摘要：近日，西安电子科技大学网信院李晖教授团队的最新研究成果“On the Robustness of LDP Protocols for Numerical Attributes under Data Poisoning Attacks”被NDSS 2025国际学

近日，西安电子科技大学网信院李晖教授团队的最新研究成果“On the Robustness of LDP Protocols for Numerical Attributes under Data Poisoning Attacks”被NDSS 2025国际学术会议全文收录，并将作大会报告。NDSS的全称是Network and Distributed System Security，与IEEE S&P、USENIX Security、ACMCCS并列称为网络安全领域的四大国际顶级学术会议，被中国计算机学会（CCF）列为A类会议。该会议收录的论文代表着相关领域的最前沿学术研究成果，在业界具有广泛而深远的影响。

这篇论文由西安电子科技大学李晖教授团队讲师李效光，阿里巴巴（美国）达摩院李子韬，普渡大学李宁辉和孙文海教授合作完成。

该论文主要针对本地化差分隐私（LDP）协议的鲁棒性和安全展开研究。近年来，LDP技术已经成为了无可信中心的分布式环境中标准的隐私数据采集分析技术之一。LDP要求用户上传隐私敏感数据之前在本地对数据进行扰动，然后服务器通过扰动结果来分析用户数据的统计特征。然而，LDP协议中存在一个固有的缺陷。由于LDP协议中数据扰动部分部署在用户本地，恶意用户可以篡改扰动结果并精心构造投毒数据上传给服务器，以此来影响最终的数据统计结果。

对于这一问题，本文针对LDP下数值分布估计协议的鲁棒性和安全性展开研究。首先，本文设计了一个LDP协议鲁棒性评估框架，通过在不同的协议上进行数据投毒攻击，并分析攻击效果来进行协议鲁棒性评估。攻击效果越强，协议的鲁棒性就越低。该框架提出了普适通用的分布偏移攻击对协议鲁棒性进行分析。该攻击的目标是通过数据投毒，使最终统计分布错误地向定义域一端尽可能偏移。本文首先设计了Baseline的投毒数据构造方式来实现攻击目标，通过篡改输入数据，能够构造出不依赖于具体协议的投毒数据。另外，结合不同协议的特性，本文进一步提出了输出篡改攻击方案，通过直接伪造协议输出结果来实现分布偏移，避免了Baseline攻击中LDP扰动对于投毒数据的影响，有效提升了攻击效果。为了有效评估攻击效果，本文创新性地提出了两种攻击强度指标Absolute Shift Gain (ASG)和Shift Gain Ratio (SGR)，从分布总体偏移程度和相比于Baseline攻击的效果提升比例来评估攻击效果。通过系统性的鲁棒性分析，结果显示SW协议在大多数情况下对于攻击有较高的抗性。

为了进一步增强鲁棒性，本文创新性地提出了零样本检测 (zero-shot detection) 方案，能够在不依赖于真实数据辅助信息的情况下实现攻击检测。该方案的主要思想是检测用户上传的扰动结果中是否存在低似然输出 (low-likelihood outcome)。当用户诚实执行LDP协议时，扰动结果和估计分布之间应该有较高的似然，因此对使用相同LDP协议重新进行扰动时，应该有很高概率重新得到扰动结果；反之，得到的结果应该和有很大差距。利用KS假设检验统计推断技术，所提零样本检测方案能够有效识别重构扰动结果和之间的差异，实现了恶意投毒数据内容的高效识别。通过系统性的实验分析，本文所提零样本检测方案性能显著优于已有检测方案。在多个现实数据集上测试结果显示，当攻击数据占比仅为5%时，检测方案的AUC指标就可以超过0.92。除了检测性能分析之外，本文深入研究了检测效果和攻击强度之间的关系。结果显示，当攻击者降低投毒数据比例，隐蔽恶意数据内容并绕过检测时，攻击强度也会大幅减低并接近于Baseline攻击，导致其不再构成显著的攻击威胁。

本论文的发表向外界充分展示了西安电子科技大学在网络安全领域的最新研究成果，标志着西安电子科技大学在该领域的研究得到了国际同行的进一步认可。（通讯员：高珊 张效光）

来源：高校圈的那些事儿