科研背景

由于FL的分布式结构，它更容易受到对抗性攻击，包括非目标攻击和目标攻击。数据中毒攻击和模型中毒攻击是两种类型的非目标攻击，其目的是通过恶意修改本地数据集或本地模型参数来降低聚合模型的性能。一般来说，如果没有防御部署在FL，一个单一的对手可以成功地实施无针对性的攻击。更不用说拜占庭人的进攻了，这让防守变得更加困难。后门攻击是FL中典型的有针对性的攻击，它比无针对性的攻击具有更强的隐蔽性和入侵性。具体地说，攻击者将后门模式嵌入到聚合模型中，并进一步使模型在主任务和后门任务上都表现良好。因此对联邦学习后门攻击进行防御，成为了重要的研究课题。

科研问题

联邦学习通常容易受到后门和其他模型中毒攻击。首先，当训练数百万参与者时，不可能确保他们中没有一个是恶意的。其次，联邦学习不能使用数据中毒防御。

现有的防御方法的不足之处在于：需要单独部署新的网络模型效率较低。

科研目的

不使用数据中毒防御的情况下，寻找一个强大的和可推广的联邦学习后门攻击缓解系统，此系统可以通过裁剪、随机遗忘、自适应、带约束损失训练等多种技术缓解联邦学习后门攻击。

提出的联邦学习后门攻击防御系统，不需要需要单独部署新的网络模型，防御效率较高。

科研内容

科研背景

随着储能技术进步和成本降低以及需求侧的演化发展，分布式储能在电力系统中的广泛应用是未来电网发展的必然趋势，也是突破传统配电网规划运营方式的重要途径。分布式储能安装地点灵活，与集中式储能比较，减少了集中储能电站的线路损耗和投资压力，但相对于大电网的传统运行模式，目前的分布式储能接入及出力具有分散布局、可控性差等特点。

电池储能系统（Battery Energy Storage System，简称BESS）是一个利用采锂电池/铅电池作为能量储存载体，一定时间内存储电能和一定时间内供应电能的系统，而且提供的电能具有平滑过渡、削峰填谷、调频调压等功能。受滥用、外部环境和操作条件的耐受性差的影响，电池系统可能会发生各种故障，导致电池加速退化，甚至发生安全事故，如热失控（TR）、火灾和爆炸。

科研问题

电池故障问题：现有的数据驱动的方法已经能够进行传感器数据故障识别，但这些方法所需的学习过程具有相当高的计算负担。此外，现有的方法，无论是基于模型的方法或数据驱动的方法，多是根据电压、电流等特征之间的相关性来判断电池是否故障，未考虑电池充电过程的时序变化。

隐私保护问题：在对电动汽车进行故障检测时，不可避免地会收集到电动汽车的隐私信息，传统方式是通过充电桩进行数据收集上传到云端，由此电动汽车会面临隐私泄露问题。

科研目的

提出一种基于Autoformer的故障检测方案， 序列分解模块负责分解充放电序列数据，可以有效提取趋势变化和周期变化。采用对抗训练的方式最大化重构序列与原始序列之间的差距，并使用动态选择阈值方法实现故障检测。

设计一个联邦学习故障检测方案。考虑车辆充电数据上传过程中的隐私问题，设置智能充电桩作为客户端以在本地训练数据，通过中间参数的方式和中央服务器进行交互。可以根据车辆充电过程的变化识别电池故障，并保护车辆隐私数据。

研究内容

Ø实时性（Real-time nature）：现实世界场景中电池故障，有可能产生强烈的热量，或是触发TR更会导致灾难性后果。尤其是在充电过程中过充电时锂金属枝晶有可能会穿透电池引起电池故障。电动汽车在运行过程中可能遭受浸水、碰撞变形和电线故障。这都要求着我们在充电阶段就对电动汽车告警。

Ø可用性（ Usability ）：采用数据驱动的故障检测方式，能够更加准确地衡量算法在现实应用过程中的效果，但与此同时也面临着数据集中的故障原因各异、电池结构不同等情况，这对我们算法的可用性提出了要求。

Ø分布式（Distributed）：由数据驱动的故障检测不可避免地会收集到隐私信息，让数据留在本地能够有效保护电动汽车、储能电池的敏感信息。

科研背景

非侵入式负载监测： 是智能用电和节能技术的重要部分。通过单一传感器有效准确地监测住宅单个电器设备的能源消耗。它的应用价值有降低电费, 节能减排；实现更高的产能和经济效益。

为了提高非侵入性负荷分解的准确性和泛化能力,近年来研究者将注意力转向了新出现的深度学习领域。随着研究的不断深入，研究者发现深度神经网络在恶意制造的对抗样本面前表现出了极大的脆弱性。

科研问题

现有的研究主要集中在传统的对抗性攻击方法在时间序列数据分析任务上的迁移和应用，特别是针对图像处理提出的攻击方法。
现有的针对时间序列数据学习任务对抗性攻击研究并没有针对最先进的深度学习模型，因此不能反映其鲁棒性。
与人眼在图像处理区域的不可感知性不同，对于人眼来说，时间序列数据比图像数据对对抗性扰动更敏感。因此，对于时间序列数据分析，对抗性扰动的程度应该有更严格的要求。

科研目的

面向非侵入式负载监测：
针对具有代表性的时间序列分类深度学习方法，提出一种对抗性攻击方法
研究面向非侵入式负载监测的对抗性攻击缓解策略

研究内容

1、非侵入式负载监测负荷特征

2、对抗攻击产生原因

3、时序数据分类的对抗攻击问题定义

4、方法

本次组会介绍面向联邦学习的类别隐私推理攻击

科研背景

联邦学习实质上是深度学习和分布式计算的结合。在联邦学习中，参与方（客户端）拥有各自的私有数据，而服务器负责协调模型的训练，但不能直接访问客户端的数据。

中间梯度可以用来推断有关训练数据的重要信息，为了避免联邦学习中模型更新的泄漏，提出了安全聚合协议，通过伪随机值掩盖这些数值，以确保没有人可以看到清晰的提交更新。聚合服务器也只能在每一轮训练中获得聚合结果。

攻击者可能通过与一些恶意客户端（间谍）合谋，来窥探其他客户端的私有数据。推理攻击是指攻击者通过某些攻击手段来获取模型的某些信息（如数据集、更新的参数等），来推理获取目标信息。类别推断攻击，旨在推断目标客户端所拥有的数据类别。

科研问题

联邦学习系统极易遭受由恶意参与方在预测阶段发起的成员推理攻击行为，并且现有的防御方法在隐私保护和模型损失之间难以达到平衡。

科研目的

深入研究联邦学习中的推理攻击方法，提高攻击成功的可能性。

针对具体的推理攻击，设计对应防御方法，进行隐私保护和防御。

研究内容

1、提取目标客户端的模型更新

由于安全聚合，无论是服务器还是客户端都无法访问明确的模型更新。通过差分选择策略，通过选择两个相邻的客户端集，二者仅在一个客户端上有所不同，这个差异的客户端（即被替换的客户端）起到了”间谍”的作用。

近似更新与真实更新之间的差异为“噪声”。其会降低攻击性能。为了减轻噪声的负面影响，提出了两种去噪方法。第一种方法是设置一个噪声记录器，模拟训练过程中的噪声。第二种方法是实施重复攻击，以获得多个预测并选择最可能的结果。

2、训练推理模型来预测目标客户端持有的类别

可以通过构建pair<类别更新:类别标签>的数据集，并使用多标签学习来训练一个推理模型，该模型将单个模型更新映射到其对应的类别。

多标签学习是一种机器学习范式，它允许一个数据实例被分配到多个标签，而不仅仅是单一标签。在多标签学习中，每个数据点可以同时属于多个类别。

多标签学习中的一个多标签数据实例（x;Y）由一个数据点x和一个二进制多标签向量Y = (y1, y2, … , yK) 组成，其中K是类别的总数。每个yi表示数据点x是否与相应的第i个类别相关联。

3、隐藏攻击

使类别推理攻击更不显眼，不被诚实的客户端注意到。该攻击可能通过检查两轮中攻击者选择的客户端集之间的相似性被检测出来。如果两轮选择的客户端集过于相似，诚实客户端可能会察觉到被攻击。

因为不同的客户端可能有不同的数据分布、特征和更新，在多轮训练中会表现出多样性。需要采取措施使其选择的客户端集合更随机，模拟正常的联邦学习行为，从而避免引起系统的怀疑。

5、攻击过程

第一步是训练一个多标签推理模型，服务器端攻击者可以构造两个相邻的客户端集合，客户端攻击者复制当前全局模型，基于准备的辅助数据来模拟目标客户端的本地训练过程。一旦获得足够数量的模拟更新，攻击者可以构建一个新的数据集，用于训练推断模型。

研究计划

研究联邦学习多种场景下的推理攻击方法，复现实验进行验证。
对于特定场景中的推理攻击方法，设计基于差分隐私、对抗训练等技术的防御策略，并进行实验验证。

本次组会汇报的内容为《使用机器学习分类器进行梯度提升特征选择并用于电网上的入侵检测》。

科研背景

电网的设计目的是以高效和及时的方式发电和配电，而不是关注系统关键基础设施的安全方面。然而，互联和远程访问的增加使电网面临内部和外部攻击的风险。实时网络攻击可以破坏整个电网。SCADA(Supervisory Control And Data Acquisition)系统，即数据采集与监视控制系统，容易受到网络攻击威胁。

研究内容

本节介绍了入侵检测系统的拟议框架，该系统通过分析电网上的SCADA流量来区分正常和恶意事件。建议的框架分为三个阶段，即，预处理数据，特征选择和异常检测使用分类方法。

WFI评估模型算法概述

Ø1.将所有特征随机划分为不相交的子集，每个子集包含30个特征2（任何剩余特征将直接移动到下一轮）。

Ø2.用每个特征子集训练提升树模型。

Ø3.每一轮中删除一定百分比的特征（称为“特征消除率”），这控制了搜索的持续时间。

Ø4.从每个子集中删除的特征数量由其NDCG@5分数确定：分数越高，从该子集中删除的特征越少。从每个子集的特征重要性列表的底部移除特征。5.将所有剩余的特征合并在一起。重复步骤1到4，直到剩余的特征数不超过30

与其他方案的比较

思考是否可以与前一篇组会报告论文中利用具有少量特征的医疗领域环境，进行的隐私保护的过程相互结合，利用对大量特征的电力网络数据环境中使用特征提取的方法，进行对电力网络攻击行为检测模型的隐私保护过程。

本次组会汇报的内容为《与样本相关的后门攻击》，我将从科研背景、科研问题、研究内容以及研究计划几个方面进行汇报。

科研背景

DNN 已成为现代人工智能系统中必不可少的部分，然而，最先进的网络需要大量的训练数据、昂贵的计算硬件以及数天数周的训练。因此，训练DNN通常需要会利用第三方资源，防止从头训练

后门攻击：通过将少量恶意构造的输入注入训练集中构造后门触发器，然后在推理过程中受攻击的模型在良性样本上表现正常，而每当出现对手指定的触发模式时，其预测就会被误导，所以极具隐蔽性

科研问题

当前的后门攻击通常使用与样本无关的固定触发器，这使得现有防御方法能够容易地检测并减轻这些攻击

（1）现有的训练样本生来不平等

（2）与样本有关的后门攻击要不是可见攻击，要不就是毒标签，隐蔽性差，很容易被检测到

科研目的

专注于设计一种与样本有关且不可见的干净标签攻击，提高触发器的隐蔽性

研究内容

本次组会主要介绍最近工作进展，将从研究背景，研究问题，研究目的，研究内容进行介绍

科研问题

现有的大多数谣言检测方法侧重于从文本内容、用户概况和传播模式中挖掘特征。这些方法没有充分利用文本内容的全局语义关系，而这些语义关系表征了谣言的语义共性，是检测谣言的关键因素。

这次组会主要介绍毕业论文进展，从进展概述、研究内容、研究计划等几个方面展开。

进展概述：

研究内容：

后续研究计划：

完善文章大纲结构。（2024.1.06）
撰写第一张绪论部分。（2024.1.13）
构思第二章写作思路。（2024.1.25）

本次组会汇报关于基于知识图谱的网络安全威胁情报推理技术研究的思路进展，从科研背景、科研问题、科研目的、研究内容等几个方面展开。

科研背景

• 随着信息化不断扩大以及网络技术的持续发展，网络安全事件频发，网络攻击手段也日益呈现复杂多变、长持续性、高隐蔽性等特点。依靠传统的入侵防御系统等被动防御手段无法有效地维护网络空间安全，因此兴起了网络安全威胁情报（CTI）等综合防御策略。
• 网络安全威胁情报是指基于证据的威胁知识，可以为决策提供信息，目的是防御攻击或缩短处理与检测的时间。在实际应用中，提取和存储威胁情报是很有价值的。许多数据源通过非结构化数据和半结构化数据的方式存储威胁情报，这很难被理解和再次利用。安全专家需要分析描述、结合相关知识，推理出各种威胁情报之间的隐藏联系。所以，以更智能的方法管理和推理威胁情报数据是一件很有必要的事。
• 知识图谱推理包括基于符号规则（本体公理或符号逻辑）的方法和基于表示学习（嵌入）的方法。传统基于符号规则的方法主要优点是具备可解释性，主要缺点是不易于处理隐含和不确定的知识；基于表示学习的方法主要优点是推理效率高且能表征隐含知识，主要缺点是丢失可解释性。

科研问题

• 网络安全威胁情报在实际应用过程中存在使用多个数据源、海量数据难以处理的问题。
• 在网络安全威胁情报领域传统的推理模型中基于符号规则的知识推理模型存在不易处理隐含知识、规则学习的效率差的问题，而基于表示学习的知识推理模型存在可解释性差、稀疏实体编码能力不足的问题。

科研目的

• 分析网络安全威胁情报特点，将多个数据源关联起来，构建一个网络安全威胁情报知识图谱。
• 提出一种融合表示学习和符号规则的知识推理算法，提高发现网络安全威胁情报知识图谱中实体与实体间潜在关系的能力，不断完善威胁情报知识图谱。

研究内容

研究背景

图像描述任务的输入为图像I，输出为由N个单词组成的图像文本描述S={s1，s2，···，sN}，旨在利用计算机自动为已知图像生成一个完整、通顺、适用于对应场景的描述语句，实现从图像到文本的跨模态转换。

经典图像描述模型–NIC

用I表示输入图像，用S = (S0, . . . , SN ) 表示描述该图像的真句，其框架展开过程如下:

经典图像描述模型-CNN+LSTM+注意力机制
在NIC的基础上引入了注意力机制，将图像生成的描述的每一个单词都对应到图像的某一个区域

科研问题

对于图像字幕模型发起攻击可能会生成一些与攻击者预先定义的图像无关的特定字幕，攻击者可能会通过控制特定的标题来制造社会恐慌或引导舆论。
有一些针对图像字幕的对抗性攻击的研究，但它们的目的是制作对抗性示例，主要使用基于优化的方法，以操纵图像字幕模型的生成结果作为目标句子或单词。
且针对图像分类任务的后门攻击已经被广泛研究并被证明是成功的，但针对视觉语言模型的后门攻击研究却很少

研究内容

在模型中插入一个后门，后门模型在中毒图像上生成攻击者定义的句子或单词，同时不降低模型在正常图像上的性能。
在构建中毒样本的过程中，提出了一种基于对象的毒物生成方法。
图像字幕后门攻击的目的是在图像字幕模型中创建后门，该后门适用于跨模态领域。