李剑，北京邮电大学教授，博士生导师。一直从事人工智能、网络空间安全、信息安全、量子密码、计算机软件等方面的研究。北京市思政教学名师。在国内外期刊发表论文300余篇，其中SCI检索论文100篇余篇；出版信息安全方面教材10余本，其中包括《信息安全概论》、《人工智能安全：原理与实践》等国家 级规划教材和北京市精品教材。承担过多项国家自然科学基金、北京市自然基金等项目；参与多项国家863、973等项目。目前是中国互联网协会反恶意软件技术组组长，中国密码学会高级会员，中国计算机学会高级会员，中国人工智能学会高级会员。《信息安全研究》期刊编委。

前言
第1章人工智能安全概述
11人工智能安全的引入
12人工智能安全的概念
13人工智能安全的架构、风险及应对方法
131人工智能安全架构
132人工智能安全风险
133人工智能安全风险的应对方法
14人工智能安全现状与治理
15本书的使用方法
16思考题
第2章生成对抗网络攻击与防护
21生成对抗网络概述
22生成对抗网络的基本原理与改进模型
221基本原理
222改进模型
23生成对抗网络攻击的基础知识
231问题定义
232攻击原理
233攻击分类
24实践案例：基于生成对抗网络的sin曲线样本模拟
241实践概述
242实践环境
243实践步骤
244实践核心代码
245实践结果
25实践案例：基于对抗性攻击无数据替代训练的模型窃取
251实践概述
252实践环境
253实践步骤
254实践核心代码
255实践结果
26生成对抗网络攻击的防护
261针对恶意样本生成的防护
262针对模型窃取攻击的防护
27实践案例：基于DenseNet对真实人脸和StyleGAN生成的虚假人脸进行识别
271实践概述
272实践环境
273实践步骤
274实践核心代码
275实践结果
28思考题
第3章数据投毒攻击与防护
31数据投毒攻击概述
32数据投毒攻击的原理
321数据投毒攻击形式
322数据投毒攻击优化公式
323数据投毒攻击过程
324实现数据投毒攻击的方法
33实践案例：基于卷积神经网络的数据投毒攻击
331实践概述
332实践环境
333实践步骤
334实践核心代码
335实践结果
34数据投毒防护
341数据清洗
342鲁棒性训练
343异常检测
344多模型验证
35实践案例：基于卷积神经网络的数据投毒防护
351实践概述
352实践环境
353实践步骤
354实践核心代码
355实践结果
36思考题
第4章对抗样本攻击与防护
41对抗样本攻击概述
42对抗样本攻击的基础知识
421问题定义
422攻击分类
43对抗样本攻击算法
431基于梯度的攻击
432基于优化的攻击
433基于迁移的攻击
434基于查询的攻击
44实践案例：MNIST手写数字识别
441实践概述
442实践环境
443实践步骤
444实践核心代码
445实践结果
45对抗样本攻击防护
451数据层面
452模型层面
46思考题
第5章后门攻击与防护
51后门攻击概述
511定义及背景
512相关研究发展
52后门攻击的基础知识
521后门攻击的原理
522后门攻击的分类
523常见的后门攻击方法
53实践案例：基于BadNets模型的后门攻击
531实践概述
532实践环境
533实践步骤
534实践核心代码
535实践结果
54后门攻击的防护
541后门攻击的预防措施
542常见的检测方法
55思考题
第6章隐私攻击与防护
61隐私攻击概述
611人工智能中的隐私问题
612隐私问题的重要性
613隐私问题的分类
62隐私攻击的原理
621模型反演
622成员推理
623模型窃取
63实践案例：基于梯度下降法的模型逆向攻击
631实践概述
632实践环境
633实践步骤
634实践核心代码
635实践结果
64隐私攻击防护
641数据预处理阶段的隐私保护
642模型训练阶段的隐私保护
65思考题
第7章预训练攻击与防护
71预训练攻击概述
711预训练攻击的定义与分类
712预训练攻击的背景
713攻击场景与应用领域
72预训练攻击的原理
721预训练模型的固有脆弱性
722数据污染与隐蔽攻击机制
723参数空间操纵与漏洞传播
724漏洞传播的生态级影响
73预训练攻击防护
731数据层面的防护机制
732模型参数的安全加固
733训练框架的安全重构
734动态防护与运行时监控
74实践案例：针对Transformer模型的后门攻击
741实践概述
742实践环境
743实践步骤
744实践核心代码
745实践结果
75实践案例：针对Transformer模型的后门攻击防护
751实践概述
752实践环境
753实践步骤
754实践核心代码
755实践结果
76思考题
第8章伪造攻击与防护
81伪造攻击概述
811深度伪造技术的定义与发展
812应用场景
813社会影响
82伪造攻击的原理
821图像视频伪造
822语音伪造
83实践案例：基于深度伪造技术的人脸伪造
831实践概述
832实践环境
833实践步骤
834实践核心代码
835实践结果
84实践案例：基于Tacotron2的语音合成
841实践概述
842实践环境
843实践步骤
844实践核心代码
845实践结果
85伪造攻击防护
851图像视频伪造检测
852语音伪造检测
853基于多模态的检测方法
86实践案例：基于逆扩散的伪造溯源
861实践概述
862实践环境
863实践步骤
864实践核心代码
865实践结果
87思考题
第9章人工智能模型的攻击与防护
91模型攻击概述
92模型攻击的原理
921对抗攻击的原理
922模型反演攻击的原理
923模型窃取攻击的原理
924数据毒化攻击的原理
925数据提取攻击的原理
926成员推理攻击的原理
927属性推理攻击的原理
93实践案例：基于面部识别模型的模型反演攻击
931实践概述
932实践环境
933实践步骤
934实践结果
94实践案例：基于影子模型的成员推理攻击
941实践概述
942实践环境
943实践步骤
944实践结果
95实践案例：基于神经网络的属性推理攻击
951实践概述
952实践环境
953实践步骤
954实践结果
96模型攻击防护
961对抗训练
962输入检查与消毒
963模型结构防护
964查询控制防护
965联邦学习
966数字水印
97思考题
第10章模型窃取与防护
101模型窃取概述
102模型属性窃取算法
1021基于元学习的模型窃取攻击
1022线性分类器模型窃取攻击
1023基于生成对抗网络的模型窃取攻击
1024决策边界窃取攻击
103模型功能窃取算法
1031基于雅可比矩阵的模型窃取
1032基于深度学习的模型窃取
1033基于强化学习的模型窃取
1034基于主动学习的模型窃取
104实践案例：黑盒环境下的模型窃取攻击
1041实践概述
1042实践环境
1043实践步骤
1044实践核心代码
1045实践结果
105模型窃取防护
1051限制查询访问
1052输出混淆与噪声添加
1053模型水印与指纹
1054提高模型鲁棒性
106思考题
第11章大语言模型安全
111大语言模型安全概述
112大语言模型的攻击类型
113大语言模型的伦理与合规
1131偏见和公平问题
1132隐私和安全
1133问责制和透明度
1134促进社会利益和人类价值观
114实践案例：CyberSecEval大语言模型安全评估
1141实践概述
1142实践环境
1143实践步骤
1144实践核心代码
1145实践结果
115大语言模型的安全防护机制
116思考题
参考文献