人工智能:數(shù)據(jù)與模型安全 姜育剛 馬興軍 吳祖煊
定 價:129 元
- 作者:姜育剛 馬興軍 吳祖煊
- 出版時間:2024/3/1
- ISBN:9787111735021
- 出 版 社:機械工業(yè)出版社
- 中圖法分類:TP18
- 頁碼:
- 紙張:膠版紙
- 版次:
- 開本:16開
本教材聚焦學術(shù)前沿�����,圍繞人工智能的兩大核心要素�,即數(shù)據(jù)和模型,對人工智能領(lǐng)域安全問題以及相關(guān)攻防算法展開系統(tǒng)全面�����、詳細深入的介紹��。本教材可以幫助學生充分了解人工智能數(shù)據(jù)與模型所面臨的安全風險��,學習基礎(chǔ)的攻防理論,掌握關(guān)鍵的攻防技巧��。
·知識全面:系統(tǒng)全面地介紹人工智能安全領(lǐng)域的攻防思想和攻防策略�����。
·技術(shù)深入:從對抗學習和魯棒優(yōu)化的角度深入詳細地介紹各類攻防算法��。
·聚焦前沿:包含人工智能安全領(lǐng)域最新的研究動態(tài)和最前沿的的攻防技術(shù)��。
·作者權(quán)威:人工智能安全領(lǐng)域的優(yōu)秀學者��,做出了一系列創(chuàng)新性科研成果��。
人工智能是 21 世紀最重要的科學技術(shù)之一�����。從日常生活到工業(yè)制造再到科學研究�����,人工智能可以協(xié)助人類進行決策�����,代替耗時費力的重復(fù)性勞動,在大幅提升生產(chǎn)力的同時��,加速推進產(chǎn)業(yè)結(jié)構(gòu)升級變革��。然而�,人工智能的發(fā)展并不是一帆風順的��,從 1956 年達特茅斯會議提出 “人工智能” 概念至今�,經(jīng)歷了起起伏伏,但人們追求 “通用人工智能” 的愿望從未停止�����。近年來��,隨著深度神經(jīng)網(wǎng)絡(luò)的提出�����、大規(guī)模數(shù)據(jù)集的構(gòu)建和計算硬件的升級��,數(shù)據(jù)�、算法、算力三要素齊備��,人工智能進入飛速發(fā)展階段。我們現(xiàn)在可以訓練包含十億�、百億甚至千億參數(shù)的人工智能大模型,這些大模型已經(jīng)具備很強的能力��,初見通用人工智能的端倪��。如今��,人工智能模型已經(jīng)在交通�、醫(yī)療、教育�����、金融�����、安防等領(lǐng)域廣泛部署應(yīng)用�。
我們在擁抱人工智能的同時,需要充分重視其帶來的安全問題�����。想要了解人工智能模型的安全問題,則須充分掌握其工作原理�����。自從深度神經(jīng)網(wǎng)絡(luò)被提出以來��,科研人員就針對其工作原理和性質(zhì)開展了大量的研究��,幾乎每發(fā)現(xiàn)一個特性就會引發(fā)一系列新的安全問題�。例如�����,2013 年發(fā)現(xiàn)的 “對抗脆弱性” 引發(fā)了各種各樣的針對深度神經(jīng)網(wǎng)絡(luò)模型的對抗攻擊�;2017 年發(fā)現(xiàn)的 “后門脆弱性” 引發(fā)了大量的數(shù)據(jù)投毒和后門攻擊;深度神經(jīng)網(wǎng)絡(luò)的“記憶特性” 引發(fā)了對其隱私的攻擊�����,包括數(shù)據(jù)竊取攻擊和成員推理攻擊等�;而其對個別樣本的 “敏感性” 和功能 “可萃取性” 則讓模型竊取攻擊成為可能。研究攻擊是為了更好地防御��。我們可以借助不同的攻擊算法來對模型進行系統(tǒng)全面的安全性評測�����,從不同維度揭示其脆弱性邊界,了解其在實際應(yīng)用中可能存在的安全問題���;谶@些分析,我們可以設(shè)計更高效的防御方法�,提升模型在實際應(yīng)用過程中的魯棒性和安全性。這對大模型來說尤其重要��,因為大模型所服務(wù)的用戶群體更廣�����,其安全問題往往會引發(fā)大范圍的負面影響��。例如��,一旦自動駕駛系統(tǒng)存在安全隱患�����,則可能會威脅駕駛員�����、乘客和行人的生命安全。
當前��,人工智能發(fā)展迅猛��,新技術(shù)層出不窮�����,算法與模型日新月異��,其安全問題也是如此��。正是在這樣的背景下�,我們將近年來在研究過程中所積累的人工智能安全方面的知識歸納整理成此書�,系統(tǒng)地呈現(xiàn)給讀者。希望此書能夠在一定程度上彌補在此方向上國內(nèi)外教材的空白��,為通用人工智能的到來做好準備��,以保障其健康發(fā)展��。
數(shù)據(jù)和模型是人工智能的兩大核心要素��。其中�����,數(shù)據(jù)承載了知識的原始形式,大規(guī)模數(shù)據(jù)集的采集�����、清洗和標注過程極其煩瑣�����,需要大量的人力物力�����;模型則承載了從數(shù)據(jù)中學習得到的知識�����,其訓練過程往往耗資巨大�。高昂的價值和其背后的經(jīng)濟利益使數(shù)據(jù)和模型成為攻擊者最為關(guān)注的攻擊目標。正因如此�,領(lǐng)域內(nèi)大量的研究工作都是圍繞數(shù)據(jù)和模型展開的。因此�����,本書聚焦人工智能領(lǐng)域中的數(shù)據(jù)和模型安全。人工智能安全的概念是廣泛的�,包括內(nèi)生安全、衍生安全和助力安全等��,本書的大部分內(nèi)容屬于內(nèi)生安全�。
本書的章節(jié)組織如下。第 1 章簡要回顧了人工智能的發(fā)展歷程��;第 2 章介紹了機器學習的基礎(chǔ)知識��;第 3 章介紹了人工智能安全相關(guān)的基本概念��、威脅模型和攻擊與防御類型��;第 4 章聚焦數(shù)據(jù)安全方面的攻擊�����;第 5 章聚焦數(shù)據(jù)安全方面的防御��;第 6 ~ 10 章分別聚焦模型安全方面的對抗攻擊�����、對抗防御��、后門攻擊�����、后門防御以及竊取攻防�����;第 11 章展望了未來攻擊和防御的發(fā)展趨勢并強調(diào)了構(gòu)建系統(tǒng)性防御的緊迫性�����。
本書適合人工智能�����、智能科學與技術(shù)�、計算機科學與技術(shù)、軟件工程��、信息安全等專業(yè)的高年級本科生�����、研究生以及人工智能從業(yè)者閱讀��。本書中的部分技術(shù)細節(jié)需要讀者具備一定的機器學習基礎(chǔ)。此外��,本書大部分的方法介紹都圍繞圖像分類任務(wù)展開�,需要讀者具備一定的計算機視覺基礎(chǔ)。本書使用的示例圖和框架圖在盡量尊重原論文的基礎(chǔ)上進行了一定的優(yōu)化�����,如有不當之處�����,請聯(lián)系我們更正��。
感謝復(fù)旦大學的同學在本書的編寫和校稿過程中提供的幫助��,他們包括陳紹祥�、宋雪、王錚�����、傅宇倩�����、魏志鵬�����、陳凱�����、趙世豪�����、呂熠強�、訾柏嘉、錢天文��、張星��、常明昊��、翁澤佳�����、王君可、翟坤�、王欣、阮子禪�����、張超�、林朝坤等。此外�����,感謝黃瀚珣博士和李一戈博士在此書寫作過程中參與了討論�。
由于作者水平有限,書中內(nèi)容難免會存在不足��,歡迎各位讀者提出寶貴的意見和建議�。
姜育剛,復(fù)旦大學教授��、博士生導(dǎo)師��,長江學者特聘教授�����,IEEE Fellow、IAPR Fellow�。研究領(lǐng)域為多媒體信息處理�、計算機視覺、可信通用人工智能�,國家科技創(chuàng)新2030—“新一代人工智能”重大項目負責人,上海市智能視覺計算協(xié)同創(chuàng)新中心主任�。發(fā)表的200余篇論文被引用2萬余次,構(gòu)建的開源數(shù)據(jù)和工具集被國內(nèi)外學者及企業(yè)頻繁使用�����。曾獲2018年度上海市科技進步一等獎�����、2019年度上海市青年科技杰出貢獻獎�、2022年度自然科學一等獎、2022年度國家級教學成果二等獎等榮譽�����。
馬興軍�����,復(fù)旦大學研究員、博士生導(dǎo)師�����,國家級青年人才計劃入選者�。2019年在澳大利亞墨爾本大學獲得博士學位,曾任墨爾本大學博士后研究員��、迪肯大學助理教授�。研究領(lǐng)域為可信機器學習,主要研究人工智能數(shù)據(jù)與模型的安全性�����、魯棒性��、可解釋性和公平性等�����。發(fā)表的50余篇論文被引用7000余次��,獲最佳論文獎2項�����。研究成果曾獲《麻省理工科技評論》等國際媒體報道。擔任多個國際頂級學術(shù)會議的審稿人�。
吳祖煊,復(fù)旦大學副教授�����、博士生導(dǎo)師��,國家級青年人才計劃入選者��。2020年在美國馬里蘭大學獲得博士學位�。研究領(lǐng)域為計算機視覺與深度學習�����。發(fā)表的50余篇論文被引用7000余次�����。曾獲2022年度自然科學一等獎��、2022年度AI 2000多媒體領(lǐng)域最具影響力學者等榮譽�����。擔任多個國際頂級學術(shù)會議的領(lǐng)域主席或?qū)徃迦恕?
序
前言
常用符號表
第 1 章 人工智能與安全概述 1
1.1 人工智能的定義 1
1.2 人工智能的發(fā)展 2
1.2.1 三起兩落 3
1.2.2 重大突破 5
1.3 人工智能安全 8
1.3.1 數(shù)據(jù)與模型安全 8
1.3.2 現(xiàn)實安全問題 9
1.4 本章小結(jié) 10
1.5 習題 11
第 2 章 機器學習基礎(chǔ) 12
2.1 基本概念 12
2.2 學習范式 17
2.2.1 有監(jiān)督學習 17
2.2.2 無監(jiān)督學習 18
2.2.3 強化學習 20
2.2.4 其他范式 21
2.3 損失函數(shù) 26
2.3.1 分類損失 26
2.3.2 單點回歸損失 28
2.3.3 邊框回歸損失 29
2.3.4 人臉識別損失 30
2.3.5 自監(jiān)督學習損失 33
2.4 優(yōu)化方法 34
2.4.1 梯度下降 35
2.4.2 隨機梯度下降 36
2.4.3 改進的隨機梯度下降 36
2.5 本章小結(jié) 39
2.6 習題 39
第 3 章 人工智能安全基礎(chǔ) 40
3.1 基本概念 40
3.2 威脅模型 43
3.2.1 白盒威脅模型 43
3.2.2 黑盒威脅模型 44
3.2.3 灰盒威脅模型 44
3.3 攻擊類型 45
3.3.1 攻擊目的 46
3.3.2 攻擊對象 49
3.3.3 攻擊時機 52
3.4 防御類型 54
3.4.1 攻擊檢測 54
3.4.2 數(shù)據(jù)保護 55
3.4.3 模型增強 56
3.5 本章小結(jié) 58
3.6 習題 58
第 4 章 數(shù)據(jù)安全:攻擊 59
4.1 數(shù)據(jù)投毒 59
4.1.1 標簽投毒攻擊 60
4.1.2 在線投毒攻擊 60
4.1.3 特征空間攻擊 61
4.1.4 雙層優(yōu)化攻擊 62
4.1.5 生成式攻擊 65
4.1.6 差別化攻擊 65
4.1.7 投毒預(yù)訓練大模型 66
4.2 隱私攻擊 67
4.2.1 成員推理攻擊 67
4.2.2 屬性推理攻擊 74
4.2.3 其他推理攻擊 75
4.3 數(shù)據(jù)竊取 75
4.3.1 黑盒數(shù)據(jù)竊取 77
4.3.2 白盒數(shù)據(jù)竊取 79
4.3.3 數(shù)據(jù)竊取大模型 81
4.4 篡改與偽造 82
4.4.1 普通篡改 83
4.4.2 深度偽造 84
4.5 本章小結(jié) 97
4.6 習題 97
第 5 章 數(shù)據(jù)安全:防御 98
5.1 魯棒訓練 98
5.2 差分隱私 100
5.2.1 差分隱私概念 100
5.2.2 差分隱私在深度學習中
的應(yīng)用 103
5.3 聯(lián)邦學習 106
5.3.1 聯(lián)邦學習概述 106
5.3.2 橫向聯(lián)邦 111
5.3.3 縱向聯(lián)邦 113
5.3.4 隱私與安全 116
5.4 篡改與深偽檢測 121
5.4.1 普通篡改檢測 121
5.4.2 深度偽造檢測 122
5.5 本章小結(jié) 128
5.6 習題 128
第 6 章 模型安全:對抗攻擊 129
6.1 白盒攻擊 130
6.2 黑盒攻擊 136
6.2.1 查詢攻擊 136
6.2.2 遷移攻擊 140
6.3 物理攻擊 145
6.4 本章小結(jié) 152
6.5 習題 152
第 7 章 模型安全:對抗防御 153
7.1 對抗樣本成因 153
7.1.1 高度非線性假說 153
7.1.2 局部線性假說 155
7.1.3 邊界傾斜假說 156
7.1.4 高維流形假說 157
7.1.5 不魯棒特征假說 159
7.2 對抗樣本檢測 161
7.2.1 二級分類法 162
7.2.2 主成分分析法 163
7.2.3 異常分布檢測法 164
7.2.4 預(yù)測不一致性 168
7.2.5 重建不一致性 170
7.2.6 誘捕檢測法 171
7.3 對抗訓練 172
7.3.1 早期對抗訓練 173
7.3.2 PGD 對抗訓練 176
7.3.3 TRADES 對抗訓練 179
7.3.4 樣本區(qū)分對抗訓練 180
7.3.5 數(shù)據(jù)增廣對抗訓練 181
7.3.6 參數(shù)空間對抗訓練 182
7.3.7 對抗訓練的加速 183
7.3.8 大規(guī)模對抗訓練 186
7.3.9 對抗蒸餾 188
7.3.10 魯棒模型結(jié)構(gòu) 190
7.4 輸入空間防御 192
7.4.1 輸入去噪 192
7.4.2 輸入壓縮 192
7.4.3 像素偏轉(zhuǎn) 192
7.4.4 輸入隨機化 193
7.4.5 生成式防御 193
7.4.6 圖像修復(fù) 194
7.5 可認證防御 194
7.5.1 基本概念 194
7.5.2 認證小模型 195
7.5.3 認證中模型 197
7.5.4 認證大模型 201
7.6 本章小結(jié) 203
7.7 習題 203
第 8 章 模型安全:后門攻擊 204
8.1 輸入空間攻擊 205
8.2 模型空間攻擊 210
8.3 特征空間攻擊 213
8.4 遷移學習攻擊 214
8.5 聯(lián)邦學習攻擊
書單推薦
