文章总结： 北京交大提出联邦学习数据重构攻击理论框架InvLoss，推导其上界并揭示风险由雅可比矩阵谱特性主导。该研究设计风险评估器InvRE及两种自适应噪声扰动防御策略，在不影响分类准确性的前提下有效平衡隐私保护与模型效用，相关成果已被USENIXSec2025录用。 综合评分： 85 文章分类： AI安全,数据安全,漏洞分析

Usenix Sec25：联邦学习数据重构攻击

信息安全最新论文技术交流

2026年2月6日 15:05 甘肃

北京交大数据安全实验室关于“联邦学习数据重构攻击”的论文被中国计算机学会（CCF）推荐的A类国际学术会议第34届 USENIX 安全研讨会（USENIX Security Symposium 2025）录用。

论文题目：From Risk to Resilience: Towards Assessing and Mitigating the Risk of Data Reconstruction Attacks in Federated Learning

作者：许向蕊；李志泽；韩宇飞；王滨；刘吉强；王伟（通信作者）

摘要：

数据重构攻击（Data Reconstruction Attacks, DRA）是联邦学习（Federated Learning, FL）中最具破坏性的隐私威胁之一。攻击者可通过解析客户端上传的梯度或特征嵌入重构原始数据，导致敏感信息泄露。然而，由于联邦学习架构（如横向/纵向）差异显著，攻击方式高度异质，加之缺乏统一的信息度量标准和模型内部隐私泄露机制的研究，现有工作尚未建立系统化的理论框架来量化不同数据分布与模型架构下的隐私风险。

针对上述问题，该论文从参数-数据空间映射的可逆性本质出发，提出了与模型架构及攻击方法无关的”逆向损失”（Invertibility Loss, InvLoss）理论框架。论文推导出 InvLoss 的严格且可计算的上界，并从三个角度探讨其含义。首先，证明了联邦学习中的数据重构风险由共享中间结果的雅可比矩阵谱特性主导，揭示了影响攻击有效性的统一规律。其次，提出了融合不同逆向能力及对应概率的数据重构攻击风险评估器InvRE（Invertibility Risk Estimator），可提供跨数据实例和模型架构的隐私风险评估。最后，设计了两种自适应噪声扰动防御策略（InvL-DNP和InvL-GNP/ENP），可在不影响分类准确性的情况下增强联邦学习隐私保护与模型效用的平衡。在真实数据集上进行的大量实验验证了所提方法的有效性。

图  InvLoss与InvL-DNP和InvL-GNP/ENP 示意图来源：BJTU数据安全实验室

冯登国院士：面向人工智能的密码学未来发展思考

冯登国院士：网络空间安全未来发展思考

USENIX Sec 2025：大模型越狱防御框架——JBShield

2025年国家自然科学基金安全领域部分题目

2025 CS Ranking排名出炉｜上交浙大超北大

2024年国家自然科学基金安全领域部分题目列表

谷歌逆风翻盘暴击OpenAI，90天王者归来！44页报告押注25年三大技术前沿

Gartner发布2025 年十大战略技术趋势

NIST发布首批3项抗量子密码标准

IEEE：后量子密码学之路

NIST抗量子密码算法被爆安全漏洞

IEEE | 识别深度伪造deepfake

吴世忠院士：对生成式AI安全研究的九点观察

去中心化联邦学习：安全和隐私综述

Nature 2024值得关注的技术：Deepfake、脑机接口

手机指纹暴力破解攻击影响安卓和iOS设备

CCS 23：利用SSH签名错误提取RSA密钥

破解NIST椭圆曲线seeds可获1.2万美元奖励

ESORICS 2023：存在超25年的RSA解密漏洞

IEEE S&P24：GPU.zip侧信道漏洞影响主流GPU

ACNS最佳论文：首个抗量子的FIDO2安全密钥实现

基于深度学习的声波攻击可破解键盘输入，准确率达95%

针对大语言模型LLM的对抗攻击

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全最新论文技术交流 《Usenix Sec25：联邦学习数据重构攻击》