深度学习数据与算法安全及其应用

本书聚焦人工智能数据与算法安全问题，主要介绍面向深度学习模型的攻防安全理论、技术及其应用。全书共7章。第1章介绍人工智能的基本概念与应用，以及人工智能安全技术现状。第2章介绍深度学习的背景知识，从模型性能、可解释性、鲁棒性、隐私性和公平性等多个角度，详细探讨深度学习模型的可信理论。第3、4章深入研究深度学习模型所面临的安全威胁，包括对抗攻击、中毒攻击、隐私窃取攻击和偏见操控攻击，以及相应的检测和防御方法，并将这些算法应用于联邦学习和强化学习场景中。第5章探讨深度学习模型的测试与评估方法，包括可靠性评估和潜在缺陷检测，并在实际场景中展示应用案例。第6章介绍攻防方法在图像识别、图数据挖掘、电磁信号识别和自然语言处理领域的应用。最后，在第7章中提供不同复杂程度的数据与算法安全实践案例，以帮助读者更好地理解和应用所学知识。 本书适合于图像识别、图数据挖掘及信号处理等领域的学者和从业人员，深度学习对抗攻防、中毒攻防、隐私窃取攻防等研究方向的初学者，包括本科生和研究生及人工智能应用安全领域相关从业者。

第1章 概述 1 1.1 基本概念与应用 1 1.1.1 人工智能的基本概念 1 1.1.2 人工智能的应用 1 1.2 人工智能安全技术现状 2 1.2.1 深度学习的安全理论研究现状 3 1.2.2 面向深度学习的脆弱性攻击技术研究现状 4 1.2.3 面向深度学习的抗干扰保护技术研究现状 4 1.2.4 面向深度学习的安全性测试技术研究现状 5 本章小结 6 参考文献 6 第2章 深度学习的可信理论 9 2.1 深度学习的背景知识 9 2.1.1 深度学习模型 9 2.1.2 深度学习的数据模态 10 2.1.3 深度神经网络的分类 10 2.2 深度模型的性能评价体系 12 2.2.1 深度模型性能定义 12 2.2.2 深度模型性能评价指标 12 2.2.3 评价方法 13 2.3 面向深度模型的可解释性理论 14 2.3.1 可解释性定义 14 2.3.2 可解释技术 14 2.4 面向深度模型的鲁棒增强理论 17 2.4.1 模型鲁棒性定义 17 2.4.2 鲁棒性评估指标 18 2.4.3 鲁棒性增强方法 20 2.5 面向深度模型的隐私保护理论 22 2.5.1 模型的隐私性定义 22 2.5.2 隐私保护方法 22 2.6 面向深度模型的公平决策理论 24 2.6.1 模型公平性定义 24 2.6.2 深度学习存在的偏见 24 2.6.3 公平性提升方法 25 本章小结 27 参考文献 27 第3章 面向深度学习模型的攻击方法 30 3.1 对抗攻击 30 3.1.1 对抗攻击定义 31 3.1.2 对抗样本的基本概念 31 3.1.3 基础对抗攻击方法概述 33 3.1.4 对抗攻击方法及其应用 36 3.2 中毒攻击 56 3.2.1 中毒攻击定义 56 3.2.2 中毒攻击相关的基本概念 57 3.2.3 基础中毒攻击方法概述 58 3.2.4 中毒攻击方法及其应用 61 3.3 隐私窃取攻击 70 3.3.1 隐私窃取攻击定义 70 3.3.2 隐私保护对象和威胁模型 71 3.3.3 隐私窃取攻击方法概述 73 3.3.4 隐私窃取攻击方法及其应用 75 3.4 偏见操控攻击 91 3.4.1 偏见操控攻击定义 91 3.4.2 偏见操控攻击的威胁模型 91 3.4.3 偏见操控攻击方法概述 91 3.5 面向联邦学习的攻击 92 3.5.1 联邦学习定义 93 3.5.2 联邦学习有关的基本概念 95 3.5.3 面向联邦学习攻击方法概述 97 3.5.4 面向联邦学习攻击方法及其应用 99 3.6 面向强化学习的攻击 118 3.6.1 深度强化学习相关定义 118 3.6.2 强化学习的基本概念 119 3.6.3 面向强化学习攻击方法概述 120 3.6.4 面向强化学习攻击方法及其应用 122 本章小结 139 参考文献 139 第4章 面向深度学习模型的防御方法 142 4.1 对抗样本检测 142 4.1.1 对抗样本检测定义 142 4.1.2 对抗样本检测相关的基本概念 142 4.1.3 基础对抗样本检测方法概述 144 4.1.4 对抗样本检测方法及其应用 147 4.2 对抗防御 159 4.2.1 对抗防御定义 159 4.2.2 对抗防御相关的基本概念 159 4.2.3 基础对抗防御方法概述 160 4.2.4 对抗防御方法及其应用 165 4.3 中毒检测和防御 177 4.3.1 中毒样本检测定义 177 4.3.2 后门检测和防御的基本概念 178 4.3.3 基础中毒检测方法概述 179 4.3.4 基础中毒防御方法概述 184 4.3.5 中毒检测防御方法及其应用 186 4.4 隐私窃取防御 197 4.4.1 隐私窃取防御定义 197 4.4.2 隐私窃取防御的基本概念 198 4.4.3 基础隐私保护方法概述 199 4.4.4 隐私保护方法及其应用 201 4.5 偏见去除 210 4.5.1 偏见去除问题定义 211 4.5.2 偏见去除的基本概念 211 4.5.3 基础去偏方法概述 212 4.5.4 偏见去除方法及其应用 214 4.6 面向联邦学习攻击的防御 222 4.6.1 面向联邦学习攻击防御问题定义 222 4.6.2 面向联邦学习攻击防御的基本概念 223 4.6.3 基础防御方法概述 224 4.6.4 面向联邦学习的防御方法及其应用 228 4.7 面向深度强化学习的防御 239 4.7.1 面向深度强化学习防御问题定义 239 4.7.2 面向基于强化学习防御方法的基本概念 240 4.7.3 基础防御方法概述 240 4.7.4 面向强化学习的防御方法及其应用 244 本章小结 252 参考文献 253 第5章 深度学习模型的测试与评估方法 257 5.1 测试的基本概念 257 5.1.1 测试过程 258 5.1.2 测试组件 259 5.1.3 测试目标 260 5.2 面向深度模型的测试 262 5.2.1 安全性测试 262 5.2.2 测试样本排序方法 268 5.2.3 公平性测试 271 5.2.4 隐私性测试 272 5.2.5 深度模型测试及其应用 272 5.3 面向深度学习框架的测试 296 5.3.1 库测试 296 5.3.2 算子测试 299 5.3.3 API测试 299 5.3.4 编译器测试 301 本章小结 302 参考文献 302 第6章 深度学习的数据与算法安全应用 306 6.1 图像识别的攻防安全应用 306 6.1.1 面向自动驾驶的对抗攻击与防御应用 306 6.1.2 面向生物特征识别系统的对抗攻击与中毒攻击应用 320 6.2 图数据挖掘的攻防安全应用 326 6.2.1 面向链路预测的攻防安全应用 326 6.2.2 面向节点分类的攻防安全应用 338 6.2.3 面向图分类的攻防安全应用 346 6.3 面向电磁信号识别的攻防安全应用 359 6.3.1 面向信号恢复的深度学习模型对抗攻击方法 359 6.3.2 面向信号调制识别的深度学习模型对抗攻击方法 363 6.3.3 面向LMS自适应信号滤波算法的对抗攻击方法 373 6.4 面向自然语言处理的攻防安全应用 377 6.4.1 基于双循环图的虚假评论检测方法 378 6.4.2 基于传播网络增速的虚假新闻检测方法 383 6.4.3 面向多模态虚假新闻检测的鲁棒安全评估方法 385 本章小结 390 参考文献 391 第7章 数据与算法安全实践案例 392 7.1 初阶实践案例 392 7.1.1 快速梯度符号白盒对抗攻击实践案例教程 392 7.1.2 C&W白盒对抗攻击实践案例教程 395 7.1.3 零阶梯度优化黑盒对抗攻击实践案例教程 398 7.1.4 BadNets中毒攻击实践案例教程 402 7.1.5 AIS&BIS中毒攻击实践案例教程 404 7.2 高阶实践案例 406 7.2.1 联邦学习分布式后门攻击实践案例教程 406 7.2.2 垂直图联邦学习隐私泄露攻击实践案例教程 408 7.2.3 基于访问的模型性能窃取攻击实践案例教程 410 7.2.4 针对图联邦的敏感属性窃取攻击实践案例教程 413 7.2.5 针对图神经网络的链路预测后门攻击实践案例教程 415 本章小结 416