学位论文简介
深度学习模型已广泛应用于自动驾驶、智能监控、医学影像诊断等安全攸关领域,其安全性、鲁棒性与隐私保护能力直接关系到现实应用的可靠性。针对深度学习模型在训练、部署与推理全过程中面临的数据投毒、后门植入、对抗样本和隐私推理等风险,本文围绕全生命周期中的典型安全与隐私问题,系统开展了统一分析框架构建、攻击脆弱性揭示、鲁棒防御增强、隐私风险评估以及隐私缓解与工程部署验证等研究,提出了一系列具有针对性的分析与缓解方法,并通过系统实验和部署验证证明了其有效性。取得了以下主要创新性研究成果:
(1)深度学习模型全生命周期攻防技术框架研究。针对深度学习模型安全与隐私威胁在全生命周期不同阶段分布、并具有跨阶段传播特征而缺乏统一定位与组织方法的问题,本文构建了深度学习模型全生命周期攻防分析框架。该框架将模型生命周期划分为训练、部署、推理与维护四个阶段,将系统架构划分为数据层、模型层、应用层与基础设施层四个层次,定义了 16 个安全控制点,建立了安全控制点矩阵与攻防映射矩阵,明确了训练至推理、部署至推理等跨阶段威胁传播路径,并基于该框架梳理现有研究的覆盖特征与薄弱环节,为后续各章的威胁分析、方法设计、风险评估与部署验证提供统一的分析依据与组织基础。
(2)基于语义引导的目标检测后门攻击研究。 针对目标检测系统在训练阶段面临的后门威胁,本文提出了一种语义引导目标检测后门攻击框架。该框架利用公开数据集与目标类样本训练语义引导模型,对触发器进行场景化优化,设计了 SODBA-D目标消失、SODBA-G目标生成和 SODBA-C目标分类三种攻击模式,在训练阶段模型层至推理阶段模型层的跨阶段链路上验证了目标检测系统的安全脆弱性。实验结果表明, SODBA-G 在 5% 投毒率下即可达到 100.0% 的攻击成功率,同时保持干净样本性能基本不受影响,物理世界实验和防御鲁棒性分析进一步验证了其现实威胁性以及对主流防御方法的较强抵抗能力。
(3)基于细粒度激活对齐的对抗样本防御技术研究。针对推理阶段的对抗防御问题,本文提出了重叠率指标与一种细粒度特征激活对齐策略(Fine-Grained Activation Alignment, FGAA)。OR指标从空间与通道两个维度对对抗样本与自然样本的特征激活差异进行量化。FGAA在特征重要性指导下,于单个特征层面同时约束两个维度的激活偏差,并能够以即插即用方式嵌入现有对抗训练框架。实验结果表明,FGAA将特征激活差异降低29.69%,鲁棒性最高提升39.84%,同时有效缓解了自然样本精度下降问题。
(4)面向模型剪枝的逆向攻击隐私风险分析与评估技术研究。针对模型剪枝对逆向隐私风险的影响缺尚乏系统认识的问题,本文从实证评估与机理分析两个层面展开系统研究,揭示并验证了在精度基本保持条件下模型剪枝会引入逆向隐私风险增量。本文形式化定义了隐私风险度量及风险差值△R,提出容量降低效应与信息密度提升效应两种竞争假设,构建受控评估框架,在精度损失受控条件下对7种剪枝方法、5类逆向攻击与多种网络结构进行对比。实验结果表明,剪枝模型相较原始模型的逆向攻击成功率平均提升 8.6%–19.1%,表明现有剪枝方案普遍会带来额外的隐私泄露,且该现象在部署隐私防护机制后仍然存在。本文进一步从特征几何角度解释了剪枝联合微调强化类原型对齐、收缩类内特征簇并降低逆向攻击优化难度的成因,并给出了面向不同应用场景的风险控制建议。
(5)模型剪枝隐私风险环节技术与国产边缘芯片实现。针对模型剪枝引入的逆向隐私风险增量及其缓解结果在真实边缘交付形态下缺乏验证的问题,本文提出了一种基于锚定正则化的防护微调策略,并面向国产边缘AI芯片构建端到端部署方案。该方法在剪枝后的精度恢复阶段约束分类头权重偏移,在不改变模型推理结构的前提下抑制类原型对齐的过度强化,缓解了剪枝带来的隐私风险增量。离线实验表明,在精度损失不足1\%的条件下,该方法能够显著降低模型逆向攻击成功率。进一步地,本文在国产边缘AI芯片平台上完成模型导出、转换编译与推理集成,并通过部署后行为一致性验证、端侧推理性能评估以及 BREP-MI 黑盒迁移验证表明,防护模型的 Top-1 Agreement 超过98%,且在端侧场景下仍保持更低的黑盒攻击成功率,从而实现了压缩效率、端侧交付与隐私保护的同步保障。
主要学术成果
[1] Yupeng Hu, Wenxin Kuang, Zheng Qin, Kenli Li, Jiliang Zhang, Yansong Gao, Wenjia Li, Keqin Li. “Artificial Intelligence Security: Threats and Countermeasures.” ACM Computing Surveys, 55(1): Article 20, pp. 1–36, 2023. (SCI Q1,第二作者,导师一作)
[2] Wenxin Kuang, Chen Zhang*, Peng Sun, Yupeng Hu*. “Exploiting Auxiliary Knowledge for Stealthy Clean-Label Backdoors in Object Detection.” IEEE Transactions on Information Forensics and Security. (CCF A 类期刊,第一作者,在审中)
[3] Wenxin Kuang, Fengxiao Tang, Jiayang Liu, Yupeng Hu, Keqin Li. “FGAA: Enhancing adversarial robustness in AIoT-enabled smart systems via Fine-Grained Activation Alignment.” Journal of Systems Architecture, vol. 170, Art. no. 103602, 2026. (CCF B 类期刊,第一作者)
[4] Wenxin Kuang, Qizhuang Liang, Peng Sun, Wei Fu, Qiao Hu, Yupeng Hu*. “Unveiling the Pruning Risks on Privacy Vulnerabilities of Deep Neural Networks.” 2025 IEEE International Conference on Acoustics, Speech and Signal Processing (ICASSP 2025), pp. 1–5, 2025. (CCF B 类会议,第一作者,Oral Presentation)
[5] Yupeng Hu, Wenxin Kuang, Jin Zhe, Wenjia Li, Keqin Li, Jiliang Zhang, Qiao Hu*. “SIAT: A Systematic Inter-Component Communication Real-Time Analysis Technique for Detecting Data Leak Threats on Android.” Journal of Computer Security, 32(3): 291–317, 2024. (CCF B 类期刊,第二作者,导师一作)
[6] Lantao Zheng, Wenxin Kuang*, Qizhuang Liang, Wei Liang, Qiao Hu, Wei Fu, Xiashu Ding, Bijiang Xu, Yupeng Hu*. “Reducing the Length Divergence Bias for Textual Matching Models via Alternating Adversarial Training.” IEEE CSCloud 2023, pp. 186–191, 2023. (EI 检索,Best Creative Paper Award,第一通讯作者)
[7] Zhiquan Tang, Qiao Hu, Yupeng Hu, Wenxin Kuang, Jiongyi Chen. “SEVulDet: A Semantics-Enhanced Learnable Vulnerability Detector.” 2022 52nd Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN), pp. 150–162, 2022. (CCF B 类会议)
[8] Xin Ren, Yupeng Hu*, Wenxin Kuang, Mohamadou Ballo Souleymanou. “A Web Attack Detection Technology Based on Bag of Words and Hidden Markov Model.” 2018 IEEE 15th International Conference on Mobile Ad Hoc and Sensor Systems (MASS), pp. 526–531, 2018. (CCF C 类会议)
