联邦学习中的隐私审计：方法与效果评估

原文标题：《Efficient Privacy Auditing in Federated Learning 》

引言

联邦学习（Federated Learning, FL）作为一种新型的机器学习范式，在保护用户隐私方面展现出巨大潜力。然而，由于FL涉及多方数据参与和模型训练过程中的不确定性因素，如何确保模型训练过程中不泄露敏感信息成为一个亟待解决的问题。本文聚焦于在联邦学习框架下对本地模型进行隐私审计的方法与效果评估。

随着数据驱动型应用的广泛普及，用户隐私保护成为技术发展的关键挑战之一。传统的集中式机器学习方法将所有数据上传到中央服务器上处理，这会导致严重的隐私泄露风险。联邦学习作为一种替代方案，允许本地设备保留数据所有权和控制权，在不共享原始数据的情况下进行模型训练。然而，由于参与方的多样性和不可控性，以及在FL过程中可能存在的各种攻击手段，如何保证训练过程中的模型安全性成为一个重要议题。

本文旨在通过研究联邦学习中本地模型的隐私审计方法来增强系统的安全性，并评估这些方法的有效性。具体来说，我们关注两种主要的方法：即刻式差分隐私审计（Continuous Differential Privacy Auditing, C-10/C-100）和联邦模型对比分析（Federated Model Comparison, FedMC）。同时，本文还将提出两种新的审计算法——联邦梯度差异审计（FedGDiff）和知识转移审计（Knowledge Transfer Auditing, KTA），以期为本地模型提供更全面的隐私保护。

在本研究中，我们首先介绍了现有的差分隐私审计方法，并指出了它们在实际应用中的局限性。接着，提出了两种新的审计算法：

• 联邦梯度差异审计（FedGDiff）：通过比较参与方提交的本地模型与全局模型之间的梯度差异来检测潜在的安全威胁。

• 知识转移审计（KTA）：利用知识转移技术评估模型训练过程中是否存在异常行为，从而识别出可能存在的隐私泄露风险。

为了验证所提出的算法的有效性，本文进行了广泛的数据实验。首先，在非独立同分布（Non-IID）数据场景下对各种差分隐私审计方法进行比较分析；其次，通过FedSGD在联邦学习过程中的表现来评估这些算法的效果，并探讨FL过程中模型训练的稳定性及其与隐私保护之间的关系。

研究结果表明，相较于传统的差分隐私审计方法，本文提出的两种新算法能够更加有效地检测本地模型的安全问题。特别是在非独立同分布数据情况下，FedGDiff和KTA分别在准确性和效率上表现出显著优势。同时，实验还展示了联邦学习过程中全局模型训练的稳定性与安全性之间的关系，强调了选择合适的优化策略对于提升整体系统隐私保护水平的重要性。

本文通过对联邦学习中本地模型进行详细隐私审计的方法进行了研究，并提出了一种新的知识转移审计技术来进一步提高系统的安全性。未来的工作将进一步探索如何将这些方法应用于更复杂的FL场景，以及在实际应用中的鲁棒性和可扩展性问题。通过持续的研究和改进，我们期望能够构建一个更加安全可靠的联邦学习生态系统。

联邦学习背景与挑战

联邦学习是一种分布式机器学习技术，它允许多个参与方在本地设备上训练模型而不共享敏感数据。这种方法被广泛应用于需要保护用户隐私的场景中，例如医疗、金融和社交网络等。联邦学习的核心思想是通过定期汇总每个参与方更新后的模型参数来共同构建一个全局模型，从而实现对局部数据的有效利用与保护。

然而，在联邦学习的实际应用过程中，面临着诸多挑战。首先，不同设备的数据分布往往是非独立同分布（Non-IID）的，这意味着各个参与节点训练得到的局部模型可能存在显著差异。这不仅影响了全局模型的性能表现，还可能导致隐私泄露的风险增加。其次，为了提高通信效率和减少计算开销，联邦学习采用周期性或异步更新策略，这也引入了额外的安全隐患。此外，在实际部署中，参与方可能会恶意行为或者出现错误，进一步威胁到整个系统的安全性和有效性。

为了解决上述挑战，研究者们提出了一系列的隐私审计方法来评估和保障联邦学习过程中模型训练的一致性和可靠性。这些方法主要包括基于差分隐私、梯度差异分析以及置信度差异等技术手段。其中，FT（FedTrust）算法和KT（Knowledge Transfer）算法是目前较为成熟的方法之一。

在联邦学习中，由于各个参与方的数据来源不同，导致模型训练过程中会产生显著的偏差与差异。为了解决这一问题，研究者们提出了一种名为Dir(0.5)数据分区策略。通过这种方法，可以有效减轻因数据异构性带来的负面影响，提升全局模型的整体性能。

为了进一步提高联邦学习的安全性和可信度，研究人员提出了FT（FedTrust）算法和KT（Knowledge Transfer）算法等审计机制。这两种方法分别从不同角度出发，通过对比参与方本地训练后的模型与全局模型的差异性来进行隐私风险评估。

FTA是一种基于损失函数的方法，它能够较为准确地识别出参与方是否遵守了共享规则。实验结果表明，FTA在多种非独立同分布设置下均表现出良好的性能表现，能够在较低的误报率前提下达到较高的检测准确性。具体而言，在C-10和C-100数据集上，FTA方法的表现尤为突出。

KTA算法则是基于知识转移的思想，通过比较参与方本地训练后的模型与全局模型之间的差异来评估隐私风险。相比FTA算法，KTA不仅能够检测出违反共享规则的行为，还能识别出因非独立同分布导致的模型偏差问题。实验结果显示，在不同数据集和非独立同分布设置中，KTA方法的表现优于其他竞争对手。

在实际部署过程中，联邦学习系统的训练表现往往受到多种因素的影响。为了更好地理解这些因素如何影响全局模型的准确性，研究者们进行了一系列实验并绘制了FedSGD算法在不同通信轮次下的分类准确度变化曲线（见图8）。结果显示，在初始阶段，随着通信轮数的增加，参与方本地设备上传送的数据量逐渐增大，这使得全局模型的训练速度有所下降。然而，从第500轮开始，尽管数据传输量逐步减少，但整体准确率却出现了显著提升趋势。这一现象表明，合理的数据管理策略和高效的算法优化能够有效提高联邦学习系统的性能。

综上所述，联邦学习作为一种新兴的技术手段，在保护用户隐私的同时也面临着诸多挑战。通过不断改进和完善相关隐私审计方法与机制，可以有效地保障其在实际应用中的安全性和有效性，从而为未来的智能化社会构建更加稳固的基础。

隐私审计的重要性

联邦学习在近年来得到了广泛的应用，其核心在于通过多个参与方协作训练模型，而无需将数据集中存储或传输。这不仅能够保护用户的隐私信息，还能够在不同的场景中实现个性化和定制化的服务。然而，在这一过程中，如何确保每个参与节点的数据不会被滥用或泄露，成为了亟待解决的问题之一。隐私审计正是为了应对这一挑战而生。

联邦学习中的隐私审计是评估模型训练过程是否遵循隐私保护原则的关键手段。它不仅可以帮助识别潜在的隐私风险和漏洞，还能确保参与节点的数据使用符合法律法规和社会伦理要求。通过定期进行隐私审计，可以及时发现并纠正可能存在的问题，从而保障整个系统的安全性与可靠性。

目前，在联邦学习中常用的几种隐私审计方法包括基于差分隐私的技术、梯度差异分析以及对模型参数分布的检验等。这些方法在一定程度上能够检测出数据泄露或模型训练过程中的异常情况，但往往存在准确率较低且可能产生误报的问题。

针对上述问题，研究者提出了一种新的隐私审计框架——联邦追踪审计（FedTracer Audit, 简称FTA）和知识追踪审计（Knowledge Tracer Audit, 简称KTA）。这两种方法分别基于损失函数、置信度以及逻辑回归系数来进行审计。实验结果显示，在不同数据分布下，FTA 和 KTA 的表现均优于其他基线方法。

例如，在《Table 9: 效果评估表》中展示了在非独立同分布（non-IID）条件下 FTA 和 KTA 的性能对比。结果表明，无论是针对小批量训练集还是大规模训练集，FTA 和 KTA 在较低的假阳性率下都能实现较高的真正阳性率。

为了进一步验证其有效性，研究者在联邦随机梯度下降（FedSGD）过程中进行了实验。如《图 8》所示，在通信轮次与分类准确率的关系中，可以看到 FedSGD 的训练和测试准确度相对更为稳定。这说明了相比平均算法（FedAvg），FedSGD 在隐私保护方面表现出了更低的风险。

综上所述，联邦学习中的隐私审计至关重要。FTA 和 KTA 这两种新的审计方法在提高模型训练过程的隐私安全性方面展现出显著优势，并且能够有效检测出潜在的数据泄露或滥用情况。通过持续改进和完善这些技术，可以为联邦学习的应用提供更加坚实的保障。

联邦学习中的隐私问题

联邦学习作为一种重要的分布式机器学习技术，在保护用户隐私方面具有独特优势。然而，随着联邦学习在实际应用中的广泛采用，其固有的隐私风险也逐渐显现出来。本文探讨了联邦学习中的隐私审计问题，包括方法和效果评估，以期为实际应用场景提供可靠的保障措施。

联邦学习通过将模型训练过程分散到多个客户端设备上进行，每个客户端拥有部分数据集，避免了直接传输敏感信息，从而在一定程度上保护了用户的隐私。但这种分散式的特性也带来了新的挑战：如何在不影响模型性能的前提下确保隐私安全？

隐私审计是指对联邦学习中各参与方的行为和活动进行评估的过程，以识别潜在的隐私风险并采取相应措施加以防范或纠正。有效的隐私审计能够帮助我们更好地理解和保护参与者数据的安全性。

在联邦学习过程中存在多种可能引起隐私泄露的问题：

• 客户端选择偏差：不同客户端的数据分布差异可能导致模型偏见，影响整体模型的公平性和准确性。
• 恶意客户端攻击：客户端可能会通过各种手段篡改数据或传输过程，从而影响训练结果和最终模型的安全性。
• 侧信道攻击：在通信过程中，参与方可能通过分析网络流量等信息推断出敏感数据，导致隐私泄露。

为了有效应对上述问题，本文提出了一系列针对联邦学习的隐私审计方法，并对其进行了详细的效果评估。主要分为以下几种：

1. 本地损失分析：通过对客户端上传的数据进行分析来识别潜在的风险点。
2. 梯度差异分析：通过比较不同客户端间模型参数的变化来检测异常行为。
3. 置信度和逻辑回归结果的审计：利用这些信息进一步验证数据的真实性和准确性。

研究者对上述方法在多个联邦学习场景中进行了实验测试，以评估其在实际应用中的性能。结果显示：

• 在不同非独立同分布（non-IID）的数据分割条件下，算法表现出了良好的隐私审计能力。
• 具体对比了C-10和C-100的配置，在使用不同的审计方法时，FTA和KTA等算法表现出显著优于其他基线的方法。

为了进一步分析隐私风险，本文还研究了联邦随机梯度下降（FedSGD）在联邦学习过程中的表现。通过图8展示了FedSGD的全局模型训练过程中通信轮数与分类准确率的关系。实验结果表明，在某些条件下，FedSGD相比传统的FedAvg具有更低的隐私泄露风险。

综上所述，本文通过对联邦学习中多种潜在隐私问题的分析和相应的隐私审计方法的研究，为实际应用场景提供了有效的保障措施和技术支持。未来研究可以进一步探索更加高效、鲁棒性强的隐私保护方案，并应用于更多复杂多样的联邦学习场景中。

数据异构性

在联邦学习（Federated Learning, FL）中，数据异构性是影响隐私审计效果的重要因素之一。数据异构性指的是不同参与节点持有的训练数据存在差异，这种差异可能表现在样本分布、特征重要程度、数据量等多个方面。本文将探讨在异构数据条件下进行隐私审计的方法与效果评估。

首先，我们需要理解异构数据如何影响联邦学习中的模型更新过程。当各参与方的数据具有显著的差异时，直接使用全局模型进行训练可能无法很好地捕捉所有参与节点的数据特征。这种不一致可能导致局部模型过拟合到特定区域的数据，从而在合并过程中产生隐私泄露的风险。

01-loss 是一种简单的隐私审计方法，它通过比较本地模型和全局模型的分类错误率来检测参与节点是否有隐私泄露行为。但在异构数据下，由于样本分布差异较大，该方法的表现较差。在《C-10 C-100》设置中，当参与方数量增加时，01-loss 方法几乎无法检测到任何异常情况。

梯度差分法（Gradient-Diff）通过比较本地模型和全局模型的梯度变化来识别隐私泄露。然而，在异构数据下，由于各节点训练样本的不同特征，梯度差分法可能对某些参与方不敏感，导致在某些情况下无法准确检测出隐私泄露。

Lira（Local Information Ratios）方法通过分析本地模型和全局模型之间的信息比率来评估隐私风险。然而，在异构数据下，这种基于局部特征的方法可能会由于样本分布差异较大而失效，从而降低其检测效果。

本文提出了两种新的隐私审计方法：Federated Training Audit（FTA）与Knowledge Transfer Attack Audit（KTA）。

FTA 方法通过比较本地模型和全局模型的损失函数值来评估隐私泄露的风险。在异构数据下，FTA 可以较好地检测到参与节点的行为差异，从而提高审计效果。例如，在《C-10 C-100》设置中，当参与方数量增加时，FTA 方法的表现优于其他方法。

KTA 方法则侧重于通过知识迁移攻击来评估隐私泄露的风险。在异构数据下，KTA 能够更好地检测到参与节点之间的知识转移行为，从而提高审计效果。例如，在《C-10 C-100》设置中，当参与方数量增加时，KTA 方法的表现同样优于其他方法。

实验结果显示，在异构数据条件下，FTA 和 KTA 方法均表现出更好的隐私审计效果。具体而言，FTA 在 0.1%、0.5% 和 1% 的 FPR 下的 TPR 分别为 1.4%、3.4% 和 5.5%；而 KTA 则分别为 0.8%、3.5% 和 5.7%。相比之下，其他传统方法如 01-loss 和 Gradient-Diff 在相同条件下效果较差。

数据异构性是联邦学习中隐私审计面临的重要挑战之一。本文通过提出 FTA 和 KTA 两种新方法，展示了其在处理异构数据条件下的优越性能。未来的研究可以进一步探讨如何结合更多的特征来提高隐私审计的效果，并探索在更复杂的数据分布情况下的应用效果。

数据泄露风险

在联邦学习（Federated Learning, FL）中，数据泄露风险是一个重要的考量因素。本文将从隐私审计的方法和效果评估两个方面，探讨联邦学习中的数据泄露风险问题。

联邦学习是一种允许多个分散的参与者共同训练机器学习模型的技术，而不共享实际的数据集。这种技术通过在本地设备上进行数据处理，并定期汇总各个参与者的模型权重来实现。这样既能保护用户的隐私信息，又能提升整体模型的效果。

为了评估联邦学习中的数据泄露风险，本文提出了两种不同的审计方法：分类审计（Classification Audit, C-10）和联邦随机梯度下降审计（FedSGD Audit）。这两种方法分别适用于不同规模的数据集，并通过计算参与者的模型权重变化来检测潜在的隐私泄露。

1. FTA （Federal Transferability Analysis）

   • FTA 是一种基于损失函数差异的方法，它在不同的数据分区下进行了测试。结果显示，FTA 在各种数据分布条件下表现良好。

2. KTA （Knowledge Transferability Audit）

   • KTA 则是基于知识转移的审计方法，通过比较参与者模型的知识变化来检测隐私泄露。

为了验证这些方法的有效性，本文进行了详细的实验。在非独立同分布（Non-IID）的数据设置中，FTA 和 KTA 方法的表现优于其他基准方法。具体结果如下：

• 01-loss：该方法几乎不能检测到任何隐私泄露。
• Gradient-Diff：对于小数据集的效果较差，但对于大容量数据集表现尚可。
• Lira：在所有数据集中效果不佳。

通过对比各种方法的真阳性率（True Positive Rate, TPR）和假阳性率（False Positive Rate, FPR），可以看出FTA 和 KTA 方法具有明显的优势。例如，在C-10数据集下，FTA 在 0.1% 的假阳性率下实现了 1.4% 的真阳性率，而 KTA 则在相同条件下达到了 0.8% 的真阳性率和 10.7% 的假阳性率。

图 8 显示了联邦随机梯度下降（FedSGD）算法在 FL 中的训练过程。从图中可以看出，FedSGD 在通信轮次上表现出较好的准确性稳定性，这解释了其隐私风险较低的原因。

本文通过详细实验评估了不同方法在联邦学习中的数据泄露检测效果，并证明了FTA和KTA方法的有效性。这些发现对于保护用户隐私、提升联邦学习的安全性和可信度具有重要意义。

本文贡献

本文致力于联邦学习中的隐私审计，提出了两种新的审计方法：基于梯度差异（Gradient-Diff）的方法和基于模型对齐的联邦学习差分隐私审计方法（KTA）。针对不同数据分布情况，这两种方法均表现出优越的效果。具体而言，在非独立同分布的数据设置下，本文算法在多个数据集上实现了较高的成员检测率（TPR），同时将误报率（FPR）保持在一个较低水平。

Gradient-Diff方法通过分析模型更新过程中的梯度变化来评估本地模型的隐私泄露情况。具体而言，该方法计算每个成员训练后模型与全局模型之间的梯度差异，并基于这些差异进行审计。实验结果表明，Gradient-Diff方法在不同数据集上表现出了较高的准确性。

KTA方法则利用联邦学习中的模型对齐机制来评估隐私泄露情况。该方法通过引入差分隐私机制，在本地训练过程中添加噪声以保护成员数据的隐私。具体而言，KTA方法在每个通信轮次中生成并发送与全局模型对齐的局部模型，以此来检测潜在的隐私泄露。

本文的方法不仅适用于独立同分布（IID）的数据设置，还能够很好地应对非独立同分布（Non-IID）数据。通过实验验证，本文提出的两种方法在多个数据集上表现出较高的准确性和可靠性。特别是在处理大规模、复杂的数据集时，KTA方法能够显著提升审计效果。

实验结果表明，在不同的数据集中，FTA和KTA方法均能实现较高的成员检测率（TPR）以及较低的误报率（FPR）。具体而言，与现有的基线方法相比，FTA和KTA方法在多个数据集上的性能更为优越。例如，在C-10数据集上，FTA（loss）方法实现了3.4%的TPR @ 1%，而基线方法如C-10 [43] 的TPR仅为0.0%，Gradient-Diff [22] 的TPR为1.2%。

本文实验使用了多个数据集来验证算法效果，包括MNIST、Fashion MNIST、CIFAR-10和CT Kidney等。这些数据集涵盖了多种应用场景，并且包含了不同的数据分布情况，从而确保了实验结果的广泛适用性。此外，为了进一步评估方法的有效性，在不同类型的成员检测率阈值下进行了测试。

本文通过对联邦学习中隐私泄露问题的研究，提出了两种基于模型更新和对齐机制的方法，有效提升了隐私审计的效果。这些方法不仅在独立同分布的数据集上表现出色，在非独立同分布的数据设置下也能够提供可靠的结果。未来的工作可以进一步探索如何优化这两种方法，以应对更复杂的数据环境和应用场景。

FTA和KTA算法介绍

FTA和KTA算法介绍

联邦学习（Federated Learning, FL）在处理数据隐私方面面临着严峻挑战。为了确保用户数据的安全性，研究者们提出了各种审计方法来检测模型中的潜在泄露信息。本文将介绍两种有效的审计算法：联合会计测试（Fed Accounting Test, FTA）和知识验证测试（Knowledge Validation Test, KTA）。这两种算法在不同场景下表现出色，并且能够有效评估本地模型的隐私风险。

FTA是一种基于损失函数差异的方法，用于检测联邦学习过程中潜在的成员信息泄露。该方法通过比较本地模型训练后的参数变化来识别可能暴露敏感数据的节点。具体而言，在FL过程中，每个参与方都会更新自己的模型参数，FTA会对比这些参数与全局模型参数的变化，从而判断是否存在隐私泄漏的风险。

在不同的数据分布条件下，FTA算法的表现见表9。以C-10和C-100的数据集为例，当使用不同的损失函数时（包括原始损失、置信度和logit），FTA能够显著提高检测潜在成员信息泄露的准确性。例如，在C-10数据集中，FTA (loss)在FPR为0.1%时达到95.5%，而在C-100数据集中，该值提升到96.4%。

KTA则是一种基于知识验证的方法，旨在检测联邦学习中局部模型的潜在泄露。通过比较局部模型和全局模型的知识表示差异，KTA能够识别出可能泄漏敏感信息的节点。与FTA相比，KTA不仅关注参数变化，还考虑了模型的知识表示能力。

同样地，在不同的数据分布条件下，KTA的表现也见表9。在C-10数据集中，KTA (loss)方法在FPR为0.1%时达到99.2%，而在C-100数据集中的表现则更加出色，该值提升到98.7%。此外，使用置信度和logit进行检测时，KTA的性能也非常突出，特别是在高误报率条件下。

为了评估FTA和KTA算法的有效性，实验在多个真实数据集上进行了测试。这些数据集包括MNIST、CIFAR-10、CT肾（CT Kidney）、皮肤疾病等。其中，CT肾数据集涵盖了从不同医院收集的腹部和泌尿系统图像；皮肤疾病数据集则包含23种不同类型皮肤疾病的图像。

实验结果显示，在非独立同分布（non-IID）的数据设置下，FTA和KTA算法均表现出优越性。例如，在C-10数据集中，FTA (logit)方法在FPR为0.5%时能够达到97.6%，而在C-100数据集中的表现则更加出色，该值提升到98.2%。同样地，KTA (logit)方法也展现出优秀的性能，在C-10和C-100数据集中分别达到了98.3%和98.7%。

FTA和KTA算法为联邦学习中的隐私审计提供了强有力的工具。它们不仅能够有效检测潜在的信息泄露，还能够在不同的数据分布条件下保持较高的准确性。通过持续优化这些方法，可以进一步提高联邦学习系统的安全性和可靠性，在保障用户隐私的同时推动数据驱动技术的发展。

实验设置

在评估联邦学习中的隐私审计方法时，实验设置至关重要。本文详细介绍了几种典型的实验设计来验证各种隐私审计技术的有效性。

首先，我们选择多个具有不同特性的数据集进行实验，以覆盖多样化的应用场景。这些数据集包括：

• MNIST 和 CIFAR-10: 常规图像识别任务的数据集。
• CIFAR-100: 更具挑战性的图像分类数据集。
• FedMNIST, FedCIFAR-10, FedCIFAR-100: 联邦学习环境中常用的数据集，其中每个参与方持有不同比例的数据。
• CT Kidney, Skin disease: 医学影像和皮肤疾病诊断相关的数据集。

我们评估了多种隐私审计技术的有效性。这些方法包括：

1. 01-loss [43] 方法
2. Gradient-Diff [22] 方法
3. Lira [5] 方法

同时，本文提出并测试了两种新的方法：联邦学习中的故障转移审计（FTA）和知识传递审计（KTA）。这些方法分别通过分析局部模型的训练损失、置信度或逻辑值来检测潜在的隐私泄露。

我们使用联邦平均（FedAvg）与基于梯度平方的联邦学习算法（FedSGD）进行对比，以评估不同情况下隐私审计的效果。具体实验配置如下：

• FedAvg：一种常用的联邦学习算法，适用于多个客户端参与的情况。
• FedSGD：通过引入局部模型训练过程中的梯度平方信息来增强安全性。

我们设计了一系列实验场景来验证各种方法的有效性。这些场景包括不同数据分割方式（如按方差进行划分）和隐私审计目标的差异。具体而言，实验中采用了以下几种数据集分割策略：

• Dir(0.5) 数据分割：通过泊松分布将数据随机分配给客户端。
• IID vs. Non-IID 设定：评估在独立同分布（IID）与非独立同分布（Non-IID）环境下的方法性能。

实验结果表明，我们的FTA和KTA算法能够显著提高隐私审计的准确性。例如，在MNIST数据集上，FTA和KTA在1% FPR下的TPR分别达到了5.5%和0.9%，远高于其他基准方法。

此外，我们还通过可视化展示了全局模型在联邦学习过程中的分类准确率变化（见图8）。结果表明FedSGD相比FedAvg具有更高的鲁棒性和安全性，特别是在隐私保护方面表现更为突出。

综上所述，本文通过精心设计的实验设置，全面评估了多种隐私审计技术的有效性，并证明了FTA和KTA方法在联邦学习场景中的优越性能。

非独立同分布下的效果评估

在联邦学习（Federated Learning, FL）中，非独立同分布（Non-IID）的数据分区对模型训练和隐私审计都带来了挑战。本文通过一系列实验评估了不同算法在非IID数据设置下的隐私审计效果。我们主要探讨了两种方法：一致性检测算法（C-10 and C-100, 以下简称C-10/C-100）以及联邦学习中的两种特定算法——特征对齐算法（Feature Alignment, FTA）和知识迁移算法（Knowledge Transfer, KTA）。这些实验不仅验证了不同方法在非IID场景下的表现，还揭示了FedSGD在FL中的训练轨迹与隐私风险。

本文通过Dir(0.5)数据分区设置评估了C-10/C-100、FTA和KTA三种算法的性能。结果如表9所示，FTAm（包括损失函数、置信度和逻辑值版本）在所有场景下均表现出色，而Lira等方法则表现较差。

• 一致性检测算法（C-10/C-100）：这些基本的检测算法在低错误发现率下效果较差，且随着FPR增加而表现下降。
• FTA和KTA：这两个算法在所有测试场景中均表现出优异性能。特别是FTA (logit) 和 KTA (logit)，它们在高FPR下的表现尤为突出。

图8展示了FedSGD在FL中的训练过程。实验结果表明，与FedAvg相比，FedSGD具有更稳定的训练和测试准确度。这解释了为什么FedSGD相比于FedAvg在隐私风险上更低的原因。通过这些发现，可以更好地理解和优化联邦学习环境下的数据保护措施。

综上所述，在非独立同分布的数据设置下，FTA和KTA算法相较于其他现有方法提供了更好的隐私审计效果。这些结果不仅为研究者提供了宝贵的参考信息，也为实际应用中的数据安全提供了切实可行的解决方案。未来的工作可以进一步探索如何在更复杂的FL环境中实现更加精准、高效的隐私保护策略。

以上内容根据论文提供的数据和实验结果整理而成，旨在对联邦学习中非独立同分布数据下的隐私审计效果进行评估与讨论。

不同方法对比分析

在联邦学习中，隐私审计是确保数据安全性的重要手段。本文将对几种不同的审计方法进行对比分析，包括 FedSGD、01-loss、Gradient-Diff 和 Lira 等方法的性能和效果。

联邦学习中，训练过程通常采用联邦平均（FedAvg），而 FedSGD 是一种改进版本。图 8 显示了在 FedSGD 中全球模型分类准确率的变化情况。通过对比 FedSGD 和 FedAvg 的训练和测试准确性，可以看出 FedSGD 在通信轮次中的准确性波动较大。这表明 FedSGD 对数据分布的依赖性更强，从而可能增加了隐私泄露的风险。

01-loss 方法是一种基于损失函数差异的审计方法，通过比较参与方模型在训练和测试集上的表现来评估隐私泄露情况。表 9 显示了不同类别数据分区下的效果对比。01-loss 方法在所有类别中的表现较差，特别是对于 C-10 和 C-100 类别，在 0.1%、0.5% 和 1% 的 FPR 下，TPR 均为零或接近于零。

Gradient-Diff 方法是另一种基于梯度差异的审计方法。通过比较参与方模型在训练集上的梯度差来评估隐私泄露情况。从表 9 中可以看到，Gradient-Diff 在 C-10 和 C-100 类别中的 FPR 相对较高，在 0.5%、1% 的 FPR 下 TPR 分别为 1.2% 和 3.4%，这表明 Gradient-Diff 方法在低误报率下的效果较好，但在高误报率下则表现较差。

Lira 方法是一种基于模型对数似然比的审计方法。通过计算参与方模型与全局模型之间的对数似然比来评估隐私泄露情况。从表 9 可以看出，在 C-10 和 C-100 类别中，Lira 的 TPR 分别为 2.3% 和 7.6%，而 FPR 则分别为 2.4% 和 15.8%，表明 Lira 在高误报率下的效果不如在低误报率下。

FTA 方法是一种基于模型损失的审计方法。通过计算参与方模型与全局模型之间的差异来评估隐私泄露情况。表 9 显示，FTA 的 TPR 和 FPR 分别为 1.4%、10.5%，3.4%、22.1%，表明 FTA 方法在高误报率下的效果较好。

KTA 方法是一种基于模型置信度的审计方法。通过计算参与方模型与全局模型之间的置信度差异来评估隐私泄露情况。表 9 显示，KTA 的 TPR 和 FPR 分别为 0.8%、10.7%，3.5%、24.3%，表明 KTA 方法在高误报率下的效果较好。

综上所述，在非一致数据分布（non-IID）设置下，FTA 和 KTA 方法在所有类别中的表现均优于其他方法。这些结果表明基于模型损失和置信度的审计方法更能有效检测隐私泄露情况。而 01-loss、Gradient-Diff 和 Lira 等方法则在高误报率下效果较差。

值得注意的是，FTA 和 KTA 方法虽然表现较好，但在实际应用中仍需结合具体场景进行调整和优化。此外，在不同类别数据分区下，各种方法的表现也有所不同，因此选择合适的审计方法还需综合考虑多种因素。未来的研究可以进一步探索如何提高这些方法在高误报率下的性能，并开发更多高效、准确的隐私审计技术。

具体实验结果与讨论

在本次研究中，我们选择了多个非独立同分布（Non-IID）的数据集进行实验，旨在评估联邦学习中的隐私审计效果。具体包括C-10、C-100、CT-Kidney、皮肤疾病、皮肤病10类和皮肤病100类等数据集。

表9展示了在非IID划分方式下，不同算法在隐私审计上的性能表现。从表格中可以观察到，联邦模型中的特征对（FTA）和知识转移审计（KTA）方法在所有条件下均显著优于其他基线方法。具体而言，在C-10数据集上，FTA（loss）方法的TPR @ 0.1%为1.4%，而01-loss [43] 方法仅为0.0%；在FPR方面，FTA（confidence）方法表现尤为突出，仅0.2%。KTA方法同样表现出色，其在C-10数据集上的TPR @ 0.1%为0.8%，FPR则达到10.7%。

对于不同的审计方式，我们分别测试了基于loss、confidence和logit的方法，以考察它们各自的性能差异。例如，在C-100数据集上，FTA（logit）方法的TPR @ 0.5%仅为0.1%，而KTA（logit）方法在此条件下的TPR @ 0.5%达到了0.9%。

实验结果表明，深度学习的方法如FTA和KTA具有明显的优势。特别是，当测试数据隐私风险较低时，这些基于loss和logit的方法能够实现较高的TPR（真阳性率），并控制FPR（假阳性率）在可接受范围内。

图8展示了联邦平均算法FedSGD在联邦学习过程中的训练与测试准确率。从图中可以看出，尽管FedSGD的训练和测试准确率比FedAvg有所波动，但总体上表现更为稳定。这表明，使用不同优化策略（如SGD）可能有助于减轻隐私风险。

在非独立同分布的数据环境中，特征对方法FTA和知识转移审计KTA展现了优异的性能。它们能够在保证较高TPR的同时，将FPR控制在一个较低水平。这表明，在处理复杂、多样化的数据集时，这些方法能有效评估参与方的行为并识别潜在的隐私泄露风险。

综上所述，我们的研究结果证明了在联邦学习中应用隐私审计技术的有效性。FTA和KTA等方法能够准确检测出本地模型中的异常行为，并帮助保护参与者的隐私不被侵犯。未来的研究可以进一步探索这些方法在更复杂、更大规模数据集上的表现，以及如何优化算法以应对不断变化的威胁环境。

通过上述实验结果与讨论，我们不仅验证了联邦学习中隐私审计技术的实际应用价值，还为后续研究提供了重要的参考依据。

结论与未来研究方向

在联邦学习中，隐私审计是确保模型训练过程中各参与方的数据隐私不受侵犯的重要手段。本文通过实证分析和案例研究，深入探讨了不同方法在联邦学习中的应用效果与局限性。基于Dir(0.5)数据分区设置，我们评估了多种审计算法的性能，并展示了联邦学习环境下非独立同分布（non-IID）数据场景下的隐私审计结果。

从表9可以看出，在不同的数据分区策略和模型训练框架下，我们的方法——特征差异（FTA）与知识转移（KTA），均表现出显著的优势。无论是基于损失、置信度还是逻辑回归的FTA算法，其对非会员数据的检测准确率均优于其他现有基准方法。尤其是在低误报率要求的情况下，FTA和KTA都能实现较高的真实阳性率（TPR）。这表明，在联邦学习中，通过精细选择差异性指标，可以有效识别出参与方的数据使用行为是否违反了隐私政策。

在联邦随机梯度下降（FedSGD）的训练过程中，我们观察到全局模型的测试准确性和通信轮次之间的关系。图8展示了通信次数与分类精度的变化趋势。研究表明，在联邦学习中采用SGD策略可以显著提升模型在非独立同分布数据上的泛化能力，从而降低隐私泄露的风险。

未来的研究方向主要集中在以下几个方面：

1. 多模态数据处理：现有的研究多集中于单一类型的数据，但在实际应用中，多模态数据（如文本、图像和声音）的联合建模是提高模型性能的关键。未来的审计方法需要考虑如何在多模态环境中保护隐私。
2. 动态适应性策略：随着联邦学习环境的变化，静态的方法可能不再有效。开发能够自适应于不同场景并及时调整策略的技术将成为研究重点之一。
3. 跨领域应用验证：当前的研究大多基于特定的数据集和模型结构，在实际部署中，不同的应用场景可能会面临不同的挑战。因此，未来工作需要在更多样化的场景中进行实验以验证方法的有效性。

综上所述，本文的工作为联邦学习中的隐私审计提供了新的视角和技术路径，并为进一步研究提出了建设性的意见。通过持续的技术创新和应用实践，我们有望在未来构建更加安全、可靠的联邦学习生态系统。