## Контекст Исследование федеративного обучения (Federated Learning, FL) в последние годы приобрело важность в связи с его потенциалом для обеспечения приватности и эффективности обучения моделей. Одной из ключевых задач в FL является вычисление "контрибьюционного оценочного показателя" (contribution score), который позволяет оценивать вклад каждого участника в обучение общей модели. Этот показатель используется для обеспечения справедливости и мотивации участников к участию. Однако существуют потенциальные угрозы, которые могут повлиять на точность этого механизма. В частности, архитектурные особенности методов агрегации моделей и стратегические подборы под свои нужды позиции (intentional manipulation) могут существенно исказить оценки вклада участников. Наша цель — изучить эти факторы и развить соответствующие решения. ## Метод Для изучения вопросов, связанных с оценкой контрибьюции в FL, мы применяем методологию виртуальных экспериментов, включающую различные методы агрегации моделей и методы подбора моделей участников. В частности, мы используем Flower, платформу для разработки FL-решений. Наша методика включает следующие этапы: (1) сравнение различных способов агрегации моделей, в том числе традиционного среднего и более новых подходов, учитывающих различия в моделях и ошибках участников; (2) эмпирическое исследование потенциальных рисков, связанных с манипулированием оценкой участников через специально сконструированные модели; (3) разработка мер для оценки эффективности различных методов и их устойчивости к атакам. ## Результаты Мы провели эксперименты с различными моделями и данными, включая MNIST, CIFAR-10 и CIFAR-100. Мы проанализировали влияние различных стратегий агрегации на распределение контрибьюционных оценок. Наши результаты показали, что некоторые методы агрегации моделей, которые предназначены для улучшения стабильности и точности, могут существенно исказить оценки вклада. Также мы проверили устойчивость систем к атакам, включая poisoning attacks. Наши результаты подтвердили, что даже небольшие подготовленные модели могут существенно исказить оценку вклада участников, что демонстрирует уязвимость механизма. ## Значимость Результаты нашего исследования имеют значительное значение для развития эффективных механизмов оценки вклада в FL. Мы продемонстрировали, что избежание искажений вклада требует развития более устойчивых методов агрегации. Эти результаты имеют практическое значение для приложений, где справедливость и мотивация участников к участию являются ключевыми факторами успеха, таких как облачные вы

#### Контекст Проникновенное тестирование (penetration testing) — это синтетическое моделирование атак для выявления уязвимостей систем безопасности. Это подходящий для автоматизации задач разработки и тестирования систем, но требует учета многих реальных факторов. Особым трудностьем является частичная наблюдаемость (partial observability), которая опровергает Марковское свойство в Марковских Динамических Моделях (MDP). Это вызывает сложности в построении устойчивых стратегий. Наша мотивация заключается в развитии алгоритмов, которые могут быть применены в реальном мире, где данные часто приходят неполностью или с задержкой. Мы стремимся создать устойчивые и трансферируемые стратегии, чтобы гарантировать надежную работу в различных и непредсказуемых условиях. #### Метод Мы рассматриваем задачи проникновенного тестирования в сетях с разным числом хостов, чтобы моделировать различные уровни сложности. Для преодоления частичной наблюдаемости мы исследуем различные решения: 1. **Frame-stacking**: Объединение нескольких кадров в один для увеличения контекста. 2. **Добавление исторической информации**: Использование дополнительных данных, чтобы повысить устойчивость. 3. **Архитектуры с применением трансформеров**: Использование моделей с глубоким пониманием контекста. 4. **Повторяющиеся модели (recurrent architectures)**: Использование ячеек языковых моделей для последовательного процесса. Мы сравниваем эти подходы с базовым методом Proximal Policy Optimization (PPO) для оценки эффективности. #### Результаты Мы проводим эксперименты на сетях различных размеров для оценки работы алгоритмов. Наши результаты показывают, что **расширенные методы PPO с использованием исторической информации** показывают три раза более быстрое сходимость по сравнению с базовым алгоритмом PPO. Мы также выявляем, что **трансформерные архитектуры** демонстрируют высокую точность и устойчивость, особенно при работе с более крупными сетями. Мы также проводим многочисленные ручные испытания для оценки поведения агентов, что дает комплексный взгляд на то, как каждый метод решает задачу. #### Значимость Результаты имеют большое значение в широких областях применения, в том числе в защите систем информационной безопасности, моделировании вредоносных атак для предварительного распознавания угроз, а также в обучении моделей для частично наблюдаемых задач. Мы показываем, что наши алгоритмы могут быть применены в реальных системах, обеспечивая более надежную защиту от новых угроз. Эти подходы также могут быть использованы в других задачах, таких как синтетическое моделирование и автома

#### Контекст В современной сетевой безопасности одной из основных задач является обнаружение вторжений (network intrusion detection). Эта задача становится все более сложной из-за постоянно изменяющихся атак и ограниченного количества меток для обучения. Особенностью этой области является необходимость учитывать сложные структуры сетевых трафиков, которые часто описываются в виде графов. Решения, основанные на графовых нейронных сетях (GNN), позволяют обнаруживать аномалии, однако часто разделяют процесс обучения представлений от поиска аномалий, что ухудшает эффективность. Наша модель GraphIDS призвана решить эту проблему, объединив обучение представлений и обнаружение аномалий в единой структуре. #### Метод Мы предлагаем GraphIDS — модель, основанную на самосупервизионном обучении (self-supervised learning), которая объединяет обучение представлений и обнаружение аномалий в одном потоке. Модель использует маскованный автоэнкодер для извлечения локальных представлений графов, определяющих нормальные сетевые паттерны. Для этого она применяет графовую архитектуру с индуктивным обучением, которая учитывает локальный топологический контекст для каждого трафикового потока. Для реконструкции этих представлений используется трансформер-подобная сеть, которая строит глобальные представления сети, используя самоп paшивание (self-attention) для выявления глобальных коо-премотений без необходимости явной позиционной информации. Эта модель выделяет подозрительные потоки с помощью высокой ошибки реконструкции. #### Результаты Мы проверили GraphIDS на нескольких бенчмарках сетевых потоков (NetFlow), включающих различные виды атак. Модель показала высокую точность и сенситивность в обнаружении аномалий. Она достигла показателей PR-AUC до 99.98% и F1-score до 99.61%, превосходя существующие решения на 5-25 процентных единиц. Эти результаты указывают на эффективность GraphIDS в обнаружении различных видов атак, включая незнакомые. #### Значимость Наша модель может быть применена в различных сценариях безопасности сети, в том числе для мониторинга трафика в реальном времени. Основные преимущества GraphIDS заключаются в единой структуре обучения для обработки графов и обнаружения аномалий, что позволяет обнаруживать атаки более точно. Это может существенно повысить эффективность систем безопасности, снизить затраты на обучение и улучшить защиту от новых атак. #### Выводы Мы представили GraphIDS — модель самосупервизионного обучения для обнаружения вторжений в сетях. Она объединяет обучение представлений и поиск аномалий в единой структуре, повышая точность и эффективность. Наши результаты показали существ

## Контекст Обеспечение автоматизированной системы защиты от киберугроз (Automated Cyber Defense, ACD) является ключевым заданием для современных компьютерных сетей. Несмотря на развитие технологий, существующие подходы часто ограничиваются специфическими сетевыми топологиями и не могут адаптироваться к новым угрозам или изменениям сетевой структуры. Традиционные методы не способны обеспечить универсальность и нулевую доступность к новым сетям. Без общей модели, которая бы учитывала иерархические и относительные свойства сетевых субъектов, эффективный автоматизированный способ защиты от новых и изменяющихся угроз остается недостижимым. Это препятствует развитию универсальных алгоритмов для динамического обнаружения и борьбы с новыми киберугрозами. ## Метод Для решения этой проблемы в работе предлагается формализовать ACD как чисто графовый контекст-зависимый Марковский процесс с частично наблюдаемыми состояниями (Partially Observable Graph-based Markov Decision Process, POG-MDP). Этот подход позволяет использовать ребра графа, которые представляют собой субъекты в сети, а значения вершин содержат дополнительную информацию о серверах, узлах или других субъектах. Используя этот фреймворк, агенты будут использовать супервизионный графовый реинфорсмент (Supervised Graph-based Reinforcement Learning), чтобы учиться и решать задачи ACD в новых сетях. Этот подход позволяет агентам лучше принимать решения, оперируя не только состоянием сети, но и ее структурой. ## Результаты Авторы проводили эксперименты на нескольких сетевых моделях, включая новые и изменяющиеся сети. Модели были тестированы против различных атак, включая широкие спектр злоумышленников. Для обучения использовались данные, созданные с помощью виртуальных сетей, а также наборы данных, связанных с реальными киберугрозами. Результаты были сравнены с состоянием технологии, и показано, что алгоритмы, основанные на графовой модели, показали существенное превосходство в защите новых сетей и достигли уровня защиты, который превышает ранее достигнутые результаты. ## Значимость Предлагаемый подход может быть применен в различных областях, включая системы самообновления защиты, автоматизированное обнаружение киберугроз и анализ системных угроз. Основные преимущества заключаются в независимости от топологии сети, общий характер решений и модели, которая может быть легко реализована в различных условиях. Эта модель может сыграть ключевую роль в создании универсальных и эффективных систем защиты от новых киберугроз, предоставив возможность расширения и адаптации защиты под различные системные

## Контекст Federated Learning (FL) является популярной методологией для обучения моделей машинного обучения в распределенных сетях с защитой приватности данных. Однако, приложение FL в системах, основанных на летательных аппаратах без пилота (UAV), сталкивается с рядом проблем, включая энергоемкость, эффективность связи и уязвимости безопасности. Эти проблемы могут серьезно сказываться на надежности и производительности таких систем. Одновременно, технологии цифровых двойников (Digital Twin, DT) набирают популярность в сфере распределенных и защищенных систем, предоставляя возможность реального временного мониторинга и прогностического обслуживания. В этой статье предлагается инновационный подход, который сочетает DT-технологии и Zero-Knowledge Federated Learning (zkFed) для решения вышеуказанных проблем. UAVs используются как мобильные базовые станции, обеспечивая моделирование и обучение FL в распределенной среде. ## Метод Предлагаемая методология сочетает цифровые двойники с Zero-Knowledge Federated Learning (zkFed) для улучшения эффективности системы UAV-assisted FL. Цифровые двойники позволяют в реальном времени отслеживать систему, предупреждать об ошибках и оптимизировать сетевые ресурсы. Метод zkFed обеспечивает безопасность, позволяя проверять модели FL без раскрытия секретных данных. Динамическая стратегия управления ресурсами, основанная на блочной координатной десятичной оптимизации, позволяет оптимизировать энергопотребление и управлять ресурсами в зависимости от условий сети. Например, UAV может скорректировать свой путь полета, тепловую мощность и скорость обработки на основе текущих условий сети, чтобы минимизировать энергопотребление и улучшить производительность сети. ## Результаты В экспериментах использовались симулированные данные о работе UAV-FL системы. Метод был проверен на различных сценариях, таких как различные уровни распределения узлов, различные уровни загрузки сети и различные типы моделей обучения. Результаты показали, что данный подход эффективно уменьшает энергопотребление (до 29.6% по сравнению с традиционными FL-подходами), улучшает скорость обучения и обеспечивает эффективную защиту конфиденциальности данных. Также было доказано, что данный подход может масштабироваться на большие сети, что делает его применимым для подключенных в реальном времени систем. ## Значимость Предлагаемый подход может быть применен в различных сферах, включая здравоохранение, транспорт, а также в области мониторинга и управления интеллектуальными сетями. Он обеспечивает значительные преимущества в сравнении с традиционными интеллектуальными сетями, включая улу

## Контекст Федеративное обучение (FL) — это метод машинного обучения, в котором несколько устройств обучают модель вместе, при этом данные остаются на своих устройствах. Однако существуют проблемы безопасности, особенно связанные с атаками на обучение с участием нескольких узлов. Одна из таких угроз — бэкдорный атака. Обычные бэкдорные атаки в FL ограничиваются конкретными сценариями, так как они требуют видимых триггеров и модификаций входных данных. Это ограничение способствует их неэффективности в реальной жизни. Мы предлагаем новую модель бэкдорной атаки, которая использует данные, отклоняющиеся от распределения (OOD), как как злонамеренные образцы, так и триггеры. Эта подход расширяет возможности бэкдорных атак в FL и демонстрирует их реальную опасность. ## Метод Наше решение состоит из двух компонентов. Мы предлагаем $\mathtt{OBA}$ — новую модель атаки, использующую данные, отклоняющиеся от распределения (OOD), как триггеры и злонамеренные образцы. Для укрепления невидимости $\mathtt{OBA}$, мы предлагаем $\mathtt{SoDa}$ — метод, который контролирует область действия злонамеренных моделей локального обучения. Это достигается за счет того, чтобы соотношение между магнитудой и направлением локальных моделей было близко к их безопасным версиям. Это позволяет $\mathtt{SoDa}$ действовать бесподозрительно и успешно пройти существующие защитные методы. ## Результаты Мы провести ряд экспериментов, используя различные наборы данных и защитные методы. $\mathtt{OBA}$ демонстрирует эффективность в обходе текущих систем защиты, при этом сохраняя высокую точность в основной задаче обучения. Это показывает его высокую эффективность и скрытость. Мы также проверили $\mathtt{BNGuard}$ — нашу защитную систему против $\mathtt{SoDa}$. Результаты показывают, что $\mathtt{BNGuard}$ эффективно обнаруживает и исключает злонамеренные модели, улучшая устойчивость FL к атакам. ## Значимость Предлагаемые методы имеют широкие области применения. $\mathtt{OBA}$ может применяться в сценариях, где необходимо протестировать системы на выявление недостатков безопасности. $\mathtt{SoDa}$ может применяться в защите от других видов атак в FL. Также, $\mathtt{BNGuard}$ может быть использован в системах FL для раскрытия и борьбы с новыми формами бэкдорных атак. Эти методы могут существенно улучшить безопасность и надежность FL в реальных условиях применения. ## Выводы Мы представили новую модель бэкдорной атаки, которая расширяет возможности FL-систем. Мы также разработали защитный метод, который эффективно справляется с данной угрозой. Наши резуль

## Контекст Одним из самых сложных заданий в медицине является диагностика редких генетических синдромов, которая часто осложняется отсутствием доступа к большим наборам данных и требовательным к конфиденциальности характеристикам этого процесса. Фасиальная дисморфология, то есть исследование характерных лицевых особенностей, является важной частью этого процесса. Несмотря на успех машинного обучения в этой области, существуют значительные проблемы, связанные с конфиденциальностью и доступностью данных. Данные о редких генетических синдромах часто хранятся в изолированных хранилищах, что затрудняет их объединение для обучения моделей. В этом контексте возникает необходимость разработки методов, которые обеспечат качественную диагностику и при этом сохранят конфиденциальность пациентов. ## Метод Мы предлагаем **federated GestaltMatcher**, модель, основанную на фреймворке cross-silo horizontal federated learning. Эта модель позволяет участникам (например, больницам) обучаться вместе, не передавая друг другу исходные изображения лиц. Вместо этого каждый участник вычисляет локальное представление данных в общем пространстве, и эти представления объединяются в глобальный модельный конфигурационный фреймворк. Это достигается за счет использования главной концепции этой модели: **kernel matrix computation framework**. Этот подход позволяет выполнять синдромную диагностику и обнаружение, не раскрывая конфиденциальных данных. Метод также предусматривает возможность входа новых участников в систему, которые могут использовать глобальный модельный экстрактор и настройки, зафиксированные в предыдущих итерациях обучения. ## Результаты Мы проводили эксперименты с использованием данных, представляющих редкие генетические синдромы. Модель показала близкие к centralized learning результаты, сохранив более 90% качества диагностических показателей. Было проверено, что модель остается устойчивой при различных количествах участников и в условиях неоднородных данных. Эти результаты подтверждают, что federated GestaltMatcher может обеспечить высокое качество диагноза радикально улучшая конфиденциальность и доступность данных в сравнении с традиционными методами. ## Значимость Важность нашего подхода заключается в его потенциале для расширения области диагностики редких генетических синдромов благодаря использованию федеративного обучения. Это решение может быть применено в различных медицинских учреждениях, которые работают с конфиденциальными данными. Оно обеспечивает улучшение доступности данных за счет моделирования в общем пространстве, не требуя передачи исходных данных. Благодаря этому, модель может быть применена в ситуациях, где требуется со

#### Контекст Federated Learning (FL) — это распределенная методика обучения нейросетевых моделей, в которой множество клиентов объединяют усилия для построения общей модели. Такой подход позволяет эффективно использовать данные, не раскрывая их, что особенно полезно в ситуациях, когда данные являются конфиденциальными или защищенными. Однако распределенность FL делает его уязвимым для атак, особенно нападениями с целью внедрения backdoor (атаки активируемые специфическим триггером). Эти атаки позволяют вредоносным клиентам внедрить злонамеренное поведение в общую модель, которое активируется во время предсказаний. Несмотря на многочисленные работы по созданию защит от таких атак, до сих пор не существует надежного метода, особенно в отношении адаптивных атак, которые могут адаптироваться к защите. #### Метод В данной работе предлагается новая модель адаптивного атакующего клиента, которая превзошла предыдущие модели по степени силы. Эта модель демонстрирует, что достаточно только одного или двух вредоносных клиентов (из 20), чтобы сломать востребованные сегодня методы защиты. Далее предлагается архитектура **Hammer and Anvil**, которая сочетает две независимые защитные стратегии: **Krum** и **Trimmed Mean**. **Krum** — это метод выбора наиболее достоверных вкладов клиентов, который оценивает качество статистически, а **Trimmed Mean** удаляет крайние значения в векторах обновлений модели, чтобы уменьшить влияние аномалий. Используя различные комбинации этих методов, авторы показали, как можно построить решение, позволяющее справиться с широким классом атак. #### Результаты Авторы провестили эксперименты с использованием нескольких сценариев обучения и атак. Использовались данные MNIST, CIFAR-10 и FMNIST. Защита **Krum+** (сочетание Krum и Trimmed Mean) вы mostrar más #### Контекст Federated Learning (FL) — это распределенная методика обучения нейросетевых моделей, в которой множество клиентов объединяют усилия для построения общей модели. Такой подход позволяет эффективно использовать данные, не раскрывая их, что особенно полезно в ситуациях, когда данные являются конфиденциальными или защищенными. Однако распределенность FL делает его уязвимым для атак, особенно нападениями с целью внедрения backdoor (атаки активируемые специфическим триггером). Эти атаки позволяют вредоносным клиентам внедрить злонамеренное поведение в общую модель, которое активируется во время предсказаний. Несмотря на многочисленные работы по созданию защит от таких атак, до сих пор не существует надежного метода, особенно в отношении адаптивных атак, которые могут адаптироваться к защите. #### Метод В данной работе предлагается новая модель адаптивного атакующ

## Контекст Прикладное федеративное обучение (Federated Learning, FL) становится все более востребованым для обучения моделей машинного обучения в распределенной среде. Одним из ключевых аспектов этой области является обеспечение конфиденциальности данных, которое достигается через применение методов дифференциальной приватности (Differential Privacy, DP). Одним из наиболее популярных подходов является DP-FTRL, основанный на методе "следуйте за регуляризованным лидером" (Follow-the-Regularized-Leader, FTRL). Несмотря на его эффективность, существующие реализации DP-FTRL предполагают, что сервер выполняет свои функции в честности (semi-honest). Однако это предположение может быть нарушено в реальных условиях, где сервер может быть злоумышленником. При этом существующие решения не подходят для обеспечения безопасности в таких условиях из-за сложности управления состояниями в системе. Мотивацией для настоящего исследования является разработка алгоритма, обеспечивающего безопасность в сеттинге злонамеренного сервера, при этом сохраняя системную эффективность и масштабируемость. ## Метод Для решения этой проблемы предлагается расширение серверной части системы, которое выполняет функции доверенного вычислительного базиса (Trusted Execution Environment, TEE). Это расширение позволяет производить проверку действий сервера с помощью вычисления проверочных подписей (proofs). Клиенты, выбранные для участия в аудите, проводят проверку подписей с небольшим дополнительным объемом обмена данными и вычислительными затратами. Таким образом, модель DP-FTRL остается масштабируемой, в то же время обеспечивая безопасность в условиях злонамеренного сервера. Для доказательства корректности подхода предлагаются формальные обоснования, основанные на интерактивной дифференциальной приватности (interactive differential privacy). Также разработана архитектура, которая обеспечивает масштабируемость и живучесть системы. ## Результаты На практике была проведена аналитическая оценка эффективности разработанного подхода, а также проведены эксперименты в реальных условиях. В экспериментах было продемонстрировано, что добавленное расширение почти не влияет на общую скорость обучения и масштабируемость системы. Было также подтверждено, что модель обеспечивает безопасность в условиях злонамеренного сервера с формальными гарантиями по дифференциальной приватности. Набор использованных данных включал реалистичные сценарии работы с данными, что позволило проверить систему на реальных условиях. Результаты показали, что протокол DP-FTRL с TEE-расширением демонстрирует хорошие показатели в сравнении с существующими решениями. ## Значимость Разработанная модель мож

#### Контекст На сегодняшний день, широкое развитие глубоких нейронных сетей привело к их широкому распространению в различных областях, включая видеонаблюдение, распознавание речи и анализ данных. Однако, эти модели часто развертываются на ограниченных устройствах, где наличие доступных ресурсов ограничивает их полноценное использование. Для улучшения эффективности и экономии ресурсов, становится важной задачей компиляция данных моделей в выполняемые формы, адаптированные специфике используемого оборудования. Тем не менее, такие "откомпилированные" модели могут стать целью для reverse engineering, что создает риск для безопасности. Несмотря на то, что ранее были предложены способы decompiling DNN executables, они обнаруживаются неэффективными в обработке традиционных и quantized моделей. Это влечет за собой необходимость в разработке более подходящих инструментов для полного восстановления таких моделей. #### Метод NeuroDeX предлагает инновационный подход к decompiling DNN executables, используя семантические возможности Large Language Models (LLMs) в сочетании с динамическим анализом. Его работа основывается на трех основных этапах: (1) **Operator Type Recognition**, (2) **Operator Attribute Recovery** и (3) **Model Reconstruction**. На первом этапе, LLMs используются для точного определения типов операторов модели, которые могут быть выполнены на разных архитектурах. На втором этапе, NeuroDeX выполняет реконструкцию конкретных атрибутов этих операторов, включая их настройки. На третьем этапе, все данные объединяются в структурированную модель, готовую к дальнейшей работе. Эта многоуровневая модель, включающая в себя LLM и dynamic analysis, обеспечивает более точное и эффективное восстановление, чем предшествующие методы. #### Результаты Для оценки эффективности NeuroDeX проводились ряд экспериментов, включающих 96 DNN executables, соответствующих 12 различным моделям. Одним из основных результатов является восстановление non-quantized моделей с высокой точностью, почти до уровня исходных моделей. Для quantized моделей, NeuroDeX достиг 72% точности на top-1 accuracy. Это относительно высокий результат, учитывая сложность, связанную с работой quantized сетей. Эти результаты показывают, что NeuroDeX может обеспечить более точное и универсальное восстановление DNN executables, в сравнении с предыдущими методами. #### Значимость Разработанная методика позволяет не только восстанавливать модели для запуска на различных архитектурах, но и помогает в анализе и оптимизации выполнения, что оказывается критически важной в реальном времени приложениях. Например, модели, восстановленные с помощью NeuroDeX, могут быть использованы для дальнейшего улучшения, модификации и