前言

随着计算机技术的飞速发展，人工智能已经渗入人们的日常生活。机器学习以及由此衍生出来的深度学习技术是目前炙手可热的研究方向，“AlphaGo”“人脸识别”等已成为出现频率极高的词汇。目前，深度学习已经广泛应用在计算机视觉、语音识别、自然语言处理与生物信息学等领域，并取得了很好的效果。鉴于深度学习的优秀表现，人们已经将深度学习应用于更多的、涉及信息安全的重要领域。但随着深度神经网络应用的日益广泛，其安全问题越来越突出，这吸引了众多学者的目光。研究表明，深度神经网络在一些情况下是脆弱的，其脆弱性可能对用户（甚至社会）造成一定危害。针对图像分类和目标检测领域，如果在人脸身份认证、自动驾驶等安全领域存在利用对抗样本进行欺骗的行为，将导致极为严重的后果。例如，对于人脸身份认证领域中的人脸支付或者人脸解锁应用，如果有恶意分子假冒当事人付款或者解锁手机，将对当事人造成不必要的损失；在自动驾驶领域中，如果有不法分子对交通标志牌做手脚，以欺骗自动驾驶汽车，将导致汽车不能正确识别标志牌或者将其错误分类，后果将不堪设想。

对抗样本虽然不一定能愚弄人类，但有很高概率可以欺骗深度神经网络。对抗样本的存在让人们对深度神经网络有了进一步认识，即深度神经网络并非绝对可靠。为了防止此类欺骗行为，就需要深入研究神经网络脆弱性的原因，以及对抗样本产生的内在机理。对于对抗样本的研究将对深度神经网络的发展起到促进作用。

本书以深度学习中的图像分类和对抗技术为切入点，通过介绍深度学习的基本知识、神经网络模型、图像分类对抗环境和对抗样本评价标准，来说明对抗样本产生的基本原理；通过描述对抗样本生成过程实例，以及三种典型的图像分类对抗算法详解，来介绍对抗样本的本质和优化过程。

本书的出版得到了国家自然科学基金项目（61876019）的资助。本书3.4节中示例1、示例2的程序代码由张文娇提供，示例3的程序代码由刘洪毅提供，周宇田、童逍瑶、刘洪毅、张文娇参与了本书的校稿工作，在此向其表示衷心感谢。本书在成稿过程中，引用、参考了一些教材、学术著作、论文、网络文献、在线文章（包括百度、知乎、简书、腾讯、CSDN、阿里云、InfoQ、微软等网站上的资讯或网帖）的内容、思路和学术观点，无法逐一全部列出，在此向原文作者及原始内容贡献者表示诚挚的谢意。

本书的写作目的是激发深度学习图像分类对抗技术爱好者的兴趣，以共同探究对抗样本产生的原因。由于时间仓促，加之笔者水平有限，书中难免有不当之处，请广大读者、专家指正并海涵。