本书着眼于人工智能自身的安全问题，旨在将当前人工智能安全的基础问题、关键问题、核心算法进行归纳总结。本书的定位是学习人工智能安全的入门书籍，因此先详细介绍了人工智能安全相关的基础知识，包括相关的基础算法和安全模型，使得读者明确人工智能面临的威胁，对人工智能安全有一个大体的概念和初步认识。然后将人工智能系统的主要安全威胁分为模型安全性威胁和模型与数据隐私威胁两大类。模型安全性威胁主要包括投毒攻击、后门攻击、对抗攻击、深度伪造。模型与数据隐私威胁主要包括窃取模型的权重、结构、决策边界等模型本身信息和训练数据集信息。

本书在介绍上述经典攻击技术的同时，也介绍了相应的防御方法，使得读者通过这些攻击了解人工智能模型的脆弱性，并对如何防御攻击的方法、如何增强人工智能模型的鲁棒性有一定的思考。本书主要从隐私保护的基本概念、数据隐私、模型窃取与防御三个维度来介绍通用的隐私保护定义与技术、典型的机器学习数据隐私攻击方式和相应的防御手段，并探讨了模型窃取攻击及其对应的防御方法，使得读者能够直观全面地了解模型与数据隐私并掌握一些经典算法的整体实现流程。这本书还介绍了真实世界场景中不同传感器下的对抗攻击和相应的防御措施以及人工智能系统对抗博弈的现状。相比于数字世界的攻击，真实世界的攻击更需要引起人们的关注，一旦犯罪分子恶意利用人工智能系统的漏洞，将会给人们的生产生活带来安全威胁，影响大家的人身安全、财产安全还有个人隐私。读者可以通过阅读此书的知识内容及相关经典案例了解掌握人工智能系统面临的攻防技术，了解如何在前人的基础上，研究出针对各种攻击的防御方法，为可信人工智能助力。

本书适合期望入门人工智能安全的计算机相关专业的学生、技术工作者，人工智能领域的从业人员，对人工智能安全感兴趣的人员，致力于建设可信人工智能的人员，本书所涉及的内容可以帮助读者快速全面地了解人工智能安全所涉及的问题及技术，了解相关攻防技术算法的基本原理，可帮助人工智能领域的开发人员做出更安全的应用产品。

推荐序

前言

第一部分基础知识

第1章人工智能概述2

11人工智能发展现状2

111跌跌撞撞的发展史2

112充满诱惑与希望的现状3

113百家争鸣的技术生态圈4

114像人一样行动：通过图灵测试

就足够了吗5

115像人一样思考：一定需要具备

意识吗7

116合理地思考：一定需要具备逻辑

思维吗8

117合理地行动：能带领我们走得

更远吗9

12人工智能安全现状 12

121模型安全性现状13

122模型与数据隐私现状14

123人工智能安全法规现状15

第2章人工智能基本算法16

21基本概念16

22经典算法17

221支持向量机17

222随机森林22

223逻辑回归25

224K近邻27

225神经网络28

226卷积神经网络31

227强化学习36

23主流算法43

231生成对抗网络43

232联邦学习45

233在线学习49

24算法可解释性51

241可解释性问题52

242事前可解释52

243事后可解释53

244可解释性与安全性分析56

25基础算法实现案例56

26小结57

第3章人工智能安全模型58

31人工智能安全定义58

311人工智能技术组成58

312人工智能安全模型概述59

32人工智能安全问题60

321数据安全问题60

322算法安全问题60

323模型安全问题61

33威胁模型和常见攻击62

331威胁模型63

332常见攻击65

34模型窃取攻击与防御实现

案例77

35小结77

第二部分模型安全性

第4章投毒攻击与防御80

41投毒攻击80

411针对传统机器学习模型的投毒

攻击81

412深度神经网络中的投毒攻击84

413强化学习中的投毒攻击89

414针对其他系统的投毒攻击89

42针对投毒攻击的防御方法90

421鲁棒学习91

422数据清洗92

423模型防御93

424输出防御93

43投毒攻击实现案例94

44小结94

第5章后门攻击与防御95

51后门攻击与防御概述95

511攻击场景97

512机器学习生命周期中的后门

攻击97

513后门攻击相关定义98

514威胁模型99

52图像后门攻击100

521早期后门攻击100

522基于触发器优化的后门

攻击102

523面向触发器隐蔽性的后门

攻击104

524“干净标签”条件下的后门

攻击109

525其他后门攻击方法112

53图像后门防御113

531基于数据预处理的防御

方法114

532基于模型重建的防御方法114

533基于触发器生成的防御方法115

534基于模型诊断的防御方法116

535基于投毒抑制的防御方法117

536基于训练样本过滤的防御

方法117

537基于测试样本过滤的防御

方法117

538认证的防御方法118

54其他场景下的后门模型118

55后门攻击和其他方法的关系119

551与对抗样本攻击的关系119

552与投毒攻击的关系120

56后门攻击与防御实现案例120

57小结121

第6章对抗攻击与防御122

61对抗攻击与防御概述122

62图像对抗样本生成技术123

621基于梯度的对抗样本生成124

622基于优化的对抗样本生成126

623基于梯度估计的对抗样本

生成128

624基于决策的对抗样本生成130

63图像对抗样本防御131

631输入层面的防御方法131

632模型层面的防御方法134

633可验证的防御方法138

634其他防御方法139

64文本对抗样本生成与防御140

641文本对抗样本生成140

642文本对抗样本防御150

65其他数字对抗样本155

651图对抗样本155

652恶意软件检测模型中的对抗

样本162

66对抗攻击与防御实现

案例168

67小结169

第7章深度伪造攻击与防御170

71深度伪造攻击与防御概述170

72深度伪造人脸生成171

721人脸合成171

722身份交换172

723面部属性操作175

724面部表情操作176

73深度伪造人脸检测176

731基于帧内差异的检测方法177

732基于帧间差异的检测方法180

74深度伪造语音生成与检测182

741深度伪造语音生成182

742深度伪造语音检测185

75深度伪造攻击与防御实现

案例186

76小结187

第三部分模型与数据隐私

第8章隐私保护基本概念190

81隐私保护概述190

82安全多方计算191

821安全多方计算的基本概念191

822基于混淆电路的安全多方

计算193

823GMW协议195

824基于门限秘密共享的安全多方

计算196

825BGW协议199

83同态加密200

831同态加密技术简介200

832BGV全同态加密算法202

84差分隐私205

841概念与定义207

842基础技术209

85差分隐私的决策树构建实现

案例213

86小结214

第9章数据隐私215

91数据隐私概述215

92成员推理攻击215

921成员推理攻击类型216

922成员推理攻击方法217

923攻击执行的场景224

924攻击成功执行的机理228

93数据集重建攻击228

931联邦学习下的数据集重建

攻击229

932在线学习下的数据集重建

攻击232

94防御手段233

941针对成员推理攻击的防御233

942针对数据集重建攻击的防御241

95小结242

第10章模型窃取攻击与防御243

101模型窃取攻击与防御概述243

1011模型窃取动机244

1012模型窃取目标244

102模型参数窃取攻击245

1021基于线性回归模型的参数

窃取245

1022基于决策树模型的参数

窃取245

1023基于神经网络模型的参数

窃取246

1024基于可解释信息模型的

参数窃取250

1025训练超参数窃取攻击252

103模型结构窃取攻击254

1031基于元模型的模型结构

窃取254

1032基于时间侧信道的模型结构

窃取255

104模型决策边界窃取攻击256

1041基于雅可比矩阵的模型决策

边界窃取257

1042基于随机合成样本的模型决

策边界窃取258

1043基于生成对抗网络的模型决

策边界窃取259

105模型功能窃取攻击261

1051基于强化学习的模型功能

窃取261

1052基于混合策略的模型功能

窃取262

1053基于主动学习的模型功能

窃取264

106模型窃取攻击的防御手段265

1061基于后验概率扰动的防御

策略265

1062基于多个样本特征之间距离

分布的异常检测266

1063自适应错误信息的防御

策略267

107模型窃取攻击与防御实现

案例269

108小结269

第四部分应用与实践

第11章面向真实世界的对抗样本272

111面向真实世界的对抗样本

概述272

112不同传感器的对抗样本

生成273

1121光学相机传感器273

1122激光雷达传感器279

1123麦克风传感器282

1124多模态传感器283

113不同传感器的对抗样本

防御284

1131光学相机传感器284

1132激光雷达传感器286

1133麦克风传感器287

114自动驾驶应用中的安全与

对抗287

1141基于深度学习的ADS工作

流程288

1142针对ADS的攻击290

1143针对ADS的防御293

115人工智能博弈(游戏

对抗)294

1151完备信息博弈295

1152非完备信息博弈298

1153非完备信息博弈（游戏

对抗）299

116小结301

参考文献302