深入深度神经网络,揭开对抗性输入如何欺骗深度神经网络。
探讨如何生成对抗性输入去攻击深度神经网络。
探索真实对抗性攻击场景和为对抗性威胁建模。
评估神经网络的健壮性;学会增强人工智能系统应对对抗性数据的能力。
考察未来几年可用哪些方式让人工智能更擅长模拟人的感知。
随着深度神经网络(DNN)在实际应用中日益普遍,攻击者可在不引起人警觉的情况下,构造数据蓄意“欺骗” 深度神经网络,这种新型攻击向量(攻击手段)威胁到以深度神经网络为核心算法的人工智能系统的安全。本书紧贴实际,考察了深度神经网络算法的多种真实应用场景,如图像、音频和视频数据处理。
本书作者探讨了对抗性攻击的意图,分析了对抗性输入对人工智能系统的威胁,并考察了现有对抗性攻击和防御方法,为增强深度神经网络,使其健壮应对对抗性攻击,做了诸多有益的探索。如果你是数据科学家,正在开发深度神经网络算法,或是安全架构师,有意提升人工智能系统应对攻击的能力,又或是对人工和生物感知的差异感兴趣,那么本书正是为你而写的。
Katy Warr专攻人工智能和数据分析。她此前有多年企业软件架构设计和开发经验。她拥有爱丁堡大学人工智能和计算机科学学位。
目录
前言 1
第1 部分 人工智能骗术简介 9
第1 章 简介 11
深度学习简介 11
深度学习简史 13
人工智能“视错觉”:惊人的真相 15
什么是“对抗性输入”? 17
对抗性扰动 19
不自然的对抗性输入 20
对抗性补丁 22
物理世界的对抗性样例 24
更广阔的领域:“对抗机器学习” 26
对抗性输入的启示 27
第2 章 攻击动机 29
绕过Web 过滤器 30
线上声誉和品牌管理 32
伪装自己,逃避监控 32
保护个人在线上的隐私 34
迷惑自动驾驶车辆 34
语音控制型设备 36
第3 章 深度神经网络基础 39
机器学习 39
深度学习基本概念 41
深度神经网络模型作为数学函数 45
深度神经网络的输入和输出 47
深度神经网络的内部和前馈处理 49
深度神经网络如何学习 53
创建一个简单的图像分类器 57
第4 章 用深度神经网络处理图像、音频和视频 65
图像 66
图像的数字表示 67
图像处理深度神经网络 68
卷积神经网络简介 70
音频 75
音频的数字化表示 76
音频处理深度神经网络 77
循环神经网络简介 79
语音处理 82
视频 83
视频的数字化表示 83
视频处理深度神经网络 83
对抗性思考 84
利用ResNet50 网络为图像分类 86
第2 部分 生成对抗性输入
第5 章 对抗性输入的原理 93
输入空间 95
从训练数据泛化 98
用OoD 数据做实验 100
深度神经网络在想什么? 101
扰动攻击:最小化改动,最大化影响 106
对抗性补丁:最大化分散注意力 107
度量可检测性 108
度量扰动的一种数学方法 109
考虑人的感知 112
小结 114
第6 章 对抗性扰动的生成方法 117
白盒方法 120
搜索输入空间 120
利用模型的线性性质 123
对抗显著性 132
增加对抗置信度 138
白盒方法的变体 140
有限黑盒方法 140
基于分数的黑盒方法 147
小结 149
第3 部分 理解真实世界的威胁
第7 章 真实世界的攻击模式 153
攻击模式 153
直接攻击 155
复制品攻击 156
迁移攻击 157
通用迁移攻击 161
可复用补丁和可复用扰动 162
整合起来:混合方法和折中处理 166
第8 章 物理世界攻击 167
对抗性物体 169
对抗性物体的制作和摄像机性能 169
视角和环境 171
对抗性声音 176
音频复现和麦克风性能 177
音频位置和环境 178
在物理世界创建对抗性样例的可行性 180
第4 部分 防御
第9 章 评估模型对对抗性输入的健壮性 185
对抗性的目的、能力、约束和知识 187
目的 187
能力、知识和对系统的掌控权 191
模型评估 193
实证型健壮性度量标准 194
理论型健壮性度量标准 199
小结 201
第10 章 防御对抗性输入 202
改进模型 203
梯度遮罩 204
对抗性训练 206
应对OoD,置信度纳入训练 216
随机失活不确定的度量值 220
数据预处理 227
大型处理链中的预处理 228
智能移除对抗性内容 231
隐藏目标 232
构建对抗性输入的强大防御机制 234
开源项目 234
全局视角 236
第11 章 未来趋势:面向更健壮的人工智能系统 238
用轮廓识别增加健壮性 239
多感官输入 240
物体的构成和层级 241
写在最后 242
附录A 数学术语参考 243
作者介绍 245
封面介绍 245
书单推荐
