对抗机器学习

●译者序
致谢
符号表
第一部分 对抗机器学习概述
第1章 引言
1.1 动机
1.2 安全学习的原则性方法
1.3 安全学习年表
1.4 本书内容概述
第2章 背景知识及符号说明
2.1 基本表示
2.2 统计机器学习
2.2.1 数据
2.2.2 假设空间
2.2.3 学习模型
2.2.4 监督学习
2.2.5 其他学习模式
第3章 安全学习框架
3.1 学习阶段分析
3.2 安全分析
3.2.1 安全目标
3.2.2 威胁模型
3.2.3 安全中的机器学习应用探讨
3.3 框架
3.3.1 分类
3.3.2 对抗学习博弈
3.3.3 对抗能力特征
3.3.4 攻击
3.3.5 防御
3.4 探索性攻击
3.4.1 探索性博弈
3.4.2 探索性完整性攻击
3.4.3 探索性可用性攻击
3.4.4 防御探索性攻击
3.5 诱发型攻击
3.5.1 诱发型博弈
3.5.2 诱发型完整性攻击
3.5.3 诱发型可用性攻击
3.5.4 防御诱发型攻击
3.6 重复学习博弈
3.7 隐私保护学习
3.7.1 差分隐私
3.7.2 探索性和诱发型隐私攻击
3.7.3 随机效用
第二部分 关于机器学习的诱发型攻击
第4章 攻击一个超球面学习者
4.1 超球面检测器的诱发型攻击
4.1.1 学习假设
4.1.2 攻击者假设
4.1.3 分析方法论
4.2 超球面攻击描述
4.2.1 取代质心
4.2.2 攻击的正式描述
4.2.3 攻击序列的特征
4.3 很优无约束攻击
4.4 对攻击施加时间
4.4.1 可变质量的堆叠块
4.4.2 替代配方
4.4.3 很优松弛解
4.5 使用数据替换进行重新训练的攻击
4.5.1 平均输出和随机输出替换策略
4.5.2 最近输出替换策略
4.6 受的攻击者
4.6.1 贪婪很好攻击
4.6.2 混合数据攻击
4.6.3 扩展
4.7 总结
第5章 可用性攻击案例研究：SpamBayes
5.1 SpamBayes垃圾邮件过滤器
5.1.1 SpamBayes的训练算法
5.1.2 SpamBayes的预测
5.1.3 SpamBayes的模型
5.2 SpamBayes的威胁模型
5.2.1 攻击者目标
5.2.2 攻击者知识
5.2.3 训练模型
5.2.4 污染假设
5.3 对SpamBayes学习者的诱发型攻击
5.3.1 诱发型可用性攻击
5.3.2 诱发型完整性攻击——伪垃圾邮件
5.4 拒绝负面影响防御
5.5 使用SpamBayes进行实验
5.5.1 实验方法
5.5.2 字典攻击结果
5.5.3 集中攻击结果
5.5.4 伪垃圾邮件攻击实验
5.5.5 RONI结果
5.6 总结
第6章 完整性攻击案例研究：主成分分析检测器
6.1 PCA方法用于流量异常检测
6.1.1 流量矩阵和大规模异常
6.1.2 用于异常检测的子空间方法
6.2 腐蚀PCA子空间
6.2.1 威胁模型
6.2.2 无信息垃圾流量选择
6.2.3 局部信息垃圾流量选择
6.2.4 全局信息垃圾流量选择
6.2.5 温水煮青蛙式攻击
6.3 腐蚀抵御检测器
6.3.1 直觉
6.3.2 PCA-GRID方法
6.3.3 鲁棒的拉普拉斯阈值
6.4 实证评估
6.4.1 准备
6.4.2 识别易受攻击流
6.4.3 攻击评估
6.4.4 ANTIDOTE评估
6.4.5 温水煮青蛙式毒化攻击实证评估
6.5 总结
第三部分 关于机器学习的探索性攻击
第7章 用于SVM学习的隐私保护机制
7.1 隐私泄露案例研究
7.1.1 马萨诸塞州员工健康记录
7.1.2 AOL搜索查询日志
7.1.3 Netflix奖
7.1.4 Twitter昵称的去匿名化
7.1.5 全基因组关联研究
7.1.6 广告微目标
7.1.7 经验教训
7.2 问题定义：隐私保护学习
7.2.1 差分隐私
7.2.2 可用性
7.2.3 差分隐私的历史研究方向
7.13 支持向量机：简单介绍
7.3.1 平移不变核
7.3.2 算法的稳定性
7.4 基于输出干扰的差分隐私
7.5 基于目标函数干扰的差分隐私
7.6 无限维特征空间
7.7 很优差分隐私的界限
7.7.1 上界
7.7.2 下界
7.8 总结
第8章 分类器的近似很优规避
8.1 近似很优规避的特征
8.1.1 对抗成本
8.1.2 近似很优规避
8.1.3 搜索的术语
8.1.4 乘法很优性与加法很优性
8.1.5 凸诱导性分类器族
8.2 l1成本凸类的规避
8.2.1 对于凸x+f的∈-IMAC搜索
8.2.2 对于凸x-f的∈-IMAC学习
8.3 一般lp成本的规避
8.3.1 凸正集
8.3.2 凸负集
8.4 总结
8.4.1 近似很优规避中的开放问题