本文研究了联邦排序学习（Federated Ranking Learning, FRL）的鲁棒性问题。FRL是一种先进的联邦学习框架，其特点是通信效率高且对投毒攻击具有韧性。与传统联邦学习不同，FRL采用离散排名而非梯度更新，从而大幅降低通信成本并限制恶意更新的空间；同时，服务端通过多数投票机制确定全局排名，每个客户端仅贡献一票，因此单个更新的影响极小。然而，作者通过理论分析证明，FRL并非固有鲁棒，某些边（即模型中的特定权重连接）对投毒攻击特别脆弱。他们推导了每个层中识别这些脆弱边的下界和上界，并提出了一种针对FRL的新型本地模型投毒攻击——脆弱边操纵（Vulnerable Edge Manipulation, VEM）攻击。该攻击通过识别并扰动每层中最脆弱的边，并利用优化方法最大化攻击效果。在基准数据集上的大量实验表明，VEM攻击达到了53.23%的整体攻击影响，且影响效果是现有方法的3.7倍。该工作揭示了基于排名的联邦学习系统中存在的显著漏洞，并强调了开发新型鲁棒联邦学习框架的紧迫性。适合对联邦学习安全、投毒攻击防御感兴趣的研究人员阅读。

局部差分隐私（LDP）是一种允许用户扰动数据以提供合理否认性的隐私保护技术，但这也使其容易受到投毒攻击。本文首次提出针对排名估计的新型投毒攻击。与简单的频率调整不同，攻击者利用有限数量的假用户精确修改物品频率，从而改变排名以最大化收益。为了应对这一挑战，作者引入了攻击成本和最优攻击物品（集合）的概念，并针对kRR、OUE和OLH三种LDP协议提出了相应策略。对于kRR，采用迭代选择最优攻击物品并分配假用户的方法；对于OUE，迭代确定最优攻击物品集并考虑不同集合间频率的增量变化；对于OLH，基于哈希的原像开发了调和成本函数以支持更多有效攻击物品。此外，还提出了一种基于置信水平的攻击策略，更精确地量化攻击成功概率和迭代次数。通过理论和实验证据证明了攻击的有效性，强调了防御的必要性。代码和数据已开源。本文适合隐私保护、差分隐私安全及数据投毒防御领域的研究人员阅读。

本文研究了针对现代恶意软件检测管道的灰盒投毒攻击模型。现代检测系统通常依赖持续数据摄入和机器学习来应对大量新型威胁。作者利用secml_malware框架，通过功能保留的操纵（具体为导入地址表IAT和节注入）生成问题空间对抗性二进制样本。他们评估了这些投毒样本被摄入到基于LightGBM的恶意软件检测模型训练集时的影响。实验结果表明，基于IAT的微妙扰动能够生成紧凑的投毒样本，显著降低检测召回率。这些发现揭示了在连续学习系统中开发低可视性对抗扰动同时保持高投毒效能的固有挑战。此外，作者评估了一种基于同质集成的防御机制，该机制能够成功识别并过滤高达95.6%的投毒尝试，同时保持对合法数据的高保留率。该工作强调了在生产管道中进行鲁棒的摄入前验证的必要性。本文适合安全工程师、对抗性机器学习研究人员以及恶意软件检测系统的开发人员阅读。

本文提出了一种针对联邦学习（FL）中拜占庭攻击的多层防御自适应聚合方法（AdaBFL）。联邦学习允许客户端在不共享原始数据的情况下协作训练模型，但其分布式特性使其容易受到投毒攻击，恶意客户端可能提交损坏的模型以操纵全局模型。现有的拜占庭鲁棒方法要么无法平衡对抗多种攻击类型，要么依赖服务器持有数据集。为此，AdaBFL设计了一个新颖的三层防御机制：第一层通过统计检测异常更新，第二层采用加权平均聚合，第三层自适应调整各防御算法的权重以应对复杂攻击。该方法在非凸非独立同分布（non-iid）数据设置下提供了收敛性保证。在多个数据集上的实验表明，AdaBFL在防御效果上优于对比算法，且能有效应对多种攻击类型的混合场景。研究贡献包括：提出自适应多层防御框架、证明收敛性、以及实验验证鲁棒性。适合联邦学习安全研究者及关注隐私保护与鲁棒性的工程师阅读。