智能生活课程报告总结 第1篇

在本次讲座中，_毅老师首先讲述了信息技术的发展阶段，接着讲了信息化发展凸显的信息安全问题，之后重点讲解了Web应用安全，包括常见的Web漏洞，如SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造等。另外，张老师还为我们介绍了隐私安全。

通信（电报/电话） -> 计算机 -> 网络 -> 网络化社会 信息安全的历史从通信开始。

2010年6月 震网病毒(stuxnet病毒) -> 证明物理隔离也不一定安全 2015年9月 XcodeGhost -> 证明编译层面也可能存在安全漏洞

网络威胁惊人，每天超过亿次GPT攻击，攻击方式：可探测 -> 可访问 -> 可掌控

常见的Web漏洞：

SQL注入本质是由于输入检查不充分，导致SQL语句将用户提交的非法数据当作语句的一部分来执行。攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。 攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的查询,篡改命令。

攻击者使用被攻击者的身份，以其名义发送恶意请求,会造成个人隐私泄露以及财产安全。

当前许多企业和公司会对用户轨迹进行分析，导致用户隐私安全受到威胁。

在本次讲座中，孙莹老师为我们系统地讲解了量子密码的研究背景、量子密码的基本物理概念、量子密码典型协议BB84量子密钥分配协议、量子密码四个基本步骤、量子密码的研究现状即实验进展。

实际使用时，多用混合密码体制：用公钥密码体制分发会话密钥，用对称密码体制加密数据。

然而，这种传统密码受到了来自量子密码的挑战：基于大数分解的Shor算法和基于快速搜索的Grover算法能够迅速破解传统密码。

量子秘钥分配（QKD）的特点：

也就是说，量子密码可达到无条件安全的保密通信。

微观世界的某些物理量不能连续变化而只能取某些分立值，相邻分立值的差称为该物理量的一个量子。

直观理解：具有特殊性质的微观粒子或光子。

在本次讲座中，金鑫老师主要分为五个部分为我们详细讲述了人工智能与密码分析设计的结合，包括技术背景、密码分析与机器学习、深度学习简介与现状、深度学习与密码分析、深度学习与密码设计。

AI+Security=AISec

用AI和ML解决安全问题（让安全更智能）： 计算机取证、垃圾邮件检测、身份验证、网络钓鱼检测与预防、僵尸网络监测、入侵检测和响应、异常行为检测、恶意软件标识、数据匿名/反匿名、社会网络安全、大数据安全分析等。

用安全性解决A问题（让AI更安全）： 分布式安全推理与决策、安全的多方计算和加密方法、隐私保护数据挖掘、差异隐私、验证码的设计与分析、人工智能信任和声誉方法、通过智能探测进行漏洞测试、生成训练和测试集的技术和方法等。

密码分析与机器学习之间有天然的相似性：

对于机器学习： x为输入样本，F（x）为机器学习的模型（可以理解为一个函数），y为输出，如果是分类，则y是分类标签，如果是回归，则y是真实值向量。

对于密码分析： x为输入的明文，F（x）为密钥（可以理解为一个函数），y为加密后得到的密文。

从研究趋势来看，越来越多的密码分析方法开始使用机器学习结束，例如破解DES的遗传算法、用于侧信道分析的支持向量机算法等。

人工智能分为很多分支，机器学习只是人工智能的其中一个分支，而深度学习是机器学习的一个分支。这三者之间是包含关系。

近几年，深度学习技术掀起了人工智能研究与应用的新一轮浪潮，深度学习技术在多个方面取得了较大突破，其在人工智能系统中所占的比例日趋增大，已经应用于多项实际场景业务系统中。深度学习技术涌现出大量性能优秀的深度神经网络（DNN），例如卷积神经网络（CNN）、循环神经网络（RNN）、生成对抗网络（GAN）等，在大树分析、图像识别、机器翻译、视频监控中取得了较大进步。

目前密码算法的设计还停留在人工设计阶段，较为耗时耗力，难以适应未来对密码算法设计的需求，能不能让机器自动设计密码算法？

生成式对抗网络（GAN, Generative Adversarial Networks）是一种深度学习模型，是近年来复杂分布上无监督学习最具前景的方法之一。模型通过框架中（至少）两个模块：生成模型（Generative Model）和判别模型（Discriminative Model）的互相博弈学习产生相当好的输出。

密码组件经过生成对抗网络中的算法生成器，得到设计出来的密码算法，同时密码破解器将对此密码算法进行破解，算法生成器和密码破解器就这样在相互博弈中学习产生出好的算法和好的破解方法。

在本次讲座中，夏超老师为我们全方位讲述了信息隐藏相关知识，其中重点讲解了信息隐藏的重要技术--隐写，包括隐写技术、隐写分类、隐写分析等。

保护保密通信的数据--加密，但密码方法不能解决以下两方面问题：

1、保密通信的行为隐蔽性问题 保护保密通信的事实--隐蔽通信（隐写）

2、内容保护与内容认证问题 密码保护数据，但是内容≠数据，内容个别肆意传播的问题要归信息隐藏“管”。

密码保护的是内容，而信息隐藏保护的是信息“传输”这个行为。

信息隐藏是指将特定用途的信息隐蔽地藏于其他载体（Cover）中，使得它们难以被发现或者消除，通过可靠提取隐藏的信息，实现隐蔽通信、内容认证或内容保护功能。

信息隐藏主要包括水印、可视密码、隐写等。

鲁棒水印是重要的数字产权管理与安全标识技术之一，指将与数字媒体版权或者购买者有关的信息嵌入数字媒体中，使攻击者难以在载体不遭到显著破坏情况下消除水印，而授权者可以通过检测水印实现对安全所有者或者内容购买者等信息的认定。

可视密码技术使Naor和Shamir于1994年首次提出的，其主要特点是恢复秘密图像时不需要任何复杂的密码学计算，而是以人的视觉即可将秘密图像辨别出来。其做法是产生n张不具有任何意义的胶片，任取其中t张胶片叠合在一起即可还原出隐藏在其中的秘密信息。

隐写技术可被恐怖组织和非法团体等用于传递信息，从事_主权、破坏社会稳定等非法活动。

隐写分析对抗隐写的主要手段：发现与识别隐写对各类特征的扰动。

最简单且最普遍的隐写算法就是最低有效位嵌入算法（The Least Significant Bit, LSB）

以最小的嵌入修改数目达到嵌入要传递信息的目的，可提高嵌入效率，即利用较少的嵌入修改嵌入同样数量的秘密信息。

对于2bit的信息，LSB需要平均改动1个像素，矩阵嵌入只需平均改动3/4个像素。

非自适应隐写不考虑载体的图像内容，随机嵌入信息。

根据构造的嵌入失真函数计算载体图像中元素发生更改所引起的失真，利用隐写编码控制秘密信息的嵌入位置，在最小化图像总体嵌入失真的同时保证秘密信息的准确提取。

HUGO(Highly Undetectable steGO)是第一个基于“嵌入失真函数+STCs编码”的自适应隐写算法，应用于BOSS（Break our Steganographic System）隐写分析竞赛。

高维隐写分析特征 高维隐写分析特征可以尽可能多地捕获隐写对图像统计特性的影响。

空域高维隐写分析特征：

JPEG图像解压到空域，之前的JPEG图像隐写分析特征都是在DCT系数上提取的。因为空域提取的特征对JPEG图像自适应隐写更为敏感。

利用了相位信息（JPEG phase），所以被称为JPEG-phase-aware特征。

选择信道高维隐写分析特征

在本次讲座中，_毅老师为我们讲述了区块链技术、比特币、挖矿工作、共识机制、奖励合作的制度设计、区块链的未来等。

比特币(Bitcoin)，是一种由开源的P2P软件产生的电子币，数字币，是一种网络虚拟资产。比特币基于一套密码编码、通过复杂算法产生，这一规则不受任何个人或组织干扰，去中心化；任何人都可以下载并运行比特币客户端而参与制造比特币；比特币利用电子签名的方式来实现流通，通过P2P分布式网络来核查重复消费。每一块比特币的产生、消费都会通过P2P分布式网络记录并告知全网，不存在伪造的可能。

每一位所有者（A）利用他的私钥对前一次交易T1和下一位所有者（B）的公钥（俗称：地址）签署一个随机散列的数字签名，A将此数据签名制作为交易单T2并将其（交易单T2)广播全网，电子货币就发送给了下一位所有者。

其中： 1.交易发起者的私钥：私钥为个人所知，他人无从知晓。 2.前一次交易：前一次交易数据说明了该次交易的货币的来源（这部分货币是怎么到当前发起人这里来的）。 3.下一位所有者的公钥：即交易接收方的地址，此数据说明了当前交易的目标是谁。 4.数字签名：发起方将前一次交易数据和接收方公钥连接起来并对其求Hash值x，再利用自己的私钥对x加密，便得到了这份数字签名。

比特币虽然是电子货币，但比特币系统中并没有特定的数据结构用来单纯代表货币。本质上，比特币的存在是通过交易单来提现。通俗的来讲，现实生活中我们有实在的纸张来代表我们的货币（比如面值10块的RMB纸张代表着10块钱RMB），当我们去银行核对财务时银行也提供对账单来表示我们的货币去留。比特币的提现依托于交易单，交易单类似于银行的对账单，其通过记录货币的去留来证明你有多少货币，而不是提供给你具体的货币单元。

生产Block的过程，被形象的称为“挖矿”，生产工也被称为“矿工”。

挖矿过程实际上就是反复去尝试寻找一个随机数（又称“幸运数”），使得将最后一个Block的hash值、当前世界中尚未被加入到任何Block的交易单、随机数三部分组织起来送入SHA256算法计算出散列值X（256位），如果X满足一定条件（比如前20位均为0），那么该节点初步获得创建Block的权利。

对于每个Block存在一个难度系数，此系数可以转换为一个256位的整数，挖矿计算出的Hash值X必须小于该整数，此条件作为寻找随机数的附加条件。 当某时刻网络检测到新Block的产生速度不符合约10分钟一个时，将调解该系数（加大或者缩小），从而使下一个Block的产生速度符合预期。

每当节点（矿工）计算出了一个符合条件的随机数时，它仅仅获得了创建临时Block的权利，它立即将相关数据打包好作为一个临时Block并广播全网。 每10分钟内全网不止一个节点能计算出幸运数字，即十分钟内会有多个节点在网络中广播它们各自打包好的临时Block（都是合法的）。通过谁先计算出谁后计算出来决定接受谁的临时Block转正显然很难做到，因为所有节点的时间不可能严格一致（而且可以任意被调节），而且网络传输有快有慢。

某一节点若收到多个针对同一前续Block的后续临时Block，则该节点会在本地Block链上建立分支，多个临时Block对应多个分支。 从block hash算法我们知道，合理的block并不是唯一的，同一高度存在多个block的可能性。那么，当同一个高度出现多个时，主链即出现分叉(Fork)。遇到分叉时，网络会根据下列原则选举出Best Chain：

我们假设所有的节点都是理性的，追求收益最大化；都是不诚实的，且不惜任何手段获取利益；所有节点均独自挖矿不理会其他节点，并将所得收益放入自己口袋，现象就是一个节点挖一个分支。由于机器的配置总是有差别的，那么算力最强的节点挖得的分支必然是最长的，如果一个节点的分支不是最长的，意味其收益存在不被认可的风险（即零收益）。为了降低、逃避此风险，一些节点肯定会联合起来一起挖某个分支，试图成为最长的分支或保持最长分支优势。 一旦出现有少量的节点联合，那么其他节点必然会效仿，否则他们收益为零的风险会更大。于是，分支迅速合并汇集，所有节点都会选择算力更强的分支，只有这样才能保持收益风险最小。最终，只会存在一个这样的分支，就是主干分支(Best/Main Chain)。 对于不诚实节点来说，结局是无奈的：能且只能加入主干挖矿。不加入即意味被抛弃，零收益；加入就是老实干活，按占比分成。

PoS是PoW的一种升级共识机制，根据每个节点所占代币的比例和时间，等比例的降低挖矿难度，从而加快找随机数的速度。在一定程度上缩短了共识达成的时间，但还是需要挖矿，本质上没有解决商业应用的痛点。

共识机制防止了“双重支付”

由于撤销了所有对外付款交易，等于收回来所以已卖掉的比特币。

现在比特币全网算力差不多90T，而且还会快速增长，现在看来只有现在的几大矿池联合，才具有发动51%攻击的实力，普通个人或机构实施此攻击的可能性越来越小。

在本次讲座中，王志强老师通过具体漏洞挖掘示例为我们详细介绍了常见的漏洞挖掘技术以及漏洞挖掘技术的研究进展。

定义：由测试人员手工分析和测试被测目标，发现漏洞的过程，是最原始的漏洞挖掘方法。【凭经验依次检验每个可能产生漏洞的脆弱点】

缺点：人-无规律可循、不可大规模等

程序分析包括静态和动态

插桩技术是指在保证被测程序逻辑完整性的基础上在程序的关键位置插入一些“桩”，即加入一些测试代码，然后执行插桩后的程序，通过“桩”的执行获取程序的控制流和数据流信息，进而分析程序的异常行为。

定义：源代码不可得，通过逆向获取二进制代码，在二进制代码层次上进行安全评估

智能生活课程报告总结 第2篇

在这门课的六次教师讲座+7个学生讲座中，我学到了不同研究方向的密码新技术，涉及面很广，虽然有些东西并不能在课上完全听懂，但是通过课下的查找资料，阅读相关研究方向的经典/最新论文，就基本能了解这个方向，受益良多。另外，本门课的论文阅读复现部分，因为之前在实验室做过深度学习相关的实验，且本科的第三次教师讲座中，金鑫老师也讲的是人工智能与密码的结合，所以我们小组选择了一篇关于迁移学习攻击的18年论文。这次论文阅读复现工作拓宽了我对深度学习安全性的认知，并且使我的英文论文阅读理解能力、团队合作能力、课堂演讲能力得到了很大的提升。总体来说，本门课不论是讲座部分，还是论文阅读复现部分都对我帮助很大。

智能生活课程报告总结 第3篇

本文的检测思路：

MassVet结构：

幽灵攻击主要利用了CPU的预测执行机制。

通常，处理器不知道程序的未来指令流。例如，当无序执行执行条件分支指令时，会发生这种情况，该条件分支指令的方向取决于其执行尚未完成的先前指令。在这种情况下，处理器可以保存包含其当前寄存器状态的检查点，对程序将遵循的路径进行预测，并沿路径推测性地执行指令。如果预测结果是正确的，则不需要检查点，并且在程序执行顺序中退出指令。否则，当处理器确定它遵循错误的路径时，它通过从检查点重新加载其状态并沿着正确的路径继续执行来放弃沿路径的所有待处理指令。执行放弃指令，以便程序执行路径外的指令所做的更改不会对程序可见。因此，推测执行维护程序的逻辑状态，就好像执行遵循正确的路径一样。

幽灵攻击涉及诱使受害者推测性地执行在正确的程序执行期间不会发生的操作，并且通过旁路分支将受害者的机密信息泄露给攻击者。论文中的幽灵攻击结合了侧信道攻击，故障攻击和面向返回编程的方法，可以从受害者的进程中读取任意内存。更广泛地说，论文说明了推测性执行实施违反了许多软件安全机制所依据的安全假设，包括操作系统进程分离，静态分析，容器化，即时（JIT）编译以及缓存时序/侧通道的对策攻击。由于在数十亿设备中使用的Intel，AMD和ARM微处理器中存在易受攻击的推测执行能力，这些攻击对实际系统构成严重威胁。

下面这段代码中，攻击者首先使用有效的x调用相关代码，训练分支预测器判断该if为真。 然后，攻击者设置x值在array1_size之外。 CPU推测边界检查将为真，推测性地使用这个恶意x读取array2 [array1 [x] * 256]。 读取array2使用恶意x将数据加载到依赖于array1 [x]的地址的高速缓存中。当处理器发现这个if判断应该为假时，重新选择执行路径，但缓存状态的变化不会被恢复，并且可以被攻击者检测到，从而找到受害者的存储器的一个字节。

这篇论文主要探讨了对道路导航系统进行隐身操纵攻击的可行性目标是触发假转向导航，引导受害者到达错误的目的地而不被察觉。其主要想法是略微改变GPS位置，以便假冒的导航路线与实际道路的形状相匹配并触发实际可能的指示。为了证明可行性，该论文首先通过实施便携式GPS欺骗器并在真实汽车上进行测试来执行受控测量。然后，该论文设计一个搜索算法来实时计算GPS移位和受害者路线。该论文使用追踪驾驶模拟（曼哈顿和波士顿的600辆出租车道路）进行广泛的评估，然后通过真实驾驶测试（攻击我们自己的车）来验证完整的攻击。最后，该研究组在美国和中国使用驾驶模拟器进行欺骗性用户研究，结果显示95％的参与者遵循导航没有意识到这种攻击就到了错误的目的地。

本篇论文共做出三点贡献：

这篇论文讲的主要讲的是对迁移学习的攻击及相应的防御。

学生模型通过复制教师模型的前N-1层来初始化，并增加了一层全连接层用于分类，之后使用自己的数据集对学生模型进行训练，训练过程中，前K层是被冻结的，即它们的权重是固定的，只有最后N-K层的权重才会被更新。前K层之所以在训练期间要被冻结，是因为这些层的输出已经代表了学生任务中的有意义的特征，学生模型可以直接使用这些特征，冻结它们可以降低训练成本和减少所需的训练数据集。

根据训练过程中被冻结的层数K，可以把迁移学习分为以下3种方法：深层特征提取器（Deep-layer Feature Extractor）、中层特征提取器（Mid-layer Feature Extractor）、全模型微调（Full Model Fine-tuning）。

由于当前模型的默认访问模式是：

攻击目标：把source图猫误识别为target图狗 本文的攻击思路：首先将target图狗输入到教师模型中，捕获target图在教师模型第K层的输出向量。之后对source图加入扰动，使得加过扰动的source图（即对抗样本）在输入教师模型后，在第K层产生非常相似的输出向量。由于前馈网络每一层只观察它的前一层，所以如果我们的对抗样本在第K层的输出向量可以完美匹配到target图的相应的输出向量，那么无论第K层之后的层的权值如何变化，它都会被误分类到和target图相同的标签。

本文通过求解一个有约束的最优化问题来计算扰动。目标是是模拟隐藏层第K层的输出向量，约束是扰动不易被人眼察觉。即在扰动程度perturb_magnitude小于一定约束值（扰动预算P）的前提下，最小化对抗样本（扰动后的source image）第K层的输出向量与target image 第K层的输出向量的欧式距离。前人计算扰动程度都是使用Lp范数，但是它无法衡量人眼对于图像失真程度的感知。所以本文使用DSSIM计算扰动程度，它是一种对图像失真度的客观测量指标。

目标攻击：将source image x_s 误分类成target image s_t 所属标签

非目标攻击：将source image x_s 误分类成任意其他的source image 所属标签

非目标攻击需要确定一个“方向”把source image推出它自己的决策边界。但是要预测这个“方向“是非常难的，所以本文的解决方法是，把每个目标攻击的攻击目标都试一遍，然后选出与source image第K层输出向量距离最小的类别作为目标。

论文还提出了3种针对本文攻击的防御方法，其中最可行的是修改学生模型，更新层权值，确定一个新的局部最优值，在提供相当的或者更好的分类效果的前提下扩大它和教师模型之间的差异。这又是一个求解有约束的最优化问题，约束是对于每个训练集中的x，让教师模型第K层的输出向量和学生模型第K层的输出向量之间的欧氏距离大于一个阈值，在这个前提下，让预测结果和真实结果的交叉熵损失最小。

下图为65张人脸分类任务的攻击结果：

上下分别是： 对31号进行目标攻击，误分类为2号，攻击成功； 对64号进行目标攻击，误分类为46号，攻击失败；

左图为source image，中图为加过扰动的对抗样本，右图为其要误分类成的target image。

LVM包括了一个狭义的LLVM和一个广义的LLVM。广义的LLVM其实就是指整个LLVM编译器架构，包括了前端、后端、优化器、众多的库函数以及很多的模块；而狭义的LLVM其实就是聚焦于编译器后端功能（代码生成、代码优化等）的一系列模块和库。Clang是一个C++编写、基于LLVM的C/C++/Objective-C/Objective-C++编译器。Clang是一个高度模块化开发的轻量级编译器，它的编译速度快、占用内存小、非常方便进行二次开发。

编译器在获得C/C++文件后，编译器前端将源文件转换为中间语言（IR），通过初始化、代码优化结合现存编译器的优化器，之后通过无效数据消除、强化分配器最后获得二进制文件。Safeinit在整个过程中所添加的就是 初始化全部变量、优化以及强化分配器，来避免或缓解未初始化值。最后，SafeInit优化器提供了非侵入式转换和优化，它们与现有的编译器优化（必要时自行修改）以及最终组件（现有“死存储消除”优化的扩展）一起运行。