人工智能:數(shù)據(jù)與模型安全 姜育剛 馬興軍 吳祖煊
定 價(jià):129 元
- 作者:姜育剛 馬興軍 吳祖煊
- 出版時(shí)間:2024/3/1
- ISBN:9787111735021
- 出 版 社:機(jī)械工業(yè)出版社
- 中圖法分類:TP18
- 頁(yè)碼:
- 紙張:膠版紙
- 版次:
- 開本:16開
本教材聚焦學(xué)術(shù)前沿,圍繞人工智能的兩大核心要素,即數(shù)據(jù)和模型,對(duì)人工智能領(lǐng)域安全問題以及相關(guān)攻防算法展開系統(tǒng)全面、詳細(xì)深入的介紹。本教材可以幫助學(xué)生充分了解人工智能數(shù)據(jù)與模型所面臨的安全風(fēng)險(xiǎn),學(xué)習(xí)基礎(chǔ)的攻防理論,掌握關(guān)鍵的攻防技巧。
·知識(shí)全面:系統(tǒng)全面地介紹人工智能安全領(lǐng)域的攻防思想和攻防策略。
·技術(shù)深入:從對(duì)抗學(xué)習(xí)和魯棒優(yōu)化的角度深入詳細(xì)地介紹各類攻防算法。
·聚焦前沿:包含人工智能安全領(lǐng)域最新的研究動(dòng)態(tài)和最前沿的的攻防技術(shù)。
·作者權(quán)威:人工智能安全領(lǐng)域的優(yōu)秀學(xué)者,做出了一系列創(chuàng)新性科研成果。
人工智能是 21 世紀(jì)最重要的科學(xué)技術(shù)之一。從日常生活到工業(yè)制造再到科學(xué)研究,人工智能可以協(xié)助人類進(jìn)行決策,代替耗時(shí)費(fèi)力的重復(fù)性勞動(dòng),在大幅提升生產(chǎn)力的同時(shí),加速推進(jìn)產(chǎn)業(yè)結(jié)構(gòu)升級(jí)變革。然而,人工智能的發(fā)展并不是一帆風(fēng)順的,從 1956 年達(dá)特茅斯會(huì)議提出 “人工智能” 概念至今,經(jīng)歷了起起伏伏,但人們追求 “通用人工智能” 的愿望從未停止。近年來(lái),隨著深度神經(jīng)網(wǎng)絡(luò)的提出、大規(guī)模數(shù)據(jù)集的構(gòu)建和計(jì)算硬件的升級(jí),數(shù)據(jù)、算法、算力三要素齊備,人工智能進(jìn)入飛速發(fā)展階段。我們現(xiàn)在可以訓(xùn)練包含十億、百億甚至千億參數(shù)的人工智能大模型,這些大模型已經(jīng)具備很強(qiáng)的能力,初見通用人工智能的端倪。如今,人工智能模型已經(jīng)在交通、醫(yī)療、教育、金融、安防等領(lǐng)域廣泛部署應(yīng)用。
我們?cè)趽肀斯ぶ悄艿耐瑫r(shí),需要充分重視其帶來(lái)的安全問題。想要了解人工智能模型的安全問題,則須充分掌握其工作原理。自從深度神經(jīng)網(wǎng)絡(luò)被提出以來(lái),科研人員就針對(duì)其工作原理和性質(zhì)開展了大量的研究,幾乎每發(fā)現(xiàn)一個(gè)特性就會(huì)引發(fā)一系列新的安全問題。例如,2013 年發(fā)現(xiàn)的 “對(duì)抗脆弱性” 引發(fā)了各種各樣的針對(duì)深度神經(jīng)網(wǎng)絡(luò)模型的對(duì)抗攻擊;2017 年發(fā)現(xiàn)的 “后門脆弱性” 引發(fā)了大量的數(shù)據(jù)投毒和后門攻擊;深度神經(jīng)網(wǎng)絡(luò)的“記憶特性” 引發(fā)了對(duì)其隱私的攻擊,包括數(shù)據(jù)竊取攻擊和成員推理攻擊等;而其對(duì)個(gè)別樣本的 “敏感性” 和功能 “可萃取性” 則讓模型竊取攻擊成為可能。研究攻擊是為了更好地防御。我們可以借助不同的攻擊算法來(lái)對(duì)模型進(jìn)行系統(tǒng)全面的安全性評(píng)測(cè),從不同維度揭示其脆弱性邊界,了解其在實(shí)際應(yīng)用中可能存在的安全問題。基于這些分析,我們可以設(shè)計(jì)更高效的防御方法,提升模型在實(shí)際應(yīng)用過程中的魯棒性和安全性。這對(duì)大模型來(lái)說尤其重要,因?yàn)榇竽P退⻊?wù)的用戶群體更廣,其安全問題往往會(huì)引發(fā)大范圍的負(fù)面影響。例如,一旦自動(dòng)駕駛系統(tǒng)存在安全隱患,則可能會(huì)威脅駕駛員、乘客和行人的生命安全。
當(dāng)前,人工智能發(fā)展迅猛,新技術(shù)層出不窮,算法與模型日新月異,其安全問題也是如此。正是在這樣的背景下,我們將近年來(lái)在研究過程中所積累的人工智能安全方面的知識(shí)歸納整理成此書,系統(tǒng)地呈現(xiàn)給讀者。希望此書能夠在一定程度上彌補(bǔ)在此方向上國(guó)內(nèi)外教材的空白,為通用人工智能的到來(lái)做好準(zhǔn)備,以保障其健康發(fā)展。
數(shù)據(jù)和模型是人工智能的兩大核心要素。其中,數(shù)據(jù)承載了知識(shí)的原始形式,大規(guī)模數(shù)據(jù)集的采集、清洗和標(biāo)注過程極其煩瑣,需要大量的人力物力;模型則承載了從數(shù)據(jù)中學(xué)習(xí)得到的知識(shí),其訓(xùn)練過程往往耗資巨大。高昂的價(jià)值和其背后的經(jīng)濟(jì)利益使數(shù)據(jù)和模型成為攻擊者最為關(guān)注的攻擊目標(biāo)。正因如此,領(lǐng)域內(nèi)大量的研究工作都是圍繞數(shù)據(jù)和模型展開的。因此,本書聚焦人工智能領(lǐng)域中的數(shù)據(jù)和模型安全。人工智能安全的概念是廣泛的,包括內(nèi)生安全、衍生安全和助力安全等,本書的大部分內(nèi)容屬于內(nèi)生安全。
本書的章節(jié)組織如下。第 1 章簡(jiǎn)要回顧了人工智能的發(fā)展歷程;第 2 章介紹了機(jī)器學(xué)習(xí)的基礎(chǔ)知識(shí);第 3 章介紹了人工智能安全相關(guān)的基本概念、威脅模型和攻擊與防御類型;第 4 章聚焦數(shù)據(jù)安全方面的攻擊;第 5 章聚焦數(shù)據(jù)安全方面的防御;第 6 ~ 10 章分別聚焦模型安全方面的對(duì)抗攻擊、對(duì)抗防御、后門攻擊、后門防御以及竊取攻防;第 11 章展望了未來(lái)攻擊和防御的發(fā)展趨勢(shì)并強(qiáng)調(diào)了構(gòu)建系統(tǒng)性防御的緊迫性。
本書適合人工智能、智能科學(xué)與技術(shù)、計(jì)算機(jī)科學(xué)與技術(shù)、軟件工程、信息安全等專業(yè)的高年級(jí)本科生、研究生以及人工智能從業(yè)者閱讀。本書中的部分技術(shù)細(xì)節(jié)需要讀者具備一定的機(jī)器學(xué)習(xí)基礎(chǔ)。此外,本書大部分的方法介紹都圍繞圖像分類任務(wù)展開,需要讀者具備一定的計(jì)算機(jī)視覺基礎(chǔ)。本書使用的示例圖和框架圖在盡量尊重原論文的基礎(chǔ)上進(jìn)行了一定的優(yōu)化,如有不當(dāng)之處,請(qǐng)聯(lián)系我們更正。
感謝復(fù)旦大學(xué)的同學(xué)在本書的編寫和校稿過程中提供的幫助,他們包括陳紹祥、宋雪、王錚、傅宇倩、魏志鵬、陳凱、趙世豪、呂熠強(qiáng)、訾柏嘉、錢天文、張星、常明昊、翁澤佳、王君可、翟坤、王欣、阮子禪、張超、林朝坤等。此外,感謝黃瀚珣博士和李一戈博士在此書寫作過程中參與了討論。
由于作者水平有限,書中內(nèi)容難免會(huì)存在不足,歡迎各位讀者提出寶貴的意見和建議。
姜育剛,復(fù)旦大學(xué)教授、博士生導(dǎo)師,長(zhǎng)江學(xué)者特聘教授,IEEE Fellow、IAPR Fellow。研究領(lǐng)域?yàn)槎嗝襟w信息處理、計(jì)算機(jī)視覺、可信通用人工智能,國(guó)家科技創(chuàng)新2030—“新一代人工智能”重大項(xiàng)目負(fù)責(zé)人,上海市智能視覺計(jì)算協(xié)同創(chuàng)新中心主任。發(fā)表的200余篇論文被引用2萬(wàn)余次,構(gòu)建的開源數(shù)據(jù)和工具集被國(guó)內(nèi)外學(xué)者及企業(yè)頻繁使用。曾獲2018年度上海市科技進(jìn)步一等獎(jiǎng)、2019年度上海市青年科技杰出貢獻(xiàn)獎(jiǎng)、2022年度自然科學(xué)一等獎(jiǎng)、2022年度國(guó)家級(jí)教學(xué)成果二等獎(jiǎng)等榮譽(yù)。
馬興軍,復(fù)旦大學(xué)研究員、博士生導(dǎo)師,國(guó)家級(jí)青年人才計(jì)劃入選者。2019年在澳大利亞墨爾本大學(xué)獲得博士學(xué)位,曾任墨爾本大學(xué)博士后研究員、迪肯大學(xué)助理教授。研究領(lǐng)域?yàn)榭尚艡C(jī)器學(xué)習(xí),主要研究人工智能數(shù)據(jù)與模型的安全性、魯棒性、可解釋性和公平性等。發(fā)表的50余篇論文被引用7000余次,獲最佳論文獎(jiǎng)2項(xiàng)。研究成果曾獲《麻省理工科技評(píng)論》等國(guó)際媒體報(bào)道。擔(dān)任多個(gè)國(guó)際頂級(jí)學(xué)術(shù)會(huì)議的審稿人。
吳祖煊,復(fù)旦大學(xué)副教授、博士生導(dǎo)師,國(guó)家級(jí)青年人才計(jì)劃入選者。2020年在美國(guó)馬里蘭大學(xué)獲得博士學(xué)位。研究領(lǐng)域?yàn)橛?jì)算機(jī)視覺與深度學(xué)習(xí)。發(fā)表的50余篇論文被引用7000余次。曾獲2022年度自然科學(xué)一等獎(jiǎng)、2022年度AI 2000多媒體領(lǐng)域最具影響力學(xué)者等榮譽(yù)。擔(dān)任多個(gè)國(guó)際頂級(jí)學(xué)術(shù)會(huì)議的領(lǐng)域主席或?qū)徃迦恕?
序
前言
常用符號(hào)表
第 1 章 人工智能與安全概述 1
1.1 人工智能的定義 1
1.2 人工智能的發(fā)展 2
1.2.1 三起兩落 3
1.2.2 重大突破 5
1.3 人工智能安全 8
1.3.1 數(shù)據(jù)與模型安全 8
1.3.2 現(xiàn)實(shí)安全問題 9
1.4 本章小結(jié) 10
1.5 習(xí)題 11
第 2 章 機(jī)器學(xué)習(xí)基礎(chǔ) 12
2.1 基本概念 12
2.2 學(xué)習(xí)范式 17
2.2.1 有監(jiān)督學(xué)習(xí) 17
2.2.2 無(wú)監(jiān)督學(xué)習(xí) 18
2.2.3 強(qiáng)化學(xué)習(xí) 20
2.2.4 其他范式 21
2.3 損失函數(shù) 26
2.3.1 分類損失 26
2.3.2 單點(diǎn)回歸損失 28
2.3.3 邊框回歸損失 29
2.3.4 人臉識(shí)別損失 30
2.3.5 自監(jiān)督學(xué)習(xí)損失 33
2.4 優(yōu)化方法 34
2.4.1 梯度下降 35
2.4.2 隨機(jī)梯度下降 36
2.4.3 改進(jìn)的隨機(jī)梯度下降 36
2.5 本章小結(jié) 39
2.6 習(xí)題 39
第 3 章 人工智能安全基礎(chǔ) 40
3.1 基本概念 40
3.2 威脅模型 43
3.2.1 白盒威脅模型 43
3.2.2 黑盒威脅模型 44
3.2.3 灰盒威脅模型 44
3.3 攻擊類型 45
3.3.1 攻擊目的 46
3.3.2 攻擊對(duì)象 49
3.3.3 攻擊時(shí)機(jī) 52
3.4 防御類型 54
3.4.1 攻擊檢測(cè) 54
3.4.2 數(shù)據(jù)保護(hù) 55
3.4.3 模型增強(qiáng) 56
3.5 本章小結(jié) 58
3.6 習(xí)題 58
第 4 章 數(shù)據(jù)安全:攻擊 59
4.1 數(shù)據(jù)投毒 59
4.1.1 標(biāo)簽投毒攻擊 60
4.1.2 在線投毒攻擊 60
4.1.3 特征空間攻擊 61
4.1.4 雙層優(yōu)化攻擊 62
4.1.5 生成式攻擊 65
4.1.6 差別化攻擊 65
4.1.7 投毒預(yù)訓(xùn)練大模型 66
4.2 隱私攻擊 67
4.2.1 成員推理攻擊 67
4.2.2 屬性推理攻擊 74
4.2.3 其他推理攻擊 75
4.3 數(shù)據(jù)竊取 75
4.3.1 黑盒數(shù)據(jù)竊取 77
4.3.2 白盒數(shù)據(jù)竊取 79
4.3.3 數(shù)據(jù)竊取大模型 81
4.4 篡改與偽造 82
4.4.1 普通篡改 83
4.4.2 深度偽造 84
4.5 本章小結(jié) 97
4.6 習(xí)題 97
第 5 章 數(shù)據(jù)安全:防御 98
5.1 魯棒訓(xùn)練 98
5.2 差分隱私 100
5.2.1 差分隱私概念 100
5.2.2 差分隱私在深度學(xué)習(xí)中
的應(yīng)用 103
5.3 聯(lián)邦學(xué)習(xí) 106
5.3.1 聯(lián)邦學(xué)習(xí)概述 106
5.3.2 橫向聯(lián)邦 111
5.3.3 縱向聯(lián)邦 113
5.3.4 隱私與安全 116
5.4 篡改與深偽檢測(cè) 121
5.4.1 普通篡改檢測(cè) 121
5.4.2 深度偽造檢測(cè) 122
5.5 本章小結(jié) 128
5.6 習(xí)題 128
第 6 章 模型安全:對(duì)抗攻擊 129
6.1 白盒攻擊 130
6.2 黑盒攻擊 136
6.2.1 查詢攻擊 136
6.2.2 遷移攻擊 140
6.3 物理攻擊 145
6.4 本章小結(jié) 152
6.5 習(xí)題 152
第 7 章 模型安全:對(duì)抗防御 153
7.1 對(duì)抗樣本成因 153
7.1.1 高度非線性假說 153
7.1.2 局部線性假說 155
7.1.3 邊界傾斜假說 156
7.1.4 高維流形假說 157
7.1.5 不魯棒特征假說 159
7.2 對(duì)抗樣本檢測(cè) 161
7.2.1 二級(jí)分類法 162
7.2.2 主成分分析法 163
7.2.3 異常分布檢測(cè)法 164
7.2.4 預(yù)測(cè)不一致性 168
7.2.5 重建不一致性 170
7.2.6 誘捕檢測(cè)法 171
7.3 對(duì)抗訓(xùn)練 172
7.3.1 早期對(duì)抗訓(xùn)練 173
7.3.2 PGD 對(duì)抗訓(xùn)練 176
7.3.3 TRADES 對(duì)抗訓(xùn)練 179
7.3.4 樣本區(qū)分對(duì)抗訓(xùn)練 180
7.3.5 數(shù)據(jù)增廣對(duì)抗訓(xùn)練 181
7.3.6 參數(shù)空間對(duì)抗訓(xùn)練 182
7.3.7 對(duì)抗訓(xùn)練的加速 183
7.3.8 大規(guī)模對(duì)抗訓(xùn)練 186
7.3.9 對(duì)抗蒸餾 188
7.3.10 魯棒模型結(jié)構(gòu) 190
7.4 輸入空間防御 192
7.4.1 輸入去噪 192
7.4.2 輸入壓縮 192
7.4.3 像素偏轉(zhuǎn) 192
7.4.4 輸入隨機(jī)化 193
7.4.5 生成式防御 193
7.4.6 圖像修復(fù) 194
7.5 可認(rèn)證防御 194
7.5.1 基本概念 194
7.5.2 認(rèn)證小模型 195
7.5.3 認(rèn)證中模型 197
7.5.4 認(rèn)證大模型 201
7.6 本章小結(jié) 203
7.7 習(xí)題 203
第 8 章 模型安全:后門攻擊 204
8.1 輸入空間攻擊 205
8.2 模型空間攻擊 210
8.3 特征空間攻擊 213
8.4 遷移學(xué)習(xí)攻擊 214
8.5 聯(lián)邦學(xué)習(xí)攻擊