本文研究了面向联邦学习系统的有针对性的数据毒化攻击，通过对恶意参与者的异常检测和排除，提出了一种有效的防御策略。

Jul, 2020

本文旨在研究联邦机器学习中的数据投毒攻击漏洞，使用一个基于多任务学习框架的联邦学习框架，提出了一个自适应的双层优化问题，并提出了一种系统感知的优化方法，ATTack on Federated Learning (AT2FL)，用于计算联邦机器学习中的设备投毒策略。实验结果表明，无论是直接毒害目标节点还是利用通信协议间接毒害相关节点，联邦多任务学习模型都非常容易受到投毒攻击的影响。

Apr, 2020

本文通过对文献中提出的各种污染攻击和防御聚合规则进行全面分析，并将它们归纳到一个共同框架下，旨在为从业者和研究人员提供对不同类型的威胁的清晰理解，并确定进一步的研究领域。

Mar, 2024

该研究是在分布式协作机器学习中对数据投毒攻击影响进行早期研究，提出了针对 SplitFed Learning 的三种新型攻击策略：非定向攻击、定向攻击和基于距离的攻击。通过对心电图信号分类和自动手写数字识别两个案例研究进行了一系列攻击实验，分别改变了恶意客户端的比例和模型分割层的选择，综合分析结果表明，非定向攻击和基于距离的投毒攻击对逃避分类器结果的影响更大。

Jul, 2023

本研究通过对现有 FL 攻击和检测方法进行综合研究，提出了 FLTracer，该方法能够准确检测各种攻击并追踪攻击时间、目标、类型和污染更新的位置，通过基于卡尔曼滤波器的跨轮次检测来识别攻击者，使检测方法对于数据异质性具有鲁棒性且能够在非独立分布的环境中有效工作。经过广泛的评估，FLTracer 在平均真阳性率高于 96.88% 的情况下，平均假阳性率低于 2.67%，明显优于现有的检测方法。

Oct, 2023

本文提出了一种灵活的模型中毒攻击方法，即 Flexible Model Poisoning Attack (FMPA)，可以通过使用全局历史信息来构建预测模型并进行微调，达到在没有额外知识的情况下对联邦学习进行攻击的目的，并且可以对全局准确性进行细粒度可控攻击，是目前最优秀的攻击方法之一。

Apr, 2023

该研究综述了最新的后门攻击和防御机制，根据目标（数据污染或模型污染）、攻击阶段（本地数据收集、训练或聚合）和防御阶段（本地训练、聚合前、聚合期间或聚合后）进行了分类。对现有攻击策略和防御机制的优劣进行了详细分析。对现有攻击方法和防御设计进行了对比，指出了值得注意的发现、面临的挑战以及与无线通信网络的安全与隐私相关的潜在未来研究方向。

Dec, 2023

FLCert 是一种基于集成学习方法的联邦学习框架，对有限数量的恶意客户端攻击具有可证明的安全性，通过将客户端分组、使用现有联邦学习算法为每组客户端学习全局模型并在全局模型之间取多数投票来分类测试输入，成功地抵御有限数量的恶意客户端攻击。

Oct, 2022

FreqFed 是一种新颖的聚合机制，通过将模型更新转换到频域，可以有效过滤掉恶意攻击，无论攻击类型、策略和客户端数据分布，从而在不影响聚合模型的实用性的前提下有效缓解毒化攻击。

Dec, 2023

本文针对联合学习中的毒化攻击进行了综合的系统化研究和对各种可能的威胁模型和攻击形式进行了分类，特别关注了生产环境中的非定向毒化攻击及对此的防御机制；通过实验验证，与过去的错误认识不同，我们发现即使是简单低成本的防护措施，联合学习在实践中也是高度强健的。同时，我们还提出了新型的数据和模型毒化攻击，并探究它们在存在简单防御机制的情况下的攻击效果。

Aug, 2021