研究背景

图像描述任务的输入为图像I，输出为由N个单词组成的图像文本描述S={s1，s2，···，sN}，旨在利用计算机自动为已知图像生成一个完整、通顺、适用于对应场景的描述语句，实现从图像到文本的跨模态转换。

经典图像描述模型–NIC

用I表示输入图像，用S = (S0, . . . , SN ) 表示描述该图像的真句，其框架展开过程如下:

经典图像描述模型-CNN+LSTM+注意力机制
在NIC的基础上引入了注意力机制，将图像生成的描述的每一个单词都对应到图像的某一个区域

科研问题

对于图像字幕模型发起攻击可能会生成一些与攻击者预先定义的图像无关的特定字幕，攻击者可能会通过控制特定的标题来制造社会恐慌或引导舆论。
有一些针对图像字幕的对抗性攻击的研究，但它们的目的是制作对抗性示例，主要使用基于优化的方法，以操纵图像字幕模型的生成结果作为目标句子或单词。
且针对图像分类任务的后门攻击已经被广泛研究并被证明是成功的，但针对视觉语言模型的后门攻击研究却很少

研究内容

在模型中插入一个后门，后门模型在中毒图像上生成攻击者定义的句子或单词，同时不降低模型在正常图像上的性能。
在构建中毒样本的过程中，提出了一种基于对象的毒物生成方法。
图像字幕后门攻击的目的是在图像字幕模型中创建后门，该后门适用于跨模态领域。

本次组会将会继续针对我上次汇报的内容《基于AC-TimeGAN-GP模型的电力时序数据生成研究》进行汇报。

科研背景

随着新一轮能源技术革命的兴起，我国提出以碳达峰、碳中和为目标的能源战略，建立清洁、低碳、安全、高效的能源体系。对于这些目标，电力行业正在经历着多维度的转型，在用电侧，消费者的消费方式也朝着数字化、个性化、便捷化、开放化的方向转变。

2020年，我国首次将数据纳入五大生产要素之一，数据作为战略性和基础性资源的价值已经得到社会的广泛认可。无论是数据收集、分析还是使用，都已经成为现在社会各行各业的核心工作，其中电力行业也不例外。截至到2022年底，我国已经部署了7亿个智能电表。因此，使用人工智能技术对细粒度的用户用电数据进行分析，可以为消费者提供更多个性化的能源使用服务，帮助电力供应商训练更加准确的负荷预测模型，制定更加高效的电力调度决策，提高新能源的消纳量。

科研问题

因此，在电力行业中，智能电表的广泛部署使得使用人工智能技术来细致分析用户的用电数据变得可行。这种分析尤其在处理短期电力负载变化时显得至关重要。这不仅帮助消费者获得更加个性化的能源使用服务，而且还能帮助电力供应商更准确地预测电力负荷，从而制定出更有效的电力调度策略，并提高新能源的利用效率。然而，这些技术为了高效训练通常需要大量有代表性的数据集。然而，收集这些数据面临着显著的安全和隐私挑战，同时，高质量的公开数据集也相对稀缺。

因此，为了解决上述的矛盾，使用合成数据（Synthetic Data）代替原始数据来训练训练机器学习算法成为了一种可行的方案。而生成式对抗网络（Generative Adversarial Networks, GANs）身为目前最好的合成数据解决方案，展现出了其独特的优势。继GAN之后，时间序列生成对抗网络（Time-series Generative Adversarial Networks，TimeGAN）这一GAN的变种进一步扩展了这一领域，为时间序列数据的合成提供了创新的解决方案。

家庭智能电表的时间序列数据通常包含丰富的信息，如能源消耗模式、峰值使用时段等。这些数据通常与社会人口统计数据（如家庭大小、位置、收入水平）有关联，使得数据的特征非常复杂和多变。尽管TimeGAN是一种有效的时间序列数据生成模型，但其在处理具有丰富特征和复杂关联的真实世界数据时仍然存在局限性。例如，它无法充分捕捉到社会人口统计特征与能源消耗之间的关系。

科研目的

提出了时间序列生成模型Auxiliary Classifier Wasserstein TimeGAN with Gradient Penalty（AC-TimeGAN-GP），在保护用户隐私的同时，实现数据价值属性的流通。相比于传统的TimeGAN模型，本文提出的模型同时通过引入Wasserstein距离和ACGAN的辅助分类器，提高模型的稳定性和数据的质量，从而能够更好地处理和生成复杂的时间序列数据。

这种改进的模型可以更有效地处理复杂的真实世界时间序列数据。在家庭智能电表数据中，AC-WGAN-GP能够模拟和生成符合实际社会人口统计特征的能源使用模式的高质量合成数据，从而在能源需求预测、用户行为分析等方面提供洞察。

研究内容

科研背景

在我们进行机器学习任务时，构建高质量的机器学习模型需要从不同的来源收集大量的训练数据。然而，在许多行业中，数据分散并锁定在多个组织中（例如，银行、医院和研究所），由于对数据隐私和保密性的日益关注以及相关法律法规的制定，数据共享被严格禁止。联邦学习提供了一个有力的解决方案来打破组织之间的“数据孤岛”，其中参与的客户端通过将其本地梯度更新上传到中央服务器进行聚合来协作学习全局模型，而无需共享隐私敏感数据。

为了确保没有客户端在聚合期间透露其更新，已经提出了许多方法。其中，加法同态加密（HE），特别是Paillier密码系统，在联邦学习中十分有效，因为它提供了强大的隐私保证，而不会以学习精度损失为代价。利用同态加密，可以在不预先解密密文的情况下对密文执行梯度聚合。HE已在许多联邦学习框架中应用，在训练开始之前，通过安全通道在所有客户端之间同步HE密钥对。在训练期间，每个客户端使用公钥加密其梯度更新，并将密文上传到中央服务器。服务器聚合来自所有客户端的加密梯度，并将结果分发给每个客户端。客户端使用私钥解密聚合的梯度，更新其本地模型，并继续进行下一次迭代。由于客户端仅上传加密的更新，因此服务器或外部方在数据传输和聚合期间无法了解任何信息。

科研问题

虽然同态加密为联邦学习提供了强大的隐私保证，但它执行复杂的加密操作（例如，模乘和求幂），其计算极其昂贵。实验表明，超过80%的训练迭代时间用于加密/解密。更糟糕的是，加密会产生更大的密文，比明文学习增加了150倍以上的数据传输量。HE在加密和通信中的显著开销已经成为促进联邦学习的主要障碍。因此提高同态加密联邦学习模型的通信效率十分必要。

研究目的

实现联邦学习通信阶段的效率提升，使其在经过同态加密的情况下依然能保证接近原始通信效率。

研究内容

在通信效率处理方面目前使用的方案是使用带有误差矫正的量化压缩方案，梯度处理流程如下图：

具体研究内容将在组会中讲述。

智能电网中一种基于强化学习的时序网络攻击检测方法

科研背景

着能源需求的变化，电力系统朝着新型电力系统快速转变。越来越多的边缘设备通过多种形式接入到电网内部，增加了网架的负担，对电力物联网的可信度和可靠性提出了巨大挑战，更容易受到网络攻击。在保护数据、网络应用等免受潜在的入侵或攻击方面，成为加强新型电力系统网络安全的基本要求。

科研问题

1.攻击隐蔽性:目前攻击表现更加隐蔽，攻击者往往采用更智能方式，如GAN对抗和强化学习策略，攻击效率效果提高，属于博弈与探索方式的智能攻击形态，攻击者成本更低，比传统攻击方式隐私性更强，危害更大。

2.检测的灵敏性:面对不确定的电网环境（间歇性可再生能源和未知的攻击模式、时间和位置），探测器的检测过程一般是这样：在给定的时间，使用当前的横截面数据，决策者要么宣布数据异常，要么等待下一个时间间隔进行进一步测量。当错误检测，可能导致攻击检测延迟。因此，宣布决策时间的选择至关重要，它平衡了检测速度和准确性之间的权衡关系。

科研目的

提出一种面向时序网络数据的攻击检测方法，使用深度强化学习（DRL）方法，加入自编码器对时序流量数据的特征提取，通过马尔科夫决策决策思想检测攻击网络攻击行为，优化决策时效质量。具体来说，我们将网络检测分为2个主要层级，一个为网络特征提取层，一个为智能体检测决策层。

研究框架

研究背景

随着智能电网的发展和普及，越来越多的终端设备接入电网网络，解决终端设备对实时性的计算需求成为一个难点，边缘计算的引入是一个很好的解决方案，以往只依托云计算的电网系统在带宽、时延等方面的限制将得到缓解。边缘计算的一般架构主要分为三层：边缘设备层、边缘服务层和云服务层。然而边缘计算由于算力和存储资源受限，因此容易遭受安全方面的影响。以往对电网数据安全的研究主要是针对虚假数据注入攻击，而对边缘计算环境中机器学习模型的攻击相关研究较少。投毒攻击是一种关于机器学习安全对抗研究的重要方向，攻击者在训练机器学习模型之前，向训练数据集中添加精心构造的毒样本数据，此时通过学习算法得到的目标模型将受到影响。联邦学习可以分为三个阶段：数据收集阶段、训练阶段和推理阶段段。联邦学习中存在的潜在威胁划分为对抗性攻击和非对抗性攻击。对抗性攻击主要目的是干扰联邦学习训练或推理过程，影响联邦学习训练时的收敛速度或推理结果。非对抗性攻击主要目的是试图从联邦学习各个阶段获取隐私信息或其它好处，但不会破坏模型训练和推理过程。

科研问题

作为边缘计算中的数据源，资源受限的物联网设备可能会遭受到对抗性样本的投毒攻击。针对边缘计算中基于GAN投毒攻击的防御技术相关研究较少，需要对其进行研究。

科研目的

基于对抗性样本的中毒攻击和边缘计算中抵御中毒攻击的差分隐私联邦学习模型进行结合研究基于边缘计算环境的对抗投毒攻击与防御技术。并考虑结合智能电网的边缘环境，使用电力相关数据进行对抗投毒攻击与防御。

研究背景

虚拟电厂（Virtual Power Plant，VPP）是一种集成多种分布式能源资源（Distributed Energy Resource，DER）的系统，通过智能化的技术和管理，实现分布式电源DG（distributed generator）、储能系统、可控负荷、电动汽车等DER的聚合和协调优化，以作为一个特殊电厂参与电力市场和电网运行的电源协调管理系统。虚拟电厂概念的核心可以总结为“通信”和“聚合”。将这些资源整合成一个统一的虚拟实体，以提供电力服务、优化能源利用并支持电力系统的稳定运行，通过协调和优化各种分布式能源设备，实现对电力市场的参与和能源管理的最大化于，对保障电力系统的安全稳定运行具有重要意义。其中每个分布式能源主体产生了大量数据，在当前日益严格的隐私保护法案监管下，不适合将数据上传到云端进行集中式处理，各主体设备的数据通常只能在本地进行，收集、处理、分析和使用这些数据来做出决策和确定行动需要带宽、足够的处理能力和速度，这种处理方式效果十分有限。

科研问题

在虚拟电厂的实际运行中，涉及到密集的多方数据采集、分析和应用，会产生大量的分散数据，这些数据包含了参与方的很多重要信息，我们需要保证数据的隐私和安全性。。
虚拟电厂需要满足实时性需求，能够及时地处理数据，以确保数据的及时分析和应用，可以实时地监测、分析和应用数据，使虚拟电厂能够更灵活地做出决策、调整运营，并及时应对变化的市场和能源环境。

科研目的

研究联邦学习在虚拟电厂中多个场景的应用，并提出一种基于边缘计算和差分隐私的分层联邦学习架构方案

研究背景及意义

由于联邦学习的分布式架构，更容易受到对抗性攻击，包括非目标攻击和目标攻击。数据中毒攻击和模型中毒攻击是两种类型的非目标攻击，其目的是通过恶意修改本地数据集或本地模型参数来降低聚合模型的性能。一般来说，如果没有防御部署在联邦学习模型上，一个单一的对手可以成功地实施无针对性的攻击，这让防守变得更加困难。后门攻击是联邦学习中典型的有针对性的攻击，它比无针对性的攻击具有更强的隐蔽性和入侵性。具体地说，攻击者将后门模式嵌入到聚合模型中，并进一步使模型在主任务和后门任务上都表现良好。为了使联邦学习对后门攻击具有更强的鲁棒性，很多学者都对联邦学习后门防御进行了研究，例如：Zhu等人提出了一种基于对抗性蒸馏的新型后门防御方案 ADFL，ADFL 通过在服务器端部署生成式对抗网络（GAN）生成包含后门特征的虚假样本，并对虚假样本重新标记以获得蒸馏数据集；Lu等人设计了收敛轮攻击下基于模型预聚合和相似性度量的后门模型检测和清除防御方案；早期轮攻击下基于后门神经元激活的后门模型清除防御方案。鉴于现有的防御方案需要单独部署新的网络模型效率较低，本次汇报提出了一种更高效的联邦学习后门防御方案。

研究内容

总结

根据上次组会的意见，对大论文的题目和论文结构进行了调整，并完善补充了每个章节的内容目录，本次组会主要介绍大论文的修改情况，详细介绍绪论部分。

科研背景

深度神经网络在图像识别、语音识别、自然语言处理等多个领域取得了显著的成果，因此成为现代机器学习领域的一个关键组成部分。然而，这些网络存在一个明显的安全漏洞:它们容易受到后门攻击。

后门攻击：攻击者在训练或微调过程中向一些训练样本的特征添加触发器并将其改为目标标签。然后，当攻击者将相同的触发器添加到测试样本的特征中时，学习到的分类器就会用触发器预测测试样本的目标标签。

这种攻击表明了深度学习模型在安全性方面的脆弱性。当考虑在安全关键领域使用深度神经网络时，这个漏洞变得更加令人担忧。在这种情况下，即使是一个小小的误判也可能产生可怕的后果，这凸显了建立强有力的防御机制的迫切需要。

科研问题

新的经验性防御措施被开发出来以防御后门攻击，但它们很快就会被强大的适应性后门攻击打破——缺乏鲁棒性验证。

使用固定的高斯方差 σ 进行随机平滑会加剧认证精度瀑布，认证与精度权衡，甚至公平问题，并降低认证半径和认证准确率，从而使模型不鲁棒

研究目的

专注于证明对一般威胁模型的鲁棒性，特别是后门攻击，开发一种依据数据的随机平滑的可验证的鲁棒性框架来防御后门攻击。

采用依据数据的平滑分类器，使高斯分布的方差可以在每次输入时进行优化，缓解认证精度瀑布，认证与精度权衡问题，从而最大化构建平滑分类器的认证半径，提高认证准确率

研究内容

无论是干净的数据集还是被投毒的数据集，经过鲁棒性验证，在测试数据上得到的输出结果一样

科研背景

随着移动设备、社交媒体平台和互联网的普及，人们拍摄和分享照片的行为变得日益频繁。然而，许多人并不清楚自己可能会因为他人拍摄的照片而受到隐私泄露的风险。
当一个人出现在他人拍摄的照片背景中，尤其是当这些照片被分享到互联网上时，个人可能会无意中暴露在公众面前。这种情况下，攻击者不仅可以通过分析照片中的地标和背景信息来揭示个人曾经去过的具体地点，还可以通过对多张照片进行比对和分析，从而拼凑出个人的旅行路线和活动轨迹。

科研问题

1.如何对图像中出现的多个个体进行隐私保护，从而保护这些个体的隐私不受侵犯，尤其是在公共场所、活动现场或者社交聚会等大规模多方参与的场景中。
2.如何处理大规模的图像数据，在其中有效识别并保护个人隐私信息。

研究目的

提出了一种新的图像隐私保护系统，称为LAMP，旨在点亮人们在在线图像共享过程中的位置意识，实现照片上传过程中的实时隐私保护。

研究内容

1.LAMPi策略

LAMPi策略将允许用户在不同的场景和不同的粒度级别上指定位置灵敏度。LAMPi策略P由以下几个部分组成:位置范围、位置类型、日期和时间间隔、灵敏度。

2.DLP树

快速定位指定该位置(基于地址)或该类型位置(基于语义关键字)为敏感的用户，以便稍后我们只需要将这些用户的脸与照片中的脸进行比较。

3.人脸识别

为了加快个体面孔的比较，我们采用了两种策略。一是在用户设置LAMPi策略时，预先计算用户的面部特征，从而节省照片上传阶段的人脸识别时间。另一种是采用多线程编程，同时进行单独对的人脸识别。