00:00
PHD复试面试 · 2026
刘洋
PhD Interview

智能安全与深度学习研究

面向网络安全与AI安全的跨学科探索
华中科技大学 · 通信工程(本科)

环节一 研究报告 5-8 min
环节二 英语考查 3-5 min
环节三 专业问答 10-15 min
刘洋 · PHD复试面试
01 / 20
01
Part 01 · 研究报告陈述
个人背景
与科研成果
教育经历 · 工作经历 · 三篇SCI论文 · 未来规划
个人简介
Background

教育背景

  • 华中科技大学(2013-2017)— 通信工程 · 工学学士
  • 新南威尔士大学(悉尼,2019-2021)— 金融学 · 商学硕士

工学+商学背景,兼具技术深度与跨学科视野

工作经历

  • 中国人民银行青海省分行 · 三级主任科员(2023.01-至今)
  • 国信证券经济研究所 · 量化交易研究员(2021-2023)

主要工作职责:

  • 金融行业调研与政策研究
  • 量化策略开发与金融数据分析
  • 信息系统建设与信息安全管理
刘洋 · PHD复试面试
03 / 20
科研成果
Publications

学术论文

  • SCI 论文 1 篇(第一作者)— 自动驾驶感知对抗防御
  • SCI 论文 2 篇(合作者)— 网络异常检测 / Prompt 窃取攻击
  • EI 论文 1 篇(第一作者)— 绿色算力系统风险管理(ACM HP3C'26)
  • 省部级期刊 2 篇(第一 / 通信作者)

专利与获奖

  • 发明专利 1 项(第一发明人)
论文一 · 自动驾驶对抗防御 第一作者
Sensors (SCI) — 物理感知时空一致性可迁移防御
论文二 · 网络流量异常检测
Applied Sciences (SCI) — Transformer-Autoencoder 无监督时序异常检测
论文三 · Prompt 窃取攻击
Symmetry (SCI) — CLIP引导束搜索的文生图模型 Prompt 窃取
刘洋 · PHD复试面试
04 / 20
论文一 · Sensors (SCI) · 第一作者
问题与动机

自动驾驶感知系统的物理感知时空一致性对抗防御

Sensors, 2024, 24(10), 3214 (SCI Q2, IF=3.4) · 第一作者

研究背景

  • 自动驾驶视觉感知系统(YOLOv8等)易受物理对抗攻击(贴片、投影)
  • 攻击者通过对抗贴片(RP2)、投影攻击(SLAP)使物体被错误分类或漏检
  • 直接威胁行车安全:行人/车辆检测失效可导致严重事故
  • 核心挑战:如何在不牺牲检测精度的前提下,实时识别并纠正对抗攻击

现有防御的不足

  • 认证防御:计算成本高(>100ms),难以实时部署,无法满足自动驾驶延迟要求
  • 输入净化:破坏语义信息,误报率高(FPR > 15%),影响正常驾驶
  • 松耦合一致性:视觉与运动独立处理,物理一致性未被用作结构先验,防御能力有限

核心洞察:攻击者可以改变物体外观,但无法完全控制其物理运动 — 惯性趋势、高频抖动、长期动态轨迹不可伪造。这一物理约束为防御提供了可靠的验证维度

研究目标与解决方案

  • 设计物理感知的紧耦合防御框架,将运动学先验深度融入视觉特征
  • 同时满足鲁棒性、可迁移性、精度、实时性四大要求
  • 可作为即插即用模块挂载于任意目标检测器,无需重新训练检测器
  • 关键创新:通过频域分解捕获运动的多尺度特征,用内源特征编排实现跨模态一致性验证
刘洋 · PHD复试面试
05 / 20
论文一 · Sensors (SCI) · 第一作者
方法设计

物理感知的轨迹-外观一致性防御框架

双模态嵌入
视觉:ROI池化+线性投影
运动:随机傅里叶映射
双流时空编码器
L=3层 · d=256 · 8头注意力
自注意力 + 频域交叉注意力
内源特征编排
低频惯性查询 Qlow
高频抖动查询 Qhigh
ΔZ = Zlow - Zhigh
TAME 能量
Et = DKL(Pkin‖Pvis)
+ DKL(Pvis‖Pkin)

三大技术创新

  • 频域运动嵌入:分离低频惯性趋势(σlow=0.5)与高频抖动(σhigh=5.0),保留传统方法丢弃的对抗线索。对抗攻击在高频域产生异常振荡模式
  • 内源特征编排:运动学查询探测视觉流,不一致性代码 Zdis = Zlow - Zhigh 通过残差连接反馈调制视觉特征,实现紧耦合融合
  • TAME 切换规则:Et ≤ τ 信任视觉预测,Et > τ 切换至运动先验进行标签纠正。阈值 τ 通过验证集自适应确定

训练目标

  • 分类损失 Lcls:视觉+运动双头交叉熵
  • 一致性正则 Lcon:压低良性样本 TAME 能量
  • 对抗校准 Ladv:铰链损失推高攻击样本能量(margin m=0.9)

L = Lcls + λconLcon + λadvLadv  (λcon=0.1, λadv=1.0)

刘洋 · PHD复试面试
06 / 20
论文一 · Sensors (SCI) · 第一作者
实验设计与结果

实验设置

  • 数据集:nuScenes (21,763 clips, 多传感器融合) · KITTI (5,212 clips, 城市驾驶) · BDD100K (5,000 instances, 多样天气)
  • 检测器:YOLOv8(BDD100K 微调)+ SORT 跟踪器,模拟真实自动驾驶感知管线
  • 攻击方法:RP2(贴片)· CAPatch · SLAP(投影)
    三种贴片尺寸 100×100 / 80×80 / 60×60,覆盖不同攻击强度
  • 训练:AdamW · lr=3×10-4 · 60 epochs · cosine schedule · 2×RTX A6000 (48GB) · batch=32
  • 对比基线:CertIBP(认证防御)· PatchGuard · DiffPure(扩散净化)· Jujutsu · PercepGuard

核心结果

指标现有最佳本文
纠正精度 CA86.5%92.1%
计算开销42 ms19 ms
跨检测器迁移 CA> 71.0%
自适应攻击 CA72.4%
FPR(良性场景)< 5%

关键结论:即插即用模块,训练一次跨检测器/跨数据集复用,19ms 满足实时驾驶(<30ms)。相比认证防御提速 2.2×,精度提升 5.6%。在 YOLOv5/v7/v8 上迁移性能均 > 71%,证明方法的泛化能力

刘洋 · PHD复试面试
07 / 20
论文二 · Applied Sciences (SCI)
问题与方法

基于Transformer自编码器的无监督网络流量异常检测

Applied Sciences, 2024, 14(8), 3389 (SCI Q2, IF=2.5)

研究背景与动机

  • 网络流量异常检测是网络安全核心任务,面对零日攻击缺乏标签
  • 现有方法局限:LSTM 长距离遗忘、CNN 局部感受野受限、传统AE 仅重建无预测
  • 需要无监督方法同时检测点异常、上下文异常和集合异常
  • 解决的核心问题:如何在无标签场景下准确识别复杂时序模式中的异常行为

核心创新与方法

  • 首次统一双向预测 + 序列重建于单一 Transformer 框架
  • 掩码解码器:高斯扰动初始化 + 交叉注意力,防止恒等映射退化
  • 四种评分融合:前向/反向预测误差 + 重建误差 + 联合评分,多视角捕获异常
  • 训练策略:仅用正常样本训练,通过重建与预测误差的联合损失学习正常模式
Transformer 编码器
L=2 层多头自注意力 · 增强 FFN
全局时序依赖建模
前向预测头
t+1
反向预测头
t-1
重建头
t

核心思路:正常流量具有可预测的时序模式,异常流量在预测与重建中均产生高残差

刘洋 · PHD复试面试
08 / 20
论文二 · Applied Sciences (SCI)
实验与结果

实验设置

  • 数据集:真实网络流量数据集,含正常与多类攻击样本(DDoS、端口扫描、渗透等)
  • 预处理:PCA 降维(保留 95% 方差)+ Min-Max 归一化 + 滑动窗口分片(窗口=100)
  • 模型架构:2层 Transformer 编码器(d=512, 8头注意力)+ 3个独立解码头
  • 训练:Adam 优化器(lr=1e-4)· MSE + 预测联合损失 · 仅用正常样本训练 · 50 epochs
  • 对比基线:LSTM-AE · DeepAnT · USAD · OmniAnomaly · TranAD

异常评分策略

  • Sfwd:前向预测残差(捕获未来趋势偏离)
  • Sbwd:反向预测残差(捕获历史依赖断裂)
  • Srec:重建残差(捕获当前状态异常)
  • Sjoint = αSfwd + βSbwd + γSrec(自适应阈值,α=0.4, β=0.3, γ=0.3)

核心结果

方法PrecisionRecallF1
LSTM-AE0.8910.9230.907
TranAD0.9320.9410.936
本文方法0.949≈1.00.960

关键结论:双向预测+重建的三分支设计显著优于单一任务基线;联合评分策略比任意单一评分提升 3-5% F1

刘洋 · PHD复试面试
09 / 20
论文三 · Symmetry (SCI)
问题与方法

PromptTrace:基于CLIP引导束搜索的Prompt窃取

Symmetry, 2024, 16(5), 587 (SCI Q2, IF=2.7)

研究背景与动机

  • 文生图(T2I)模型(Stable Diffusion 等)中,精心设计的 Prompt 具有商业价值与知识产权
  • 现有 Prompt 窃取方法:端到端回归精度低,无法恢复修饰词细节(如风格、光照、材质等)
  • T2I 的跨模态对称性(text→image→text)本身构成安全漏洞
  • 解决的核心问题:如何从生成图像逆向重建高保真的原始 Prompt,包括主体与细粒度修饰词

核心思路与方法

  • 将 Prompt 窃取建模为"分解-搜索"问题而非端到端回归,避免组合空间爆炸
  • 三阶段流水线:主体识别(BLIP微调)→ 修饰词提取(多标签分类)→ 组合优化(束搜索)
  • 利用 CLIP 跨模态对齐作为搜索目标函数,最大化图像-文本相似度
  • 束搜索策略:束宽 B=5,每步贪心扩展 Top-K 候选,多项式时间逼近最优组合
阶段一:主体生成
BLIP 微调 → 生成图像核心主体描述
阶段二:修饰词提取
多标签分类器 → 7,672 类候选修饰词
阶段三:CLIP 引导束搜索
束宽 B=5 · 迭代贪心添加修饰词
max cos(CLIPimg(x), CLIPtxt(p̂))

关键洞察:组合空间指数爆炸 → 束搜索在多项式时间内逼近最优组合

刘洋 · PHD复试面试
10 / 20
论文三 · Symmetry (SCI)
实验与结果

实验设置

  • 数据集:Lexica (10K) · DiffusionDB (10K) · 涵盖多样风格与主题(写实、动漫、抽象等)
  • 目标模型:Stable Diffusion v1.4 / v1.5 / v2.1(跨版本泛化测试)
  • 修饰词库:7,672 类候选词(风格、光照、材质、艺术家、相机参数等)
  • 评估指标:CLIP 相似度(语义保真)· BLEU / ROUGE-L(文本匹配)· FID(生成图像质量)
  • 对比基线:CLIP Interrogator · PEZ · 端到端 BLIP 回归

束搜索细节

  • 束宽 B=5,每步从 Top-K=20 候选中扩展,平衡精度与效率
  • 最大迭代 T=15 步,早停于 CLIP 相似度收敛(Δ < 0.01)
  • CLIP ViT-L/14 作为评分模型,冻结参数仅用于推理
  • 时间复杂度:O(T·B·K) = O(1500),远低于暴力搜索的指数复杂度

核心结果

方法CLIP SimBLEU
CLIP Interrogator0.720.08
BLIP 端到端0.760.12
PromptTrace0.830.21

关键结论:三阶段分解+束搜索在语义保真度和文本匹配度上全面超越端到端方法;揭示了 T2I 生态中 Prompt 知识产权保护的迫切性

刘洋 · PHD复试面试
11 / 20
未来研究计划
Research Plan

研究主线与未来方向

网络安全
流量异常检测
+
自动驾驶安全
物理对抗防御
+
AI 内容安全
Prompt 隐私
博士深化
大模型安全
可信 AI 系统
大模型安全与对齐
LLM 对抗攻防 · 多模态安全评估 · AI 内容溯源水印
智能系统鲁棒性
自动驾驶感知防御深化 · 多模态对抗攻防 · 物理世界安全
AI 辅助科研范式
Claude Code 赋能全流程科研 · 人机协同高效产出
刘洋 · PHD复试面试
08 / 15
Claude Code 辅助科研
AI-Assisted Research

Claude Code 革新研究范式

将 AI 编程代理深度融入学术研究全流程 — 人机协同,而非替代

提出假设
文献检索
Claude Code
编码实现
Claude Code
实验管线
自动化
论文撰写
算法开发 & 安全评估
快速构建深度学习原型 · 对抗攻击-防御自动评估管线 · LLM 红队测试工具
实验管理 & 论文产出
自动化超参搜索与可视化 · 审稿意见逐条回复 · 在职读博效率倍增
刘洋 · PHD复试面试
09 / 15
读博规划
PhD Plan

分阶段研究规划

第一阶段(1-2年)
深化大模型安全理论 · 发表 1-2 篇高水平论文 · 建立 Claude Code 科研体系
第二阶段(2-3年)
多模态对抗攻防深化 · 累计 3-4 篇高水平论文 · 成果落地实际安全场景
第三阶段(3-4年)
完成博士论文 · 体系化成果 · 推动产学研转化

围绕"AI 安全与智能系统可信性"主题,服务国家网络安全与人工智能安全战略需求
独特优势:工学背景+安全实践 · 已有 SCI 科研基础 · AI工具提效在职读博

刘洋 · PHD复试面试
10 / 15
02
Part 02 · 英语听说考查
English
Proficiency
Self-Introduction · Q&A Preparation
English Self-Introduction
2-3 min
Good morning, dear professors. My name is Liu Yang. It is a great honor to be here.

I received my Bachelor's degree in Communication Engineering from Huazhong University of Science and Technology in 2017, and my Master of Commerce in Finance from the University of New South Wales in 2021.

I currently work at the People's Bank of China, Qinghai Branch as a Level-3 Principal Staff Member, responsible for policy research and information security management. Previously, I worked as a Financial Engineering Researcher at Guosen Securities Research Institute (2021-2023).

My research focuses on AI security and deep learning. I have published 3 SCI papers, including one as first author on physics-aware adversarial defense for autonomous driving. I also hold one invention patent.

My motivation for pursuing a PhD is rooted in my deep interest in AI security, where I aim to conduct systematic research on LLM security, adversarial robustness, and trustworthy AI systems.

Thank you for your time and consideration.
刘洋 · PHD复试面试
12 / 15
English Q&A Preparation
Key Points
Why do you want to pursue a PhD?
Deep interest in AI security → Existing SCI research foundation → Need systematic theory to go deeper → Engineering background + security practice → Return to alma mater HUST
Describe your most important research.
Physics-aware defense for autonomous driving → Dual-stream encoder with frequency-domain embeddings → TAME energy for attack detection → 92.1% correction accuracy, 19ms latency → Plug-in module, cross-detector transferable
What is your future research plan?
LLM security & alignment → Multimodal adversarial robustness → AI-assisted research with Claude Code → Bridge theory and real-world safety applications
How will you balance work and PhD study?
Work provides real problems & data → AI tools boost efficiency 2-3x → Strong existing foundation (SCI/EI/patent) → Unit supports part-time PhD
刘洋 · PHD复试面试
13 / 15
03
Part 03 · 专业知识问答
专业
深度问答
论文细节 · 专业基础 · 前沿问题 · 读博动机
专业知识问答
备考要点

论文深入

为什么选 Transformer 而非 LSTM?
自注意力全局建模,多头并行捕获多尺度模式,双向设计缓解边界伪影
TAME 能量为何用 KL 散度?
物理轨迹难伪造 → 视觉-运动分布差异自然暴露攻击 → 对称KL量化不一致性
三篇论文的内在联系?
共享"深度学习驱动安全攻防"主线,Transformer 贯穿,多模态融合,注重效率

前沿 & 基础

大模型安全最关键挑战?
对齐问题 · 越狱攻击 · 多模态漏洞 · 供应链安全 — 与已有研究高度契合
AI 辅助科研影响原创性吗?
AI是效率放大器 — 承担重复编码,核心创新由研究者主导,类比计算器之于数学家
在职读博如何保证产出?
工作提供真实问题与数据 · AI工具效率提升2-3倍 · 已有科研基础,深化非从零开始
刘洋 · PHD复试面试
15 / 15
THANK YOU

感谢各位老师

恳请批评指正

答辩人
刘洋
邮箱
u201313659@alumni.hust.edu.cn
单位
中国人民银行青海省分行