学位论文简介

深度学习模型已广泛应用于自动驾驶、智能监控、医学影像诊断和智能终端等安全攸关场景，但其安全与隐私风险正随着模型规模扩大、应用场景多样化和部署链路复杂化而不断凸显。现有研究多围绕单一攻击类型、单一防御方法或单一模型阶段展开，对风险在训练、部署、推理与维护等生命周期阶段中的分布特征、跨阶段传播关系以及真实端侧交付形态下的有效性验证仍缺乏系统研究。针对上述问题，本文从深度学习模型全生命周期视角出发，围绕目标检测后门威胁、推理阶段对抗鲁棒性、模型剪枝诱导隐私风险以及隐私缓解方法的端侧部署验证等问题开展研究。取得了以下主要创新性研究成果：

（1）针对深度学习模型安全与隐私风险分布于全生命周期不同阶段、具有跨阶段传播特征而缺乏统一定位与组织方法的问题，构建了面向深度学习模型全生命周期的安全与隐私分析框架。将模型生命周期划分为训练、部署、推理与维护四个阶段，并结合数据层、模型层、应用层和基础设施层四个系统层次，形成安全控制点矩阵，对典型风险类型、防护层次和跨阶段传播关系进行统一组织，为分散的安全与隐私问题提供了面向全生命周期的结构化组织方式。

（2）针对现有后门攻击研究主要面向图像分类任务、难以直接适用于目标检测场景的问题，提出了一种基于语义引导的目标检测后门攻击框架 SODBA。该框架结合目标检测任务输出结构复杂、空间位置敏感和异常形式多样等特点，设计目标消失、虚假目标生成和错误分类三种攻击模式，并通过语义引导触发器实现隐蔽后门注入与推理触发。该研究揭示了目标检测模型在训练注入—推理触发链路上的后门脆弱性，为目标检测后门威胁建模与评估提供了新的分析手段。

（3）针对对抗训练中鲁棒性提升常伴随自然样本精度下降，以及自然样本与对抗样本在特征激活层面存在显著差异的问题，提出了重叠率指标和细粒度特征激活对齐策略 FGAA。重叠率指标从空间和通道维度量化两类样本的特征激活差异；FGAA 则依据特征重要性对关键激活施加细粒度对齐约束，并以即插即用方式嵌入现有对抗训练框架。从特征激活层面缓解了鲁棒性与自然精度之间的矛盾，在提升模型对抗鲁棒性的同时保持自然样本识别性能。

（4）针对模型剪枝对模型逆向隐私风险的影响规律及作用机制缺乏系统认识的问题，构建了剪枝隐私风险度量与受控评估框架，形式化定义剪枝前后隐私风险差值，并以5种模型逆向攻击为评估手段，系统评估7种主流剪枝方法在多种网络结构下引入的隐私风险变化。进一步从特征表征几何角度分析了剪枝后的精度恢复过程，指出其会增强分类头与类原型之间的对齐，从而降低模型逆向攻击的优化难度。从实证评估与机理分析两个层面系统揭示了模型剪枝对逆向隐私风险的放大效应。

（5）针对模型剪枝引入的逆向隐私风险增量及其缓解方法缺乏端侧验证的问题，提出基于锚定正则化的防护微调策略，并面向国产边缘AI芯片构建端侧部署验证系统。该方法通过约束剪枝后精度恢复阶段的分类头权重偏移，在不改变模型推理结构的前提下缓解隐私风险；同时完成模型导出、转换编译与端侧推理集成，从行为一致性、推理性能和黑盒迁移攻击等方面验证方法的有效性与可部署性。打通了离线隐私缓解算法到端侧部署验证的链路，在保持剪枝轻量化收益与端侧可交付性的同时，降低了传统剪枝引入的逆向隐私风险增量。

主要学术成果

[1]Yupeng Hu, Wenxin Kuang, Zheng Qin, Kenli Li, Jiliang Zhang, Yansong Gao, Wenjia Li, Keqin Li. “Artificial Intelligence Security: Threats and Countermeasures.” ACM Computing Surveys, 55(1): Article 20, pp. 1–36, 2023. （中科院一区top，第二作者，导师一作）

[2]Wenxin Kuang, Fengxiao Tang, Jiayang Liu, Yupeng Hu, Keqin Li. “FGAA: Enhancing adversarial robustness in AIoT-enabled smart systems via Fine-Grained Activation Alignment.” Journal of Systems Architecture, vol. 170, Art. no. 103602, 2026. （CCF B 类期刊，第一作者）

[3]Wenxin Kuang, Qizhuang Liang, Peng Sun, Wei Fu, Qiao Hu, Yupeng Hu*. “Unveiling the Pruning Risks on Privacy Vulnerabilities of Deep Neural Networks.” 2025 IEEE International Conference on Acoustics, Speech and Signal Processing (ICASSP 2025), pp. 1–5, 2025. （CCF B 类会议Oral，第一作者）

[4]Yupeng Hu, Wenxin Kuang, Jin Zhe, Wenjia Li, Keqin Li, Jiliang Zhang, Qiao Hu*. “SIAT: A Systematic Inter-Component Communication Real-Time Analysis Technique for Detecting Data Leak Threats on Android.” Journal of Computer Security, 32(3): 291–317, 2024. （CCF B 类期刊，第二作者，导师一作）

[5]Lantao Zheng, Wenxin Kuang*, Qizhuang Liang, Wei Liang, Qiao Hu, Wei Fu, Xiashu Ding, Bijiang Xu, Yupeng Hu*. “Reducing the Length Divergence Bias for Textual Matching Models via Alternating Adversarial Training.” IEEE CSCloud 2023, pp. 186–191, 2023. （EI 检索，Best Creative Paper Award，第一通讯作者）

[6]Zhiquan Tang, Qiao Hu, Yupeng Hu, Wenxin Kuang, Jiongyi Chen. “SEVulDet: A Semantics-Enhanced Learnable Vulnerability Detector.” 2022 52nd Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN), pp. 150–162, 2022. （CCF B 类会议）