摘要 去中心化联邦学习不依赖中央服务器,解决了传统联邦学习中存在的服务器单点故障问题,但同时也带来了更严重的隐私泄露和拜占庭攻击风险.现有的隐私保护与拜占庭鲁棒研究主要面向传统联邦学习,难以适用于去中心化场景.为此,本文提出了一种隐私保护和拜占庭鲁棒的去中心化联邦学习方案SDFL(secure decentralized federated learning).该方案采用客户端–委员会架构,通过随机选择的委员会进行模型聚合,基于可验证秘密共享和零知识证明技术设计隐私保护与抗拜占庭攻击方法.安全性分析表明SDFL在去中心化场景下兼具隐私性与拜占庭鲁棒性;采用多种机器学习模型在MNIST和Fashion-MNIST数据集上的实验结果进一步验证了SDFL能够有效抵抗拜占庭攻击,同时保障模型分类准确率与高效性.

关键词 联邦学习; 隐私保护; 拜占庭鲁棒; 可验证秘密共享; 零知识证明; federated learning; privacy protection; Byzantine robustness; verifiable secret sharing; zero knowledge proof

摘要 联邦学习能够在数据本地私有的前提下实现跨设备协同训练,但在实际应用中仍面临隐私泄露和投毒攻击两大安全瓶颈.差分隐私和鲁棒聚合作为各自领域的主流防御方法,在耦合应用时存在固有的内在冲突:差分隐私所注入的随机噪声一方面放大了良性更新的分布方差,另一方面也为恶意更新的系统性偏移提供了掩护,使得两者难以有效区分.为此,本文提出自适应拜占庭鲁棒差分隐私联邦学习方法 AByzDPFL,旨在通过降低噪声维度并放大模型间的几何差异来提高可区分度.在客户端侧,基于Fisher信息的私有选择机制动态筛选关键参数坐标,仅在该低维子空间中注入噪声并完成更新,从而显著减少噪声维度,降低良性模型的方差.在服务器侧,使用谱嵌入降维突出本征几何结构,随后根据噪声尺度自适应聚类半径,从而包容受噪声扰动的良性模型,并有效剔除超出噪声范围的系统性偏移.进一步地,通过自适应中值范数裁剪抑制簇内的高幅值异常更新.理论分析证明了所提方法的隐私损失和收敛性上界,实验表明AByzDPFL在兼顾隐私性和鲁棒性的同时,性能优于现有的主流基线.

关键词 联邦学习; 差分隐私; 拜占庭鲁棒; 选择性更新; 噪声自适应; federated learning; differential privacy; Byzantine robustness; selective update; noise adaptation

摘要 车载网络正面临日益严峻的隐私泄露威胁.然而,现有研究方案多依赖于路侧基础设施的完备性,这导致其在路侧单元损坏等无辅助计算场景中,存在数据泄露、认证机制失效及内部恶意攻击等多重安全风险.为此,本文提出一种基于区块链的无辅助计算车载网络联邦学习隐私保护方案.首先,通过设计一种组成员动态管理机制,依托区块链去中心化、不可篡改和可追溯的特性,实现车辆之间的高效认证过程,并且能够精准应对组成员的动态变化.其次,进一步引入联邦学习范式,构建交通流量预测模型,完成对车辆隐私数据的保护和跨区域交通流量预测,从而实现数据价值释放与隐私保护的平衡.最后,在随机响应模型下,基于椭圆曲线离散对数问题证明了所提方案的安全性;同时使用启发式分析对所提方案的安全属性进行验证.性能评估结果表明,随着组成员规模的递增, BFL-P3S的计算效率增幅最高达到46.6%,显著优于现有同类方案,从而全面验证其综合性能的优越性.

关键词 车载网络; 隐私保护; 联邦学习; 组密钥协商; 区块链; vehicular network; privacy preserving; federated learning; group key agreement; blockchain

摘要 联邦遗忘学习(federated unlearning)能够从已学习的模型中删除某些特定客户端数据及这些数据对联邦学习全局模型的影响,从而支持赋予“被遗忘权”.实现遗忘最直接的方法是从头开始训练模型,但高额的计算成本限制了重训练的可行性.现有的联邦遗忘方法大都通过移除目标客户端历史贡献或采用梯度上升逐步调整模型来达到遗忘目标.然而,存储历史梯度和性能恢复训练均面临较高的存储和通信开销,限制了联邦遗忘效率.此外,联邦遗忘学习的隐私风险问题也有待进一步研究.因此,本文提出基于更新残差的差分隐私联邦遗忘学习机制FedUR,实现了隐私保护、模型效用与遗忘效率三者之间的有效平衡.具体地, FedUR基于差分隐私范式使得遗忘模型与重训练模型在统计意义上不可区分,提供隐私保护增强的联邦遗忘学习. FedUR创新性地利用更新残差来量化遗忘客户端对全局模型的历史影响,通过移除所有历史更新残差的加权和来实现快速遗忘,无需依赖额外的模型恢复训练过程,有效降低了存储开销并提升遗忘效率.此外, FedUR还集成了数据重要性采样和周期加权聚合策略,以减轻数据异构性对模型性能的不利影响,同时降低存储和通信开销.实验结果表明,FedUR机制在提供隐私保护的同时具有较高的遗忘效率和较好的模型效用.

关键词 联邦学习; 差分隐私; 联邦遗忘; 更新残差; 模型效用; federated learning; differential privacy; federated unlearning; update residual; model utility

摘要 机器遗忘(machine unlearning, MU)是机器学习中保护数据安全的关键技术,旨在实现从模型中选择性剔除特定数据影响的同时维持模型能力.然而,传统遗忘方法普遍依赖全量模型重训练,面临计算成本高昂与现实场景适配性不足的双重困境.本文通过融合机器遗忘的精准性与元学习的灵活性,提出了联邦场景下的新型联邦元遗忘(federated meta-unlearning, FMU)框架.该框架基于模型无关元学习(model-agnostic meta-learning, MAML)算法,结合层次化模型分解技术与加权聚合机制,不仅能够高效消除目标数据的特征印记,更可将遗忘操作对全局模型性能的影响控制在极低水平.本文的核心思想在于将联邦学习全局模型解构为可独立编辑的组件模块,响应遗忘请求时通过靶向参数修正技术对特定模块进行选择性微调或移除,再利用加权聚合机制确保模型的完整性与适应性.本文通过多类型数据集与跨模态学习任务,对FMU进行了全面实证评估,相较于4种常用遗忘方法 (传统重训练、基于MAML的重训练、SISA遗忘和基于梯度的遗忘), FMU显著降低了计算开销,同时保持卓越的模型性能与隐私标准合规性.更重要的是, FMU增强了模型对新数据和新任务的适应能力,充分验证了其在动态隐私敏感环境中的实用价值.

关键词 机器遗忘; 元学习; 联邦学习; 隐私保护; machine unlearning; meta learning; federated learning; privacy protection

摘要 对抗攻击是深度神经网络面临的主要安全威胁,其生成的对抗样本具有跨模型的攻击可迁移性.集成对抗攻击通过融合多模型优势,显著增强了攻击迁移效果.然而,现有方法多关注扰动生成策略的优化,忽视了模型间差异性对迁移能力的影响.本文从博弈论的视角分析了集成攻击中多模型间的协作与策略权衡问题,并提出一种博弈论驱动的多层次扰动集成对抗攻击GMPE.该方法基于Shapley边际贡献分配集成攻击权重,最大化模型的贡献,从而进一步提高生成对抗样本的可转移攻击能力和可解释性.本文进一步提出多层次扰动生成及梯度集成策略,通过内部迭代机制的设计,将模型多样性引入到攻击生成过程的动态采样中,更精确地捕捉整体模型对抗方向,显著增强了对抗样本的攻击成功率.本文在NIPS 2017和ILSVRC 2012两个公开数据集上验证了所提出方法的有效性,相对于最先进的攻击方法, GMPE不仅显著提高了攻击成功率,同时具有较好的可迁移性.

关键词 对抗攻击; 图像分类; Shapley值; 深度学习; 图像处理; adversarial attacks; image classification; Shapley values; deep learning; image processing

摘要 随着机器学习即服务(machine learning as a service, MLaaS)的广泛应用,其数据隐私问题日益凸显.可信执行环境(trusted execution environment, TEE)通过硬件隔离为MLaaS提供了强大的保护,尤其在防止模型参数泄露和训练数据泄露方面具有显著优势.这种隔离机制使得主流的成员推理攻击(membership inference attack, MIA)方法面临挑战:由于攻击者难以直接访问模型内部参数和状态,且受到查询频率的严格限制,现有MIA方法在TEE下效果不佳.然而,本文发现并利用了TEE保护下MLaaS存在的一个新型攻击面,提出了一种名为DMS-MIA(disk replay-based multi-metric sequence membership inference attack)的成员推理攻击方法.该方法的核心思想在于,攻击者利用对宿主机及虚拟化管理程序的控制权,对TEE保护下机密虚拟机的加密磁盘进行周期性快照与重放,获取MLaaS模型训练过程中的中间状态的输出.随后, DMS-MIA从这些历史输出中构建多维度指标的时间序列,并采用Mamba模型作为攻击模型,放大序列中的成员关系信号以识别样本的成员身份.实验结果表明,在3个图像数据集及2个非图像数据集上, DMS-MIA在诸如TPR@0.1%FPR和AUC等多项关键指标上取得了显著效果.

关键词 成员推理攻击; 可信执行环境; 机器学习; 磁盘重放; 多指标序列; membership inference attack; trusted execution environment; machine learning; disk replay; multi-metric sequence

摘要 近年来,知识蒸馏被一些研究者用于黑盒攻击并取得了显著攻击效果.然而现有基于知识蒸馏的黑盒攻击方法依然存在不足,一是采用传统知识蒸馏方法中的固定温度值,没有充分发挥温度对于提高知识蒸馏效果的作用;二是对于多教师蒸馏的场景研究较少,缺乏合理的权重分配机制,两者均不利于提高模型的迁移性.本文提出了基于改进知识蒸馏的黑盒攻击方法,采用对抗的方式训练知识蒸馏中的温度参数来迫使学生模型学习到更多鲁棒性特征,通过多教师联合蒸馏构建代理模型,并设计动态温度调控注意力机制分配多教师的权重,有效提高了代理模型的泛化能力和鲁棒性,使得生成的对抗样本具有更高的迁移性.本文在CIFAR100和ImageNet-compatible数据集上进行了广泛的实验,结果表明,所提出的方法可以有效提高攻击成功率,并能获得相较目前最先进知识蒸馏方法更优的攻击性能.

关键词 知识蒸馏; 代理模型; 对抗样本; 黑盒攻击; 迁移性; knowledge distillation; substitute model; adversarial samples; black-box attack; transferability

摘要 近年来,随着深度神经网络广泛部署于众多关键领域,关于深度神经网络的后门攻击逐渐成为亟待关注的安全隐患.然而,多数后门攻击普遍假设攻击者能够获取目标模型的原始训练数据作为辅助数据集,这显著限制了攻击方法在现实场景中的实用性.此外,依赖显式触发器以激活后门的设计亦削弱了后门的隐蔽性.为此,本文提出一种无需训练数据与触发器的后门攻击方法,以提升后门攻击的实用性与隐蔽性.所提出方法基于一种新颖的微调框架,其将恶意数据的语义融入攻击者指定类别的特征表示中,从而实现无触发器恶意样本被稳定误分类至攻击目标类.同时,为保持模型在正常样本上的原始性能,本文引入知识蒸馏机制以替代传统训练数据,并结合弹性权重约束设计参数重要性评估机制,引导模型在保留原有知识的同时实现有效注入.我们在3个具有代表性的真实数据集上对所提方法进行了系统实证研究,实验结果验证了该攻击的有效性、隐蔽性与实用性.此外,本文还进一步探索了辅助数据集与模型反演技术在提升攻击能力方面的潜力.

关键词 机器学习安全; 后门攻击; 无触发器攻击; 无数据攻击; machine learning security; backdoor attack; trigger-free attack; data-free attack

摘要 随着人工智能技术的快速发展,机器学习模型对高质量数据的需求日益迫切.在云端数据市场场景中,数据购买方通常需要在正式交易前对数据进行价值评估,以提升机器学习模型性能.然而,这种评估过程涉及敏感的模型参数与数据样本,若未妥善保护,可能造成严重的隐私泄露风险.尽管内积函数加密(inner product functional encryption, IPFE)为此类问题提供了有效的理论工具,但传统IPFE方案在实际应用中暴露出密钥滥用和计算效率低下等严重缺陷,极大限制了其在人工智能数据评估场景中的应用.本文针对上述挑战,提出了一种高效的双外包函数隐藏内积加密(function-hiding inner product encryption, FHIPE)通用框架.首先,本文引入转换密钥机制实现了解密过程的安全外包,允许客户端将复杂的解密任务委托给云端服务器,同时确保数据和函数信息的隐私性;其次,本文设计了一种优化的转换密钥生成算法,将转换密钥的计算复杂度从传统的O(n)降至常数级别O(1),有效缓解了在高维机器学习数据评估场景下的计算瓶颈问题;最后,本文进一步实现了密钥生成的安全外包,显著减轻客户端计算负担,并提出了安全的参数公开机制,有效防范了云端服务器和数据提供者共谋泄露隐私的风险.实验评估结果表明,本文提出的双外包FHIPE框架将主要计算任务有效转移至服务端,能够有效降低人工智能数据评估中客户端的计算和存储开销,具有良好的安全性、扩展性和用户友好性,特别适用于云环境下大规模机器学习数据评估等计算敏感型应用.

关键词 函数隐藏内积加密; 人工智能数据评估; 双外包; 云计算安全; 隐私保护; function-hiding inner product encryption; artificial intelligence data evaluation; dual outsourcing; cloud computing security; privacy preservation

摘要 图神经网络(graph neural networks, GNNs)在各种任务中取得了显著成功.然而,最近的研究表明GNNs容易受到攻击,特别是精心设计的对抗性扰动.现有的工作仅仅注重解决边扰动来重建图,而忽视了对GNNs内核(即消息传递)的防御.当攻击预算减少时,它们的模型鲁棒性通常会下降,这种现象称为过防御.本文提出一种新的防御算法Bandage来解决这两个问题,它独立于特定的GNN架构运行.具体来说,本文提出了一种包含两个纯化器的内核防御机制,旨在保护消息传递的输入和输出.第1个纯化器利用非极端邻居集在特征和拓扑层面上纯化图,第2个纯化器解决图结构和节点嵌入之间的不一致性,在嵌入层面上纯化图.为了实现对消息传递的防御,同时减轻过防御,本文设计了一个双向嵌套结构,它捕捉了两个相反方向的输入和输出之间的内在关系.广泛的实验表明, Bandage显著增强了GNNs的鲁棒性.与现有最优的防御方法相比, Bandage在两种受害者模型上的性能平均提高了4.2%和1.7%.

关键词 图神经网络; 对抗防御; 鲁棒性; 图纯化; graph neural networks; adversarial defense; robustness; graph purification

摘要 图神经网络因其在结构化数据建模中的优势,已广泛应用于社交推荐、医疗诊断、金融分析等涉及敏感信息的场景.然而,图神经网络在训练过程中对局部结构及节点属性的强依赖,使其易受到成员推理攻击.攻击者可通过分析模型对成员与非成员样本的预测差异,轻易推断样本是否参与训练,造成严重的隐私泄露.现有防御策略虽在计算机视觉任务中取得初步成效,但直接应用于图神经网络时常面临模型性能下降、图结构扰动开销大、隐私保护效果有限等问题.为此,本文提出一种训练–推理协同的隐私保护框架,该框架从预测熵角度出发,提升模型输出分布的混淆性并缓解性能退化.在训练阶段,构建基于节点重要性的自适应高熵软标签生成机制,抑制模型对成员节点的过度自信,并通过熵正则项进一步惩罚低熵输出并增强隐私混淆效果.同时,引入节点级对比学习模块,提高图神经网络在聚合过程中的判别性表征能力,从而缓解隐私保护可能引起的模型性能下降.在推理阶段,提出基于随机图的输出扰动方法,利用随机图生成的非隐私输入重构模型输出,在保持类别排序不变的前提下统一输出置信度,进一步模糊模型在成员与非成员之间的输出差异.实验结果表明,所提方法在多个公开图数据集和图神经网络上实现了更优的隐私–效用平衡,显著提升了对成员推理攻击的防御能力.

关键词 图神经网络; 成员推理攻击; 隐私保护; 图数据; 信息熵; graph neural networks; membership inference attacks; privacy protection; graph data; information entropy

摘要 针对物联网隐私检测中边缘设备资源受限、新型隐私泄露泛化检测能力不足及精度与效率难以平衡三大挑战,本文提出基于并行深度神经网络的物联网边缘侧隐私数据检测系统(PDNN-PDE).该系统首先通过轻量级多模态数据编码器,高效处理图像、时序传感器信号及日志文本等异构数据;再依托并行深度神经网络隐私检测引擎,在边缘侧设备实现多模态隐私数据的分布式实时检测;同时基于云–边协同的动态增量学习算法,周期性更新模型以增强对新型隐私泄露模式的泛化检测能力.实验结果表明, PDNN-PDE检测精度较单模态轻量模型平均提升3.6%;融合模态在检测精度仅降低0.7%的情况下,内存占用较现有专用模型减少76%,推理延迟减少21.3%;在新型泄露模式自适应方面,经70轮增量学习后模型准确率恢复至89%,较静态模型提升约44%.上述结果证明PDNN-PDE可在资源受限物联网边缘环境中实现高效鲁棒且自适应的隐私数据检测.

关键词 物联网边缘计算; 隐私数据检测; 并行深度学习; 多模态数据; 增量学习; IoT edge computing; privacy data detection; parallel deep learning; multimodal data; incremental learning

摘要 大语言模型在高效生成代码的同时,也引发了版权归属与代码滥用的潜在风险.为此,大语言模型水印技术应运而生以追踪代码来源.然而,当水印技术应用于代码这一特殊载体时,其有效性与鲁棒性面临严峻考验.为了检测代码水印鲁棒性,现有基于抽象语法树(AST)的攻击策略在效率和稳定性上仍存不足.为此,本文提出一种名为DeMark的新型编译–反编译水印去除方法.该方法首先将含水印代码编译为低级二进制表示,利用编译器优化消除水印痕迹;随后,通过创新的自动化函数调用图构建算法,将优化后的二进制代码反编译回保留核心功能与可读性的高级语言代码,从而高效去除水印.实验结果表明, DeMark在攻击现有水印方法方面表现出显著有效性和更强的适应性,尤其在处理涉及复杂语义保留变换的水印时优势明显.此外,本研究首次系统评估了C++等编译型语言水印在代码重构和跨语言转换场景下的鲁棒性,揭示了当前文本水印算法应用于代码生成的固有缺陷,为未来设计更稳健的代码溯源机制提供了重要参考.

关键词 水印安全去除; 大语言模型安全; 可信代码生成; 编译安全优化; 对抗鲁棒性; secure watermark removal; LLM security; trustworthy code generation; secure compilation; adversarial robustness

摘要 神经网络在面对对抗样本攻击时表现出显著的脆弱性,微小的输入扰动即可导致基于神经网络的分类器产生高置信度的错误预测.当前主流的防御方法通常需要对模型结构进行修改,或过度依赖数据处理,且往往仅对特定攻击有效,泛化能力差.为此,本文提出了一种基于神经网络决策边界与一致性分析的对抗样本攻击检测方法.首先,基于超平面逼近对神经网络决策边界进行建模,通过计算样本到决策边界的最小距离,从待测样本集中快速初筛出可疑样本集,提高整体检测效率.随后,通过在样本沿梯度方向施加多次扰动并提取其余弦相似度均值生成梯度一致性特征,对样本进行压缩并提取压缩前后标签变化及置信度波动生成压缩一致性特征.最后,通过一致性特征识别可疑样本集中的对抗样本,提升检测的鲁棒性和精度.在MNIST, CIFAR-10和ImageNet数据集上的实验结果表明,与现有主流方法相比,本文方法不仅提高了对抗样本检测性能,而且在应对复杂攻击时表现出更强的鲁棒性.

关键词 神经网络; 决策边界; 梯度一致性; 压缩一致性; 对抗样本攻击; neural network; decision boundary; gradient consistency; compression consistency; adversarial example attack

摘要 近年来,随着大型语言模型（large language models）在自然语言处理、智能教育、内容生成等领域的广泛应用,其潜在安全风险也日益凸显.现有的安全评估基准往往侧重于单一攻击手段或狭窄的任务类型,难以全面反映模型在多领域、多场景下的安全表现.为此,本文提出一个面向中文大语言模型的多领域、多场景、多维度综合安全评估基准M3-SafetyBench.该体系创新性地构建了“内容安全–功能安全”双层评估架构,覆盖通用领域与教育垂直领域,整合开放式生成、选择题多类型测评任务.同时,本文引入红队攻击策略,对模型进行越狱攻击评测,以增强评估的深度与广度,进行多维度安全分析.通过构建包含逾17万条高质量测试数据集,本研究对19个主流开源与闭源大语言模型展开系统性评测.实验结果表明,不同模型在不同安全风险维度上表现差异显著,揭示了当前大语言模型技术在内容生成、安全对齐等方面的瓶颈.本文所述的M3-SafetyBench不仅为大语言模型的安全改进提供了量化指标和方法流程,也可为行业监管与合规检测提供可靠的数据支撑.

关键词 大语言模型; 安全评估基准; 红队攻击; 多场景测试; 内容与功能安全; large language models; safety evaluation benchmark; red teaming; multi-scenario testing; content and functional safety