1、本書聚焦機器學習攻防對抗問題，根據機器學習的生命周期系統梳理了包括模型訓練、模型推理、算法實踐3個階段的安全與隱私相關問題；
2、本書深入探討了常見的攻防對抗場景及對應場景面臨的安全威脅與隱私風險，如數據隱私泄露、模型后門攻擊等；
3、本書還展望了提升模型安全性的可行方案，提供了豐富的實戰案例和理論分析，為讀者提供了理論與實踐結合的全面視角。

為了響應國家健康發展人工智能技術的戰略，針對國家、社會、個人對于提高機器學習安全與數據隱私保護的迫切需求，本書聚焦機器學習攻防對抗問題，根據機器學習的生命周期系統梳理了包括模型訓練、模型推理、算法實踐3個階段的安全與隱私相關問題，并深入探討了常見的攻防對抗場景及對應場景面臨的安全威脅與隱私風險，如數據隱私泄露、模型后門攻擊等。此外，本書還展望了提升模型安全性的可行方案，為讀者提供了理論與實踐結合的全面視角。
本書可供網絡空間安全、計算機科學與技術、人工智能等相關專業的高年級本科生和研究生閱讀，尤其適合具備機器學習、深度神經網絡、網絡安全等基礎知識的讀者。

沈超，西安交通大學二級教授，教育部長江學者特聘教授，國家自然科學基金委創新群體B負責人，教育部創新團隊負責人，科學探索獎、達摩院青橙獎、基金委優青獲得者，信息物理融合系統教育部工程研究中心主任，國家重點研發計劃首席科學家，國家基礎加強計劃技術首席科學家，國家重點研發計劃“先進計算與新興軟件”重點專項指南專家組成員，麻省理工MIT TR35 China、霍英東青年教師一等獎、IEEE SMC Early Career Award、陜西省青年五四獎章獲得者。主要從事智能系統安全與控制、人工智能可信與安全、智能軟硬件測試的研究，在IEEE S&P、ACM CCS、USENIX Security、ICSE、ASE、ICML、NIPS等計算機和自動化領域的學術刊物上發表論文100余篇，獲學術會議最佳論文獎12項，2021—2025年連續5年入選全球前2%頂尖科學家榜單。

第 1章 對抗性機器學習基礎知識 001
1.1 監督學習 002
1.1.1 分類 002
1.1.2 回歸 004
1.1.3 對抗環境中的監督學習 006
1.2 無監督學習 006
1.2.1 聚類 007
1.2.2 降維 009
1.2.3 對抗環境中的無監督學習 011
1.3 半監督學習 011
1.3.1 半監督學習的3個基本假設 011
1.3.2 半監督學習在分類和回歸兩種場景下的應用 012
1.4 強化學習 012
1.4.1 強化學習概述 013
1.4.2 有模型學習 016
1.4.3 基于學習的預測 018
1.4.4 對抗環境中的強化學習 023
1.5 深度學習 023
1.5.1 多層感知器 024
1.5.2 卷積神經網絡 025
1.5.3 循環神經網絡 026
1.5.4 對抗環境中的深度學習 027
1.6 本章小結 029
參考文獻 029
第 2章 對抗性機器學習與隱私攻防 032
2.1 對抗與隱私攻擊分類 032
2.1.1 對抗性攻擊 032
2.1.2 對抗性機器學習與隱私攻擊場景 033
2.1.3 訓練階段的攻擊 037
2.1.4 推理階段的攻擊 038
2.2 對抗與隱私防御分類 040
2.2.1 對抗性防御 040
2.2.2 對抗性機器學習防御場景 041
2.2.3 訓練階段攻擊防御 043
2.2.4 推理階段攻擊防御 045
2.3 本章小結 047
參考文獻 048
第3章 訓練階段的攻擊 054
3.1 數據投毒攻擊 054
3.1.1 數據投毒攻擊概述 055
3.1.2 破壞可用性目標的數據投毒攻擊 056
3.1.3 破壞完整性目標的數據投毒攻擊 062
3.2 模型投毒攻擊 066
3.2.1 模型投毒攻擊概述 066
3.2.2 模型更新投毒攻擊 067
3.2.3 聯邦數據投毒攻擊 072
3.3 模型后門攻擊 076
3.3.1 模型后門攻擊概述 077
3.3.2 模型后門觸發器 079
3.3.3 模型后門訓練數據集 082
3.3.4 模型后門植入階段 084
3.4 本章小結 086
參考文獻 086
第4章 訓練階段的防御 089
4.1 數據投毒防御 089
4.1.1 數據投毒防御概述 090
4.1.2 數據投毒檢測 091
4.1.3 數據投毒修復 093
4.2 模型投毒防御 095
4.2.1 魯棒性聯邦學習聚合算法 095
4.2.2 魯棒性聯邦學習協議 097
4.3 模型后門防御 099
4.3.1 模型后門防御概述 099
4.3.2 基于模型輸入的防御方法 100
4.3.3 基于模型參數的防御方法 103
4.4 本章小結 105
參考文獻 106
第5章 推理階段的攻擊 109
5.1 數字域對抗攻擊 109
5.1.1 數字域白盒對抗攻擊 110
5.1.2 數字域黑盒對抗攻擊 116
5.2 物理域對抗攻擊 123
5.2.1 物理域對抗攻擊概述 124
5.2.2 物理域對抗攻擊方法 124
5.3 隱私攻擊 132
5.3.1 模型逆向攻擊 133
5.3.2 成員推理攻擊 137
5.3.3 模型竊取攻擊 141
5.4 本章小結 144
參考文獻 145
第6章 推理階段的防御 148
6.1 數字域對抗攻擊防御 148
6.1.1 基于修改輸入的對抗攻擊防御 149
6.1.2 基于修改網絡結構的對抗攻擊防御 150
6.1.3 基于訓練過程的對抗攻擊防御 151
6.1.4 基于對抗樣本檢測的對抗攻擊防御 153
6.1.5 數字域對抗攻擊防御其他手段 155
6.2 物理域對抗攻擊防御 155
6.2.1 物理域對抗攻擊的特殊性 156
6.2.2 物理域對抗攻擊防御方法 158
6.3 隱私攻擊防御 160
6.3.1 模型堆疊 161
6.3.2 模型水印 163
6.3.3 差分隱私 166
6.4 本章小結 171
參考文獻 172
第7章 對抗性機器學習算法實踐 174
7.1 機器學習可解釋性 174
7.1.1 內生可解釋性 175
7.1.2 后置可解釋性 176
7.1.3 可解釋性的應用 178
7.2 機器學習公平性 179
7.2.1 公平性準則 179
7.2.2 公平性測試 182
7.2.3 公平性修復 184
7.3 機器學習框架漏洞 185
7.3.1 機器學習框架性能漏洞 187
7.3.2 機器學習框架環境漏洞 188
7.3.3 機器學習框架功能漏洞 189
7.4 深度偽造生成 191
7.4.1 深度偽造生成概述 191
7.4.2 深度偽造人臉生成 192
7.4.3 文本內容生成 196
7.5 深度偽造檢測 198
7.5.1 深度偽造檢測概述 198
7.5.2 深度偽造人臉檢測 199
7.5.3 生成文本檢測 202
7.6 本章小結 204
參考文獻 205
第8章 對抗性機器學習與安全的展望 209
8.1 訓練階段攻擊展望 209
8.2 訓練階段防御展望 210
8.3 推理階段攻擊展望 211
8.4 推理階段防御展望 212
8.5 對抗性機器學習展望 213
參考文獻 214
名詞索引 218