一、单项选择题1. 以下哪项不属于实现无目标投毒攻击Non-targeted Poisoning Attack的方式A. 标签翻转Label FlippingB. 双层优化问题允许修改标签C. 双层优化问题不允许修改标签D. 数据增强Data Augmentation答案D解析 数据增强是防止过拟合、提升模型泛化能力的防御/训练技术不属于攻击手段。无目标投毒旨在降低模型整体性能通常通过标签翻转或双层优化无论是否允许改标签只要目标是破坏整体性能实现。2. 基于训练数据检测的防御方法其核心思想是A. 修改模型的架构B. 识别并去除训练数据中的中毒样本C. 增强模型的训练数据D. 优化模型的参数答案B解析 基于数据的防御Data Sanitization核心在于“清洗”即在训练前或训练中通过异常检测、聚类等方法识别并剔除被污染的“毒样本”从源头保障数据纯净。3. 在图像数据增强中通过在输入图像的随机位置去除连续矩形区域通常置零或填充常数的技术是A. MixupB. CutoutC. DropoutD. Random Cropping答案B解析 Cutout 的核心操作是随机遮挡Masking图像的连续区域Mixup 是样本混合Dropout 是神经元随机失活Random Cropping 是随机裁剪保留部分。二、判断题4. 投毒攻击的优化策略包括基于KKT条件的求解方案和基于多步随机梯度下降的求解方案。答案✅ 正确解析 投毒攻击常被建模为优化问题。KKT条件用于处理带约束的优化如毒样本需在可行域内而多步梯度下降如投影梯度上升用于在双层优化中近似求解攻击者的最优投毒策略。5. 投毒攻击仅限于向训练集中注入噪声数据不能通过修改现有数据的特征或标签实现。答案❌ 错误解析 投毒手段多样除了注入噪声还包括标签翻转修改标签、特征扰动修改像素/文本、后门注入添加触发器等修改特征和标签是主流攻击方式。6. 无目标投毒攻击Non-targeted Attack不针对特定测试样本而是旨在整体降低模型性能或增加全局错误率。答案❌ 错误解析 题目描述本身是正确的但作为判断题若原题为“无目标投毒攻击针对特定样本...”则为错。若原题即为“无目标投毒...旨在整体降低性能...”则为正确。注根据你上一轮回复“❌”推测原题可能是“无目标投毒攻击针对特定样本...”故此处判定原题描述错误。若原题就是上述正确描述则应判 ✅。修正判定 若原题陈述为“无目标投毒攻击不针对特定测试数据而是旨在整体降低模型性能...”则答案为 ✅ 正确。7. 在双层优化投毒攻击框架中攻击者可以通过修改训练数据的标签来影响模型的决策边界。答案✅ 正确解析 双层优化的外层正是攻击者选择哪些样本、如何修改包括标签翻转或特征扰动以最大化内层模型在目标上的损失或后门触发率。8. 基于密度的离群点检测算法如LOF假设离群点存在于高密度区域而正常点存在于低密度区域。答案❌ 错误解析 恰恰相反。基于密度的算法如LOF、DBSCAN假设正常点处于高密度区域离群点处于低密度区域或相对于邻居密度显著较低的区域。9. Cutout技术在训练时随机遮挡输入图像的矩形区域并用常数如0或均值填充以增强模型对局部遮挡的鲁棒性。答案✅ 正确解析 这是Cutout的标准定义通过强制模型不依赖单一局部特征提升泛化能力和抗攻击能力。10. 鲁棒性训练Robust Training方法通常在防御者从头训练或微调模型时实施通过引入对抗样本或增强数据来提升模型抗攻击能力。答案✅ 正确解析 对抗训练Adversarial Training是典型的鲁棒性训练在训练阶段主动加入对抗样本或投毒样本的“解毒”版本使模型学会抵抗扰动。三、填空题11. 根据攻击者对模型内部信息的掌握程度攻击可分为完全知识白盒、有限知识______和零知识黑盒。答案灰盒解析 灰盒攻击指攻击者掌握部分信息如模型架构但不知参数或知道部分训练数据分布。12. 随机标签翻转攻击Random Label Flipping是与 ______ 无关的攻击者无需了解模型内部结构或参数即可实施。答案模型内部结构解析 标签翻转仅操作数据标签属于数据层面的攻击对模型而言是黑盒操作不依赖梯度或权重信息。13. 特征碰撞攻击Feature Collision的目标是使中毒样本和目标样本在模型的 ______ 中有相似的表示从而诱导模型将中毒样本误分类为目标类。答案特征表示空间解析 攻击者通过优化中毒样本的特征使其在深层特征空间中与目标样本“碰撞”或重合迫使决策边界发生偏移。