本书讨论机器学习中的安全性问题，即讨论各种千扰机器学习系统输出正确结果的攻击方法以及对应的防御方法。书中首先回顾机器学习的概念和方法，提出对机器学习攻击的总体分类。然后讨论两种主要类型的攻击和相关防御：决策时攻击和投毒攻击。之后，讨论针对深度学习的攻击的新技术，以及提高深度神经网络鲁棒性的方法。最后，讨论对抗学习领域的几个重要问题。
本书旨在为读者提供在对抗环境下成功从事机器学习研究和实践所必需的工具，适合对对抗机器学习领域感兴趣的读者阅读。

译者序
前言
致谢
作者简介
译者简介
第1章 引言
第2章 机器学习预备知识
2.1 监督学习
2.1.1 回归学习
2.1.2 分类学习
2.1.3 PAC可学习性
2.1.4 对抗环境下的监督学习
2.2 无监督学习
2.2.1 聚类
2.2.2 主成分分析
2.2.3 矩阵填充
2.2.4 对抗环境下的无监督学习
2.3 强化学习
2.3.1 对抗环境下的强化学习
2.4 参考文献注释
第3章 对机器学习的攻击类型
3.1 攻击时机
3.2 攻击者可以利用的信息
3.3 攻击目标
3.4 参考文献注释
第4章 决策时攻击
4.1 对机器学习模型的规避攻击示例
4.1.1 对异常检测的攻击：多态混合
4.1.2 对PDF恶意软件分类器的攻击
4.2 决策时攻击的建模
4.3 白盒决策时攻击
4.3.1 对二元分类器的攻击：对抗性分类器规避
4.3.2 对多类分类器的决策时攻击
4.3.3 对异常检测器的决策时攻击
4.3.4 对聚类模型的决策时攻击
4.3.5 对回归模型的决策时攻击
4.3.6 对强化学习的决策时攻击
4.4 黑盒决策时攻击
4.4.1 对黑盒攻击的分类法
4.4.2 建模攻击者信息获取
4.4.3 使用近似模型的攻击
4.5 参考文献注释
第5章 决策时攻击的防御
5.1 使监督学习对决策时攻击更坚固
5.2 最优规避鲁棒性分类
5.2.1 最优规避鲁棒的稀疏SVM
5.2.2 应对自由范围攻击的规避鲁棒SVM
5.2.3 应对受限攻击的规避鲁棒SVM
5.2.4 无限制特征空间上的规避鲁棒分类
5.2.5 对抗缺失特征的鲁棒性
5.3 使分类器对决策时攻击近似坚固
5.3.1 松弛方法
5.3.2 通用防御：迭代再训练
5.4 通过特征级保护的规避鲁棒性
5.5 决策随机化
5.5.1 模型
5.5.2 最优随机化的分类操作
5.6 规避鲁棒的回归
5.7 参考文献注释
第6章 数据投毒攻击
6.1 建模投毒攻击
6.2 对二元分类的投毒攻击
6.2.1 标签翻转攻击
6.2.2 对核SVM的中毒数据插入攻击
6.3 对无监督学习的投毒攻击
6.3.1 对聚类的投毒攻击
6.3.2 对异常检测的投毒攻击
6.4 对矩阵填充的投毒攻击
6.4.1 攻击模型
6.4.2 交替最小化的攻击
6.4.3 核范数最小化的攻击
6.4.4 模仿普通用户行为
6.5 投毒攻击的通用框架
6.6 黑盒投毒攻击
6.7 参考文献注释
第7章 数据投毒的防御
7.1 通过数据二次采样的鲁棒学习
7.2 通过离群点去除的鲁棒学习
7.3 通过修剪优化的鲁棒学习
7.4 鲁棒的矩阵分解
7.4.1 无噪子空间恢复
7.4.2 处理噪声
7.4.3 高效的鲁棒子空间恢复
7.5 修剪优化问题的高效算法
7.6 参考文献注释
第8章 深度学习的攻击和防御
8.1 神经网络模型
8.2 对深度神经网络的攻击：对抗样本
8.2.1 l2范数攻击
8.2.2 l∞范数攻击
8.2.3 L0范数攻击
8.2.4 物理世界中的攻击
8.2.5 黑盒攻击
8.3 使深度学习对对抗样本鲁棒
8.3.1 鲁棒优化
8.3.2 再训练
8.3.3 蒸馏
8.4 参考文献注释
第9章 未来之路
9.1 超出鲁棒优化的范围
9.2 不完全信息
9.3 预测的置信度
9.4 随机化
9.5 多个学习器
9.6 模型和验证
参考文献
索引