。

• FLARE攻击机制：最新的研究提出了FLARE（Federated Learning Attack with Robust Embeddings）机制，利用了深度学习模型训练过程中的“过拟合偏差”。研究发现，模型在训练初期倾向于学习简单的、显著的特征。FLARE攻击分为触发器检查、触发器插入和后门激活三个阶段。攻击者首先探测当前全局模型对不同触发器模式的敏感度，选择那些既能被模型快速学习又不易影响主任务准确率的模式。FLARE证明了攻击者无需极高的投毒率，只需精准地利用模型在尾部数据分布上的脆弱性，即可植入极难检测的后门 2。
• 分布式后门攻击（DBA）：为了规避服务器的异常检测，攻击者进一步发展出了分布式后门攻击（Distributed Backdoor Attack）。在DBA中，攻击者将一个完整的全局触发器（如一个“X”形状的图案）拆解为多个局部触发器（如“/”和“\”），并分别分配给不同的恶意客户端进行训练。每个恶意客户端只上传包含局部特征的更新，这些更新在统计上与正常更新差异较小，难以被单点检测机制发现。然而，当这些更新在服务器端聚合后，全局模型便学会了完整的触发器特征。这种“化整为零”的策略极大地提升了后门攻击的生存能力 3。

2.2 模型投毒（Model Poisoning）：梯度的武器化

模型投毒攻击直接针对联邦学习的核心传输载体——模型更新（Model Updates）。攻击者利用对优化算法和聚合规则的理解，通过数学手段构造出具有极大破坏力且具备高度隐蔽性的恶意更新。

2.2.1 SINE攻击：利用余弦相似度的几何盲区

SINE (Similarity is Not Enough) 攻击是针对当前主流防御机制（如FoolsGold、FLTrust）的降维打击 4。许多防御机制基于“余弦相似度”来判断更新的质量：它们假设恶意更新的方向会显著偏离良性更新的共识方向。

• 攻击原理：SINE攻击揭示了高维空间几何的一个致命弱点——即使两个向量的夹角很小（余弦相似度高），它们在特定维度上的差异仍可能导致优化方向的背离。攻击者首先通过操控一组“受损的领导者”（Compromised Leader）节点，收集并平均良性更新，从而估算出真实的梯度方向。随后，攻击者通过求解一个约束优化问题，构造出一个恶意向量 $nablam$。这个向量满足两个条件：第一，它与良性梯度的余弦相似度高于防御机制的阈值（即看起来是“好人”）；第二，它在关键的优化维度上施加了反向或极端的扰动。
• 破坏力：SINE攻击通过这种“伪装”策略，能够持续地将全局模型推向鞍点或局部极差的区域。实验数据显示，SINE攻击能使模型的收敛性彻底失效，且相比于静态的投毒攻击，其破坏影响力提升了20%-30% 5。这证明了仅依赖方向一致性（Similarity）作为信任度量是远远不够的。

2.2.2 LIE攻击：统计学边界的博弈

LIE (Little Is Enough) 攻击则挑战了基于统计离群值检测的防御逻辑（如Krum、Trimmed Mean） 6。

• 攻击原理：传统的鲁棒聚合算法通常会剔除那些在欧氏距离上远离平均值或中位数的更新（即离群点）。LIE攻击者利用标准差 $sigma$ 作为掩护。攻击者计算恶意节点所观察到的良性更新的平均值 $mu$ 和标准差 $sigma$。然后，攻击者构造一个恶意更新 $$\begin{gathered} w\mathrm{\_}mal\text{=} \\ mu\text{+}z \\ cdot \\ sigma \end{gathered}$$，其中系数 $z$ 被精心计算以确保该更新刚好落在防御算法的接受区间内（通常是正态分布的置信区间边缘）。
• 隐蔽性与累积效应：LIE的核心哲学是“积少成多”。攻击者并不试图在单一轮次中造成巨大的破坏，而是通过在每一轮中注入微小的、但在统计容忍范围内的偏差。随着训练轮次的累积，这些微小的偏差会逐渐引导全局模型偏离最优解，或者植入后门。这种攻击证明了在联邦学习中，恶意行为不一定表现为离群行为，它可以伪装成“正常的噪声” 8。

2.2.3 优化导向的攻击：Min-Max与Min-Sum

这类攻击将投毒形式化为一个数学博弈问题。

• Min-Max攻击：攻击者的目标是寻找一个恶意更新，使得它在被聚合算法接受的前提下（Min距离），最大化全局模型与最优模型之间的偏差（Max损失）。针对Krum算法（选择与其他更新距离之和最小的更新作为中心），Min-Max攻击者会构造一个能够成为所有更新“几何中心”的恶意向量，从而欺骗Krum算法选中该恶意更新作为聚合结果 9。
• Min-Sum攻击：类似的，攻击者试图最大化聚合后的误差总和。这类攻击通常需要攻击者对服务器使用的防御规则有完全的知晓（白盒攻击），展现了在完全信息博弈下防御机制的脆弱性 10。

2.2.4 公平性攻击（Fairness Attacks）：隐形的伦理破坏

随着AI伦理的日益受重视，一种新型的投毒攻击——公平性攻击开始出现。

• 攻击目标：攻击者不再追求降低模型的整体准确率（这容易引发监控警报），而是旨在破坏模型的公平性。例如，攻击者希望模型在特定种族、性别或年龄群体上的表现显著低于其他群体，从而制造算法歧视 11。
• 实施手段：攻击者通过求解“公平性约束优化”的逆问题，在本地训练中故意最大化敏感属性（如性别）与预测误差之间的协方差。由于全局准确率未受显著影响，这种攻击极难被基于效用（Utility）的监控系统发现，但其造成的社会影响和法律风险却是巨大的 11。

---

3. 推断攻击：数据隐私的数学逆向

如果说投毒攻击是“输入”层面的威胁，那么推断攻击则是“输出”层面的噩梦。尽管联邦学习宣称“不传输原始数据”，但数学原理告诉我们，梯度是损失函数对参数的导数，而损失函数又是数据的函数。因此，梯度本质上携带了数据的信息。

3.1 梯度反转与重构（Gradient Inversion）

深度梯度泄露（Deep Leakage from Gradients, DLG） 及其变体彻底打破了联邦学习的隐私幻象。

3.1.1 DLG算法原理

DLG攻击展示了仅凭共享的梯度 $nablaw$ 即可像素级地还原出原始训练图像 $x$ 12。

• 优化循环：攻击者（通常假设为诚实但好奇的服务器）首先随机初始化一个“虚拟输入” $x^{\prime }$ 和“虚拟标签” $y^{\prime }$。
• 梯度匹配：攻击者将这个虚拟数据输入当前的全局模型，计算出“虚拟梯度” $nabla{w}^{\prime }$。
• 最小化差异：攻击者定义一个损失函数，通常是真实梯度与虚拟梯度之间的欧氏距离 $$\begin{gathered} || \\ nablaw\text{-} \\ nabla{w}^{\prime }|{|}^2 \end{gathered}$$。通过对虚拟输入 $x^{\prime }$ 进行迭代优化（如使用L-BFGS算法），使得虚拟梯度不断逼近真实梯度。当两者差异极小时，虚拟输入 $x^{\prime }$ 便惊人地收敛为原始图像 $x$ 14。

3.1.2 DLG-FB：应对批量数据的挑战

早期的DLG在处理批量（Batch）数据时效果不佳，因为梯度的叠加掩盖了单个样本的信息。DLG-FB (Feedback Blending) 引入了反馈混合机制 15。它利用图像数据的空间相关性，通过将部分还原的图像特征混合反馈到优化过程中，有效地解决了批量梯度中的信息分离问题，使得攻击者能够从聚合的批量梯度中分离并还原出单张图像。

3.1.3 HCGLA：压缩也无法阻挡的泄露

为了提高通信效率，联邦学习常采用梯度压缩（如稀疏化、量化）。曾有观点认为这种有损压缩能天然防御重构攻击。然而，HCGLA (Highly Compressed Gradient Leakage Attack) 证明了这一侥幸心理的错误 14。

• 攻击机制：HCGLA 重新设计了优化目标，使其适应压缩后的梯度结构。更重要的是，它引入了生成式初始化（Init-Generation）和去噪模块。利用生成模型（GAN或Diffusion Model）作为先验知识，HCGLA能够“脑补”出因压缩而丢失的高频细节。实验表明，即使梯度被压缩到仅剩0.1%的信息量，HCGLA仍能还原出可识别的图像内容。

3.2 成员推断攻击（Membership Inference Attacks, MIA）

MIA的目标不是还原数据，而是确认某条特定记录（如某个病人的病历）是否被用于模型的训练 16。

• 过拟合泄露：模型往往对训练过的数据（成员）表现出比未见数据（非成员）更高的置信度或更低的损失。MIA攻击者通过监测这些统计指标的差异来进行二分类判别。
• FedMIA与全员合谋：传统的MIA仅分析目标客户端的更新。FedMIA 提出了一种“All-for-One”的策略，攻击者利用所有非目标客户端的更新来构建一个基准分布 18。通过对比目标客户端更新与基准分布的差异，攻击者能以极高的精度剥离出目标数据的影响。
• 仅标签（Label-Only）MIA：即使使用了安全聚合隐藏了梯度，攻击者只要能查询最终模型的预测结果，仍可实施MIA。通过在目标样本上添加对抗扰动并观察模型预测的鲁棒性（成员样本通常更鲁棒，或者其决策边界更复杂），攻击者依然可以推断出成员资格 19。

3.3 GAN反演攻击（GAN-Based Inference）

Hitaj攻击展示了生成对抗网络在联邦学习中的破坏力 20。

• 攻防倒置：攻击者将联邦学习的全局模型视为GAN中的“判别器”（Discriminator），而在本地训练一个“生成器”（Generator）。
• 学习分布：攻击者的目标是生成能欺骗全局模型的样本。如果全局模型在其他客户端的数据上训练过（例如识别某种特定的面部特征），它就会“记住”这些特征。攻击者的生成器通过不断尝试并接收全局模型的反馈（分类置信度），最终能生成出与其他客户端私有数据分布一致的合成样本。这意味着攻击者可以凭空“造”出受害者的典型数据样本，实现了特征级的隐私窃取 22。

---

4. 防御机制：筑起信任的堡垒

面对上述层出不穷的攻击手段，联邦学习的防御体系也在不断演进，主要分为统计学防御、密码学防御和系统级防御三大类。

4.1 鲁棒聚合（Robust Aggregation）：统计学的筛选

这类防御机制试图在服务器端通过统计分析剔除恶意的模型更新。

• Krum与Multi-Krum：基于距离的防御。Krum计算每个更新与其他更新的欧氏距离之和，并选择距离和最小的更新作为“中心” 6。其假设是良性更新会聚集成簇，而恶意更新是离群点。然而，如前所述，Krum极易被Min-Max攻击通过“抢占中心位”的方式欺骗，且在非IID数据下会错误剔除包含独特知识的良性更新。
• Trimmed Mean（截断平均）：对每个参数维度，剔除最大和最小的$k$个值，然后求平均。这种方法对随机噪声有效，但无法防御SINE这类在统计分布内但在几何方向上恶意的攻击 6。
• FoolsGold：基于相似度的防御。FoolsGold通过分析更新历史，识别出那些彼此之间过于相似（余弦相似度极高）的客户端，判定其为Sybil女巫攻击者（即同一攻击者控制的多个傀儡），并降低其权重 23。但这无法防御单点攻击或彼此差异化巨大的合谋攻击。
• FLTrust：基于信任根的防御。FLTrust要求服务器拥有一个经过验证的、干净的小型数据集（Root Dataset）。服务器利用该数据集计算一个“黄金标准”更新 $nablaw\mathrm{\_}server$。每个客户端更新的权重取决于它与 $nablaw\mathrm{\_}server$ 的相似度（ReLU截断的余弦相似度） 24。
  • 优势：由于有基准参考，自适应攻击很难在不了解服务器私有数据的情况下伪造出高相似度且恶意的更新。
  • 劣势：这违反了联邦学习“服务器不持有数据”的纯粹性假设，且在实际场景中获取代表性强的Root Dataset极具挑战。

4.1.1 FLTC：对抗SINE的精准手术

为了应对SINE攻击利用余弦相似度漏洞的问题，FLTC (FL Trusted Coordinates) 被提出 4。

• 坐标级信任：FLTC不将模型更新视为一个整体向量，而是深入到每一个坐标（维度）。它计算每个维度上的更新方向与信任基准的一致性。
• 精准修剪：如果某个客户端更新在大部分维度上正常，但在关键维度上出现反向或异常幅度的跳变，FLTC会仅“修剪”掉这些可疑的坐标值，保留其余有用的信息。这种微观层面的防御使得攻击者难以通过整体伪装来掩盖局部的恶意操作，实验显示其能将SINE攻击的影响限制在2%-4%以内 4。

4.2 密码学防御：数学上的绝对隐私

为了彻底解决推断攻击，安全聚合（Secure Aggregation, SecAgg） 成为了业界的黄金标准。

• SecAgg协议：由Google提出，利用多方安全计算（MPC）技术。客户端在上传更新前，会加上一个随机掩码（Mask）。这些掩码经过精心设计，使得所有客户端的掩码在服务器求和时会自动相互抵消，暴露出更新的总和，但服务器无法解析出任何单个客户端的更新 26。
• “致盲”困境：SecAgg虽然完美防御了DLG和MIA，但也给服务器带上了眼罩。由于服务器只能看到聚合后的结果，无法看到单个更新，因此Krum、FoolsGold、FLTC等基于异常检测的防御机制统统失效。一个恶意客户端只需上传一个数值巨大的更新，就能在掩码的掩护下摧毁整个全局模型，而服务器甚至无法查出是谁干的 28。

4.3 高级系统防御：ZKP与TEE的介入

为了打破“隐私”与“鲁棒性”的僵局，引入了可验证计算技术。

4.3.1 零知识证明（Zero-Knowledge Proofs, ZKP）

ZORRO 等方案引入了ZKP 29。

• 机制：客户端在提交加密更新的同时，必须提交一个零知识证明 $pi$。这个证明向服务器数学上保证：“我的更新 $Deltaw$ 满足L2范数小于阈值 $C$，且是基于特定的代码逻辑生成的”，但并不透露 $Deltaw$ 的具体内容。
• 效果：这使得服务器可以在不解密数据的情况下验证数据的合规性，从而防止异常值投毒。

4.3.2 可信执行环境（Trusted Execution Environments, TEE）

Sentinel 和 OPSA (One-Pass Secure Aggregation) 利用硬件级的隔离环境（如Intel SGX） 31。

• Sentinel：利用远程认证（Remote Attestation）确保客户端运行的是未被篡改的官方训练代码，从源头上防止数据投毒或逻辑篡改。
• OPSA架构：在服务器端部署TEE。客户端将加密的更新发送到服务器的TEE中。在TEE的受保护内存区域内，数据被解密，并运行Krum或FLTC等鲁棒聚合算法，剔除恶意更新，然后将聚合结果加密输出。由于TEE对服务器管理员也是不可见的，因此既实现了对服务器的隐私保密，又实现了对客户端的鲁棒性检查，是当前解决安全与隐私冲突的最强架构之一。

4.4 抗生成防御（Anti-GAN）

针对Hitaj等GAN反演攻击，Anti-GAN 技术被提出 20。

• 视觉混淆：该技术在本地训练时引入一个防御性的GAN。它将私有数据投射到生成器的隐空间，并在训练过程中混合虚假样本与真实样本。通过精心设计的损失函数，使得生成的样本在视觉特征上对人类和攻击者不可分辨，但在分类特征上仍保留有效信息。这使得攻击者反演出的图像充斥着视觉噪声，无法还原敏感细节。

---

5. 战略综合：不可能三角与未来展望

深入分析表明，联邦学习系统的设计面临着一个根本性的隐私-鲁棒性-公平性“不可能三角” 33。

1. 隐私 vs. 鲁棒性：鲁棒性要求“看见”异常以剔除它，隐私要求“隐藏”一切。SecAgg保护了隐私但牺牲了鲁棒性；FLTrust提供了鲁棒性但牺牲了部分数据隔离原则。TEE和ZKP试图弥合这一裂痕，但带来了巨大的计算和通信开销。
2. 隐私 vs. 公平性：为了实现差分隐私（Differential Privacy, DP），系统必须向更新中添加噪声或进行截断（Clipping）。研究表明，这种操作对分布尾部的数据（通常对应少数群体或边缘案例）破坏最大。因此，隐私保护越强，模型对少数群体的公平性往往越差。
3. 鲁棒性 vs. 公平性：鲁棒聚合算法（如Trimmed Mean）旨在剔除偏离主流的更新。然而，在异构社会中，少数群体的真实数据更新往往在统计上表现为“离群点”。过度激进的防御策略可能会将少数群体的声音误判为投毒攻击并予以剔除，导致模型出现算法偏见。

结论

联邦学习的安全与隐私保护并非单一技术可以解决，而是一场多维度的系统工程。未来的联邦学习安全架构将必然走向纵深防御（Defense-in-Depth）：

• 端侧（Client Side）：利用TEE（如Sentinel）确保计算完整性，结合Anti-GAN技术防止特征泄露。
• 传输层（Network Layer）：全面采用结合ZKP的Secure Aggregation协议，在保护隐私的同时提供基本的范数约束验证。
• 云侧（Server Side）：在TEE飞地内运行FLTC或FLTrust等高级鲁棒聚合算法，作为最后一道防线，精准识别并剔除通过了前端检查的高级投毒攻击。

只有正视并平衡这三者之间的制约关系，通过密码学、统计学与硬件安全的深度融合，联邦学习才能真正从理论走向成熟，成为支撑未来数字社会的可信基石。

---

附录：主流防御机制对比表

防御机制	主要防御目标	核心原理	关键缺陷/局限性
Krum / Multi-Krum	离群值投毒	基于欧氏距离的聚类中心选择	易被LIE、Min-Max等自适应攻击欺骗；误删良性异构更新。
Trimmed Mean	离群值投毒	维度级的极值剔除	无法防御方向性攻击（如SINE）；影响非IID数据的收敛。
FoolsGold	Sybil女巫攻击	余弦相似度惩罚（针对合谋）	易被SINE攻击绕过；假设攻击者更新彼此高度相似。
FLTrust	通用投毒	基于服务器信任根（Root Dataset）的相似度加权	服务器需持有干净数据，违反FL零数据持有原则；难以获取代表性数据。
FLTC	SINE/自适应攻击	坐标级（Coordinate-level）信任与修剪	计算复杂度高；需精细调节信任阈值。
Secure Aggregation	推断攻击 (DLG/MIA)	掩码与多方计算	致盲服务器：导致无法使用基于统计的投毒检测，极易被恶意客户端破坏。
ZKP (ZORRO)	投毒攻击 (配合SecAgg)	零知识证明（验证属性而非内容）	客户端计算开销巨大；只能证明数学属性（如范数），难证数据真实性。
TEE (Sentinel/OPSA)	综合防御 (完整性+隐私)	硬件隔离环境	依赖硬件厂商信任（如Intel）；存在侧信道攻击风险。

Works cited

1. A Survey of Security Strategies in Federated Learning: Defending Models, Data, and Privacy, accessed December 5, 2025, https://www.mdpi.com/1999-5903/16/10/374
2. FLARE: A Backdoor Attack to Federated Learning with Refined Evasion - MDPI, accessed December 5, 2025, https://www.mdpi.com/2227-7390/12/23/3751
3. Adaptive Layered-Trust Robust Defense Mechanism for Personalized Federated Learning, accessed December 5, 2025, https://www.semanticscholar.org/paper/Adaptive-Layered-Trust-Robust-Defense-Mechanism-for-Wang-Xu/ae15ec56065e8794b604d8e500ffeb91f2103500
4. Sine: Similarity is Not Enough for Mitigating Local Model Poisoning Attacks in Federated Learning - IEEE Computer Society, accessed December 5, 2025, https://www.computer.org/csdl/journal/tq/2024/05/10398506/1TE95D8kUCI
5. Sine: Similarity is Not Enough for Mitigating Local Model Poisoning ..., accessed December 5, 2025, https://ieeexplore.ieee.org/document/10398506/
6. FedRDF: A Robust and Dynamic Aggregation Function Against Poisoning Attacks in Federated Learning - IEEE Computer Society, accessed December 5, 2025, https://www.computer.org/csdl/journal/ec/2025/01/10713851/20Xx4fPh8Q0
7. A Little Is Enough: Circumventing Defenses For Distributed Learning - NIPS papers, accessed December 5, 2025, http://papers.neurips.cc/paper/9069-a-little-is-enough-circumventing-defenses-for-distributed-learning.pdf
8. DMPA: Model Poisoning Attacks on Decentralized Federated Learning for Model Differences - arXiv, accessed December 5, 2025, https://arxiv.org/html/2502.04771v1
9. Comparison of different aggregation functions for min-max attack on FEMNIST dataset, accessed December 5, 2025, https://www.researchgate.net/figure/Comparison-of-different-aggregation-functions-for-min-max-attack-on-FEMNIST-dataset_fig3_384825948
10. A Meta-Reinforcement Learning-Based Poisoning Attack Framework Against Federated Learning - IEEE Xplore, accessed December 5, 2025, https://ieeexplore.ieee.org/iel8/6287639/10820123/10872904.pdf
11. Fairness-Constrained Optimization Attack in Federated Learning - ResearchGate, accessed December 5, 2025, https://www.researchgate.net/publication/396499190_Fairness-Constrained_Optimization_Attack_in_Federated_Learning
12. Gradient Leakage in Production Federated Learning - iQua Group, accessed December 5, 2025, https://iqua.ece.toronto.edu/research/gradient-leakage-in-federated-learning/
13. Recover User's Private Training Image Data by Gradient in Federated Learning - PMC, accessed December 5, 2025, https://pmc.ncbi.nlm.nih.gov/articles/PMC9573526/
14. Using Highly Compressed Gradients in Federated Learning for Data Reconstruction Attacks, accessed December 5, 2025, https://ieeexplore.ieee.org/document/10003066/
15. Federated Learning under Attack: Improving Gradient Inversion for Batch of Images - arXiv, accessed December 5, 2025, https://arxiv.org/html/2409.17767v1
16. Privacy Inference Attack and Defense in Centralized and Federated Learning: A Comprehensive Survey - IEEE Computer Society, accessed December 5, 2025, https://www.computer.org/csdl/journal/ai/2025/02/10429780/1UmXPdGxKRW
17. Comparative Analysis of Membership Inference Attacks in Federated and Centralized Learning - MDPI, accessed December 5, 2025, https://www.mdpi.com/2078-2489/14/11/620
18. FedMIA: An Effective Membership Inference Attack Exploiting "All for One" Principle in Federated Learning - CVF Open Access, accessed December 5, 2025, https://openaccess.thecvf.com/content/CVPR2025/papers/Zhu_FedMIA_An_Effective_Membership_Inference_Attack_Exploiting_All_for_One_CVPR_2025_paper.pdf
19. Leveraging Multiple Adversarial Perturbation Distances for Enhanced Membership Inference Attack in Federated Learning - MDPI, accessed December 5, 2025, https://www.mdpi.com/2073-8994/16/12/1677
20. Exploiting Defenses against GAN-Based Feature Inference Attacks in Federated Learning, accessed December 5, 2025, https://arxiv.org/html/2004.12571v5
21. [1702.07464] Deep Models Under the GAN: Information Leakage from Collaborative Deep Learning - arXiv, accessed December 5, 2025, https://arxiv.org/abs/1702.07464
22. FedCG: Leverage Conditional GAN for Protecting Privacy and Maintaining Competitive Performance in Federated Learning - arXiv, accessed December 5, 2025, https://arxiv.org/html/2111.08211v3
23. [PDF] Mitigating Sybils in Federated Learning Poisoning - Semantic Scholar, accessed December 5, 2025, https://www.semanticscholar.org/paper/Mitigating-Sybils-in-Federated-Learning-Poisoning-Fung-Yoon/333420606f059a7d5574a6fb9e35591346d3f957
24. Robust Federated Learning Against Poisoning Attacks: A GAN-Based Defense Framework, accessed December 5, 2025, https://arxiv.org/html/2503.20884v1
25. DPAD: Data Poisoning Attack Defense Mechanism for federated learning-based system, accessed December 5, 2025, https://www.researchgate.net/publication/387623174_DPAD_Data_Poisoning_Attack_Defense_Mechanism_for_federated_learning-based_system
26. Practical Secure Aggregation for Privacy-Preserving Machine Learning - Google Research, accessed December 5, 2025, https://research.google/pubs/practical-secure-aggregation-for-privacy-preserving-machine-learning/
27. Practical Secure Aggregation for Federated Learning on User-Held Data - Google Research, accessed December 5, 2025, https://research.google/pubs/practical-secure-aggregation-for-federated-learning-on-user-held-data/
28. Secure Stateful Aggregation: A Practical Protocol with Applications in Differentially-Private Federated Learning - arXiv, accessed December 5, 2025, https://arxiv.org/html/2410.11368v1
29. Zero-Knowledge Federated Learning: A New Trustworthy and Privacy-Preserving Distributed Learning Paradigm - arXiv, accessed December 5, 2025, https://arxiv.org/html/2503.15550v1
30. ZORRO: Zero-Knowledge Robustness and Privacy for Split Learning (Full Version) - arXiv, accessed December 5, 2025, https://arxiv.org/html/2509.09787v1
31. OPSA: Efficient and Verifiable One-Pass Secure Aggregation With TEE for Federated Learning - IEEE Computer Society, accessed December 5, 2025, https://www.computer.org/csdl/journal/tq/2025/05/10979898/26j8mc7zw0E
32. Enabling Trustworthy Federated Learning via Remote Attestation for Mitigating Byzantine Threats - arXiv, accessed December 5, 2025, https://arxiv.org/html/2509.00634v1
33. Empirical Analysis of Privacy-Fairness-Accuracy Trade-offs in Federated Learning: A Step Towards Responsible AI - arXiv, accessed December 5, 2025, https://arxiv.org/html/2503.16233v2
34. Convergence-Privacy-Fairness Trade-Off in Personalized Federated Learning - IEEE Xplore, accessed December 5, 2025, https://ieeexplore.ieee.org/iel8/9882533/10792972/10838599.pdf

贡献者

pansin

文件历史

最后编辑于 11 天前查看完整历史

eb57f-Add bulk markdown knowledgebase content