如果前一篇文章回答的是“看什么特征”,那么这一篇更想回答“怎么用这些特征做判断”。我现在越来越认同的一条思路是,在异构联邦环境里,检测不能直接对全体客户端一刀切,而应该先做分群,把本来就相似的客户端放到一起,再在簇内做更细致的异常识别。简单说,就是“先分群,再检测”。
为什么要多这一步?核心原因还是 Non-IID。即使我们已经把 LoRA 更新转成了更有表达力的低秩几何特征,这些特征在不同任务、不同数据分布的客户端之间,依然可能呈现明显的多峰结构。假设有三类正常客户端,它们各自围绕不同中心分布。如果我们直接拿所有客户端去算全局平均,再做统一阈值判断,正常客户端仍然可能因为离“总中心”太远而被误杀。
所以我的想法是,先把这些客户端在特征空间里做一次自适应聚类。这个聚类不是为了做任务分类,而是为了自动发现“哪些客户端本来就更像”。这样一来,良性异构就会被拆分成多个更紧凑的局部群体。后续检测不再面对一个混合分布,而是在每个相对同质的簇里分别做判断,难度就会小很多。
接下来就是簇内检测。这里我比较关注两类工具。第一类是能考虑特征相关性的距离度量,比如马氏距离。它和普通欧氏距离的差别在于,它不会把每个维度都当成完全独立的,而是会把协方差关系考虑进去。第二类是鲁棒统计方法,比如基于中位数和 MAD 的动态阈值。它们对异常值不那么敏感,更适合安全场景下的稳定判别。
把这两层组合起来,思路就比较完整了:先通过聚类缓解全局多峰问题,再通过簇内鲁棒统计识别真正偏离本簇结构的客户端。这样做的意义,不只是“提升精度”,更关键的是让检测标准和真实分布更一致。它承认正常客户端之间本来就有差异,同时也不放弃在局部范围内找出恶意异常。
我把自己当前理解的整体流程画成了下面这张图:
所有客户端 LoRA 更新
|
v
提取低秩几何特征
|
v
特征标准化与映射
|
v
自适应聚类分群
| |
| +--> 簇 A:相似的正常模式
| +--> 簇 B:相似的正常模式
| +--> 簇 C:相似的正常模式
|
v
在每个簇内计算异常得分
(如马氏距离)
|
v
基于 MAD 构建动态阈值
|
v
剔除可疑客户端更新
|
v
对剩余良性更新做安全聚合
我很喜欢这套流程的一点,是它兼顾了“理解分布”和“做出判决”。有些方法一上来就想直接给出异常分数,但忽略了数据本身是不是混合分布;也有些方法做了聚类,却没有进一步做稳定的簇内判别。把这两步结合起来,才能让方法真正回应联邦学习里的异构性问题。
当然,这条路线也有现实挑战。比如聚类数怎么选,自适应聚类会不会把恶意客户端混进正常簇,簇太小的时候协方差估计是否稳定,这些都是需要实验验证的问题。研究方法不是靠“想当然”成立的,而是要在实验中看它在不同攻击比例、不同异构程度下是否还能稳住。
但从方法设计的逻辑上看,我觉得这已经比“单阈值全局检测”更接近真实问题了。因为联邦学习天然就不是一个全体客户端都长得差不多的世界。既然现实是多模式的,我们的防御机制也应该是分层次、分局部的。
如果说我前面几篇文章是在搭建问题背景和特征理解,那么这一篇就更像是把论文方法的骨架搭出来了。接下来真正要落地的,就是实验怎么做、指标怎么选、不同模块怎么验证各自价值。最后一篇我会从“论文路线图”的角度,把这套研究思路收束起来。