本文档属于类型a，即报告了一项原创性研究。以下是对该研究的学术报告：

主要作者及机构

本研究由Xiaodong Wu、Henry Yuan、Xiangman Li、Jianbing Ni（IEEE高级会员）和Rongxing Lu（IEEE会士）共同完成。Xiaodong Wu、Xiangman Li和Jianbing Ni来自加拿大女王大学电气与计算机工程系及Ingenuity Labs研究所；Henry Yuan同样来自女王大学电气与计算机工程系；Rongxing Lu则来自加拿大新不伦瑞克大学计算机科学学院。该研究发表于2024年11月4日的《IEEE Transactions on Information Forensics and Security》期刊。

学术背景

本研究聚焦于分裂联邦学习（Split Federated Learning, SFL）的安全性及鲁棒性评估，特别是针对恶意客户端驱动的投毒攻击（Poisoning Attacks）。SFL是一种新兴的分布式协作学习架构，结合了联邦学习（Federated Learning, FL）和分裂学习（Split Learning, SL），旨在资源受限的环境中保护隐私。尽管SFL具有显著的优势，但其鲁棒性尚未得到充分研究。投毒攻击是FL中已知的严重威胁，可能通过操纵训练数据、模型权重或标签来破坏模型的完整性。因此，本研究旨在评估SFL在面对传统投毒攻击（如数据集投毒、权重投毒和标签投毒）以及专门针对SFL设计的新型投毒攻击（如Smash投毒）时的脆弱性，并提出相应的防御策略。

研究流程

本研究包括以下几个主要步骤：

1. 研究问题定义
   研究提出了四个核心问题：

   • RQ1：SFL是否易受FL中常见的投毒攻击（数据集投毒、权重投毒和标签投毒）影响？
     
   • RQ2：是否存在专门针对SFL的新型投毒攻击方法？
     
   • RQ3：将Smash投毒与其他投毒方法结合是否能增强攻击效果？
     
   • RQ4：FL中的防御方法是否能在SFL中有效防御投毒攻击？

2. 攻击方法设计
   研究设计了四种投毒攻击方法：

   • 数据集投毒：通过梯度信息生成恶意样本，修改客户端本地数据。
     
   • 权重投毒：直接操纵客户端模型的权重，使其偏离正常训练方向。
     
   • Smash投毒：在客户端将数据发送到服务器之前，向分裂数据中添加恶意扰动。
     
   • 标签投毒：修改客户端本地数据的标签，使模型学习错误分类。
     此外，研究还提出了三种混合攻击方法：Datasetsmash、Weightsmash和Labelsmash，将Smash投毒与其他投毒方法结合。

3. 实验设置
   研究在四个图像数据集（MNIST、F-MNIST、CIFAR-10和FEMNIST）上进行了实验，评估了不同投毒攻击方法的效果。实验采用ResNet-18模型，默认将前三个卷积层分配给客户端模型，其余层分配给服务器模型。实验中使用了SGD优化器，学习率为0.01，攻击率为1。

4. 防御方法评估
   研究评估了九种鲁棒聚合方法（如Krum、Median、SparseFed、FLTrust、DNC、DeepSight和ShieldFL）在SFL中的防御效果，并提出了一种新的防御策略Smash Defense，通过过滤恶意分裂数据来提高SFL的鲁棒性。

5. 数据分析
   研究通过分类准确率、目标类真阳性率（TPR）、基类真阴性率（TNR）和错误分类率（WCR）等指标评估了攻击和防御的效果。实验结果通过多次实验取平均值，以确保数据的可靠性。

主要结果

1. 投毒攻击效果

   • 权重投毒是最具破坏性的攻击方法，在MNIST、F-MNIST和CIFAR-10数据集上使模型准确率分别下降84%、77%和47%。
     
   • Smash投毒单独使用时效果有限，但与标签投毒结合后（Labelsmash）显著增强了攻击效果，使模型准确率降至10%左右。
     
   • 数据集投毒和标签投毒在低攻击比例（如0.1%）下对SFL的影响较小，但在高攻击比例下仍能显著降低模型性能。

2. 防御方法效果

   • Median、Krum和DNC在防御所有投毒攻击中表现最佳，但仍存在一定的性能下降。
     
   • ShieldFL在防御权重投毒和Labelsmash攻击中表现出色，但对数据集投毒的效果较差。
     
   • Smash Defense显著提高了SFL对权重投毒和Labelsmash攻击的鲁棒性，使模型准确率从10.52%提升至87.63%。

3. 其他发现

   • 随着客户端数量的增加，投毒攻击的效果显著增强，但通过增加干净客户端的数量可以部分缓解攻击的影响。
     
   • 模型分割类型对SFL的鲁棒性有显著影响，将更多层分配给客户端模型可以提高系统的抗攻击能力。
     
   • 在模型收敛后发起的投毒攻击仍能有效破坏系统，表明SFL在模型训练后期仍存在安全风险。

结论

本研究首次全面评估了SFL在面对投毒攻击时的鲁棒性，揭示了其在不同攻击场景下的脆弱性。研究提出的新型投毒攻击方法（如Smash投毒）和混合攻击方法（如Labelsmash）为SFL的安全性研究提供了新的视角。同时，研究验证了传统FL防御方法在SFL中的有效性，并提出了专门针对SFL的防御策略Smash Defense。这些发现为SFL系统的安全设计和应用提供了重要参考。

研究亮点

1. 新型投毒攻击方法：首次提出并评估了专门针对SFL的Smash投毒攻击及其混合攻击方法。
   
2. 全面评估：在多个数据集和不同实验设置下，系统评估了SFL的鲁棒性。
   
3. 新型防御策略：提出的Smash Defense显著提高了SFL对投毒攻击的防御能力。
   
4. 实用价值：研究结果为SFL系统在实际应用中的安全性提供了重要指导。

其他有价值内容

研究还探讨了SFL在非独立同分布（Non-IID）数据、不同模型结构（如ResNet-152和VGG16）以及不同攻击时机下的表现，进一步丰富了研究的广度和深度。

通过本研究，学术界和工业界可以更好地理解SFL系统的安全挑战，并为其实际应用提供有效的防御策略。