联邦学习系统攻击与防御技术

​​​​​​​

摘要

联邦学习作为一种通过分布式训练数据集构建机器学习模型的技术，在解决各参与方因联合建模而导致的数据隐私泄露问题方面表现出显著优势，并已在多个领域得到了广泛应用并获得了快速的发展。然而，在现有联邦学习系统中已被证明其在数据收集阶段、训练阶段以及推理阶段均存在潜在威胁，这些威胁可能对系统的安全性及数据完整性构成严重挑战。本文主要从安全威胁与隐私威胁两大类潜在威胁出发，在机密性、完整性和可用性（CIA 三元组）的基础上对联邦学习场景中的安全属性进行了详细阐述，并对各类攻击手段及防御机制进行了全面综述

本文系统地概述了横向联邦学习过程与纵向联邦学习过程及其本质特征，并从抗干扰能力与可扩展性的角度出发，在理论层面探讨了两种基本的学习范式之间的异同点及其内在机理。基于抗干扰能力与可扩展性的不同特点，在此基础上深入剖析了投毒 attack 与抗干扰 attack 的基本概念及其实施阶段，并对现有的防护策略进行了分类总结。
进一步地依据不同的 attack 方式划分出两大类防御手段：一类是鲁棒性能提升的方法（主要用于抵御抗干扰 attack），另一类则是隐私保护技术（主要用于防范系统的非抗干扰信息泄露）。在实际应用中采取鲁棒性能提升方法来抵御系统的抗干扰 attack，在现有的研究中主要包括数据消毒技术、鲁棒性能聚合方法、异常检测机制以及抗 Distortion 训练等多种策略。
最后部分则展望了联邦学习领域未来在保障数据安全方面可能的研究方向与发展趋势。

论文链接：http://cjc.ict.ac.cn/online/bfpub/gy-2023222151851.pdf

1、引言

人工智能已成为引领新一代产业变革的新兴技术，并已在应用创新、企业转型及社会发展等方面发挥着关键作用。它已上升到国家战略层面。 作为人工智能核心技术的机器学习领域面临隐私威胁与信任危机等挑战[1]。为此，在保护隐私的前提下实现了多设备协同训练的目标后仍存在局限性：一方面能够实现多设备高效协同训练；另一方面仍需解决不同领域专家缺乏有效沟通的问题；因此导致各领域专家难以实现知识共享与协作目标未被完全达成。这些问题的存在使得现有方法难以满足复杂场景下的需求进而限制了其在实际应用中的表现

尽管联邦学习能在一定程度上缓解本地数据隐私问题的影响，在模型参数共享及模型聚合的过程中却可能导致攻击者乘机发起针对性攻击。例如，在联邦学习中产生的梯度信息可能泄露用户的原始数据或其学习行为的细节[9-11]；攻击者可能通过对训练数据或本地模型进行篡改来达到目标[12]；另外，在输入样本中注入恶意扰动也是常见的攻击手段[13]；这些行为均会对系统的安全构成威胁。针对不同类型的攻击威胁以及其潜在的影响程度等多维度因素，联邦学习系统通常需要预先制定相应的防护策略以确保系统的鲁棒性和安全性得到保障。

目前，在国内国外都已有很多关于联邦学习的研究。例如,Yin等人[14]从隐私保护角度对联邦学习进行了全面回顾,Abdulrahman等人[15]则详细探讨了联邦学习面临的各项技术难题,但他们却未能进一步区分安全威胁与隐私威胁的本质区别。在现有的关于联邦学习安全与隐私保护的研究综述[16-18]中,分别从安全和隐私两个维度深入分析了相关问题,但在提高系统的鲁棒性和增强隐私防护能力方面仍存在待完善之处

研究者He等人[19]对深度学习中的安全威胁相关攻击进行了系统性分析。他们通过定量与定性分析的方式探讨了这些攻击手段的对抗能力及其目标定位，并总结归纳了其优缺点特性的同时还指出了联邦学习体系中可能存在的其他安全漏洞以及相应的防护策略。然而，在联邦学习模式下这些被提及的安全威胁未必具备相同的破坏效果与防御空间。研究者Lyu等人[20-21]则提出了一种独特的威胁模型分类方法侧重阐述联邦学习环境下的安全隐私问题强调隐私保护的重要性。但该研究主要聚焦于投毒攻击与推理攻击两大类别的恶意行为并较为简略地梳理了相关的防御对策仅停留在表面层面而缺乏深入探讨与详细剖析。2021年研究者Mothukuri等人[22]针对联邦学习体系的安全隐私问题以及相应的防护策略进行了系统全面的综述总结与评析然而在现有综述成果中所介绍的防护手段多属于传统型方案如联邦学习结合同态加密差分隐私安全多方计算与区块链等前沿技术并未得到充分展示与深入讨论

本文对联邦学习中的安全威胁和隐私威胁进行了深入系统地分析，并对其攻击手段和防御手段进行了全面分类与深入剖析。重点探讨了最前沿的联邦学习与密码技术融合的隐私保护方案，并进一步深入探讨了横向联邦学习与纵向联邦学习中攻击手段的区别，在此基础上为其提供了具有重要研究价值的方向建议。

本文采用了清晰的章节安排方式。

2、联邦学习中的潜在威胁

2.1 联邦学习概述

联邦学习是一种采用分布式架构进行模型训练的机器学习技术，在该框架下参与方的数据得以本地存储并完成训练模型上传与聚合到服务器的任务。在这一过程中参与方的数据隐私得到有效保护的同时数据安全也得到了相应的维护。用户数据集中的训练样本包含多个维度特征数据其中关键在于选取能够唯一标识不同训练样本的核心特征作为样本标识符即样本ID在整个联邦学习场景中各组织形式与应用方式均有所差异其对应的特征与样本ID可能存在差异性。基于数据分布的不同联邦学习主要可分为横向联邦学习（Horizontal Federated Learning HFL）、纵向联邦学习（Vertical Federated Learning VFL）以及迁移联邦学习（Federated Transfer Learning FTL）三大类。从传统机器学习流程的角度出发联邦学习可划分为数据收集阶段、模型训练阶段以及推理阶段三个主要环节在这三个核心环节中联邦学习均呈现出其独特的特点。

(1) 数据收集阶段：

(2) 模型训练阶段：

(3) 推理阶段：

目前常用的联邦学习开源项目主要包括Google的TensorFlow1、微众银行的FATE2、百度的PaddleFL3以及OpenMinded的PySyft4等多个方面。其中，在Google方面 earliest实现联邦学习框架的是TensorFlow1系列工具包，在不将数据传输至任何一方的情况下训练了一个循环神经网络模型，并随后封装了专门用于联邦学习开发的一个框架TFF5，并提供了一组高级接口方便实现基于联邦平均算法 HFL 的相关操作。微众银行提出的FATE则是首个工业级联邦学习框架，在采用安全多方计算和同态加密等技术构建底层安全计算协议的基础上支持逻辑回归树模型及深度学习等多种机器学习算法与TFF相比其封装程度更高能够支持多方部署直接开展训练工作。百度开发的PaddleFL基于其深度学习框架Paddle提供了多样化的联邦学习策略支持基于安全多方计算的安全纵向逻辑回归以及神经网络的安全训练与推理功能也支持基于安全聚合算法 HFL 以及经典的基于联邦平均和异步随机梯度下降 HFL 算法但不包括树模型的支持PySyft则是首个隐私保护深度学习框架基于PyTorch开发旨在实现安全可靠的联邦深度学习并可同时结合差分隐私技术提供全方位的数据保护措施

2.2 联邦学习的安全属性

在当前章节中，基于机密性（Confidentiality）、完整性（Integrity）以及可用性的（Availability）安全三元组[23]作为核心概念阐述了联邦学习场景中的安全性相关属性。

(1) 联邦学习的完整性：**
在联邦学习中，在数据收集与模型训练的不同阶段可进一步划分为数据集完整性和训练过程完整性。
其中，

• 数据集完整性的定义在于，在联邦学习过程中参与方的数据始终保持天然纯净的状态。
• 而训练过程完整性则要求所有参与方——包括服务器与用户——均严格遵循联邦学习约定的算法流程。

(2) 联邦学习的可用性：

(2) 联邦学习系统的可扩展能力分析：

(3) 联邦学习的保密性：

2.3 潜在威胁

基于对不同安全属性的影响，本文将联邦学习中出现的潜在威胁分为两大类，即安全威胁和隐私威胁。

安全威胁可能导致联邦学习系统的完整性与可用性受到影响。
将对联邦学习系统构成安全威胁的攻击行为定义为抗干扰攻击。
其主要目标是干扰联邦学习系统的训练过程或推理流程。
进而影响联邦学习系统的收敛速度及推理结果。

隐私威胁会导致联邦学习中的机密性被破坏，并被定义为一种非对抗性攻击。这种类型的攻击的主要目标是试图在联邦学习的不同阶段获取隐私信息或其他潜在利益，并且不会影响到模型的训练与推理过程。

联邦学习的不同阶段会面临多样化的安全挑战与隐私保护问题。具体而言，在数据收集环节中存在多种安全风险如数据投毒攻击、恶意节点制造假身份及试图获取免费资源的行为；同时样本信息泄露可能导致隐私泄露。训练过程中可能遭遇模型被篡改的风险以及通信系统被破坏的可能性；此外还面临由节点间协作不当导致的数据泄露风险。推理过程中则可能遭受对抗样本干扰导致系统稳定性下降；此外还存在通过模型逆向工程或直接推导出机密信息的风险。联邦学习的整体架构及其安全挑战如图1所示。

3、联邦学习中的攻击手段

3.1 对抗性攻击

3.1.1 投毒攻击

机器学习中的poisoning attack[29-30]是指攻击者通过控制和篡改部分训练数据或模型来干扰学习过程。在federated learning体系中每个用户的本地数据集都是独立完整的因此内部恶意攻击者能够轻松地对数据集训练流程以及模型本身进行篡改从而达到削弱模型性能注入后门等系列破坏性效果的目的poisoning attack因其应用广泛性和研究深度已成为fed learning领域的重要研究方向按照攻击手段的不同poisoning attack可分为data poisoning和model poisoning两大类而从攻击目标的角度则可分为classical threat model即非定向poisoning attack与malicious injection即定向poisoning attack两大类

（1）按攻击方式划分
① 数据投毒：** 攻击者破坏训练样本的质量并注入恶意样本以降低训练集的质量或实现其特定目标。 数据投毒依据所采取的不同策略分为两类：一类是脏label （Dirty-label） 攻击，在实际应用中常采用‘翻转’策略来篡改相关属性值；另一类是cleanlabel （Clean-label） 攻击，则专注于对原始样本进行处理生成新的样本实例来实现其目标。 在联邦学习场景下, 由于模型无法访问本地原始数据, 则通常不考虑不可感知的数据投毒特性; 因此大多数情况下仅考虑更为直接有效的脏label （Dirty-label） 攻击手段即可满足相关防御需求。

②模型投毒： 攻击者破坏训练过程完整性，通过完全控制部分用户的训练阶段，对上传的局部模型进行篡改，实现对全局模型的操纵。常见的攻击手段是通过提升（Boosting）恶意更新来加强攻击效果[34]。为了增强提升的隐蔽性，Bhagoji等[35]还将提升过程转化为一个基于交替最小化找到合适的提升值优化问题，使有毒更新与正常更新难以区分。此外，还有其他实现更强隐蔽性和更高成功率的模型投毒攻击[36]和针对服务器先进防御聚合机制的隐蔽模型投毒攻击[37]等研究。虽然数据投毒和模型投毒两种攻击方式都对模型训练产生影响，但单一的数据投毒相较模型投毒表现不佳，是因为数据投毒本质上与模型投毒会同样修改局部模型的更新权重，而后者可以针对联邦学习聚合等特性实施针对性的攻击。

（2）按攻击目标划分
①Byzantine attacks： Attackers aim to disrupt the availability of both training and model convergence, preventing them from achieving optimal performance in primary training tasks, without targeting specific users or data samples. In federated learning, malicious updates combined with benign updates can achieve Denial of Service (DoS) attacks [38], though such simple attacks are easily detectable and filtered. References [39] indicate that even minor perturbations in updates can effectively achieve backdoor attacks, bypassing defense mechanisms based on update magnitude. It is noted that attackers with knowledge of aggregation rules can implement more devastating Byzantine attacks on the server, which aims to attract users or provide transparency regarding user rights. Reference [40] introduces the concept of local model poisoning attacks (LocalModelPoisoningAttack), where attackers transform malicious updates into optimized global update offsets under known aggregation rules. By optimizing the attack process, reference [41] employs an optimized ratio coefficient γ and a perturbed data vector ∇𝑝 to fine-tune malicious gradients, achieving improved attack effectiveness. However, reference [40]'s approach completes the optimization process in a single iteration, whereas reference [41] requires tens of iterations for aggregation. Currently, Byzantine attack research in Vertical Federated Learning (VFL) is still limited; the subtlety and potential harm of data poisoning and model poisoning make this an area worth further exploration.

②后门攻击：

3.1.2 对抗样本攻击

在机器学习领域中，对抗样本攻击指的是在推理过程中，在输入样本上人工添加微小的恶意干扰信息后迫使分类器以高概率产生错误预测的行为[13,51]。根据 attackers所掌握的信息类型不同，在白盒攻击中 attackers能够获取模型的具体实现方式及参数设置，并据此生成对抗样本；而黑盒攻击则是在 attackers仅能获取模型的输入输出信息的情况下进行的。

一方面，在联邦学习中由于其分布式架构特点会提高模型参数泄露的风险这表明相比传统机器学习联邦学习系统在遭受白盒攻击方面更具易变性另一方面在联邦学习系统完成部署后攻击者可以通过与系统的交互行为来执行有效的黑盒攻击行为

对抗样本攻击已在中国人工智能领域获得广泛研究

3.1.3 搭便车攻击

搭便车攻击是指部分参与者放弃协作或者不具备必要条件，在具有激励机制的联邦学习中非法获取服务优势的行为。其主要特征是在联邦学习环境中破坏训练过程的完整性与合作公平性。攻击者通常消耗极少甚至零量本地数据与计算资源，并通过发送随机更新信息或模仿正常更新行为来掩盖身份，在聚合模型基础上获取奖励激励的同时可能影响模型性能。现有的搭便车攻击方法多依赖于提供随机参数更新来实施攻击手段，在服务器端可采用传统的深度学习异常梯度检测技术来防御此类攻击行为[56]。文献[57]提出了一种基于模型平均的联邦学习环境下搭便车攻击理论框架研究发现每次迭代返回全局模型都会导致搭便车攻击现象的发生。通过在参数更新过程中加入噪声并应用随机梯度下降（StochasticGradientDescent,SGD）算法来增强与其他用户的更新信息相似性从而达到隐蔽性更强的攻击效果文献[58]则提出了一种新型搭便车攻击方法该方法允许本地用户基于小规模数据集训练模型后将其伪装为大数据集身份以获取更高的奖励收益此外搭便车攻击者还可能通过放大权重的方法增大自身在全局服务器上的影响力从而分得更大的激励份额在VFL环境中部分参与者可能选择不完成全部训练任务而使用未充分训练的低质量模型参与可能导致整体模型性能下降同时由于VFL协议下服务器无法区分高质量与低质量模型这使得VFL环境下的搭便车攻击值得进一步深入研究

3.1.4 女巫攻击

在允许成员自由加入和退出的系统中，通过多个假身份加入的单个攻击者能够巧妙地分配其恶意行为以提高隐蔽性和破坏性效果[59]。这种名为SybilAttack的技术不仅广泛应用于投毒攻击之中，也可拓展至其他类型的对抗性攻击策略中去扩大其影响力[60]。特别是在跨设备（Cross-device）联邦学习场景中，在这种情况下由于用户认证强度较低的问题存在性较高的风险因此一个攻击者可以通过伪造多个不同的身份来实施SybilAttack策略从而进一步提升其破坏效果[61]。为了应对这一威胁Fung等[60]开展了一系列研究工作并提出了名为FoolsGold的有效防御方案[62]。随后文献[61]深入探讨了SybilAttack对联邦学习系统的脆弱性及其目标属性同时提出了一种称为训练膨胀的DoS（Denial of Service）式分布式SybilAttack策略并评估了几种分布式机器学习环境下的容错机制最终证明了FoolsGold方案在防御这类协同式投毒攻击方面具有显著的优势[63]。然而在垂直联邦学习环境中由于用户的数量相对较少以及认证机制较为严格这使得SybilAttack的实际可操作性将受到限制难以真正实现有效的实施

3.1.5 针对通信瓶颈的攻击

在联邦学习过程中，在众多端设备与服务器之间必须进行频繁的数据传输以交换更新后的梯度信息，在这种情况下会产生较大的通信开销；鉴于异构设备数量多而受限于有限的网络带宽资源，在实际应用中容易导致成员出现脱节现象进而延长整体系统运行时间；此外潜在威胁者可能通过干扰通信信道的方式对系统的稳定性及抗干扰能力提出威胁

这些关键问题构成了联邦学习中的主要通信障碍，在现有研究中被统称为针对通信瓶颈的攻击行为。这些行为对联邦学习系统的可用性产生了一定影响，在HFL与VFL两种系统架构下均有发生可能性。然而这种类型的攻击其普遍性低于投毒攻击、基于对抗样本的设计以及后门化操作等常见威胁手段；尽管如此但其潜在危害却异常严重：一旦遭遇此类通信障碍问题，则可能对整个系统的正常运行造成严重影响并导致严重性能损失

这种攻击的主要采取方式是减少通信资源消耗，并将需要上传的数据进行编码为量化数据的形式来降低传输规模[62]。2019年,Luping等[63]的研究发现,移动边缘设备在面对高昂的成本和复杂的技术挑战,尤其是DNN训练需求时,面临着必须传输大尺寸梯度向量的问题,从而导致了通信开销成为瓶颈现象。随后,Yao等[64]进一步研究表明,联邦学习中存在严重的通信成本问题,尤其是在模型一致性要求较高的情况下,这也成为影响联邦学习收敛的关键因素之一。由于上述对抗性攻击破坏了联邦学习体系中的完整性与可用性,因此这类恶意行为往往会被视为敌对组织或势力所发起的目标攻击行为,其潜在危害性远高于常规的安全威胁,容易引起参与方的高度警觉并面临更大的风险评估后果。综合分析各类型攻击在实施难度、效果以及防御难度方面后,本文系统地梳理了各类对抗性攻击对CIA三元组要素的具体威胁情况及其作用阶段特征,同时提出了相应的鲁棒性提升优化方法

3.2 非对抗性攻击

3.2.1 模型提取攻击

在机器学习领域中，模型提取攻击指的是攻击者通过持续发送数据来获取系统响应结果，并最终从模型接口中恢复原始参数或功能甚至构建出与原模犁等效的新模型。这种现象通常发生在推理阶段可能导致机密信息泄露。特别是在某些情况下尽管训练成本较高但相关信息仍属于敏感数据容易遭受提取攻击。目前针对该问题的研究主要聚焦于三个方面：一是降低目标模犁被窃取次数二是提升查询精确度三是优化查询开销以减少资源消耗。其中受其影响最为显著的是预测即服务（PaaS）系统这是因为模犁作为隐私核心不仅直接涉及隐私问题还可能推断出训练数据集的信息

Tramèr等[133]最先提出了一种新型机器学习中的模型提取攻击方法，并成功在云服务器上部署的服务中实施了一系列针对预测系统的攻击行动，在较短时间内实现了与原始系统完全一致的目标服务功能。2020年出版的研究著作中，Chandrasekaran等[134]对这一问题进行了系统性研究，并首次提出了基于主动学习的模型提取攻击方法；随后Jagielski等[135]进一步优化了基于训练数据的传统模型提取方法，并开发出了一种无需依赖训练数据即可直接获取目标模型参数的新方法；他们在该领域的工作重点在于从准确性和可靠性两个核心指标出发，在全面评估的基础上构建起一套完整的对抗评估体系框架

在现有的联邦学习架构下, 攻击者不仅能够发起针对已部署系统的对抗性攻击, 即所谓的'模型提取攻击', 而且这些场景往往涉及大量可获取的数据资源. 因此, 这类威胁通常较为显著. 然而, 在垂直联邦学习(VFL)框架下, 每个参与者都掌握部分数据集同时保留隐私权. 因此, 模型提取攻击的发生可能性有所增加. 此外, 由于参与者内部存在协调机制来平衡各方利益, 内部发起的有效性相对较低. 然而, 相关研究仍较为有限

3.2.2 推理攻击

按其目标的不同, 理论界将推理Attack划分为基于成员身份的推理Attack和基于属性特征的推理Attack. 其核心目标是识别训练数据中是否存在特定用户的详细信息, 另外还旨在推断训练数据集可能具有的某些属性特征. 在联邦学习场景下, 推理Attack利用了一个关键缺陷, 即所有参与方包括用户端设备和参数服务器都会同步更新同一个全局模型, 这使得潜在的 attacker能够通过观察模型的变化进而识别出敏感信息的存在. 针对对抗性 attack领域, 毒性 attack虽然属于一类特殊的 attack手段, 但其对全局模型的学习过程会产生显著干扰, 这种影响不仅限于直接的信息泄露, 更值得研究的是其中所包含的有效可被利用的信息. 相对于被动采集模型知识的方式而言, 毒性 attack者往往会选择主动实施这一类 attack策略以获取更多信息. 因此, 这种类型的 attack也可被称为主动式的推理Attack.

(1) 成员推理攻击： 成员推理攻击[10]旨在推断特定样本是否参与了某模型的训练过程。当训练数据涉及敏感信息时，在这种情况下推测特定数据的存在将构成隐私风险。文献[11]提出了一种白盒环境下成员识别方案，并假设对手掌握不同级别的先验知识，在白盒与黑盒场景下分别进行了实验对比。研究发现，在使用SGD算法的深度学习模型中，在有机会获取到模型参数的客户端或服务器端实施白盒攻击方案的成功率能达到70%以上。特别是在联邦学习环境中，在逐步更新全局模型的过程中容易形成实施条件。参数服务器作为观察者可能出于好奇或恶意 intent而采取被动或主动策略进行攻击分析；而在集中式架构中完成该任务通常较为困难。基于垂直联邦学习(VFL)框架的数据对齐阶段要求所有客户端共享样本标识符信息，在这种情况下训练集中的样本信息将被所有用户访问共享。然而这样的做法在实际应用场景中往往显得不够合理[136] ，因此值得进一步研究的是，在数据纵向划分的情况下如何实现模型训练而不泄露样本ID信息的情况。

(2)属性推理攻击：

3.2.3 基于GAN的攻击

生成对抗网络（Generative Adversarial Networks, GAN）[141]作为一种具有巨大潜力的无监督式深度学习模型，在理论与实践中展现出强大的适应能力。其核心机制在于通过生成与判别模型之间的相互博弈机制产生高质量的输出样本。一般而言，在实际应用中基于GAN的技术通常能够发起投毒或推理攻击其严重性已引起学术界的广泛关注尤其在数据隐私保护领域潜在危害不容忽视

4、联邦学习中的防御手段

4.1 联邦学习鲁棒性提升方法

4.1.1 数据消毒

数据消毒（DataSanitization）是一种去除有害或异常数据的技术手段，在防止数据投毒攻击方面发挥着重要的防御作用[65]。它已成为机器学习领域中的一种常用方法。为了抵御联邦学习环境中潜在的数据投毒攻击，在这种方法的基础上构建了一道防线。采用该技术虽然能够有效过滤掉被污染的信息，并保障数据的有效性和可用性[66]，但必须依赖客户端本地的数据存储机制[66]。然而这一做法既无法实现对原始数据全生命周期的安全管理也难以满足联邦学习环境下分散式服务器设置的需求。值得注意的是随着对抗性攻击能力的增强单纯依靠这种技术可能难以达到预期的安全防护效果[67]。尤其是在面对自适应型的数据投毒攻击时其防御效果更为有限[67]。因此，在实际应用中这种方法受限于技术限制只能局限在特定场景下才能实现应用例如那些具备严格身份认证机制的跨孤岛联邦学习系统。

4.1.2 鲁棒性聚合

在联邦学习架构中, 服务器负责整合各方的数据更新作为整体模型的基础. 于2017年, McMahan与Ramage首次提出FedSGD算法, 在该框架下实现了多用户的分布式训练模式. 其核心特点为未泄露本地数据, 仅传输中间计算出的梯度更新至服务器端. 此后, 研究者[3]针对通信效率问题提出了FedAvg算法, 其通过直接上传各节点完成周期训练所得的模型副本并取算术平均值作为全局模型. FedAvg方法奠定了HFL的基本架构, 成为了后续聚合研究的主要参考框架. 然而, 该方法在对抗性攻击面前存在明显缺陷, 主要体现在对其 heft attack 和 backdoor attack 等恶意行为缺乏有效的防护机制. 针对这一问题, 相关研究需进一步探索如何利用更新过程中的内在特性进行识别与降噪处理, 最终实现抗干扰型数据融合（RobustAggregation）. 目前针对抗干扰型数据融合的研究大致可分为以下三类:

4.1.3 异常检测

基于统计分析的异常检测（AnomalyDetection）主要用于识别模型训练模式、数据集或相关事件中的不寻常现象。当检测到与预期不符的行为模式、异常数据或事件时，系统将触发警报并采取应对措施。目前的研究重点主要集中在客户端异常检测和数据层面的异常检测方面。

4.1.4 对抗训练

对抗训练（AdversarialTraining）即为在模型训练过程中引入微小干扰以增强系统抗干扰能力的防御手段。传统对抗训练攻击手段[92-93]主要应用于集中式机器学习架构，并着重关注对抗训练数据集的生成机制。

如Tramèr等人[92]所创设的一种集合攻击性策略。2019年提出的DeepConfuse技术[93]通过分阶段更新机制以提升网络鲁棒性为目标展开研究。基于预先学习好的噪声编码器，在生成样本时施加可控幅度的干扰后处理流程中加入抗受侵蚀数据构建模块。从而有效地构建抗受侵蚀的数据集

当前阶段，在研究领域中对抗训练方法[94-95]已被广泛应用于增强联邦学习系统的鲁棒性]这一应用不仅限于中心化的机器学习模型]例如，在联邦学习环境下 Sh 表现团队的研究表明使用抗受攻击训练能够有效减少模型偏差 从而显著提升了抗受攻击精度的同时也缩短了模型收敛所需的时间然而 在面对更为复杂的黑盒攻击场景时 传统抗受攻击训练方法可能会出现稳定性问题由于引入的扰动必然会带来分类准确性的下降因此 在面对这些挑战时 则需要进一步探索并采用更为有效的优化策略以解决相关问题

此外，在对抗训练中不仅要求大量的数据集支持，并且会增加计算资源的消耗。尤其是在具有较多参与方的跨设备联邦学习环境中

当前研究主要关注于针对联邦学习环境中的对抗样本攻击设计防御策略，在相关文献[94]中指出，在这一过程中显著降低了推理攻击所带来的威胁，并且提升了用户的隐私安全性。进一步探讨如何利用对抗训练来抵御其他类型的安全威胁具有重要意义。

4.1.5 知识蒸馏

在不同的模型训练场景中，在追求更高的预测效果时，则通常会采用集成多个低效模型的方法；然而这也会带来较大的计算负担以及较高的资源消耗。

知识蒸馏技术作为机器学习中的一个关键方法之一，在数据科学领域具有重要地位

在联邦学习与知识蒸馏交叉融合的研究领域中，在2019年时,Li等人[88]提出了基于知识蒸馏与迁移式联邦学习构建的一个称为FedMD通用框架,该框架使不同计算能力水平的用户能够根据自身需求分别设计相应的网络架构,从而有效保护数据集的独特性和提升本地模型的表现能力.相比于无协作场景而言,FedMD显著提升了本地模型的能力,但同时也要求用户在构建共享数据集的过程中牺牲一定数量的数据隐私.在此之后,针对FedMD框架展开研究的各种方案主要集中在 FedMD 的基础上展开,例如,Lin等人[89]提出了一种集成蒸馏方法用于模型融合,这种技术通过利用本地模型输出未标注的数据来进行信息整合,相较于传统的 FedMD 方案不仅加快了训练速度而且降低了通信轮次的同时也减少了数据泄露的风险

知识蒸馏具备降低通信带宽消耗、提升模型抗干扰能力的特点，在深度学习领域已逐渐成为一项重要的研究方向。当将其与分布式联邦学习技术相结合时，在其应用过程中需着重考虑多方面的因素影响，并涵盖多种抗干扰攻击手段下的防护机制分析。目前仍存在诸多未解决的问题。

4.1.6 剪枝

剪枝（Pruning）技术是一种高效的压缩手段，在计算能力及通信资源有限的情况下能够有效缩减联邦学习中的参数规模。当联邦学习系统的参数数量较多时，在遭受外部攻击影响下可能会导致某些神经单元出现失活状态。通过使用剪枝技术我们可以筛选并剔除这些异常神经单元从而优化整个系统的架构

2015年,Han等[128]最先提出了一种启发式和迭代权重剪枝方法去除神经网络冗余连接,不降低准确性。
2018年,文献[129]提出了一种新剪枝技术,在攻击者放回模型的基础上进行了修剪,并通过后向微调优化了神经元权重。
最近的一些研究成果[130-132]广泛采用了剪枝技术来提升联邦学习系统的鲁棒性。
例如,Jiang等[130]提出了PruneFL方法,该方法在联邦学习环境中实现了自适应和分布式参数修剪,通过优化模型结构显著减少了训练时间,降低了通信和计算开销的同时保证了与原始模型相当的性能水平。

在模型压缩领域中被视为一种重要方法之一的是剪枝技术，在于其能够增强模型的一般化能力从而避免过拟合现象的发生。然而，在实际应用中采用非均匀修剪策略可能会导致两种不同情况：一方面可能导致模型收敛所需的迭代次数增加另一方面也可能引起系统参数发生偏差这在特定联邦学习场景下可能会增加额外计算负担因此，在实施剪枝策略时必须基于具体问题特点采取相应的措施以确保不会丢失关键信息同时还要综合考虑全局性能设置合理的修剪界限从而最大限度地去除冗余部分而不影响性能表现此外还可以通过减少搜索空间来提高修剪效率以上这些优化思路都是该研究需要重点探讨的方向

4.2 联邦学习隐私性增强技术

为了解决联邦学习中的隐私威胁问题，在这一领域中采用密码学相关技术已成为当前隐私保护的主要研究方向之一。本节将介绍这些相关的方案。

4.2.1 基于同态加密的隐私性增强

基于概率型的 HE 方案是一种无需直接处理原始数据即可完成数据处理的现代密码学技术[185]。其核心思想是通过 HE 对数据进行操作后在解密阶段获得的结果与对该数据明文执行相同操作所得结果完全一致[186]。在 HE 算法中若具备强大的通用性能够执行任意形式或任意次数的数据运算则被称为全 HE 方案(Fully Homomorphic Encryption, FHE)[185]；而仅支持单一类型计算如加法或乘法中的某一项则被定义为偏移 HE方案(Partial Homomorphic Encryption, PHE)[186]。进一步地 PHE 可以划分为加法 HE 和乘法 HE 两大类其中 Additive HE 指通过对密文执行加法运算实现的功能而 Multiplicative HE 则基于乘法规则实现相应的运算能力[186]。

在本节中, 本文将围绕着两种不同的同态加密技术, 即半同态加密与全同态加密, 展开详细探讨这两方面的隐私保护路径。

4.2.2 基于安全多方计算的隐私性增强

安全多方计算(SecureMulti-PartyComputation, SMPC)指在无不可信第三方参与的情况下实现多个参与方之间安全地求解一个模型或函数问题[192-193]。相较于同态加密模型，在SMPC体系中实现了更为严格的安全定义和独特的优势特性，在联邦学习场景中可针对性地设计SMPC专用的安全多方计算协议方案：一方面能够为中间参数提供计算安全性；另一方面则能有效提升模型参数或梯度向量的隐私保密性。目前相关研究工作已取得一定成果：从采用的技术手段来看可分为基于加法秘密共享技术的隐私增强方案、基于Shamir秘密共享技术的隐私增强方案以及多种技术手段相结合的综合型隐私增强方案。

4.2.3 基于差分隐私的隐私性增强

差分隐私（Differential Privacy, DP）旨在通过在传递的梯度数据中加入适当噪声来隐匿真实结果细节直至无法区分个体之间的敏感差异。这种技术能够有效保护隐私数据的安全性。通常情况下，在处理敏感领域时会采用差分隐私方法来实现安全分析目标。基于此方法开发的联邦学习模型不仅能够保障本地训练数据的私密性与模型参数的安全性，还可以作为衡量实际应用中产生的隐私损失的重要参考依据[169-172]。

4.2.4 基于区块链的隐私性增强

如前所述，在密码领域中讨论的核心技术包括同态加密、安全多方计算与差分隐私等方法论体系。这些技术虽然在隐私保护方面表现良好（即提供良好的隐私保护效果），但普遍面临着来自中心化架构所带来的信任度问题（即难以确保全局模型的安全性和可靠性）。其中一项关键的技术创新方向在于利用区块链这一新型分布式存储架构的技术基础（即通过整合密码学原理与共识机制），从而能够有效提升联邦学习系统的安全性与完整性（即实现系统机密性与完整性）。基于此基础之上对现有研究进展进行了系统梳理与总结

4.2.5 其他隐私增强技术

除此之外还有一些隐私性增强技术。针对联邦学习中的梯度泄露问题梯度裁剪在一定程度上防止了这种信息泄露[205]可信执行环境（TrustedExecutionEnvironmentTEE）[179]通过硬件手段提供了一个安全区域用于模型训练操作从而保护数据完整性和隐私性VerifyNet[28]则采用了双重防护机制以确保用户的局部梯度机密性混合防御[180]则通过融合多种防御技术得以有效防止服务器与恶意用户的协同攻击最终模型水印技术[206]通过将水印嵌入模型参数中能够对遭受窃取攻击的情况进行证据收集与维权支持而Anti-GAN方法[181]则利用GAN生成看似真实但其实是假的数据从而进一步保障私密性