联邦学习作为一种分布式机器学习范式，允许多个客户端在不共享原始数据的情况下协作训练全局模型。然而，拜占庭鲁棒性问题是其面临的主要安全挑战之一：当存在一定数量的恶意客户端时，它们可以通过精心构造的本地模型更新来破坏全局模型的质量。现有的拜占庭鲁棒联邦学习方法通常依赖服务提供商对客户端更新进行统计分析，如修剪异常值或计算中位数，但恶意客户端仍能通过构造与正常更新方向相似但幅度极大的更新来绕过检测，因为这些方法缺乏一个可信任的基准。 本文提出 FLTrust，一种新的拜占庭鲁棒联邦学习方法，其核心思想是让服务提供商自身引导信任。具体而言，服务提供商预先收集一个干净的、小规模的训练数据集（称为根数据集），并基于此维护一个服务器模型。在每个通信轮次中，服务提供商首先计算服务器模型更新（即基于根数据集计算的梯度更新），然后为每个客户端本地模型更新分配一个信任分数：如果客户端更新的方向与服务器模型更新的方向偏离越大，则信任分数越低。接着，服务提供商对客户端更新进行幅度归一化，使其与服务器模型更新位于同一超球面上，从而限制恶意客户端通过大幅度更新造成的影响。最后，服务提供商以信任分数为权重，计算归一化后客户端更新的加权平均值作为全局模型更新，并更新全局模型。 FLTrust 不依赖对客户端数量的假设，且不要求客户端数据独立同分布。实验在六个不同领域的数据集上进行，包括图像分类、文本分类等，结果表明 FLTrust 能够有效防御现有的多种攻击（如模型替换攻击、后门攻击）以及针对性的强自适应攻击。该方法的主要贡献在于引入了基于服务提供商自身数据的信任引导机制，为联邦学习提供了新的安全基线。

联邦学习（FL）允许多方协作训练模型而不共享原始数据，但标准方法（如FedAvg）将每个客户端视为黑盒，无法隔离对抗性贡献者、审计每个客户端的影响，或尊重已退出参与者的被遗忘权。本文提出Fed-FBD（联邦功能块多样化），一种模块化联邦架构，将ResNet骨干网络分解为六个功能块（stem、四个残差组和分类头），并维护一个包含N种颜色变体的仓库，每种变体由独立跟踪和贡献者标记的块组装而成。Fed-FBD提供FedAvg所不具备的三种能力：(i) 架构保障的块级隔离，使对抗性或错误标记的客户端无法污染干净的变体；(ii) 设计上的隐私保护，在应用任何隐私机制之前，成员推断优势已与随机猜测无异；(iii) 在亚秒级成本且无需重新训练的情况下，外科手术式地遗忘已退出参与者的贡献。在六个MedMNIST-2D数据集、224x224的PathMNIST和CIFAR-10上的实验表明，在规模足够的数据集上，Fed-FBD以0.3%-3.1%的IID准确率下降换取这些保证，在四个数据集中的三个上，在Dirichlet alpha=1.0时与FedAvg的差距保持在0.8%-4.0%以内，并且所有六种对抗性攻击都被限制在中毒客户端的自身块内，对干净变体的AUC漂移不超过±0.01。

该论文提出并评估了一个端到端的联邦学习系统，用于在边缘设备上进行无监督的12导联心电图异常检测。系统结合了三种自编码器架构（VanillaAE、ConvAE、VAE），基于Flower框架实现跨十个模拟医院的联邦平均聚合，并集成客户端差分隐私（DP-SGD，使用Rényi-DP会计）和8位整数量化后训练压缩（在树莓派4上测试）。实验使用PTB-XL数据集，表明联邦学习在所有架构上达到或超过集中式基准（ConvAE的ROC-AUC为0.782），隐私预算ε=4被推荐为临床操作点。INT8量化使模型大小减半，树莓派延迟降低44%，且AUC损失小于0.12%。关键发现是差分隐私和量化惩罚可经验独立叠加，因此实践者无需在强隐私保证和小型边缘部署之间权衡。该工作是首个结合联邦学习、形式化(ε,δ)-差分隐私、无监督重建检测和量化AArch64部署的系统，为医疗物联网中的隐私合规实时监测提供了工程基准。

该论文针对量子计算对现有金融加密体系构成的威胁，提出了一种后量子安全的联邦去中心化金融（DeFi）框架，旨在提升因信用记录不足而被传统银行排斥的个人的金融包容性。核心方法包括：多家银行将客户加密数据批量上传至虚拟服务器，采用基于格的全同态加密（FHE）实现端到端同态计算，确保数据在加密状态下完成融合分析；服务器融合本地数据驱动的概率评估、专家信念以及NASA-IBM Prithvi地理空间基础模型（GFM）生成的可验证证据（全部为密文形式）；利用区块链等去中心化技术保证证据的防篡改性和机构间数据交换的可审计问责。该框架以美国弗吉尼亚州农村借款人的农业贷款决策为测试场景，展示了在保护隐私的同时提升贷款覆盖率的潜力。论文的主要贡献在于首次将后量子密码学、联邦学习、FHE与地理空间AI模型系统性地整合到DeFi场景中，为应对量子威胁下的金融普惠问题提供了可扩展的架构方案。适合关注后量子安全、联邦学习、隐私计算及普惠金融的技术研究与安全架构师阅读。

联邦学习（FL）是一种分布式机器学习范式，允许多个客户端在不共享原始数据的情况下协同训练共享模型，从而解决数据孤岛和隐私问题。然而，数据本身也是FL系统面临的主要挑战和脆弱性来源，直接影响训练的稳定性和收敛速度。现有综述通常从整体架构、安全攻击或应用场景入手，缺乏从数据视角的系统性分析。本文填补了这一空白，从数据异构性、数据划分协议和数据相关的安全防御三个方面，首次全面梳理了数据因素对FL收敛的影响。具体地，作者首先将非独立同分布（non-IID）数据分解为可测量的特征（如标签分布偏移、特征偏移、数量偏移等），并根据其对收敛的影响强度分为强、中、弱三个等级，解释了每种偏移影响收敛的机制，并统一了图像、文本和图数据上的实验证据。其次，作者将实验中常用的数据划分方式（如按标签划分、按狄利克雷分布划分）与真实场景中的现象对应，指出了这些划分方式引入的人为偏差（artifact）及其对目标精度的扭曲效应，帮助研究者更合理地设计实验。最后，作者分析了数据相关的安全漏洞（如投毒攻击、成员推断攻击）及其防御机制（如差分隐私、鲁棒聚合）对收敛速度和稳定性的影响，在干净和对抗条件下报告了性能表现，揭示了收敛与鲁棒性之间的权衡。作为首篇全面理解FL中数据挑战的综述，本文为从业者提供了可操作的设计指南，帮助他们构建具有可预测收敛性和稳定性的FL系统。

该论文研究联邦学习（FL）中的模型投毒攻击。传统FL后门攻击主要依赖算法层面操纵训练数据，但本文引入一类新的攻击：利用硬件故障（如Rowhammer）在本地模型参数中注入比特翻转，从而在联邦学习期间植入后门。攻击过程分为离线阶段：攻击者从预训练模型出发，通过分析确定要翻转的比特位；在线阶段：恶意客户端在本地训练时通过硬件故障（比特翻转）修改模型参数，使全局模型在目标任务上保持正常性能，但后门触发时输出攻击者指定的错误结果。实验表明，在ResNet-18等模型上，平均每次恶意客户端出现仅需10次比特翻转，共19次恶意交互即可达到94%的攻击成功率。论文还讨论了攻击的实用性及潜在防御的鲁棒性，并指出Rowhammer是该类威胁的主要攻击向量。该工作揭示了硬件安全与联邦学习安全的交叉风险，对设计防御策略具有指导意义。

本文针对隐私保护的个性化联邦学习（PFL）中应用CKKS同态加密方案时缺乏系统参数选择指导的问题，提出了pFedCKKS框架。该框架将CKKS集成到PFL中，并首次提供了参数选择的系统指南。研究指出，在128位安全级别下，CKKS参数约束可简化为选择两个关键值：内部密文素数和外部密文素数。通过使用Flower框架和TenSEAL库实现，并在FEMNIST、CelebA和Sentiment140数据集上，结合FedFinetune、Ditto和FedPer三种PFL算法进行评估。实验揭示了精度与计算/通信成本之间的经验权衡，从而为实际部署pFedCKKS时选择适当的CKKS参数以平衡效率和准确性提供了具体指导。该工作对于希望使用同态加密保护隐私的PFL实践者具有重要参考价值。

随着物联网和移动设备中海量数据的快速增长，分布式机器学习技术日益受到关注，联邦学习（FL）作为一种保护隐私的分布式学习框架，允许多方协作训练模型而无需共享原始数据。然而，FL容易受到数据投毒攻击，恶意客户端可能通过操控本地数据或模型更新来破坏全局模型。现有防御方案多基于相似度度量或异常过滤，但缺乏对攻击者意图的深度分析，且无法提供可解释的证据来判定恶意客户端。针对这一问题，本文提出了SHERPA，一种利用Shapley加法解释（SHAP）来识别FL系统中潜在投毒者的鲁棒算法。SHERPA的核心创新在于：首先，通过SHAP值计算每个客户端对全局模型的特征贡献；然后，基于特征归因聚类开发一种新的算法来区分投毒者和正常客户端。在多个数据集上模拟了不同场景的数据投毒攻击（包括针对隐私的投毒攻击），实验表明SHERPA能够有效缓解攻击，同时提供可解释性，为聚合过程中剔除恶意客户端提供合理的依据。该方法不仅提升了防御的可解释性，还增强了对投毒行为判定的合理性。本文的研究展示了可解释人工智能（XAI）技术在联邦学习安全防御中的潜力，为后验特征归因在对抗数据投毒攻击中的应用提供了新的视角。

本文研究了联邦学习中信息论安全聚合的容量问题。安全聚合允许服务器在保护用户更新隐私的前提下聚合本地更新。现有信息论问题通常假设由可信第三方（TTP）提供相关随机密钥，或通过预定义的组结构生成，但建立这些相关密钥的通信成本常被忽略。因此，在通用密钥分发机制下的基本极限尚不清楚。本文在包含密钥分发和聚合更新的两阶段框架下，研究了具有N个用户的T-colluding信息论安全聚合问题。与以往工作不同，本文通过用户间通信建模密钥分发，允许任意用户生成的密钥分发机制，消除了对TTP或预定义结构的依赖。这使得能够联合表征三个资源：安全随机性、密钥分发通信和聚合通信。通过构造一种新的安全聚合方案并匹配信息论逆定理，完全刻画了这三个资源之间的容量区域。特别地，本文给出了一个显式的确定性容量达到构造，适用于大小为至少N的任意有限域，而现有方案大多依赖TTP或在大有限域上使用随机或存在性构造。进一步证明，仅使用两两共享密钥即可实现最优性能，从而可通过Diffie-Hellman密钥交换实现。与Google的开创性安全聚合方案相比，所提方案在保持相同聚合通信开销的同时，所需随机掩码密钥更少。该成果为联邦学习中的隐私保护提供了理论基础和实用方案。

本文针对分布式基础设施系统（包括云计算、物联网和边缘架构）面临的日益扩大的攻击面与复杂威胁，提出了一种认知威胁情报与可解释联邦安全分析框架。传统集中式入侵检测方法在可扩展性、数据隐私、通信开销以及AI决策透明性方面存在局限。该框架融合联邦学习（FL）、可解释人工智能（XAI）和认知安全分析，实现跨分布式网络的协作式隐私保护威胁检测。其核心是：各分布式节点本地独立训练安全模型，仅通过联邦聚合机制共享加密的模型参数与更新，而非原始网络流量数据，从而提升隐私保护、降低通信依赖与集中风险。在智能威胁分析方面，框架集成了Random Forest、XGBoost、Autoencoder等机器学习和深度学习算法，并通过XAI提供可解释的检测结果，增强安全分析师对AI决策的信任。实验设计与性能评估部分在摘要中未详述，但作者声称该框架在隐私保护、检测准确率和解释性方面优于传统方法。本文适合联邦安全、可解释AI及分布式系统安全领域的研究者与从业者阅读。

本文针对基于可信执行环境（TEE）的联邦学习聚合协议中的安全漏洞进行了研究。作者首先分析了现有协议，发现服务器端攻击者可以利用TEE的局限性，即状态回滚和I/O操纵，通过操纵客户端选择和重放聚合来破坏系统的鲁棒性和隐私性。为了解决这些问题，本文提出了DIST-FL，一种由多个TEE保护的分布式服务器系统，这些TEE形成一个仅追加账本，用于实现隐私保护和鲁棒的联邦学习聚合。具体而言，DIST-FL通过确保操作线性化来防止状态回滚攻击，并通过纳入来自可靠服务器的输入来缓解I/O操纵威胁。作者在广域网（WAN）环境中实现了DIST-FL并进行了评估。实验结果表明，DIST-FL能够有效抵御所提出的攻击，并且在利用TEE计算优势的同时，其性能与单TEE方案相当，但吞吐量比同类方案提升了6倍。该研究为联邦学习安全聚合提供了新的思路，适合联邦学习、系统安全、隐私保护领域的研究人员和工程师阅读。

该论文提出了一种名为 TITAN-FedAnil+ 的联邦学习框架，旨在解决资源受限智能企业环境中的数据异质性（非独立同分布数据）和去中心化安全威胁。核心贡献包括：1) 基于亲和传播的自适应聚类聚合方法，无需预先知道攻击者数量即可识别并过滤恶意更新；2) GPU 加速向量化技术提升计算效率；3) 轻量级签名状态跳变机制实现区块链快速重同步。实验在 8 GB 边缘设备上进行，经过 50 轮通信后，相比基线框架，内存开销节省高达 81%。研究结果表明，TITAN-FedAnil+ 有效提升了鲁棒性、可扩展性和资源效率，适用于智能企业的安全联邦学习部署。

该论文研究了联邦学习在跨中心败血症早期预测中的应用。败血症早期预测需要多中心医疗数据，但数据隐私和分布式特性阻碍了集中式建模。联邦学习允许多个机构在不共享原始数据的情况下联合训练模型，但其实际性能、鲁棒性和隐私保护优势尚未在真实临床数据中得到充分评估。为此，作者从中国三家三级医院收集了648个临床筛选样本，并制定了严格的纳入排除标准。他们建立了集中式训练范式作为性能基线，然后实现了水平联邦学习框架进行分布式协同建模。大量实验表明，基于联邦学习的模型在预测准确性上与集中式模型高度接近，同时从根本上避免了隐私泄露。进一步的隐私安全分析验证了恶意攻击者无法从传输的模型参数中重建原始患者数据，表明其具有很强的抗数据重建攻击能力。这项工作不仅验证了联邦学习在临床败血症预测中的实用性和安全性，也为隐私保护的多中心医疗协作提供了可靠且可行的解决方案。

该论文提出了一种名为Echelon的跨组织语言模型适应训练架构，旨在解决日益严峻的治理约束问题：在许多部署场景中，设备级模型状态（参数、激活值、优化器状态、每次更新）不能导出到管理边界之外。现有的分布式和联邦学习架构通常假设跨站模型交换，然后再改造隐私机制，这增加了合规复杂性并使审计变得脆弱。Echelon采用“边界优先”的训练架构，将设备级模型状态不导出作为系统不变量。设备在每个边界内本地训练；跨边界的唯一负载是安全聚合的边界级增量以及O(1)的协调元数据，并通过具体的审计接口暴露。将交换限制为聚合值改变了优化问题：系统必须在广域网延迟、异构参与、节点离开和non-IID数据下保持稳定，即使全局层面从未看到每设备更新。Echelon结合了缓冲半异步安全聚合、过时感知加权、参与窗口、近端局部目标和漂移感知外部同步控制器。在2个边界、1B参数LoRA适应的实验中（24.88M token，三个种子），Echelon在固定token、固定字节、固定壁钟时间和固定同步次数预算下，达到了验证损失3.887±0.010，在低通信基线中最佳或并列最佳。在OpenWebText压力测试中，Echelon在各种广域网和non-IID条件下维持2,139-2,176 token/s的吞吐量；Echelon-DA在广域网延迟下相对隐私对等的DiLoCo+SA基线改善了达到目标时间，且在模拟200ms延迟或严重non-IID分区下质量下降不超过2.2%。该工作适合关注跨组织LLM训练隐私合规、联邦学习系统设计的研究人员阅读。

联邦学习（FL）中，异构差分隐私（HDP）允许客户端根据自身策略和数据敏感度选择不同的隐私预算（ε_i）。现有HDP-FL系统常采用ε感知的服务器聚合，通过根据客户端声明的隐私预算重新加权其梯度更新来提升模型效用。然而，联邦学习中的梯度更新保留了由非独立同分布（non-IID）数据引起的结构模式，这些额外信号为诚实但好奇的服务器提供了新的推断机会。本文首先展示了一种隐私推理攻击：服务器利用梯度去噪和代理建模，在现实知识约束下，能够推断客户端的分布属性并在训练轮次间链接同一客户端的更新，通过代理推断准确率和链接成功率衡量。Shuffle-Model作为一种防御手段，通过匿名化更新来源来抵御此类风险，但其与HDP-FL的ε感知聚合本质不兼容。为解决此矛盾，本文提出IntraShuffler，一种面向HDP-FL系统的中间件防御框架。IntraShuffler引入隐私感知的洗牌机制：将客户端分组到隐私兼容的桶中，在每个桶内执行参数级洗牌，以破坏持续的梯度结构，同时保留ε感知聚合。在四个不同数据集上的实验表明，IntraShuffler将梯度可恢复性降低超过60%，代理推断准确率从0.78降至0.33，同时在不同FL聚合规则下保持了可比的模型效用。

联邦学习（FL）是一种去中心化的机器学习范式，允许多个参与方在不共享原始数据的情况下协同训练全局模型。由于各参与方数据质量参差不齐，如何公平地评估每个数据提供者的贡献（即数据估值）成为保障FL公平性的关键问题。现有工作常引入沙普利值（Shapley value）概念，通过测量包含或排除某本地模型参数对全局模型性能的影响来量化贡献。然而，传统的贡献度测量由聚合器或中心化验证者执行，该验证者可能受组织控制而伪造结果，导致估值不公平。本文提出一个具有强公平性的可验证数据估值框架，其核心思想是让所有参与者（数据提供者）都能独立验证贡献度测量结果的正确性，从而杜绝伪造可能性。框架基于沙普利值，但设计了一套可验证的计算协议，确保任何参与方均能对聚合器计算的估值进行校验，而无需信任中心化实体。作者通过理论分析证明了框架满足强公平性（即无法伪造或篡改估值结果）和安全性，并通过实验评估了计算和通信开销，表明其在合理资源消耗下可实现可验证性。该工作为FL中的数据估值提供了可信、公平的解决方案，尤其适用于对隐私和公平性要求高的场景。

本文提出了一种基于多密钥同态加密（MK-HE）的隐私增强零阶联邦学习协议，适用于无线信道环境。传统联邦学习中的同态加密方法主要依赖单密钥方案，需要信道估计或预均衡来补偿无线衰落，且单密钥方案易受诚实但好奇的客户端攻击——一旦某个客户端密钥泄露，整个网络的安全性将受损。多密钥HE方案为每个设备分配独立密钥，提供更强的客户端级安全性。然而，多密钥HE在无线信道上的聚合面临挑战：不同用户的密文在信道上叠加会产生干扰。本文设计了一个四阶段协议，利用xMK-CKKS（一种知名的多密钥HE方案）在共享无线信道上实现无信道估计的聚合。协议通过重传部分公钥和密文利用相同信道实现，使得解密过程中占主导的大模数加密项代数相消。该协议与零阶联邦学习结合，适用于慢变视距主导信道，每个设备每轮仅传输一个加密标量，通信和加密开销与模型维度无关。理论证明，解码后的加密噪声将收敛率保持在O(1/√K)水平，直至可忽略的噪声基底。协议对诚实但好奇的服务器与最多N-1个客户端合谋的场景安全。MNIST数据集上的数值实验验证了理论分析。

联邦学习在保护数据隐私的同时，面临来自恶意客户端的模型投毒攻击威胁，现有防御方法多依赖固定阈值或固定聚类数量来区分恶意梯度与良性梯度，难以适应动态变化的攻击策略，且由于客户端本地数据异构性，容易误丢弃良性梯度。针对这些问题，本文提出一种增强聚类聚合（EnCAgg）方法，利用少量已知良性客户端作为参考，在恶意客户端数量未知且动态变化的情况下，准确识别并过滤恶意梯度，同时尽可能保留良性梯度。具体而言，首先设计基于密度的低维梯度聚类方法，将高维梯度投影到差异最大的两个维度上，采用密度聚类识别恶意梯度，同时保留聚类良性梯度和可能为良性的离群点；其次，提出增强聚类低维梯度生成器模型，学习生成与良性簇边界对齐的伪梯度，作为连接稀疏良性梯度离群点的桥梁；最后，引入低维梯度重聚类，将生成的伪梯度与真实梯度共同聚类，恢复被误分类为噪声点的良性梯度，使更多良性梯度参与聚合。在MNIST、CIFAR-10和MIND数据集上的大量实验表明，该方法在动态投毒场景下具有优异的保真度和鲁棒性。

联邦学习通过不传输原始数据的方式实现分布式模型训练，但平均聚合方法受非独立同分布（non-IID）数据的严重影响，导致收敛速度慢和模型精度下降。现有替代方案具有显著的低效性：带有噪声或高度异构数据的客户端贡献了昂贵的梯度计算，这些计算在聚合前往往被丢弃或大幅降权。这种被动方法浪费计算资源、需要更多通信轮次，并导致不必要的隐私暴露。本文提出一种主动客户端选择框架，旨在训练开始前找到一组最优客户端联邦，其组合数据满足效用和公平性要求。该方法利用从差分隐私列联表计算出的互信息，来量化联合数据集中跨特征相关性的相关性。引入潜在联邦损失（PFL）函数，该函数平衡两个目标：最大化集体数据效用，同时确保公平的跨特征相关性以防止群体不公。将客户端选择表述为在PFL目标上的最优子集搜索问题，使用模拟退火算法求解，并为客户端本地统计提供强差分隐私保证。在四个基准上的实验表明，与均匀采样甚至使用最先进的自适应聚合或采样策略相比，在最优联邦上训练的模型更快、更公平、更准确。

该论文提出了一种高效的联邦学习因果遗忘方法 HF-KCU，用于在不完全重训练的情况下移除特定客户的数据贡献，以满足隐私法规（如 GDPR）的数据删除要求。传统方法从头重训练计算成本极高（O(d^3)），而 HF-KCU 通过 Krylov 子空间中的共轭梯度迭代近似影响函数，将复杂度降至 O(kd)（k<<d）。其核心创新包括：(1) 因果加权机制，仅让持有被删除数据的客户端接收参数更新，避免对其他客户端产生虚假影响；(2) 能够处理有界对抗性扰动（对 Hessian 和梯度的扰动），在现实威胁模型下提供优雅的性能退化。实验在 CIFAR-10、MNIST、Fashion-MNIST 上使用 ResNet-18、SimpleCNN 和 ViT-Lite 架构验证：在 CIFAR-10 上，HF-KCU 比重训练快 47.75 倍，测试精度仅下降 0.60%（71.16% vs 71.76%）；成员推理攻击在遗忘集上的成功率为 0.499，与重训练模型一致，证明有效恢复了隐私。论文还提供了收敛性保证，证明 Krylov 近似误差随 O((κ^(1/2)-1)/(κ^(1/2)+1)) 衰减（κ 为 Hessian 条件数）。该方法的精确性和效率使其适用于异步删除请求且计算预算受限的生产联邦学习系统。

本文提出一个名为XAI FL-IDS的分布式入侵检测系统框架，旨在解决传统集中式IDS存在的两大局限：隐私泄露和缺乏可解释性。当前大多数IDS依赖集中式检测，要求IoT节点将原始数据发送至服务器，不仅增加网络开销，也无法保证数据隐私；同时，传统模型仅报告攻击与否，却不解释特征如何影响决策。作者首先通过联邦学习（FL）实现隐私保护：每个节点在本地训练数据，仅将更新参数（而非原始数据）上传至中央服务器，从而消除数据转移的隐私顾虑。其次，在本地节点和中央服务器两个层级的检测结果上，均使用SHAP（Shapley Additive Explanations）进行可解释性分析，提供决策过程的详细洞察。框架包含一个中央服务器和10个客户端，采用Edge-IIoTset数据集，并在客户端间均衡分布类别。每个客户端运行XGBoost模型。实验表明，该方法在入侵检测中表现稳健，准确率超过99%，有时可达100%。联邦学习的引入保证了每个本地节点网络信息的机密性。本文贡献在于将联邦学习与可解释AI有机结合，为分布式IDS提供了隐私保护与透明度兼具的解决方案。

本文针对空中联邦学习（OTA-FL）系统中的后门攻击漏洞提出了一种两阶段鲁棒聚合防御框架。OTA-FL利用无线信道的叠加特性提升通信效率，但该特性也导致参数服务器无法获取单个客户端的本地更新，从而难以识别和排除被投毒的梯度。此外，在非独立同分布（Non-IID）训练数据下，良性梯度的漂移可能与恶意更新高度相似，进一步加剧了检测难度。为此，作者首先为每个客户端分配一个模态感知的多指标信任分数，根据数据模态（如波形、文本、图像）和模型架构选择最具区分力的指标以捕捉后门更新的特征。基于该分数，参数服务器执行基于信任的多址接入（TBMA），将客户端分为可信、可疑和恶意三类。对于可疑客户端，进一步通过服务器侧的逐层检查和纵向声誉机制进行审查。在多个数据集上的实验表明，该方法能有效抑制多种隐蔽后门攻击（包括有界缩放攻击、欧几里得约束攻击、余弦约束攻击和Neurotoxin），同时保持主任务精度。该研究为OTA-FL的安全部署提供了重要理论支持。

该论文提出了一种用于网络入侵检测的新型联邦学习方法，旨在解决传统联邦学习假设各参与机构数据分布同质的问题。作者指出，不同机构（如金融公司与政府机构）的安全控制成熟度、风险暴露程度存在显著差异，导致其本地模型训练数据本质不同。论文从ISACA的CRISC框架中选取了四个治理指标：控制成熟度（CMM）、已实施控制比例（KCI）、风险指标激活频率（KRI）和平均漏洞评分（CVSS），并将其结合为一个机构一致性指数（ICC）。该指数作为正则化先验，输入到Nelder-Mead联邦权重优化器中，引导权重分配反映机构质量，而不强加固定分配。每个节点训练一个混合朴素贝叶斯分类器，结合分类和连续属性处理。服务器端将本地分布集成为真实高斯混合，保留各节点的统计特性，而非合并为全局参数向量。在NSL-KDD（2009）、CIC-IDS2017（2017）和UNSW-NB15（2015）三个数据集上，在七种狄利克雷异构程度下进行验证。结果表明，ICC正则化方法在F1宏平均上均优于按比例大小的联邦平均：0.9135 vs 0.9076（+0.0059）、0.7556 vs 0.6771（+0.0785）和0.2110 vs 0.2060（+0.0050）。在94个配置中有70个达到统计显著性（McNemar检验，p<0.05）。优化器自动将最高权重分配给机构成熟度最高的节点，最低权重分配给成熟度最低的节点，无需显式排序约束。

该论文针对半导体供应链中假冒集成电路（IC）带来的安全威胁，提出了一种基于联邦学习的隐私保护协同检测方案。传统联邦学习易受拜占庭数据投毒攻击，导致模型聚合被污染。作者设计了一个轻量级的客户端认证框架FedEDAuth，在联邦学习的嵌入层进行身份验证。该方法利用黄金数据集生成参考嵌入分布，通过异常值分析、均值偏移检测和微聚类行为特征，在不访问原始数据或梯度的情况下识别并过滤恶意客户端。实验设置50个分布式参与者，在拜占庭投毒攻击下，FedEDAuth实现了100%的恶意客户端检测率，过滤后联邦模型对假冒IC的分类准确率达到94.17%。该框架可无缝集成到标准联邦学习流程中，为下一代硬件安全解决方案提供了可信联邦学习的关键技术支撑。

本文提出了一种名为 DisAgg 的新型安全聚合协议，用于联邦学习中的隐私保护。在传统联邦学习中，客户端更新直接暴露给中央服务器，存在隐私风险。现有的安全聚合方案虽然能抵御诚实但好奇的服务器，但通常存在通信轮数多、公钥操作重、难以处理客户端掉线等问题。最近提出的单轮私有聚合（OPA）虽然减少了通信轮数，但引入了大量的密码学和计算开销。DisAgg 通过引入一个由少量客户端组成的聚合器委员会来执行聚合操作：每个客户端使用秘密共享将其更新向量分发给聚合器，聚合器本地计算部分和，只返回聚合后的份额给服务器进行重构。这种设计消除了本地掩码和昂贵的同态加密，降低了端点的计算复杂度，同时保护了隐私（抵御好奇的服务器和有限数量的合谋客户端）。通过优化通信与计算成本的权衡，DisAgg 在处理来自 100k 个 5G 客户端的 100k 维更新向量时，相比于之前的最佳协议 OPA 实现了 4.6 倍的加速。论文通过理论分析和实验验证了 DisAgg 在效率、隐私保证和可扩展性方面的优势。

联邦学习（FL）极易受到后门攻击的影响，恶意客户端会向全局模型中注入特定行为。现有的防御方法在真实世界的非独立同分布（non-IID）数据下存在较高的误报率，会错误地将良性客户端标记为恶意，即使正确识别了对手也会导致模型精度下降。本文提出了一种新颖的后门防御方法FedSurrogate，它通过结合双向梯度对齐过滤与层自适应异常检测来解决这一局限性。FedSurrogate通过方向散度分析识别安全关键层，并在这些层上进行选择性聚类，将检测信号集中到低维子空间中。双向软过滤阶段对受信任的客户端进行筛选以去除残留污染，同时从可疑客户端中救回误报，显著减少了异构条件下的误分类。FedSurcore不直接移除确认的恶意更新，而是用来自结构相似的良性客户端的降尺度替代更新来替换它们，从而在保持梯度多样性的同时中和对抗性影响。大量实验表明，FedSurrogate在所有数据集和攻击类型下将误报率保持在10%以下（最接近的可比较基线为31-32%），同时在具有挑战性的non-IID设置下实现了更高的主任务准确率，并将攻击成功率保持在2.1%以下。

本文提出一种名为 DP-LAC 的轻量级自适应裁剪方法，用于解决联邦学习（FL）中差分隐私（DP）随机梯度下降（DP-SGD）的裁剪阈值自调整问题。在联邦微调大规模语言模型（LLM）时，DP-SGD 通过裁剪每个客户端贡献的梯度范数至阈值 C 并添加与 C 成比例的高斯噪声来保护隐私。现有的自适应裁剪方法虽然能动态调整 C，但需要繁琐的超参数调优，且可能消耗额外的隐私预算。DP-LAC 首先通过私有直方图估计在最优阈值的一个数量级内估算初始裁剪阈值，随后在训练过程中在不消耗额外隐私预算且不引入新超参数的情况下自适应调整该阈值。实验结果表明，DP-LAC 在多个任务上平均准确率比当前最优自适应裁剪方法和原始 DP-SGD 提高 6.6%，显著提升了模型效用与隐私保护之间的权衡。该方法特别适用于资源受限的边缘设备场景，为联邦学习中差分隐私的实用化提供了轻量级解决方案。

本文提出了一种针对语言模型联邦学习（FL）训练过程的梯度反转攻击方法GRAB。以往研究表明，梯度反转攻击在视觉模型的连续域中威胁显著，但在语言模型中由于文本数据的离散性，攻击效果通常被认为较弱或依赖于不切实际的训练设置，导致其隐私威胁被低估。GRAB通过混合优化策略克服了实际训练中的挑战：首先，通过层间dropout掩码的同步优化来提升令牌恢复的准确性；其次，采用离散优化以实现有效的令牌排序。实验表明，GRAB在基准设置下可恢复高达92.9%的私有训练数据，相比仅使用辅助模型进行离散优化的攻击方法，恢复率提升达28.9%；在实际设置下提升达48.5%。该工作揭示了联邦学习语言模型训练中此前被忽视的隐私风险，为理解这一新兴训练模式的隐私威胁提供了重要进展。适合关注联邦学习隐私安全的研究人员、语言模型开发者以及安全工程师阅读。

本文提出 Flamingo，一种用于大规模客户端数据安全聚合的系统，特别针对联邦学习中的多轮聚合场景。联邦学习中，服务器需要多次对客户端提交的模型权重进行求和（平均）以训练模型，但必须保证不泄露任何客户端的个体输入。现有协议如 Bell et al. (CCS '20) 主要针对单轮设计，通过重复执行来适应多轮场景，这导致每轮都需要昂贵的设置操作。Flamingo 的主要创新包括：1）消除了每轮设置，大大降低了通信和计算开销；2）提出了一种轻量级的 dropout 弹性协议，当客户端在聚合过程中中途退出时，服务器仍能获得有意义的结果，而无需像之前方案那样重新开始或丢弃整个聚合；3）引入了一种新的本地选择“客户端邻域”的方法（该概念由 Bell et al. 引入），使得每个客户端可以自主决定参与聚合的合作伙伴，从而减少客户端与服务器之间的交互次数。这些技术显著缩短了端到端训练时间。作者实现了 Flamingo 并在 (Extended) MNIST 和 CIFAR-100 数据集上进行了评估，结果表明它能够安全地训练神经网络，且模型收敛精度与无隐私保护的联邦学习系统相当，未出现精度损失。本文适合对联邦学习隐私保护、安全多方计算、高效密码协议感兴趣的研究者和工程师阅读。

联邦学习（FL）面临诸多安全攻击，但学界对其根本原因及有效防御缺乏整体理解。本文系统剖析了现有定向攻击的内部机制，揭示了攻击可行的原因在于：机器学习算法对尾部数据的记忆需求对FL完整性产生重大影响——这一现象此前主要被研究为隐私问题，本文首次阐明了其对模型完整性的关联。通过分析，作者发现对客户端更新施加范数约束（如L2和L∞界）可以显著缓解某些严重攻击。然而，在安全聚合协议中高效实施这些约束面临挑战，因为加密的梯度更新无法直接验证。为此，本文提出RoFL，一种新型安全FL系统，它在安全聚合的基础上扩展了隐私保护的输入验证功能。RoFL利用密码学技术，在不暴露明文更新的前提下，对高维加密模型更新强制执行L2和L∞界约束。实验表明，RoFL在保持模型准确率的同时，能有效防御多种投毒攻击，为FL的鲁棒性提供了可证明的保障。该工作为理解FL攻击的本质及设计实用防御方案提供了理论基础和实践指南。

本文提出 martFL，一种专为安全、可验证的数据市场设计的联邦学习架构。在数据市场中，数据需求方（DA）需要从多个数据提供方（DP）获取高质量训练数据，但直接交换原始数据存在隐私风险。联邦学习通过交换模型或梯度来传递数据效用，但现有架构存在三个关键挑战：1) DA 无法在交易前私下评估各 DP 提交的本地模型质量；2) 现有聚合协议难以有效排除恶意 DP，同时避免对 DA 可能有偏的根数据集过拟合；3) 缺乏公正的计费机制来按贡献分配奖励。martFL 通过两项创新设计解决上述问题：首先，一个质量感知的模型聚合协议，使 DA 即使在根数据集有偏的情况下，也能从聚合中排除低质量或投毒的本地模型；其次，一个可验证的数据交易协议，使 DA 能够以简洁且零知识的方式证明其已按照承诺的权重忠实地聚合了这些本地模型，从而允许 DP 根据其权重/贡献明确索取奖励。作者实现了 martFL 原型，并在多种任务上进行了广泛评估。结果表明，martFL 可将模型准确率提升高达 25%，同时节省高达 64% 的数据获取成本。该工作适用于联邦学习、数据市场、隐私计算等方向的研究者和工程师。

该论文提出了一种名为 FedAttr 的新协议，用于在联邦学习（FL）环境下对大型语言模型（LLM）微调过程进行客户端级别的归属分析。传统的基于水印的放射性检测方法已证明在集中式LLM微调中有效，但在联邦学习中面临挑战：联邦学习依赖安全聚合（SA）来保护客户端更新的隐私，这使得检测哪个客户端使用了带水印的数据变得困难。FedAttr 通过配对子集差分机制实现客户端归属，同时不破坏安全聚合的隐私保证和联邦学习性能。协议分三步：首先，通过两次安全聚合查询的差分估计每个客户端的更新；其次，利用差分评分机制通过水印检测器对估计结果打分；最后，使用Stouffer方法跨轮次合并分数。理论分析表明，FedAttr 能产生每个客户端更新的无偏估计，且每轮互信息泄漏量为 O(d*/N)。实验结果显示，FedAttr 在真实数据集上实现了100%的TPR和0%的FPR，在TPR上至少优于所有基线44.4%，在FPR上至少优于19.1%，且仅增加FL训练时间6.3%的额外开销。消融研究证实了其对协议参数和配置的鲁棒性。该工作填补了联邦LLM微调中隐私保护客户端归属的空白，特别适用于数据版权保护场景。

该论文提出了一个名为CLAD的综合框架，用于解决物联网（IoT）和工业物联网（IIoT）环境下的入侵检测问题。随着IoT设备的激增，网络攻击面大幅扩大，传统集中式入侵检测系统面临隐私和扩展性挑战。联邦学习（FL）提供了一种隐私保护方案，但现有FL-based IDS难以处理设备行为的异质性，且通常无法利用大量未标注数据。CLAD通过结合聚类联邦学习（CFL）和一种新颖的双模式微架构（DM²A）来同时解决这两个瓶颈。DM²A包含一个共享编码器和两个分支，分别用于无监督异常检测和有监督攻击分类，从而能够从标注和未标注客户端中提取知识。聚类组件根据流量模式动态分组设备，防止全局模型发散。实验表明，在80%未标注客户端的场景下，CLAD相比现有基线方法实现了30%的检测性能相对提升，且通信开销减半。该框架适合关注隐私保护型IDS、联邦学习在网络安全中应用的研究者和工程师。

本论文提出一种针对联邦学习的训练时后门攻击方式，使恶意服务器能够系统性地提取客户端完整训练样本。传统数据提取方法往往只能概率性重建或产生幻觉，无法精确恢复原始数据。该方法通过修改训练过程，在模型中嵌入一个后门触发器，当输入特定索引模式时，模型会直接输出对应训练样本。由于输出尺寸限制，攻击者将样本分割为多个补丁依次提取，并在服务器端重组。攻击仅需对训练代码做微小修改，客户端验证难以察觉，构成联邦学习供应链安全威胁。实验覆盖分类器、分割模型和大语言模型，显示可以数千计地恢复敏感样本，且对主任务性能影响极小（如医学分割数据集仅降低3%准确率）。研究揭示了联邦学习系统中数据隐私的重大漏洞，强调加强分布式训练管道完整性和透明性的必要性。适合联邦学习安全研究员、隐私保护工程师阅读。

该论文提出 ZKSL，一个可验证且高效的拆分/联邦学习框架，将训练过程与零知识证明相结合。核心目标是实现联邦学习的隐私保护与可验证正确性，同时避免高昂的证明开销。ZKSL 通过三个设计支柱实现： (i) 层间并行证明，逐层生成证明并聚合； (ii) PC-PLONK，引入专用的隐私承诺列来高效强制执行跨层一致性，避免在电路内进行哈希（在论文规模下不可行）或脱离电路进行哈希（破坏零知识信任模型）； (iii) 异步计算-证明调度（K-window），将随机梯度下降与证明解耦，使训练过程不会因证明生成而停滞。论文提供了开源原型，包括立即可用的配置和脚本，可复现 LeNet（两方）和 DeepFM（三方）上的关键结果。它产生结构化日志，记录前向/梯度/反向各阶段的证明生成时间。预期结果是，在启用分层并行时，前向和反向阶段的证明时间显著减少，并且在异步调度下端到端吞吐量更高，与论文图表中报告的趋势一致。该工作适合关注隐私保护机器学习、联邦学习安全性和可验证计算的研究人员和工程师阅读。

该论文提出了一种基于图的网络入侵检测系统（GNIDS）与联邦学习（FL）相结合的方法 Entente，旨在解决传统 GNIDS 在分布式数据收集场景下因隐私法规和运营限制而难以实现集中式数据的问题。现有 GNIDS 主要假设数据集中存储，但现实中不同组织的数据可能因隐私保护无法共享。作者利用联邦学习使得多个客户端（如不同组织的网络）在不共享原始数据的情况下协同训练检测模型。然而，直接将 FL 应用于 GNIDS 面临挑战：不同客户端之间的图数据存在异构性（例如网络拓扑结构差异），且不同 GNIDS 的设计选择不同。为此，Entente 引入了一套针对图数据集的新技术：参考图合成（Reference Graph Synthesis）用于生成统一的参考图以缓解异构性；图草图（Graph Sketching）用于高效地压缩图数据并保留关键结构信息；自适应贡献缩放（Adaptive Contribution Scaling）用于平衡各客户端对全局模型的贡献，防止某些客户端主导训练。实验使用三个大规模数据集（LANL、OpTC 和 Pivoting）进行评估，结果显示 Entente 在检测准确率和鲁棒性上优于现有的 FL 基线方法。此外，论文还针对 GNIDS 场景设计了特定的联邦学习投毒攻击，并证明 Entente 能够将攻击成功率限制在较低水平，展现了其鲁棒性。总体而言，该研究为构建跨组织边界的分布式 GNIDS 提供了有前景的方向。

本文提出了一种名为 WhiteCloak 的协议，旨在解决联邦学习安全聚合场景下匿名恶意客户端的问责问题。在安全聚合中，客户端数据通过加密手段聚合，保护了用户隐私，但也使得恶意客户端可以匿名破坏模型而不被追责。WhiteCloak 通过一种可验证的匿名身份绑定机制，在聚合过程中为每个客户端生成唯一但匿名的凭证，使得服务器在聚合后能够识别并排除恶意客户端，同时不泄露其真实身份。该协议结合了密码学承诺、零知识证明和可追溯签名，实现了隐私保护与问责性的平衡。实验表明，WhiteCloak 在额外计算开销可接受的前提下，有效提升了联邦学习系统的安全性。

联邦学习（FL）允许多个客户端协同训练模型而不共享原始数据，但面临梯度反转攻击（GIA）的威胁，攻击者可从共享梯度中重建私有数据。现有防御方法要么在嵌入式平台上计算开销过高，要么无法同时保证隐私保护和模型效用，且许多方法易被了解防御细节的自适应攻击者绕过。为此，本文提出SVDefense，一种基于截断奇异值分解（SVD）的梯度混淆防御框架。SVDefense包含三项关键创新：1）自适应能量阈值（Self-Adaptive Energy Threshold），根据客户端脆弱性动态调整SVD截断阈值；2）通道级加权近似（Channel-Wise Weighted Approximation），有选择地保留关键梯度信息以维持模型训练效果，同时增强隐私保护；3）层级加权聚合（Layer-Wise Weighted Aggregation），在类别不平衡下实现有效的模型聚合。实验评估在图像分类、人类活动识别和关键词识别等多个应用上表明，SVDefense在提供强大隐私保护的同时对模型精度影响极小，且可在多种资源受限的嵌入式平台上实际部署。论文若被接收将公开代码。

本文针对联邦学习（FL）中梯度、模型更新和发布表示可能泄露敏感属性的隐私问题，提出了一种名为高斯隐私保护器（Gaussian Privacy Protector, GPP）的数据发布框架。GPP针对连续高维输入，学习一个随机编码器，将原始数据映射到低维的消毒表示。编码器通过变分下界最小化发布表示与指定敏感属性之间的互信息，同时通过交叉熵项保留指定效用属性，并引入拉格朗日乘子β控制权衡。随后，作者将GPP扩展到联邦设置：每个客户端训练本地编码器，敏感标签不出客户端，聚合器仅接收消毒表示，从而在标准FL的“原始数据保留本地”保证之上提供实例级隐私保护。在三个基准数据集上评估：MNIST（数字和效用、奇偶敏感）、CelebA（微笑与性别）和HAPT-Recognition（活动与主体身份），结果表明GPP的效用与无约束自编码基线相差约一个百分点，同时将对手的AUC降至接近随机猜测水平。该方法为隐私敏感型应用（如医疗传感器、物联网设备、可穿戴设备）中的数据发布提供了一种有效的隐私-效用权衡方案。

本文针对联邦学习中的隐私保护问题，提出了一套完整的隐私保护机器学习工作流，专注于敏感表格数据。首先，结合匿名化与差分隐私技术，在数据层面和模型训练层面提供隐私保障。其次，对客户端漂移（client drift）给出了正式定义，并设计了检测方法以减轻投毒攻击的影响。核心贡献在于提出了一种基于重识别风险度量的个性化全局差分隐私预算分配方法，允许为网络中不同客户端分配差异化的隐私预算。在公开的医疗记录数据集上的实验表明，与固定全局差分隐私预算的方案相比，所提出的个性化预算方法在两个误差指标上取得了更优的模型性能。该工作流涵盖了从数据预处理到模型聚合的全流程，为敏感数据场景下的联邦学习实践提供了系统性的隐私保护框架。

联邦学习（FL）易受到投毒攻击，恶意客户端会上传篡改的模型更新以降低全局模型的性能。现有的检测方法虽能识别并移除恶意客户端，但模型已受污染，仍需恢复。从头再训练虽然有效但成本高昂，而现有的遗忘方法在效果和效率上均不理想。本文提出联邦对抗遗忘（FAUN），一种轻量级框架，仅保留恶意客户端最近一小段更新历史，并利用代理数据集进行对抗优化，生成能消除恶意方向的更新。通过少量遗忘轮次应用这些更新，随后进行良性微调，即可快速移除恶意影响并稳定恢复。在三个经典数据集上的实验表明，FAUN 能达到与再训练相当的恢复效果，且所需轮次大幅减少，攻击成功率降至接近零，证明了 FAUN 成功消除了被遗忘客户端的贡献。

本文提出了一种针对联邦学习（FL）中拜占庭攻击的多层防御自适应聚合方法（AdaBFL）。联邦学习允许客户端在不共享原始数据的情况下协作训练模型，但其分布式特性使其容易受到投毒攻击，恶意客户端可能提交损坏的模型以操纵全局模型。现有的拜占庭鲁棒方法要么无法平衡对抗多种攻击类型，要么依赖服务器持有数据集。为此，AdaBFL设计了一个新颖的三层防御机制：第一层通过统计检测异常更新，第二层采用加权平均聚合，第三层自适应调整各防御算法的权重以应对复杂攻击。该方法在非凸非独立同分布（non-iid）数据设置下提供了收敛性保证。在多个数据集上的实验表明，AdaBFL在防御效果上优于对比算法，且能有效应对多种攻击类型的混合场景。研究贡献包括：提出自适应多层防御框架、证明收敛性、以及实验验证鲁棒性。适合联邦学习安全研究者及关注隐私保护与鲁棒性的工程师阅读。

联邦学习（Federated Learning）因其能够保护参与者数据隐私而闻名。然而，近期出现的模型逆向攻击（Model Inversion Attacks, MIAs）表明，恶意的参数服务器可以从模型更新中重建用户的本地数据样本。现有的最先进攻击要么依赖计算密集型的迭代优化方法来重建每个输入批次，导致难以扩展；要么需要恶意参数服务器在全局模型架构前添加额外模块，使得攻击过于显眼且容易被检测。为了克服这些局限，本文提出了Scale-MIA，一种新型的模型逆向攻击，能够高效且准确地从聚合模型更新中重建本地训练样本，即使系统受到鲁棒的安全聚合（Secure Aggregation, SA）协议保护。Scale-MIA利用模型的内部架构，将潜在空间（Latent Space）识别为破坏隐私的关键层。它将复杂的重建任务分解为创新的两步过程：第一步，利用精心设计的线性层，通过闭式反演机制从聚合模型更新中重建潜在空间表示（LSRs）；第二步，将LSRs输入微调后的生成式解码器，重建整个输入批次。作者在常用机器学习模型上实现了Scale-MIA，并在多种设置下进行了全面实验。结果表明，与最先进的MIAs相比，Scale-MIA在不同数据集上均取得了优异的性能，在更大规模下表现出高重建率、高准确性和高攻击效率。代码已开源。