垂直联合学习（VFL）引起了很多关注，因为它可以以隐私的方式实现跨核数据合作。虽然大多数在VFL专注于线性和树模型的研究工作，但在VFL中尚未对深层模型（例如，神经网络）进行很好的研究。在本文中，我们专注于Splitnn，这是VFL中著名的神经网络框架，并确定了SplitNN中数据安全性和模型性能之间的权衡。简而言之，SplitNN通过交换梯度和转换数据来训练模型。一方面，SplitNN遭受了模型性能的损失，因为多方使用转换的数据而不是原始数据共同训练模型，并且丢弃了大量的低级特征信息。另一方面，通过在SplitNN中的较低层的汇总（即，数据的转换较小，保留了更低级别的功能）来提高模型性能的天真解决方案，使原始数据易受推理攻击的影响。为了减轻上述权衡，我们在VFL中提出了一个新的神经网络协议，称为安全远射聚合（SFA）。它改变了汇总转换数据并采用可移动掩码以保护原始数据的方式。实验结果表明，具有SFA的网络同时实现了数据安全性和高模型性能。

Today's AI still faces two major challenges. One is that in most industries, data exists in the form of isolated islands. The other is the strengthening of data privacy and security. We propose a possible solution to these challenges: secure federated learning. Beyond the federated learning framework first proposed by Google in 2016, we introduce a comprehensive secure federated learning framework, which includes horizontal federated learning, vertical federated learning and federated transfer learning. We provide definitions, architectures and applications for the federated learning framework, and provide a comprehensive survey of existing works on this subject. In addition, we propose building data networks among organizations based on federated mechanisms as an effective solution to allow knowledge to be shared without compromising user privacy.

Federated Learning (FL) has emerged as a promising distributed learning paradigm with an added advantage of data privacy. With the growing interest in having collaboration among data owners, FL has gained significant attention of organizations. The idea of FL is to enable collaborating participants train machine learning (ML) models on decentralized data without breaching privacy. In simpler words, federated learning is the approach of ``bringing the model to the data, instead of bringing the data to the mode''. Federated learning, when applied to data which is partitioned vertically across participants, is able to build a complete ML model by combining local models trained only using the data with distinct features at the local sites. This architecture of FL is referred to as vertical federated learning (VFL), which differs from the conventional FL on horizontally partitioned data. As VFL is different from conventional FL, it comes with its own issues and challenges. In this paper, we present a structured literature review discussing the state-of-the-art approaches in VFL. Additionally, the literature review highlights the existing solutions to challenges in VFL and provides potential research directions in this domain.

由于对隐私保护的关注不断增加，因此如何在不同数据源上建立机器学习（ML）模型具有安全保证，这越来越受欢迎。垂直联合学习（VFL）描述了这种情况，其中ML模型建立在不同参与方的私人数据上，该数据与同一集合相同的实例中拥有不相交的功能，这适合许多现实世界中的协作任务。但是，我们发现VFL现有的解决方案要么支持有限的输入功能，要么在联合执行过程中遭受潜在数据泄漏的损失。为此，本文旨在研究VFL方案中ML模式的功能和安全性。具体来说，我们介绍了BlindFL，这是VFL训练和推理的新型框架。首先，为了解决VFL模型的功能，我们建议联合源层团结不同各方的数据。联合源层可以有效地支持各种特征，包括密集，稀疏，数值和分类特征。其次，我们在联合执行期间仔细分析了安全性，并正式化了隐私要求。基于分析，我们设计了安全，准确的算法协议，并进一步证明了在理想真实的仿真范式下的安全保证。广泛的实验表明，BlindFL支持各种数据集和模型，同时获得强大的隐私保证。

联邦学习一直是一个热门的研究主题，使不同组织的机器学习模型的协作培训在隐私限制下。随着研究人员试图支持更多具有不同隐私方法的机器学习模型，需要开发系统和基础设施，以便于开发各种联合学习算法。类似于Pytorch和Tensorflow等深度学习系统，可以增强深度学习的发展，联邦学习系统（FLSS）是等效的，并且面临各个方面的面临挑战，如有效性，效率和隐私。在本调查中，我们对联合学习系统进行了全面的审查。为实现流畅的流动和引导未来的研究，我们介绍了联合学习系统的定义并分析了系统组件。此外，我们根据六种不同方面提供联合学习系统的全面分类，包括数据分布，机器学习模型，隐私机制，通信架构，联合集市和联合的动机。分类可以帮助设计联合学习系统，如我们的案例研究所示。通过系统地总结现有联合学习系统，我们展示了设计因素，案例研究和未来的研究机会。

联合建议解决了推荐系统的数据筒仓和隐私问题。当前的联合推荐系统主要利用加密或混淆方法来保护原始评级免受泄漏。但是，前者带有额外的沟通和计算成本，后者损坏了模型的准确性。他们俩都无法同时满足推荐系统的实时反馈和准确的个性化要求。在本文中，我们提出了联合蒙面的矩阵分解（FEDMMF），以保护联邦推荐系统中的数据隐私，而无需牺牲效率和有效性。在更多详细信息中，我们介绍了仅从本地数据生成的个性化面具的新想法，并将其应用于FEDMMF。一方面，个性化面具为参与者的私人数据提供了保护，而无需损失有效。另一方面，结合自适应安全聚合协议，个性化面膜可以进一步提高效率。从理论上讲，我们为个性化面具提供安全分析。从经验上讲，我们还显示了设计模型在不同的现实世界数据集上的优越性。

在联合学习等协作学习环境中，好奇的疗程可能是诚实的，但正在通过推理攻击试图通过推断攻击推断其他方的私人数据，而恶意缔约方可能会通过后门攻击操纵学习过程。但是，大多数现有的作品只考虑通过样本（HFL）划分数据的联合学习场景。特征分区联合学习（VFL）可以是许多真实应用程序中的另一个重要方案。当攻击者和防守者无法访问其他参与者的功能或模型参数时，这种情况下的攻击和防御尤其挑战。以前的作品仅显示了可以从每个样本渐变重建私有标签。在本文中，我们首先表明，只有批量平均梯度被揭示时，可以重建私人标签，这是针对常见的推定。此外，我们表明VFL中的被动派对甚至可以通过梯度替换攻击将其相应的标签用目标标签替换为目标标签。为了防御第一次攻击，我们介绍了一种基于AutoEncoder和熵正则化的混乱自动化器（CoAE）的新技术。我们证明，与现有方法相比，这种技术可以成功阻止标签推理攻击，同时损害较少的主要任务准确性。我们的COAE技术在捍卫梯度替代后门攻击方面也有效，使其成为一个普遍和实用的防御策略，没有改变原来的VFL协议。我们展示了我们双方和多方VFL设置下的方法的有效性。据我们所知，这是第一次处理特征分区联合学习框架中的标签推理和后门攻击的第一个系统研究。

随着机器学习（ml）的进步及其日益增长的意识，许多拥有数据但不是ML专业知识（数据所有者）的组织希望汇集他们的数据并与那些具有专业知识的人合作，但需要来自不同来源的数据，以便训练真正普遍的资料模型（模型所有者）。在这种协作ML中，数据所有者希望保护其培训数据的隐私，而模型所有者希望模型的机密性和可能包含知识产权的培训方法。但是，现有的私人ML解决方案，如联合学习和分裂学习，不能同时满足数据和模型所有者的隐私要求。本文介绍了城可扩展的协作ML系统，可根据英特尔SGX在不受信任的基础架构中保护两个数据所有者和模型所有者的隐私。 CITADEL在代表数据所有者和代表模型所有者运行的多个训练环路中执行分布式训练。 CITADEL通过零和屏蔽和分层聚合进一步在这些外地之间建立了强大的信息屏障，以防止在协同培训期间防止数据/模型泄漏。与现有的SGX保护培训系统相比，Citadel实现了合作ML的更好的可扩展性和更强大的隐私保障。具有各种ML模型的云部署显示，Citadel缩放到大量的环路，由SGX引起的小于1.73x放缓。

联合学习（FL）是以分散的方式共同训练机器学习算法的范式。 FL中的大多数研究都集中在基于神经网络的方法上，但是，由于克服算法的迭代和添加性特征的挑战，在联合学习中基于XGBoost的方法（例如XGBOOST）在联合学习中没有得到反应。基于决策树的模型，尤其是XGBoost，可以处理非IID数据，这对于联合学习框架中使用的算法很重要，因为数据的基本特征是分散的，并且具有本质上非IID的风险。在本文中，我们专注于研究通过对各种基于样本量的数据偏斜方案进行实验以及这些模型在各种非IID方案下的性能，通过非IID分布的影响如何受到非IID分布的影响。我们在多个不同的数据集中进行了一组广泛的实验，并进行了不同的数据偏斜分区。我们的实验结果表明，尽管有各种分区比率，但模型的性能保持一致，并且与以集中式方式训练的模型接近或同样良好。

随着智能传感器的部署和通信技术的进步，大数据分析在智能电网域中大大流行，告知利益相关者最好的电力利用策略。但是，这些电源相关数据被不同的各方存储和拥有。例如，功耗数据存储在跨城市的众多变压器站中;移动公司持有的人口的流动性数据，这是耗电量重要指标。直接数据分享可能会妥协党的福利，个人隐私甚至国家安全。灵感来自谷歌AI的联邦学习计划，我们向智能电网提出了联合学习框架，这使得能够协作学习功耗模式而不会泄漏各个电力迹线。当数据分散在样本空间中时，采用横向联合学习;另一方面，垂直联合学习是为散射在特征空间中的数据的情况而设计的。案例研究表明，通过适当的加密方案，如Paillier加密，从提出的框架构建的机器学习模型是无损，隐私保留和有效的。最后，讨论了智能电网其他方面的联合学习的有希望的未来，包括电动车辆，分布式发电/消费和集成能量系统。

Federated learning is a collaborative method that aims to preserve data privacy while creating AI models. Current approaches to federated learning tend to rely heavily on secure aggregation protocols to preserve data privacy. However, to some degree, such protocols assume that the entity orchestrating the federated learning process (i.e., the server) is not fully malicious or dishonest. We investigate vulnerabilities to secure aggregation that could arise if the server is fully malicious and attempts to obtain access to private, potentially sensitive data. Furthermore, we provide a method to further defend against such a malicious server, and demonstrate effectiveness against known attacks that reconstruct data in a federated learning setting.

如今，信息技术的发展正在迅速增长。在大数据时代，个人信息的隐私更加明显。主要的挑战是找到一种方法来确保在发布和分析数据时不会披露敏感的个人信息。在信任的第三方数据策展人的假设上建立了集中式差异隐私。但是，这个假设在现实中并不总是正确的。作为一种新的隐私保护模型，当地的差异隐私具有相对强大的隐私保证。尽管联邦学习相对是一种用于分布式学习的隐私方法，但它仍然引入了各种隐私问题。为了避免隐私威胁并降低沟通成本，我们建议将联合学习和当地差异隐私与动量梯度下降整合在一起，以提高机器学习模型的性能。

We propose a framework in which multiple entities collaborate to build a machine learning model while preserving privacy of their data. The approach utilizes feature embeddings from shared/per-entity feature extractors transforming data into a feature space for cooperation between entities. We propose two specific methods and compare them with a baseline method. In Shared Feature Extractor (SFE) Learning, the entities use a shared feature extractor to compute feature embeddings of samples. In Locally Trained Feature Extractor (LTFE) Learning, each entity uses a separate feature extractor and models are trained using concatenated features from all entities. As a baseline, in Cooperatively Trained Feature Extractor (CTFE) Learning, the entities train models by sharing raw data. Secure multi-party algorithms are utilized to train models without revealing data or features in plain text. We investigate the trade-offs among SFE, LTFE, and CTFE in regard to performance, privacy leakage (using an off-the-shelf membership inference attack), and computational cost. LTFE provides the most privacy, followed by SFE, and then CTFE. Computational cost is lowest for SFE and the relative speed of CTFE and LTFE depends on network architecture. CTFE and LTFE provide the best accuracy. We use MNIST, a synthetic dataset, and a credit card fraud detection dataset for evaluations.

联合学习（FL）和分裂学习（SL）是两种新兴的协作学习方法，可能会极大地促进物联网（IoT）中无处不在的智能。联合学习使机器学习（ML）模型在本地培训的模型使用私人数据汇总为全球模型。分裂学习使ML模型的不同部分可以在学习框架中对不同工人进行协作培训。联合学习和分裂学习，每个学习都有独特的优势和各自的局限性，可能会相互补充，在物联网中无处不在的智能。因此，联合学习和分裂学习的结合最近成为一个活跃的研究领域，引起了广泛的兴趣。在本文中，我们回顾了联合学习和拆分学习方面的最新发展，并介绍了有关最先进技术的调查，该技术用于将这两种学习方法组合在基于边缘计算的物联网环境中。我们还确定了一些开放问题，并讨论了该领域未来研究的可能方向，希望进一步引起研究界对这个新兴领域的兴趣。

Federated learning has recently been applied to recommendation systems to protect user privacy. In federated learning settings, recommendation systems can train recommendation models only collecting the intermediate parameters instead of the real user data, which greatly enhances the user privacy. Beside, federated recommendation systems enable to collaborate with other data platforms to improve recommended model performance while meeting the regulation and privacy constraints. However, federated recommendation systems faces many new challenges such as privacy, security, heterogeneity and communication costs. While significant research has been conducted in these areas, gaps in the surveying literature still exist. In this survey, we-(1) summarize some common privacy mechanisms used in federated recommendation systems and discuss the advantages and limitations of each mechanism; (2) review some robust aggregation strategies and several novel attacks against security; (3) summarize some approaches to address heterogeneity and communication costs problems; (4)introduce some open source platforms that can be used to build federated recommendation systems; (5) present some prospective research directions in the future. This survey can guide researchers and practitioners understand the research progress in these areas.

制药行业可以更好地利用其数据资产来通过协作机器学习平台虚拟化药物发现。另一方面，由于参与者的培训数据的意外泄漏，存在不可忽略的风险，因此，对于这样的平台，必须安全和隐私权。本文介绍了在药物发现的临床前阶段进行协作建模的隐私风险评估，以加快有前途的候选药物的选择。在最新推理攻击的简短分类法之后，我们采用并定制了几种基础情况。最后，我们用一些相关的隐私保护技术来描述和实验，以减轻此类攻击。

本文提出并表征了联合学习（OARF）的开放应用程序存储库，是联合机器学习系统的基准套件。以前可用的联合学习基准主要集中在合成数据集上，并使用有限数量的应用程序。 OARF模仿更现实的应用方案，具有公开的数据集，如图像，文本和结构数据中的不同数据孤岛。我们的表征表明，基准套件在数据大小，分布，特征分布和学习任务复杂性中多样化。与参考实施的广泛评估显示了联合学习系统的重要方面的未来研究机会。我们开发了参考实现，并评估了联合学习的重要方面，包括模型准确性，通信成本，吞吐量和收敛时间。通过这些评估，我们发现了一些有趣的发现，例如联合学习可以有效地提高端到端吞吐量。

在联合学习（FL）中，数据不会在联合培训机器学习模型时留下个人设备。相反，这些设备与中央党（例如，公司）共享梯度。因为数据永远不会“离开”个人设备，因此FL作为隐私保留呈现。然而，最近显示这种保护是一个薄的外观，甚至是一种被动攻击者观察梯度可以重建各个用户的数据。在本文中，我们争辩说，事先工作仍然很大程度上低估了FL的脆弱性。这是因为事先努力专门考虑被动攻击者，这些攻击者是诚实但好奇的。相反，我们介绍了一个活跃和不诚实的攻击者，作为中央会，他们能够在用户计算模型渐变之前修改共享模型的权重。我们称之为修改的重量“陷阱重量”。我们的活跃攻击者能够完全恢复用户数据，并在接近零成本时：攻击不需要复杂的优化目标。相反，它利用了模型梯度的固有数据泄漏，并通过恶意改变共享模型的权重来放大这种效果。这些特异性使我们的攻击能够扩展到具有大型迷你批次数据的模型。如果来自现有工作的攻击者需要小时才能恢复单个数据点，我们的方法需要毫秒来捕获完全连接和卷积的深度神经网络的完整百分之批次数据。最后，我们考虑缓解。我们观察到，FL中的差异隐私（DP）的当前实现是有缺陷的，因为它们明确地信任中央会，并在增加DP噪音的关键任务，因此不提供对恶意中央党的保护。我们还考虑其他防御，并解释为什么它们类似地不足。它需要重新设计FL，为用户提供任何有意义的数据隐私。

安全的基于多方计算的机器学习（称为MPL）已成为利用来自具有隐私保护的多个政党的数据的重要技术。尽管MPL为计算过程提供了严格的安全保证，但MPL训练的模型仍然容易受到仅依赖于访问模型的攻击。差异隐私可以帮助防御此类攻击。但是，差异隐私和安全多方计算协议的巨大沟通开销带来的准确性损失使得平衡隐私，效率和准确性之间的三通权衡是高度挑战的。在本文中，我们有动力通过提出一种解决方案（称为PEA（私有，高效，准确））来解决上述问题，该解决方案由安全的DPSGD协议和两种优化方法组成。首先，我们提出了一个安全的DPSGD协议，以在基于秘密共享的MPL框架中强制执行DPSGD。其次，为了减少因差异隐私噪声和MPL的巨大通信开销而导致的准确性损失，我们提出了MPL训练过程的两种优化方法：（1）与数据无关的功能提取方法，旨在简化受过训练的模型结构体; （2）基于本地数据的全局模型初始化方法，旨在加快模型训练的收敛性。我们在两个开源MPL框架中实施PEA：TF-Conteded和Queqiao。各种数据集的实验结果证明了PEA的效率和有效性。例如。当$ {\ epsilon} $ = 2时，我们可以在LAN设置下的7分钟内训练CIFAR-10的差异私有分类模型，其精度为88％。这一结果大大优于来自CryptGPU的一个SOTA MPL框架：在CIFAR-10上训练非私有性深神经网络模型的成本超过16小时，其精度相同。

最近的研究表明，训练样本可以从梯度中回收，这些梯度称为梯度反转（Gradinv）攻击。但是，仍然缺乏广泛的调查，涵盖了最近的进步和对该问题的彻底分析。在本文中，我们介绍了有关Gradinv的全面调查，旨在总结尖端研究并扩大不同领域的视野。首先，我们通过将现有攻击描述为两个范式：基于迭代和递归的攻击，提出了Gradinv攻击的分类法。特别是，我们从基于迭代的攻击中挖掘出一些关键成分，包括数据初始化，模型培训和梯度匹配。其次，我们总结了针对Gradinv攻击的新兴防御策略。我们发现这些方法侧重于三种观点，涵盖了数据的晦涩，模型改进和梯度保护。最后，我们讨论了一些有希望的方向和开放问题，以进行进一步研究。