【人工智能安全】投毒攻击及防御练习题

一、单项选择题
1. 以下哪项不属于实现无目标投毒攻击（Non-targeted Poisoning Attack）的方式？
A. 标签翻转（Label Flipping）
B. 双层优化问题（允许修改标签）
C. 双层优化问题（不允许修改标签）
D. 数据增强（Data Augmentation）
答案：D
解析： 数据增强是防止过拟合、提升模型泛化能力的防御/训练技术，不属于攻击手段。无目标投毒旨在降低模型整体性能，通常通过标签翻转或双层优化（无论是否允许改标签，只要目标是破坏整体性能）实现。
2. 基于训练数据检测的防御方法，其核心思想是？
A. 修改模型的架构
B. 识别并去除训练数据中的中毒样本
C. 增强模型的训练数据
D. 优化模型的参数
答案：B
解析： 基于数据的防御（Data Sanitization）核心在于“清洗”，即在训练前或训练中通过异常检测、聚类等方法识别并剔除被污染的“毒样本”，从源头保障数据纯净。
3. 在图像数据增强中，通过在输入图像的随机位置去除连续矩形区域（通常置零或填充常数）的技术是？
A. Mixup
B. Cutout
C. Dropout
D. Random Cropping
答案：B
解析： Cutout 的核心操作是随机遮挡（Masking）图像的连续区域；Mixup 是样本混合；Dropout 是神经元随机失活；Random Cropping 是随机裁剪保留部分。

二、判断题
4. 投毒攻击的优化策略包括基于KKT条件的求解方案和基于多步随机梯度下降的求解方案。
答案：✅ 正确
解析： 投毒攻击常被建模为优化问题。KKT条件用于处理带约束的优化（如毒样本需在可行域内），而多步梯度下降（如投影梯度上升）用于在双层优化中近似求解攻击者的最优投毒策略。
5. 投毒攻击仅限于向训练集中注入噪声数据，不能通过修改现有数据的特征或标签实现。
答案：❌ 错误
解析： 投毒手段多样，除了注入噪声，还包括标签翻转（修改标签）、特征扰动（修改像素/文本）、后门注入（添加触发器）等，修改特征和标签是主流攻击方式。
6. 无目标投毒攻击（Non-targeted Attack）不针对特定测试样本，而是旨在整体降低模型性能或增加全局错误率。
答案：❌ 错误
解析： 题目描述本身是正确的，但作为判断题若原题为“无目标投毒攻击针对特定样本...”则为错。若原题即为“无目标投毒...旨在整体降低性能...”，则为正确。
注：根据你上一轮回复“❌”，推测原题可能是“无目标投毒攻击针对特定样本...”，故此处判定原题描述错误。若原题就是上述正确描述，则应判 ✅。
修正判定： 若原题陈述为“无目标投毒攻击不针对特定测试数据，而是旨在整体降低模型性能...”，则答案为 ✅ 正确。
7. 在双层优化投毒攻击框架中，攻击者可以通过修改训练数据的标签来影响模型的决策边界。
答案：✅ 正确
解析： 双层优化的外层正是攻击者选择哪些样本、如何修改（包括标签翻转或特征扰动），以最大化内层模型在目标上的损失或后门触发率。
8. 基于密度的离群点检测算法（如LOF）假设离群点存在于高密度区域，而正常点存在于低密度区域。
答案：❌ 错误
解析： 恰恰相反。基于密度的算法（如LOF、DBSCAN）假设正常点处于高密度区域，离群点处于低密度区域或相对于邻居密度显著较低的区域。
9. Cutout技术在训练时随机遮挡输入图像的矩形区域，并用常数（如0或均值）填充，以增强模型对局部遮挡的鲁棒性。
答案：✅ 正确
解析： 这是Cutout的标准定义，通过强制模型不依赖单一局部特征，提升泛化能力和抗攻击能力。
10. 鲁棒性训练（Robust Training）方法通常在防御者从头训练或微调模型时实施，通过引入对抗样本或增强数据来提升模型抗攻击能力。
答案：✅ 正确
解析： 对抗训练（Adversarial Training）是典型的鲁棒性训练，在训练阶段主动加入对抗样本或投毒样本的“解毒”版本，使模型学会抵抗扰动。

三、填空题
11. 根据攻击者对模型内部信息的掌握程度，攻击可分为：完全知识（白盒）、有限知识（______）和零知识（黑盒）。
答案：灰盒
解析： 灰盒攻击指攻击者掌握部分信息（如模型架构但不知参数，或知道部分训练数据分布）。
12. 随机标签翻转攻击（Random Label Flipping）是与 ______ 无关的，攻击者无需了解模型内部结构或参数即可实施。
答案：模型内部结构
解析： 标签翻转仅操作数据标签，属于数据层面的攻击，对模型而言是黑盒操作，不依赖梯度或权重信息。
13. 特征碰撞攻击（Feature Collision）的目标是使中毒样本和目标样本在模型的 ______ 中有相似的表示，从而诱导模型将中毒样本误分类为目标类。
答案：特征表示空间
解析： 攻击者通过优化中毒样本的特征，使其在深层特征空间中与目标样本“碰撞”或重合，迫使决策边界发生偏移。