本书聚焦人工智能数据与算法安全问题，主要介绍面向深度学习模型的攻防安全理论、技术及其应用。全书共7章。第1章介绍人工智能的基本概念与应用，以及人工智能安全技术现状。第2章介绍深度学习的背景知识，从模型性能、可解释性、鲁棒性、隐私性和公平性等多个角度，详细探讨深度学习模型的可信理论。第3、4章深入研究深度学习模型所面临的安全威胁，包括对抗攻击、中毒攻击、隐私窃取攻击和偏见操控攻击，以及相应的检测和防御方法，并将这些算法应用于联邦学习和强化学习场景中。第5章探讨深度学习模型的测试与评估方法，包括可靠性评估和潜在缺陷检测，并在实际场景中展示应用案例。第6章介绍攻防方法在图像识别、图数据挖掘、电磁信号识别和自然语言处理领域的应用。最后，在第7章中提供不同复杂程度的数据与算法安全实践案例，以帮助读者更好地理解和应用所学知识。
本书适合于图像识别、图数据挖掘及信号处理等领域的学者和从业人员，深度学习对抗攻防、中毒攻防、隐私窃取攻防等研究方向的初学者，包括本科生和研究生及人工智能应用安全领域相关从业者。

第1章 概述
1.1 基本概念与应用
1.1.1 人工智能的基本概念
1.1.2 人工智能的应用
1.2 人工智能安全技术现状
1.2.1 深度学习的安全理论研究现状
1.2.2 面向深度学习的脆弱性攻击技术研究现状
1.2.3 面向深度学习的抗干扰保护技术研究现状
1.2.4 面向深度学习的安全性测试技术研究现状
本章小结
参考文献
第2章 深度学习的可信理论
2.1 深度学习的背景知识
2.1.1 深度学习模型
2.1.2 深度学习的数据模态
2.1.3 深度神经网络的分类
2.2 深度模型的性能评价体系
2.2.1 深度模型性能定义
2.2.2 深度模型性能评价指标
2.2.3 评价方法
2.3 面向深度模型的可解释性理论
2.3.1 可解释性定义
2.3.2 可解释技术
2.4 面向深度模型的鲁棒增强理论
2.4.1 模型鲁棒性定义
2.4.2 鲁棒性评估指标
2.4.3 鲁棒性增强方法
2.5 面向深度模型的隐私保护理论
2.5.1 模型的隐私性定义
2.5.2 隐私保护方法
2.6 面向深度模型的公平决策理论
2.6.1 模型公平性定义
2.6.2 深度学习存在的偏见
2.6.3 公平性提升方法
本章小结
参考文献
第3章 面向深度学习模型的攻击方法
3.1 对抗攻击
3.1.1 对抗攻击定义
3.1.2 对抗样本的基本概念
3.1.3 基础对抗攻击方法概述
3.1.4 对抗攻击方法及其应用
3.2 中毒攻击
3.2.1 中毒攻击定义
3.2.2 中毒攻击相关的基本概念
3.2.3 基础中毒攻击方法概述
3.2.4 中毒攻击方法及其应用
3.3 隐私窃取攻击
3.3.1 隐私窃取攻击定义
3.3.2 隐私保护对象和威胁模型
3.3.3 隐私窃取攻击方法概述
3.3.4 隐私窃取攻击方法及其应用
3.4 偏见操控攻击
3.4.1 偏见操控攻击定义
3.4.2 偏见操控攻击的威胁模型
3.4.3 偏见操控攻击方法概述
3.5 面向联邦学习的攻击
3.5.1 联邦学习定义
3.5.2 联邦学习有关的基本概念
3.5.3 面向联邦学习攻击方法概述
3.5.4 面向联邦学习攻击方法及其应用
3.6 面向强化学习的攻击
3.6.1 深度强化学习相关定义
3.6.2 强化学习的基本概念
3.6.3 面向强化学习攻击方法概述
3.6.4 面向强化学习攻击方法及其应用
本章小结
参考文献
第4章 面向深度学习模型的防御方法
4.1 对抗样本检测
4.1.1 对抗样本检测定义
4.1.2 对抗样本检测相关的基本概念
4.1.3 基础对抗样本检测方法概述
4.1.4 对抗样本检测方法及其应用
4.2 对抗防御
4.2.1 对抗防御定义
4.2.2 对抗防御相关的基本概念
4.2.3 基础对抗防御方法概述
4.2.4 对抗防御方法及其应用
4.3 中毒检测和防御
4.3.1 中毒样本检测定义
4.3.2 后门检测和防御的基本概念
4.3.3 基础中毒检测方法概述
4.3.4 基础中毒防御方法概述
4.3.5 中毒检测防御方法及其应用
4.4 隐私窃取防御
4.4.1 隐私窃取防御定义
4.4.2 隐私窃取防御的基本概念
4.4.3 基础隐私保护方法概述
4.4.4 隐私保护方法及其应用
4.5 偏见去除
4.5.1 偏见去除问题定义
4.5.2 偏见去除的基本概念
4.5.3 基础去偏方法概述
4.5.4 偏见去除方法及其应用
4.6 面向联邦学习攻击的防御
4.6.1 面向联邦学习攻击防御问题定义
4.6.2 面向联邦学习攻击防御的基本概念
4.6.3 基础防御方法概述
4.6.4 面向联邦学习的防御方法及其应用
4.7 面向深度强化学习的防御
4.7.1 面向深度强化学习防御问题定义
4.7.2 面向基于强化学习防御方法的基本概念
4.7.3 基础防御方法概述
4.7.4 面向强化学习的防御方法及其应用
本章小结
参考文献
第5章 深度学习模型的测试与评估方法
5.1 测试的基本概念
5.1.1 测试过程
5.1.2 测试组件
5.1.3 测试目标
5.2 面向深度模型的测试
5.2.1 安全性测试
5.2.2 测试样本排序方法
5.2.3 公平性测试
5.2.4 隐私性测试
5.2.5 深度模型测试及其应用
5.3 面向深度学习框架的测试
5.3.1 库测试
5.3.2 算子测试
5.3.3 API测试
5.3.4 编译器测试
本章小结
参考文献
第6章 深度学习的数据与算法安全应用
6.1 图像识别的攻防安全应用
6.1.1 面向自动驾驶的对抗攻击与防御应用
6.1.2 面向生物特征识别系统的对抗攻击与中毒攻击应用
6.2 图数据挖掘的攻防安全应用
6.2.1 面向链路预测的攻防安全应用
6.2.2 面向节点分类的攻防安全应用
6.2.3 面向图分类的攻防安全应用
6.3 面向电磁信号识别的攻防安全应用
6.3.1 面向信号恢复的深度

目前，人工智能已经广泛应用于医疗设备、医疗诊
断、机器人规划与控制、环境自动监测、交通出行等各
个领域。人工智能被视为引领未来的战略性技术，全球
各国积极抓住人工智能发展的重大机遇，制定了一系列
规划和政策，以此提升国家竞争力和维护国家安全，力
图在新一轮国际科技中占据主导地位。
深度学习模型，作为人工智能的一个重要分支，采
用人工神经网络架构进行数据表征学习。它已在计算机
视觉、语音识别、自然语言处理等众多领域取得显著成
果，成为当前学术和工业界的研究焦点之一。然而，尽
管人们普遍关注人工智能在各领域的广泛应用，但是往
往会忽略其技术的安全性和可控性。深度学习模型本身
存在一系列的可信安全问题，包括解释性不足、内在脆
弱性、隐私泄露风险以及公平性验证的挑战等，这些问
题已对网络安全、数据安全、算法安全和信息安全构成
了巨大的潜在风险。
可靠的模型需要满足分类准确、风险鲁棒、隐私安
全、决策无偏、可解释的基本条件。基于此，深度学习
模型面临的安全性风险具体包括对抗攻击、中毒攻击、
隐私窃取攻击、偏见操控攻击等。在数据输入的过程中
，深度学习模型可能会遭受恶意输入的影响，从而导致
其行为产生改变，使之输出错误信息而影响正常工作。
例如，攻击者在“停止”标志上添加了一个不显眼的便
利贴，使自动驾驶汽车将“停止”标志被模型识别为“
限速”标志。深度学习模型的应用通常需要大量的数据
输入，而这些数据往往包含敏感信息。如果数据传输和
存储不够安全，那么就会面临隐私泄露的风险，严重损
害用户利益。由于深度学习模型的代码由人编写，这就
意味着算法内部可能存在导致主观偏见与歧视的风险。
例如，在某些招聘系统中，算法可能会对某些群体的应
聘者给出有偏评价，从而导致不公和歧视。此外，深度
学习模型的决策结果缺乏透明度和可解释性，在完成任
务的过程中，很难保证其行为符合用户的意愿，从而难
以实现透明度和可控性管理。
人工智能安全问题越来越贴近现实生活，针对深度
学习模型的攻击也越来越具有威胁性，这引起了广大研
究者的关注。如何解释深度学习模型面对威胁时表现出
来的脆弱性，并在此基础上提升模型的鲁棒性，保护数
据和模型的隐私，提前进行安全性测试和评估，构建安
全公平可信的智能算法，已经成为世界范围内的前沿研
究议题。
本书围绕人工智能数据与算法安全主题，主要介绍
面向深度学习模型的攻防安全技术及其应用，面向可解
释性差、内生脆弱、隐私易泄露、公平性评估验证困难
等不安全、不可信问题，系统性地介绍其安全理论、攻
击方法、防御和加固算法、安全性测试技术，并将其应
用于实际场景中。本书共7章。第1章对人工智能的基本
概念与应用进行介绍，阐述人工智能安全技术现状。第
2章对深度学习的背景知识进行介绍，分别从模型性能
、可解释性、鲁棒性、隐私性和公平性等不同角度对深
度学习模型的可信理论进行介绍。第3、4章对深度学习
模型目前面临的安全威胁——对抗攻击、中毒攻击、隐
私窃取攻击和偏见操控攻击及其对应的检测和加固防御
方法进行详细介绍，并将介绍的算法应用于联邦学习和
强化学习场景中。第5章对深度学习系统的测试与评估
方法进行阐述，即可靠性评估和潜在缺陷检测，并在实
际场景中对其进行应用。第6章将攻防方法应用于图像
识别、图数据挖掘、电磁信号识别和自然语言处理领域
。第7章给出不同复杂程度的数据与算法安全实践案例
。
在此感谢参与本书创作的人员：金海波、贾澄钰、
赵晓明、范金涛、刘嘉威、葛杰、李晓豪、曹志骐、马
浩男、马敏樱、陈靖文、严云杰、廖丹芯、阳雪燕、王
箫、俞天乐。他们在编辑文字、复现算法、绘制图片、
整理格式等方面付出了大量的辛勤努力，对本书的完成
做出了重大贡献。同时，我也要向近年来在深度学习安
全与应用领域一起学习进步的所有毕业生表示感谢，他
们是吴洋洋、徐轩桁、苏蒙蒙、胡可科、熊晖、沈诗婧
、林翔、陈一贤、邹健飞、上官文昌、吴长安、叶林辉
、王雪柯、黄国瀚、刘涛、熊海洋、陈奕芃等，我为你
们感到无比骄傲。与你们一起探索科研的未知领域，交
流思考，都给我带来了深刻的启示。在本书的编写过程
中，项目团队的杨星研究员、项圣博士、洪榛教授与卢
为党教授提出了许多极具价值的建议，在此表达诚挚的
感谢。
特别感谢浙江工业大学研究生教材建设项目（项目
编号：20230106）、国家自然科学基金（项目批准号：
62072406）、浙江省自然科学基金（项目编号：
LDQ23F020001）的资助。
对于从事人工智能和攻防安全领域研究的读者，我
们期望本书能提供一个全新的人工智能安全视角。深度
学习模型的安全性已成为研究焦点，学者们正在不断提
出新方法进行深入研究。然而本书难以包含所有研究路
线和技术方法，只是期望引发更多思考和探索，如有疏
漏之处，敬请读者谅解。
期待未来能有更多学者共同投入人工智能安