科研背景

后门攻击是AI安全领域目前非常火热的研究方向，其涉及的攻击面很广，在外包阶段，攻击者可以控制模型训练过程植入后门，在协作学习阶段，攻击者可以控制部分参与方提交恶意数据实现攻击，甚至在模型训练完成后，对于训练好的模型也能植入后门模块，或者在将其部署于平台后也可以进行攻击。随着攻击的研究逐渐深入，相关的防御方案也被提了出来，对于攻击者而言，接下来再要设计攻击方案，必须要考虑是否能够规避已知的防御方案，而对于防御者而言，需要考虑已有防御方案的缺陷，以及如何改正，才能进一步提高检测效率，不论是从哪方面来看，都有必要对目前典型的防御方案做一个全面的了解。本报告就会从样本和模型两个角度，介绍目前典型的方案。

科研问题

1、深度神经网络（DNN）缺乏透明度，使它们容易受到后门攻击，其中隐藏的关联或触发器会覆盖正常的分类，从而产生意想不到的结果。

2、后门可以无限期地保持隐藏，直到被输入激活，并且对许多安全或安全相关的应用（例如，生物识别认证系统或自动驾驶汽车）造成影响。

科研目的

1、寻找一个强大的和可推广的DNN后门攻击的检测和缓解系统，此系统可以识别后门并通过输入过滤器、神经元修剪和遗忘识别等多种技术缓解后面攻击。

2、提出新的可推广的技术，用于检测嵌入在深度神经网络中的隐藏触发器，从而对神经网络后门攻击进行防御。

科研内容

本次组会汇报关于《Certifiably Backdoor Attacks Based on Incremental Data-Dependent Randomized Smoothing》研究的思路进展，从科研背景、科研问题、科研目的、科研内容以及研究计划等几个方面展开。

科研背景：

1.后门攻击：攻击者可以在图像数据集中添加一种特定的标记作为后门触发器。然后这个带有后门的模型会在识别到这个标记时，将图像分类到一个特定的错误类别。

2.防御目标：无论是否被投毒，得出的输出结果一致

3.可验证防御：提供理论上的保证，只要投毒的量少于某一个特定的值，就一定能够防御

4.基于随机平滑的方法能够证明平滑分类器的鲁棒性，只要扰动在一定的半径内，就能对对抗性输入输出一致的预测

科研问题：

新的经验性防御措施被开发出来以防御后门攻击，但它们很快就会被强大的适应性后门攻击打破——缺乏鲁棒性验证

科研目的：

专注于证明对一般威胁模型的鲁棒性，特别是后门攻击，开发一种增量性依据数据的随机平滑的可验证的鲁棒性框架来防御后门攻击。

科研内容：

无论是干净的数据集还是被投毒的数据集，经过鲁棒性验证，在测试数据上得到的输出结果一样

本次组会将会对我目前的新研究，基于Time-ACGAN的电力时序生成进行详细的介绍。

研究背景

随着新一轮能源技术革命的兴起，我国提出以碳达峰、碳中和为目标的能源战略，建立清洁、低碳、安全、高效的能源体系。对于这些目标，电力行业正在经历着多维度的转型，在用电侧，消费者的消费方式也朝着数字化、个性化、便捷化、开放化的方向转变。

2020年，我国首次将数据纳入五大生产要素之一，数据作为战略性和基础性资源的价值已经得到社会的广泛认可。无论是数据收集、分析还是使用，都已经成为现在社会各行各业的核心工作，其中电力行业也不例外。截至到2022年底，我国已经部署了7亿个智能电表。因此，使用人工智能技术对细粒度的用户用电数据进行分析，可以为消费者提供更多个性化的能源使用服务，帮助电力供应商训练更加准确的负荷预测模型，制定更加高效的电力调度决策，提高新能源的消纳量。

科研问题

然而，用户数据在流通与使用中不断创造价值的同时，用户个人信息面临着严重的隐私泄露挑战。在智能电网领域，电力用户需要面对智能电表等监测设备给个人带来的隐私风险。有研究表明，不少数据挖掘技术可以从智能电表记录的用户用电数据中，提取出用户个人及其家庭的大量隐私信息。

因此，从企业的角度出发，当前的矛盾一方面是由于数据易复制，许多拥有用户数据的企业担心数据流通的隐私泄露风险，因此不愿将数据对外开放使用。在电力能源领域，用户用电数据的访问和使用目前面临两个主要问题：（1）许多数据是碎片化和孤立地存储在不同供应商的不同部门中（2）由于隐私法律法规约束，外部企业的研究人员或供应商在访问用户用电数据时面临很多法律法规限制。而另一方面，数据共享是提升数据利用效率、挖掘数据价值的一种有效手段。在电力系统以新能源为主体的形式下，共享用户用电数据的意义更加凸显。

研究目的

提出一种基于生成对抗网络（Generative Adversarial Network，GAN）的模型，在保护用户隐私的同时，实现数据价值属性的流通。相比于传统的GAN模型，本文提出的模型能够更好的控制生成的数据类别，更好的提取电力时序数据的时序特征（temporal dynamics）。

研究内容

提出的框架如下图所示。具体内容将在组会进行详细的介绍。

本次我汇报的题目是《位置隐私保护方法研究》，我将从以下几个方面进行讲述：

科研背景

随着智能设备飞速发展，基于位置的服务（Location based Service）给国家建设、城市管理、公众服务等提供了可靠的决策、技术支持。但是，面对不可信的第三方服务商，直接收集用户的空间位置信息可能会损害用户的隐私，因为结合某些背景知识，直接对位置数据分析处理能够很容易的推断出用户的个人隐私。
如果不能保证用户的个人位置信息安全，用户就不愿去分享和使用此类服务，从而会导致基于位置数据的服务很难发展，同时也给社会的发展造成一定的经济损失。因此，解决位置数据隐私保护问题，是实现位置数据共享和分析挖掘的必要条件。

科研问题

K-匿名：存在因K值和协助用户选取不当而导致的位置隐私泄露、服务质量低等问题。

差分隐私：现有的工作不能在用户和位置层面上同时实现个性化隐私保护。

科研目的

K-匿名–设计一种个性化K匿名优化方案，解决K-匿名算法因K值和协助用户选取不当的问题，实现隐私保护和服务质量个性化最优。

差分隐私–设计一种个性化差分隐私方案，能够同时考虑位置隐私偏好和用户的的隐私偏好，更好地平衡严格的隐私保护和数据效用，同时实现用户层面和位置层面的个性化保护。

科研内容

背景及意义

电价类别分类繁多，且不同类别执行电价差异较大，部分高电价客户通过种种手段，将所用电价全部或部分执行较低电价，通过高价低接降低自身用电成本，侵害了电力公司的利益，给公司造成直接经营损失。
营销稽查人员数量限制，且人工稽查工作效率较低，无法定期、全量开展执行电价现场检查工作，影响稽查工作质效。
当前执行电价异常判别工作主要针对农业排灌类别用户，判别工作的目标用户群体较少，电价稽查的业务关联规则较为简单，不易全面地识别实际用电和电价政策存在偏差的用户，且识别准确性仍有提升空间。

科研问题

营销口信息系统沉淀的历史数据未形成数字资产，导致传统的电价核查一直由一线电工凭个人经验撒网式普查，效率低下的同时无法保证准确率。
目前的大多数技术还采用简单的比较当前状态和预测的正常范围来进行异常检测，面对海量数据，其较差的时效性、较差的表征能力限制了其应用。

科研目的

发展并构建一种泛化能力好、表征能力强、识别率高且训练速度快，适用于海量不均衡用电数据异常检测的模型。

研究思路

构建典型用电轨迹模块：首先利用 K-means 聚类算法构建典型用电轨迹模块，训练得到代表典型用电模式的用电轨迹聚类中心；
构建电价异常辨别模块：其次，基于马氏距离的判别分析算法构建电价异常辨别模块，用于识别电价执行异常嫌疑用户。模型的输出为电价执行异常嫌疑用户，可为电力稽查人员提供稽查的范围及依据。

智能电网中一种联邦双强化学习网络攻击检测方法

科研背景

随着能源需求的变化，电力系统朝着新型电力系统快速转变。越来越多的边缘设备通过多种形式接入到电网内部，增加了网架的负担，对电力物联网的可信度和可靠性提出了巨大挑战，更容易受到网络攻击。在保护数据、网络应用等免受潜在的入侵或攻击方面，成为加强新型电力系统网络安全的基本要求。

科研问题

1.攻击智能化。目前攻击表现更加隐蔽，攻击者往往采用更智能方式，如GAN对抗和强化学习策略，攻击效率效果提高，属于博弈与探索方式的智能攻击形态，比传统攻击方式隐私性更强。继而在传统检测方式上，对此类隐蔽方式效果不佳。

2.数据传输的不可信。现代通信技术用于智能电网的不同领域，例如IEC 61850，但这些通信技术和协议本身包含各种传统和新的漏洞，当原始数据传出过程中可能存在数据泄密或篡改的风险。

3.集中任务模式的变化。随着传统IT架构向着云-雾-边结构演变，和目前时刻产生的海量数据，与任务时效的高要求，过去集中式的调度任务，难于胜任目前分布式的计算需求，逐渐由需要集中的复杂任务转变为卸载到雾边节点就可以完成的简单任务。

4.FL数据的非平衡分布。在分布式架构朴素联邦学习策略中，试图以IID 通过跨客户端加权聚合深度学习模型来实现。然而，在实际场景下，本地数据在不同边缘设备（客户端）之间是不均匀分布的，导致模型训练缓慢，联邦学习的准确性降低。

科研目地

它集成了深度强化学习（DRL）算法，根据攻击前后的隐藏状态特性，把变化检测问题表述为部分可观察的马尔可夫决策过程 (POMDP) 问题 ，用于电网中中网络攻击的检测模型。
集成了一种分布式联邦方案，该方案结合了联邦学习和强化学习(FedDRL)，实现分布式的数据模型聚合。
它采用强化学习来自适应动态确定每个客户端的影响因子（将用作聚合过程中的权重），实现联邦框架对每个客户端自动聚合计算。

Fed2DRL研究框架

基于多智能体强化学习的微电网协作能源管理

科研问题：

如何在多个微电网的场景中最小化总成本并降低社区负载峰值？

多微电网场景中，智能体应如何在提供的众多状态信息中关注到关键状态信息？

科研目的：

提出一种面向多微电网协作的能源管理方法，使用多智能体强化学习（MARL）方法，来实现微电网之间的协作以最小化总成本和降低社区负载峰值。

提出使用注意力机制关注多智能体训练过程中的状态动作，使智能体更加关注能源调度时的关键信息。

科研内容：

此次汇报的内容为下一步的研究想法《边缘计算中基于区块链的可信任务调度》的相关内容，将从科研背景、科研问题、科研目的、研究内容等几个方面展开

科研背景

1.任务调度是边缘计算的一个关键环节，是将任务映射到合适的资源池上执行的过程。而在边缘计算的任务调度中，边缘服务器的可用资源和物联网设备所请求的任务大小是不同的，边缘计算的网络环境也是动态变化的，这使得边缘计算的任务调度更具挑战性

2.在边缘计算任务调度方法的相关研究中，启发式算法目前研究广泛。这类算法可在约束条件下寻找到符合条件的可行解，但是收敛速度比较慢，在求解过程中往往陷入局部最优解，较难满足低时延的任务要求

3.深度强化学习（DRL）结合深度学习和强化学习的优势，从历史经验中了解网络和任务，以获得具有最高累积奖励的最佳决策，有望实现实时任务调度

科研问题

1.启发式算法难以满足边缘计算中任务对于网络延迟的需求，同时解空间随着状态空间的增大呈指数级增长，不适用于实时的调度问题

2.边缘计算中的资源和设备具有动态性、异构性的特点, 边缘计算往往缺乏像云计算集中控制的安全机制，无法保证任务调度过程中状态信息和所做决策的可信度

科研目的

1.提出基于DQN的智能调度算法解决边缘计算中的实时任务调度问题

2.提出基于区块链的任务调度平台，利用区块链的去中心化与不可篡改等安全特性收集状态信息，并保证做出可信的决策

研究内容——系统架构

科研背景

近年来，以深度学习为代表的人工智能技术飞速发展，在图像分类、自然语言处理等多个任务中超过了人类表现。然而，在这一过程中人工智能系统自身暴露出众多安全问题，不断涌现出针对人工智能系统的新型安全攻击，包括对抗攻击、投毒攻击、后门攻击、模型逆向击、成员推理攻击等．这些攻击损害了人工智能数据、算法和系统的机密性、完整性和可用性，因此人工智能安全受到了人们的广泛关注。

人工智能安全攻击主要有三个方面数据攻击、算法攻击、模型攻击。所对应的防御机制在模型和算法方面，建立后门攻击和逆向攻击的底层技术防御机制，提升可解释性、透明性和鲁棒性的能力;在数据和隐私安全方面：提升训练数据质量及评估水平，加强防范数据投毒和对抗样本攻击的技术能力，建立机器学习等技术的隐私计算体系。深度学习中常见的几种攻击类型，由于深度学习的黑盒性质、模型复杂性、可解释性不足等原因，它容易受到多种攻击，大致可以将这些攻击归纳为：对抗样本、通用对抗补丁、数据投毒、后门攻击等。不同的攻击在深度学习的不同阶段进行攻击：对抗样本和通用对抗补丁(UAP)仅影响模型部署后的推理阶段；数据中毒是在数据收集或准备阶段进行；后门攻击可以在ML管道的每个阶段进行（模型测试阶段除外）。

科研意向

结合目前我所阅读的文献，我认为接下来的研究课题可以尝试从如下几个方面考虑：1.触发器设计: 目前触发器的研究主要针对其大小、形状、位置以及不可见性, 而针对其潜在特征表示的深入研究较少，因此如何更好的设计触发器将是未来研究可以考虑的方向。2.更多应用: 后门攻击作为一种方法, 不仅仅是产生安全威胁, 也可以在其他方向上发挥作用。目前已经出现了一些有益应用如自动驾驶、人脸识别等, 但仍然还存在很多针对不同领域的潜在应用。3.可解释性: 目前后门攻击仅依据实验效果, 而没有完整有效的理论支撑, 什么样的模型更容易嵌入后门, 什么样的触发器更容易被模型学习, 可以对相关的可解释性进行讨论与分析。

研究内容

科研背景

近年来，随着隐私保护及数据安全法律法规的逐渐完善，数据孤岛问题变的日益严峻。数据孤岛，因为现在各行各业的数据都被不同的机构企业所拥有。比如政府银行医院他们所拥有的数据的维度类型差异很大，但实际上这些数据不能够给到彼此，无论站在合规的角度还是资产保护的角度，特别是越有价值的数据。越有价值的数据往往越不能够流动出去。数据不能溜出去，数据的价值可以溜出去， 只有数据的价值溜出去了才能变现，掌握有价值的数据才能变成价值，这中间存在一种矛盾。

隐私计算是“数据可用但不可见”技术的集合，包括FL，安全多方计算（MPC），可信执行环境（TEE），差分隐私（DP）等。其中，FL是一种将分发机器学习与隐私技术相结合的衍生技术他们往往比较高效，但是做不到可证安全，大家觉得它可以保护隐私，但是保护的程度是多少，不能去保证。Zhu L , Liu Z 等人工作指出，联邦学习中恶意参与方或服务器可以通过客户端本地模型更新中推测出客户端本地数据的属性以及时候存在某条数据等隐私信息（属性推理攻击，成员推理攻击，模型反演攻击等等）。

研究现状

科研目的

本文将差分隐私和多方安全计算相结合，提供了一种新的解决思路，用户不再对本地训练得到的本地模型添加扰动，首先将本地模型秘密共享至多个服务器，把LDP转变为多个CDP。保护隐私不被泄露的同时最大限度减少精度损失。

研究内容