本书是一本讲解人工智能时代所面临的安全性挑战的综合性教材，比较全面地介绍了人工智能安全的基本原理和主要防治技术，对人工智能安全的产生机理、特点、危害表现以及防治技术进行了比较深入的分析和探讨。其中，第1章介绍了人工智能的基础知识和人工智能的安全问题；第2～4章分别介绍了投毒攻击与防御、对抗攻击与防御和后门攻击与防御；第5～7章介绍了人工智能技术在安全领域的具体应用，包括网络入侵检测、网络流量分类和联邦学习。 　　本书可作为普通高等院校人工智能、计算机科学与技术、信息安全等专业的教材，同时也可作为人工智能安全领域研究者和技术人员的参考资料。 　　本书配有电子课件、源代码、习题解答、教学大纲、教学视频等教学资源，欢迎选用本书作教材的教师登录www.cmpedu.com注册后下载，或发邮件至jinacmp@163.com索取。 　　

高等院校教师

前言
第1章　人工智能安全概述 1
1.1　什么是人工智能安全 1
1.2　人工智能安全问题—按组成要素分类 3
1.2.1　人工智能的数据安全威胁 4
1.2.2　人工智能的模型安全威胁 7
1.2.3　人工智能的模型运行环境安全威胁 11
1.3　人工智能安全问题—按生命周期分类 13
1.3.1　人工智能的设计阶段安全威胁 14
1.3.2　人工智能的训练阶段安全威胁 18
1.3.3　人工智能的执行阶段安全威胁 22
1.4　人工智能安全问题—按系统架构分类 25
1.4.1　人工智能的硬件安全威胁 26
1.4.2　人工智能的操作系统安全威胁 30
1.4.3　人工智能的开发框架安全威胁 32
1.5　人工智能安全要素 34
1.6　人工智能安全的发展前景 39
本章小结 41
思考题与习题 42
参考文献 43
第2章　投毒攻击与防御 46
2.1　投毒攻击概述 46
2.1.1　数据安全与投毒攻击 47
2.1.2　投毒攻击案例 48
2.2　投毒攻击的基本概念 49
2.2.1　投毒攻击的定义与分类 49
2.2.2　投毒攻击的范围 51
2.2.3　投毒攻击技术的发展 51
2.2.4　投毒攻击防御技术的发展 54
2.3　投毒攻击的威胁模型 54
2.3.1　攻击者的知识 55
2.3.2　攻击者的目标 55
2.3.3　攻击者的能力 56
2.3.4　攻击者的策略 56
2.4　投毒攻击方法 57
2.4.1　无目标投毒攻击 57
2.4.2　有目标投毒攻击 60
2.5　投毒攻击防御方法 62
2.5.1　基于训练数据检测的防御方法 62
2.5.2　基于鲁棒性训练的防御方法 64
2.5.3　基于数据增强的防御方法 64
2.6　投毒攻击与防御实现案例 65
2.6.1　投毒攻击案例 66
2.6.2　投毒攻击防御案例 74
本章小结 78
思考题与习题 78
参考文献 80
第3章　对抗攻击与防御 81
3.1　对抗样本概述 81
3.1.1　对抗样本的定义 81
3.1.2　对抗攻击的威胁模型 82
3.1.3　对抗攻击的分类 84
3.2　对抗攻击方法 85
3.2.1　基于梯度的白盒攻击 85
3.2.2　基于优化的白盒攻击 87
3.2.3　基于梯度估计的黑盒攻击 88
3.2.4　基于边界的黑盒攻击 88
3.2.5　灰盒攻击 89
3.3　对抗样本检测方法 90
3.3.1　基于特征学习的对抗样本检测 90
3.3.2　基于分布统计的对抗样本检测 93
3.3.3　基于中间输出的对抗样本检测 94
3.4　对抗样本防御方法 94
3.4.1　基于对抗训练的对抗样本防御方法 95
3.4.2　基于特征去噪的对抗样本防御方法 96
3.4.3　基于输入变换的对抗样本防御方法 97
3.4.4　基于防御蒸馏的对抗样本防御方法 98
3.5　对抗攻击的具体实现案例 100
3.5.1　对抗攻击案例 100
3.5.2　对抗样本检测案例 104
3.5.3　对抗防御案例 107
本章小结 110
思考题与习题 111
参考文献 112
第4章　后门攻击与防御 114
4.1　后门攻击的背景 114
4.2　后门攻击的基本概念 115
4.3　后门攻击的威胁模型 116
4.4　图像后门攻击 117
4.4.1　早期的后门攻击 117
4.4.2　基于触发器优化的后门攻击 120
4.4.3　隐形后门攻击 122
4.4.4　“干净标签”条件下的后门攻击 123
4.4.5　其他后门攻击方法 124
4.5　图像后门防御 126
4.5.1　基于数据预处理的防御方法 126
4.5.2　基于触发器生成的防御方法 128
4.5.3　基于模型诊断的防御方法 130
4.5.4　基于投毒抑制的防御方法 131
4.5.5　基于训练样本过滤的防御方法 134
4.5.6　基于测试样本过滤的防御方法 136
4.6　其他场景下的后门攻击 137
4.7　后门攻击和其他攻击的关系 139
4.7.1　后门攻击和对抗攻击 139
4.7.2　后门攻击和中毒攻击 140
4.8　后门攻击与防御的实现案例 140
4.8.1　后门攻击的实现实例 140
4.8.2　基于解耦的后门防御的实现实例 143
本章小结 145
思考题与习题 145
参考文献 146
第5章　人工智能在网络入侵检测领域 147
5.1　网络入侵检测概述 147
5.1.1　网络入侵检测的背景和基本概念 148
5.1.2　网络入侵检测系统的发展 151
5.1.3　网络入侵检测系统的分类 152
5.1.4　人工智能技术用于网络入侵检测的必要性 153
5.2　网络入侵检测模型的构建 154
5.2.1　网络入侵检测模型的主流数据集介绍 154
5.2.2　数据预处理和特征工程 161
5.2.3　模型训练与优化策略 167
5.3　人工智能在网络入侵检测中的应用 168
5.3.1　机器学习方法在网络入侵检测中的应用 170
5.3.2　深度学习方法在网络入侵检测中的应用 173
5.4　网络入侵检测的具体实现案例 175
5.5　网络入侵检测中的人工智能安全问题 181
本章小结 182
思考题与习题 182
参考文献 183
第6章　人工智能在网络流量分类领域 184
6.1　网络流量分类概述 184
6.1.1　网络流量分类的背景和基本概念 184
6.1.2　网络流量分类的重要性 186
6.1.3　网络流量分类的技术演进 187
6.2　网络流量分类数据集和分类特征 190
6.2.1　网络流量分类的主流数据集介绍 190
6.2.2　网络流量的数据预处理和特征表示 193
6.3　人工智能在网络流量分类中的应用 199
6.3.1　机器学习方法在网络流量分类中的应用 200
6.3.2　深度学习方法在网络流量分类中的应用 202
6.3.3　模型的评估 203
6.4　网络流量分类的具体实现案例 206
6.5　网络流量分类中的人工智能安全问题 211
6.5.1　网络流量分类领域的对抗攻击 211
6.5.2　网络流量分类领域的后门攻击 212
本章小结 213
思考题与习题 213
参考文献 214
第7章　人工智能在联邦学习领域 215
7.1　联邦学习的基本原理 215
7.1.1　联邦学习的定义与架构 215
7.1.2　联邦学习的关键技术 220
7.2　联邦学习的安全性挑战 223
7.2.1　面对恶意攻击的安全性问题 223
7.2.2　数据隐私泄露问题 226
7.3　联邦学习中的数据隐私保护方法 228
7.3.1　基于密码学的数据隐私保护方法 229
7.3.2　其他数据隐私保护方法 240
7.4　联邦学习的具体实现案例 243
7.5　联邦学习的未来发展趋势 245
本章小结 246
思考题与习题 246
参考文献 247