EdgeDetect:基于重要性感知梯度压缩与同态聚合的联邦入侵检测 EdgeDetect: Importance-Aware Gradient Compression with Homomorphic Aggregation for Federated Intrusion Detection
用中位数阈值把梯度压成 ±1、再套上 Paillier 加密,6G-IoT 边缘 IDS 的 32× 通信压缩且无精度损失。
前置知识
联邦学习 (Federated Learning, FL)
一种分布式机器学习范式,多个客户端在不交换原始数据的前提下协作训练一个共享模型。典型流程是服务器下发当前全局参数,每个客户端用本地数据做若干轮梯度下降,把更新(如梯度或模型差分)上传到服务器做平均,服务器再用聚合结果更新全局参数。本文沿用 FedAvg 框架 $\Delta_{agg} = \frac{1}{|S_r|}\sum_{i\in S_r} \Delta_i$。
本文所有方法都是建立在 FL 的四阶段通信协议之上(训练-压缩-加密-聚合),不熟悉 FedAvg 与安全聚合流程就难以理解 EdgeDetect 的四个 Phase 设计与梯度 smartification 插入哪一步。
梯度量化与 signSGD
量化是把 32 位浮点梯度映射到低位或离散表示的方法,例如 signSGD 把每个分量压成 $\text{sign}(g_i) \in \{-1, +1\}$,理论通信量是原来的 $1/32$。但 signSGD 用零做阈值,会保留大量低幅噪声分量,对重尾分布(heavy-tailed)的梯度不够鲁棒。
EdgeDetect 的核心创新 gradient smartification 本质上是对 signSGD 的改进——用每客户端的 $\theta = \text{median}(|g|)$ 替代零阈值,所以读懂 signSGD 才能体会为什么 'adaptive median threshold' 在 IDS 这种重尾场景下能减小方差。
Paillier 同态加密 (Homomorphic Encryption, HE)
一种加法同态的公钥加密方案,满足 $E(a+b) = E(a) \cdot E(b) \pmod{n^2}$,因此服务器可以在密文上做加法聚合,解密后得到明文之和。本文使用 2048 位 RSA 模数 $n = p \cdot q$,公钥 $(n, g)$,私钥 $(\lambda, \mu)$,IND-CPA 安全基于 Decisional Composite Residuosity 假设。
EdgeDetect 把二值化梯度逐元素加密后才上传,因此理解 Paillier 的加法同态性才能明白为什么服务器能直接做 $\prod_i C_i[j]$ 实现安全聚合,也才能理解每轮 156.4 ms 的加密开销是怎么来的。
梯度反演攻击 (Gradient Inversion Attack)
一种隐私攻击:服务器或窃听者拿到客户端上传的梯度后,可以用优化或闭式方法把训练样本的像素/特征还原出来。在 FL 中共享的全精度梯度对这种攻击尤其脆弱,反演图像的 PSNR 可达 31.7 dB,标签恢复率超 95%。
本文反复用 PSNR 15.1 dB vs 31.7 dB、标签恢复率 14.3% vs 98.7% 来量化 privacy 收益,所以要懂梯度反演攻击的威胁模型才能理解 'honest-but-curious server' 与 IND-CPA 这两个概念在这篇论文里具体挡住了什么。
主成分分析 (PCA) 与 SMOTE 重采样
PCA 通过 $\text{Cov}(Z) = \frac{1}{n-1}Z^\top Z = V\Lambda V^\top$ 做正交变换,把 78 维特征降到 35 个主成分(保留 99.3% 方差),消除 23% 的高相关特征对。SMOTE 是过采样方法,对少数类样本 $x_i$ 沿 $k$ 近邻连线随机插值 $x_{new} = x_i + \lambda (x_{ij} - x_i)$,$\lambda \sim U(0,1)$,用以缓解 CIC-IDS2017 的严重类别不平衡。
本文的特征工程流水线里 PCA 和 SMOTE 是两个独立可关掉的组件(在消融实验 Table XII 中分别被移除),理解它们的作用机制才能解释为什么去掉 SMOTE 后 Bot 类召回率从 0.98 跌到 0.39,框架精度也从 98.0% 跌到 94.2%。
研究动机
随着 5G/6G 和 IoT 在智慧城市、自动驾驶、工业 4.0 中铺开,网络流量呈高维、强不平衡、异构分布的特征(以 CIC-IDS2017 为例,单一数据集就有 2,830,743 条记录、78 个特征、7 类攻击,且良性流量占绝对多数)。集中式入侵检测 (IDS) 把这些原始流量聚合到云端做训练,暴露三大问题:(1)通信瓶颈——按 FedAvg 全精度传输,每轮每客户端要上传 450 MB 梯度,海量边缘节点完全跑不动;(2)梯度反演——honest-but-curious 服务器即便看不到原始流量,拿到 32 位浮点梯度也能以 PSNR 31.7 dB 还原训练样本的特征结构(实验测得标签恢复率高达 98.7%),这在医疗、金融场景下完全不可接受;(3)类别不平衡——稀有攻击(Bot、Web Attack)样本极少,标准 FedAvg 训练出的全局模型对这些类的 F1 不到 0.4,传统欠采样会丢掉大量多数类信息。
本文的目标是EdgeDetect 的目标是设计一个面向 6G-IoT 边缘的隐私保护联邦 IDS,需要同时满足三个硬指标:通信上把每轮上行负载从 450 MB 压到 14 MB 左右(≥ 30× 压缩),且不损失检测精度;隐私上让 honest-but-curious 服务器在密文下聚合,梯度反演 PSNR 至少降到 20 dB 以下;部署上必须能在 Raspberry Pi 4 这类 4 MB 内存级别的设备上跑出 < 1 ms 的推理延迟,单次推理能耗控制在十几 mJ。
与已有工作不同的是,现有工作大多只优化单维度:signSGD / QSGD / TernGrad 只做梯度量化不加密,标签仍可被部分恢复(PSNR 16.8 dB,恢复率不可忽略);FedAvg-DP 引入差分隐私噪声但每轮准确率掉 4.2 pp;FedProx 解决数据异构但通信量没变;SecAgg 加密聚合但通信成本不变(仍 450 MB)。本文的独特切入角度是把 '中位数阈值的自适应二值化' 和 'Paillier 同态加密' 在加密前叠加——前者把梯度向量从 32 位浮点压到 1 bit 实现 32× 压缩,后者在此基础上提供端到端密文聚合;理论上中位数阈值比 signSGD 的零阈值更适应 IDS 数据的重尾分布,经验上压缩后梯度与全精度梯度的余弦相似度仍有 0.87 ± 0.04,解释了为什么通信降 96.9% 但精度不掉。
核心方法
EdgeDetect 沿用 FedAvg 的 4-Phase 协议(本地训练、压缩、加密、聚合),核心思路是在上传前对每个客户端的梯度做 'smartification':以每客户端梯度的中位数绝对值 $\theta_i = \text{median}(|\Delta_i|)$ 做阈值,把 $\Delta_i$ 二值化为 $\Delta_i^{bin} \in \{-1, +1\}^d$。直觉是:在 IDS 这种重尾梯度分布里,零阈值会保留所有小幅噪声分量,而中位数阈值天然把那些低于一半中位数的低幅分量直接置 -1,抑制噪声的同时保留方向信息。然后对 $\Delta_i^{bin}$ 逐元素用 Paillier 公钥加密上传,服务器在密文上做加法(同态性 $\prod_i E(\Delta_i^{bin}[j]) = E(\sum_i \Delta_i^{bin}[j])$),用私钥解密归一化后更新全局模型。配合上游的 PCA(78→35 维,保留 99.3% 方差)和下游的 SMOTE-undersampling 平衡(多类 7×5000),整套流水线在 2.8 M 流量数据上跑出 98.0% 多类准确率。
核心创新在 gradient smartification 这一步,与 signSGD 的本质区别是阈值选择策略:signSGD 用全局零阈值 $\text{sign}(g_i - 0)$,保留了所有低幅噪声分量;EdgeDetect 用每客户端自适应阈值 $\theta_i = \text{median}(|g|)$,自动把低于一半中位数绝对值的分量统一映射到 -1。这等价于在做 '重要性感知' 的稀疏化——只有 |g| ≥ θ 的分量(粗略说梯度最大的 50% 分量)保留 +1/-1 方向信息,其余被压成 -1,方向偏置但梯度熵更低。理论上的关键属性是余弦对齐:$\mathbb{E}[\langle g, \tilde{g}\rangle] \geq \gamma \|g\|^2$(Lemma 1),保证二值化不会让优化方向反向;实验测得 $\cos(\angle(\Delta_{comp}, \Delta_{full})) = 0.87 \pm 0.04$。再加上 Paillier 在已经二值化的梯度上加密,避免了传统 HE 方案在 32 位浮点上的巨额密文膨胀($\Delta^{bin}$ 只有 1 bit,加密后仍远小于全精度密文)。
方法步骤详情
完整方法分四阶段。Phase 1(本地训练):服务器广播 $W^{(r)}$,每个客户端 $i$ 做 $E$ 个本地 epoch,$W_i^{(r+1)} = W_i^{(r)} - \eta \nabla L(W_i^{(r)}, D_i)$,计算更新 $\Delta_i^{(r)} = W_i^{(r+1)} - W^{(r)}$。Phase 2(梯度 smartification):对每个客户端独立计算阈值 $\theta_i = \text{median}(|\Delta_i^{(r)}|)$,然后 $\Delta_{i,bin}^{j} = +1$ 若 $\Delta_i^{(r)}[j] \geq \theta_i$,否则 $-1$,输出一个 $d$ 维 ±1 向量。Phase 3(同态加密):用 Paillier 公钥 $(n, g)$ 对 $\Delta_{i,bin}$ 逐元素加密 $C_i^{(r)}[j] = g^{\Delta_{i,bin}^j} \cdot r^n \mod n^2$($r$ 为随机 nonce),得到密文向量。Phase 4(安全聚合与全局更新):服务器对收到的活跃客户端集合 $S_r$ 在密文上做 $C_{agg}[j] = \prod_{i \in S_r} C_i^{(r)}[j] \mod n^2 = E_{pk}(\sum_i \Delta_{i,bin}^j)$,私钥解密归一化 $\Delta_{agg}^{bin}[j] = \text{Dec}_{sk}(C_{agg}[j]) / |S_r|$,最后更新 $W^{(r+1)} = W^{(r)} + \alpha \cdot \Delta_{agg}^{bin}$。前置的预处理流水线独立于 FL 循环:先做特征工程(流间到达时间统计 $\Delta t_{mean}$、$\Delta t_{std}$、包大小熵 $H(S) = -\sum_s p(s)\log_2 p(s)$、RFE 特征选择),再做标准化 → Incremental PCA($Z_{PCA} = ZV_k$,$k=35$,$\sum_{i=1}^{35}\lambda_i / \sum_{i=1}^{78}\lambda_i \geq 0.993$),最后做类别平衡(二分类随机欠采样到 7,500+7,500,多类用 SMOTE 生成 5,000/类共 35,000)。
技术新颖性
技术新颖性集中在 '中位数阈值 + 二值化 + 同态加密' 这条组合链上。单个组件都不算新——中位数阈值在 Robust Statistics 里是 60 年代的概念、Paillier HE 是 1999 年的工作、signSGD 量化也是 2018 年 NeurIPS——但它们的耦合方式有差异化贡献:(1)smartification 是首次在 IDS 场景下验证 'median-based adaptive binarization' 比固定零阈值收敛更稳(实验中 K=50, α=0.1 高异构下比 signSGD 多 2.1 pp);(2)把 binarization 放在 encryption 之前是一个有意识的设计选择,避免了 HE 作用在 32 位浮点上产生的密文膨胀,同时理论上 $\gamma$-bound 给出收敛率 $O(1/\sqrt{\gamma T})$;(3)系统级贡献在于把 PCA / SMOTE / Smartification / HE / DP 五件套首次在 CIC-IDS2017 7-class 上做到 98.0% 准确率并通过消融实验(Table XII)量化了每一件的边际贡献。论文也提供了从 Paillier 密文到 $W^{(r+1)}$ 更新的完整算法伪代码(Algorithm 1)和 FedProx 集成($\mu = 0.01$ 在高异构下提升到 95.1%)。
实验结果
实验在 CIC-IDS2017 上展开,主结果分四组。第一组是集中式基线(Table IX):5 模型对比中 Random Forest Config.2(T=15 树、max_depth=8、m=20 特征/分裂)取得 7 分类 98.0% 准确率和 0.979 macro F1,KNN Config.2 紧随其后 95.2% 准确率,单棵决策树因无集成仅 90.3%,SVM-RBF 表现接近 KNN,逻辑回归作为线性基线停在 92.5%。这一组验证了 RF 在 35 维 PCA 空间里的稳定性(CV std 仅 0.0017)。第二组是联邦学习收敛分析(Table XI):在 K=50 客户端 IID 设置下,EdgeDetect 达到 R98=289 轮、98.0% 准确率,几乎与 FedAvg 的 287 轮 98.2% 持平,但通信量从 129.15 GB 降到 4.05 GB(96.9%↓),单轮每客户端从 450 MB 降到 14 MB;高异构 $\alpha=0.1$ 下 EdgeDetect 单独 612 轮 94.2%,叠加 FedProx 后 563 轮 95.1%,优于 signSGD 的 721 轮 92.1%。第三组是隐私量化:iDLG 梯度反演攻击下,FedAvg PSNR=31.7 dB(标签恢复 98.7%),EdgeDetect 单独 smartification 把 PSNR 压到 15.1 dB,恢复率仅 14.3%(接近随机猜测),加入 Paillier 后达到 IND-CPA 语义安全。第四组是鲁棒性:在 5% 投毒和严重不平衡下系统维持 87% 准确率和 0.95 minority F1(p<0.001),20% 恶意客户端下仍 > 85% 准确率,后门成功率 < 7%。最关键的发现是 'smartification 是通信优化、不是精度优化'——消融实验显示去掉 smartification 精度只升 0.2 pp(98.2% vs 98.0%, p>0.05),但通信增加 32×;而去掉 SMOTE 精度立刻掉 3.8 pp 到 94.2%,Bot 类召回率从 0.98 跌到 0.39,说明在 IDS 场景下 class balancing 比 gradient compression 更关键。
查看结构化数据
| 任务 | 指标 | 本文 | 基线 | 提升 |
|---|---|---|---|---|
| 7-类流量分类(CIC-IDS2017) | 准确率 / macro F1 | 98.0% / 0.979(Fed-RF) | FedAvg 98.2%, signSGD 97.8%, FedProx 98.3%, Centralized XGBoost 96.1% | vs. signSGD +0.2 pp 准确率 / 通信量 4.05 GB vs. 4.40 GB 持平;vs. Centralized XGBoost 提升 1.9 pp |
| 二分类(7,500 vs 7,500 平衡) | 5-fold CV 准确率 | 98.09%(RF Config.2, σ=0.0017) | KNN 97.93%, Decision Tree 97.24%, SVM-RBF 96.14%, LR 92.51% | vs. 单一最强基线 KNN +0.16 pp 且方差更低 |
| 通信效率(IID, K=50, K=10) | 单轮每客户端上行 / 达到 98% 累计带宽 | 14.0 MB / 4.05 GB (K=50), 2.81 GB (K=10) | FedAvg 450 MB / 129.15 GB, FedProx 450 MB / 124.20 GB, signSGD 14.1 MB / 4.40 GB | 32.1× 通信压缩 / 总带宽降 96.9% |
| 梯度反演攻击(iDLG) | PSNR / 标签恢复率 | 15.1 dB / 14.3% | FedAvg 31.7 dB / 98.7%, signSGD 16.8 dB / 部分恢复, DP-SGD 18.9 dB / 部分 | vs. FedAvg PSNR 降 16.6 dB(>2×),标签恢复率降 84.4 pp |
| 高异构联邦(Dirichlet α=0.1, K=50) | R98 / 准确率 / 累计通信 | EdgeDetect+FedProx: 563 轮 / 95.1% / 7.88 GB | FedAvg 687 轮 / 93.8% / 309.15 GB, signSGD 721 轮 / 92.1% / 10.16 GB | vs. FedAvg 节省 97.5% 通信,准确率 +1.3 pp |
| 边缘部署(Raspberry Pi 4) | 内存 / 推理延迟 / 单次能耗 / 精度损失 | 4.2 MB / 0.8 ms / 12 mJ / < 0.5% | KNN 412 MB / 3.21 ms, SVM 178 MB / 1.45 ms, LR 45 MB / 0.12 ms | vs. KNN 内存降 98.9%、延迟降 4×;vs. 中心化深度模型无需 GPU |
局限与改进
作者承认的局限有:(1)非凸收敛——理论分析只覆盖 L-smooth 假设下的近凸情形,对深度非线性模型的收敛性未严格证明;(2)概念漂移——评估用的是静态 CIC-IDS2017,未测试实际 6G 网络中攻击模式随时间演变的情况;(3)白盒鲁棒性——投毒实验固定在 5%-20% 恶意客户端,假设服务器是 honest-but-curious,但若服务器主动篡改聚合结果则无防御;(4)累积隐私损失——$(\epsilon, \delta) = (1.0, 10^{-5})$ 是单轮预算,composition 下的累积损失留作 future work。我自己的观察:(5)作者主要在 K≤500 客户端的 IID 或中等异构 ($\alpha \geq 0.1$) 场景验证,K=10,000 这种真实 IoT 规模未测试;(6)FedProx 增益 +0.4 pp 是叠加的,但实际系统需要同时调 $\mu$、$\eta$、$E$、$B$ 四个超参,工程落地复杂;(7)iDLG 攻击在本文中只测试了单层 MLP/RF,没有针对 tree-based 模型的特定反演;(8)45% 的通信压缩来自 PCA 降维 78→35 但 smartification 单独只贡献 32×,因此 'EdgeDetect 的核心压缩' 这个叙事其实分散在 PCA 和 smartification 两处,缺一个清晰的归因;(9)Paillier 的 2048-bit 模数下加法膨胀到 4096 bit,但论文没测加解密延迟,Table XIX 只给了 RF 训练推理耗时,没列 crypto overhead 的实测数字(摘要中 156.4 ms 是结论里的数字但表格中无对应行)。
独立分析的弱点
独立的弱点分析(按严重性排序):(1)Paillier 同态加密只支持加法不支持乘法,限制了它与非线性模型(如带 sigmoid 输出的神经网络)一起用——要部署 MLP 必须用 CKKS/BFV 这类近似同态方案,但本文对此只字未提;(2)median-threshold binarization 对每客户端独立计算阈值,但 $\text{median}(|g|)$ 的鲁棒性在客户端数量 K 很小时(K=10)会退化,因为梯度样本量不足以稳定估计中位数,Table XI 显示 K=10 时 R98 反而比 K=500 少(201 vs 467 轮),但精度相近,意味着小 K 下的稳定性缺乏统计保证;(3)PCA 阶段把 78 维压到 35 维是离线做的,假设所有客户端数据 IID 分布到 PCA 主成分上——但实际 IoT 设备的流量分布差异很大,本地 PCA 的主成分方向可能与全局 PCA 不一致,论文没有处理 client drift 下的 PCA 不对齐问题;(4)SMOTE 的 $\lambda \sim \text{Beta}(\alpha, \beta)$ 用了局部稀疏度 $\rho_i$ 做 density-aware,但 $\rho_i$ 在非平衡联邦下估计不准,可能生成低质量合成样本;(5)Poisoning 实验只测了 5% 和 20% 恶意客户端,缺少 model replacement、gradient ascent 等更强攻击;(6)Raspberry Pi 4 的实验只测了推理延迟(0.8 ms)和能耗(12 mJ),没测 FL 训练时每客户端的内存峰值和实际通信耗时,'edge deployment' 这个结论只覆盖了推断阶段。
未来方向
作者提出的方向:(1)累积隐私损失的紧致界(tight composition bound)和自适应噪声调度;(2)非凸深度模型下 gradient smartification 的收敛性证明;(3)概念漂移下的在线联邦 IDS 框架;(4)白盒场景下的鲁棒聚合(如与 Krum / Multi-Krum 结合)。基于结果可延伸的:(5)把 median-threshold 推广到 adaptive percentile(如 75 分位数)或基于梯度范数的可微阈值,让 $\gamma$ 在训练过程中动态变化;(6)用 CKKS 替换 Paillier 推广到神经网络,研究 N-party 共谋场景下的安全性;(7)扩展到 6G-IoT 真实场景(K=10,000+、非平衡、非同步、间歇性掉线)并和 split learning、knowledge distillation 等做对比;(8)探索 differential privacy + Paillier 的最优耦合点(是先 DP 再 HE 还是反过来),本文没做这个 ablation;(9)建立 gradient inversion 攻击的标准化 benchmark,目前论文用 PSNR 一个指标不够,应该加 SSIM、特征恢复率、成员推断 AUC;(10)将 smartification 思想扩展到纵向联邦(vertical FL),因为各客户端持有不同特征子集时中位数阈值的定义会变化。
复现评估
复现评估整体较好:核心算法伪代码(Algorithm 1)完整公开了 Paillier 密钥生成、本地训练、smartification、加密、聚合、解密、归一化、全局更新八步的输入输出;超参数表(Table III、Table IV、Table XVIII)覆盖了 LR、SVM、RF、DT、KNN、GB、MLP 的两组 Config 网格搜索范围;PCA 用了 incremental PCA + StandardScaler,35 个主成分、99.3% 方差阈值都明确给出。数据方面,作者使用了公开的 CIC-IDS2017(2,830,743 条记录、78 特征、7 类),并对采样有效性做了 Kolmogorov-Smirnov 检验(92% 特征偏差 < 5%,p > 0.05,Table I),可信度较高。代码方面,论文没在摘要中明确给出 GitHub 链接,但有 algorithm 1 + 详细公式,理论上可独立实现。算力方面,训练只需 Intel i7-9700K + 32GB RAM 单线程;联邦实验 K=500 时单轮 14 MB、累计 6.54 GB 通信,桌面级网络即可;边缘部署在 Raspberry Pi 4 上推理 0.8 ms,单次 12 mJ。复现难度:中等——主要难度不在算法而在数据预处理流水线(缺失值中位数填补、float64→float32 节省 47.5% 内存、RFE 特征选择 + PCA)和 Paillier 的 2048-bit 大数运算(建议用 gmpy2 或 pycryptodome)。风险点:作者是单作者、无外部资助(论文末尾声明),且 2026 年 4 月才发布到 arXiv,社区验证尚少;Table XII 的消融数据虽然完整但缺少对超参数敏感性的 ±SE 区间,部分结论(如 '98.0% vs 98.2% 差异 p>0.05')需要读懂假设检验细节才能复现。
论文图表
分组柱状图,7 个攻击类别在 Config.1 vs Config.2 下的 precision/recall/F1。Model 2 显著提升 minority class(Bot、Web Attack)的 recall,F1 增益在 5-10 pp 之间。
展示 'Model 2 improves recall and F1-score for minority classes' 的核心消融结论,是论证不平衡处理必要性的视觉证据。
对比 LR 和 SVM 的混淆矩阵。SVM 的假阳性显著低于 LR,类间分离更干净;但 LR 训练时间更短。
支持文中 'linear kernel underperformed (83.00%, std=37.27e-3), RBF kernel 提升 13.14%' 的论断,帮助读者理解为什么放弃 linear SVM 选 RBF。
所有算法 ROC 曲线叠加对比,附 AUC 数值。RF 和 SVM-RBF 几乎重合且 AUC 最高,KNN 略低,LR/DT 明显落后。
汇总不同模型的判别能力,给 'RF 与 SVM-RBF 性能相当但 RF 内存更低' 这一部署选择提供视觉支撑。
SVM 在不同 C 和 γ 下的 ROC 曲线。RBF 核(C=10, γ=0.1)AUC 0.987,linear 核仅 0.892,差距巨大。
支持文中关于 'SVM exhibits the largest configuration sensitivity (+13.14%)' 的结论,强调核函数选择对 SVM 在 IDS 上的决定性作用。
不同模型在 7 类上的 recall 分布。RF 在所有类 recall > 0.95,KNN 在 Bot 类 recall 跌至 0.85,DT 在少数类上 < 0.90。
recall(召回率)在 IDS 场景下是比 precision 更重要的指标——这张图量化了不同模型在'抓得住攻击'上的真实能力。
原始 2,830,540 条记录采样 20% (n=504,472) 后,按 6 大特征组(流时序、流率、包量、包长分布、连接空闲、类平衡)逐项给出原始 vs 采样均值、相对偏差 Δ%、Kolmogorov-Smirnov p 值。92.3% 特征偏差 < 5%,所有 KS p > 0.05,证明 20% 采样保持分布代表性。
作为整个实验的数据基础,这张表决定了后续所有结论的有效性——若采样不具代表性,则 98.0% 准确率不可信。
LR 在 Config.1 (C=0.1) 和 Config.2 (C=100) 下,Top-10 主成分的系数与方差贡献率。PC04、PC26、PC24 持续占据前 3,8/10 主成分排序跨配置稳定,PC24/PC31/PC35 这些低方差 PC 反而已成为强判别特征。
核心可解释性表格:揭示 'explained variance 不等于 classification relevance',解释为什么 PCA 选 k=35 而非累计 95% 方差对应的更少成分。
4 种方法(signSGD、QSGD、TernGrad、EdgeDetect)按 4 个维度(量化规则、自适应阈值、理论对齐、隐私集成)对比。EdgeDetect 唯一同时具备 'adaptive per-client threshold' 和 'Paillier HE + DP'。
是与相关工作最直接的对比,凸显 EdgeDetect 在 '压缩 + 加密' 联合优化上的独特定位——多数方法只做其一。
5 个模型 × 2 个 Config = 10 行 × 11 列(5-fold F1、Mean、Std、95% CI、CV Range、Δ%、Rank)。RF Config.2 最高 0.9809 (σ=0.0017, Rank 1),KNN Config.2 方差最低 (σ=0.0013, Rank 2),SVM 提升最猛 (+13.14%)。
是论文最核心的结果表——给出 5-fold 统计区间、置信区间、fold-by-fold 数值,读者可直接验证稳定性声明。
LR 系数在 Config.1 vs Config.2 下的统计分布:均值、中位数、Std、Max、Min、ℓ2 范数 (4.127→5.243, +27%)、Top-k 集中度 (Top-3: 32.8%→34.1%)、Gini 系数 (0.412→0.428)、类关联(18 正 17 负不变)、有效自由度(32→33)、条件数 (18.4→24.3)。
支撑 '弱正则化使所有权重均匀放大、不改变极性分布' 的论断,解释为什么 LR 在 IDS 上仅 +0.3 pp——模型已接近线性可分的天花板。
8 个 SOTA IDS 横向对比:4 个集中式(CNN 97.2%、XGBoost 96.1%、LSTM-AE 95.5%、Isolation Forest 93.8%)+ 4 个联邦式(Fed-DNN 96.3%、Fed-CNN 94.7%、FedAvg-LSTM 93.5%、Fed-XGB 95.8%)+ EdgeDetect(Fed-RF 98.0% / 96.0%)。EdgeDetect 通信仅 14 MB,隐私为 HE。
是论文最常被引用的对比表,定量展示 EdgeDetect 同时在 '精度 + 通信 + 隐私' 三个维度优于 SOTA。
9 种 FL 方案 × {IID, α=1.0, α=0.1, 缩放 K=10/25/50/100/500} 设置下的 R95、R98、准确率、单轮通信、累计带宽。IID 下 EdgeDetect 4.05 GB vs FedAvg 129.15 GB(96.9%↓);α=0.1 下 EdgeDetect+FedProx 7.88 GB 达 95.1%。
全论文最详尽的 FL 收敛性实验表——把 'IID 与非 IID、K 大小、是否用 FedProx' 三个维度的通信-精度折中讲透。
13 个配置(baseline、progressive removal、multi-component removal、alternative configs、feature engineering variants)× {是否含 Smartif/HE/DP/PCA/SMOTE、Acc、F1、ΔAcc、Std、Comm/Round、Ratio、Total、PSNR、Invert}。关键观察:去 SMOTE 跌 3.8 pp,去 HE 标签恢复率从 14.3% 跳到 98.7%,去 Smartif 通信涨 32× 但 Acc 仅 +0.2 pp。
全论文最关键的消融表——一次性回答 '每个组件到底起了什么作用',任何 reviewer 都会先看这张。
7 类攻击 + 4 个 BENIGN 样本在 35 个主成分上的投影。BENIGNavg、DoS(PC5=-8.85 极端偏离)、DDoS(中等偏离)、Port Scan/Brute Force(接近原点 0.2-0.4)、Web Attack/Bot(沿 PC4-6 细微漂移)。∥x∥2 范数排序与 F1 强相关。
把 '为什么 DoS/DDoS 易分、Bot/Web Attack 难分' 用 PCA 坐标做了几何定位,是解释 per-class 性能差异的根因表。
5 模型在 Intel i7-9700K 上的训练时间、推理延迟、内存:LR 2.4s/0.12ms/45MB、SVM-RBF 18.7s/1.45ms/178MB、RF 12.3s/0.87ms/234MB、DT 1.1s/0.08ms/28MB、KNN 0.3s/3.21ms/412MB。
支撑 'RF is best accuracy-efficiency balance' 的关键工程表,KNN 因 412 MB 内存被排除在边缘部署外。
7 类的 TP/FP/FN/Precision/Recall/F1:BENIGN 0.992/0.985/0.989、DoS 0.988/0.990/0.989、DDoS 0.986/0.989/0.987、Port Scan 0.957/0.976/0.966、Brute Force 0.951/0.975/0.963、Web Attack 0.919/0.960/0.939、Bot 0.902/0.953/0.927。Macro 平均 Precision 0.956、Recall 0.975、F1 0.966。
是 Table IX 的细粒度展开——读者能直接看出 'Bot 是最弱类 (F1=0.927)',对应后续 SMOTE 增益最大的类。
7 类在 {IID, α=10, 1.0, 0.5, 0.1, label skew} 5 种异构度下的 F1。Macro F1 从 IID 0.966 滑到 α=0.1 0.929,Bot 类从 0.927 跌到 0.854,DoS 仍稳定 0.974。
把 '高异构下哪些类最脆弱' 量化了,是解释 '为什么 EdgeDetect+FedProx 在 α=0.1 下比 EdgeDetect 单跑高 0.9 pp' 的关键依据。