类型a：这篇文档报告了一项原创研究。

主要作者和机构及发表信息
该研究的主要作者包括张杰（Jie Zhang）、张宏亮（Hongliang Zhang）、王桂娟（Guijuan Wang）和董安宁（Anming Dong）。他们来自山东计算机科学中心、齐鲁工业大学（山东省科学院）以及山东省工业网络与信息系统安全重点实验室。研究发表在2025年的WASA 2024会议论文集中，属于Lecture Notes in Computer Science（LNCS）系列。

学术背景
本研究属于联邦学习（Federated Learning, FL）领域，这是一种新兴的分布式机器学习范式，允许参与者在不共享原始数据的情况下协同训练模型。然而，FL的分布式特性使其容易受到投毒攻击（Poisoning Attacks），尤其是在客户端数据为非独立同分布（Non-IID）时。投毒攻击分为数据投毒和模型投毒，前者通过破坏本地数据阻止模型收敛或引导模型向特定方向偏移，后者通过上传恶意梯度或模型更新损害全局模型性能。现有防御策略主要包括鲁棒聚合（Robust Aggregation, RA）和异常检测（Anomaly Detection, AD），但这些方法通常依赖于特定的数据分布假设，难以应对异构数据场景。此外，传统方法要求客户端以明文形式上传模型参数，可能引发隐私泄露问题。基于此，本研究旨在提出一种新的防御策略FedAPA（Federated Prototype Learning Against Poisoning Attacks），以有效抵御投毒攻击并解决数据异构性问题。

详细工作流程
研究包括以下几个主要步骤：
1. 本地训练：每个客户端使用其本地数据集进行训练，并通过特征提取器提取特征表示，计算每类数据的本地原型（Local Prototype）。本地原型是同类数据特征向量的平均值，代表该类别的特征。客户端将本地原型集上传至服务器，而非原始数据或模型参数，从而保护隐私。
2. 相似性计算：服务器接收所有客户端的本地原型后，计算任意两个原型之间的相似性。首先，通过欧几里得距离评估本地原型与全局原型之间的差异，提取重要性指标；然后，利用Jaccard相似系数和Spearman秩相关系数计算原型间的相似性。
3. 攻击者识别：基于相似性计算结果，定义每个原型的信任分数（Trust Score），用以评估其与其他原型的相似性。信任分数较低的原型被认为是潜在的恶意原型。如果某个客户端超过一半的原型被标记为恶意，则该客户端被视为恶意客户端。
4. 重新加权与安全聚合：服务器根据信任分数对本地原型进行重新加权，并在最终聚合过程中排除恶意原型的影响。通过归一化处理，确保良性原型权重合理分配，同时将恶意原型的权重调整为零。最终生成全局原型（Global Prototype），用于下一轮训练。

实验部分包括两个典型投毒攻击场景：标签翻转攻击（Label-Flipping Attack）和后门攻击（Backdoor Attack）。研究使用MNIST和CIFAR-10数据集进行测试，设置了不同的攻击者比例（γ）和非IID程度（通过Dirichlet分布参数β模拟）。实验对比了FedAPA与五种现有防御策略（如FedAvg、Median、Multi Krum、FoolsGold和FL-Defender）的性能。

主要结果
实验结果显示，在无攻击情况下，所有方法的性能与FedAvg相当。然而，随着攻击者比例增加，仅FL-Defender和FedAPA表现出良好的防御能力。特别是在标签翻转攻击中，FedAPA在不同攻击者比例下的准确率均优于其他方法。例如，在CIFAR-10数据集上，当γ=0.3时，FedAPA的准确率为74.19%，高于其他方法。在后门攻击中，FedAPA显著降低了攻击成功率（Attack Success Rate, ASR）。例如，在MNIST数据集上，当γ=0.3时，FedAPA的ASR仅为0.06，远低于FedAvg的0.36。此外，研究还发现FedAPA在不同非IID程度下的表现优于现有方法，即使在极端非IID场景（β=0.5）中仍能保持较高的防御性能。

结论及意义
本研究提出的FedAPA策略能够有效抵御投毒攻击，同时维持全局模型的训练性能。其科学价值在于通过使用类别原型（Class Prototypes）作为通信媒介，解决了非IID数据带来的挑战，并提出了基于信任分数的恶意客户端识别方法。应用价值体现在提高联邦学习系统的鲁棒性和隐私保护能力，适用于车联网、智能家居等实际场景。

研究亮点
1. 提出了一种基于原型的联邦学习防御策略FedAPA，解决了异构数据场景下的投毒攻击问题。
2. 设计了一种新颖的恶意客户端识别方法，通过计算原型相似性和信任分数区分良性与恶意客户端。
3. 实验验证了FedAPA在多种攻击场景和数据分布下的优越性能，特别是在极端非IID条件下的稳定性。

其他有价值内容
研究还探讨了不同非IID程度对防御性能的影响，发现FedAPA在各种数据分布下均表现出色。此外，研究强调了隐私保护的重要性，通过使用原型而非原始数据或模型参数进行通信，避免了隐私泄露风险。