15-EFT.WP.Methods.Falsification v1.0 | 第4章 数据与对抗样本口径

目录 ／ 文档-技术白皮书（V5.05） ／ 15-EFT.WP.Methods.Falsification v1.0

第4章 数据与对抗样本口径

I. 范围与目标

1. 本章定义证伪所需数据资产与对抗样本族之统一口径，覆盖采集、规范化、生成、筛选、指纹、追溯与签名发布，确保在 EnvLock 与共同时基 ts = alpha + beta * tau_mono 下可复现、可取证、可量化比较。
2. 目标与通过标准
   • 建立样本族 D_family = { D_base, D_neg, D_boundary, D_ood, D_adv, D_mr } 及其生成与验收准则；任一对抗扰动满足预算与可行域约束 x_adv = proj_X( x + delta )，其中 || delta ||_p ≤ epsilon_lp。
   • 样本库以覆盖与杀伤为核心度量：cov_spec = ( |C_hit| / |C_total| )，kill_rate = ( |mut_killed| / |mut_all| )；达到预注册门限并通过 FDR 或 FWER 控制的统计检验（见 第3章 S52-*）。

II. 术语与符号

• 数据与域：X（输入域），Y（标签域），D_base（基准集），D_neg（负样本集），D_boundary（边界样本集），D_ood（分布外），D_adv（对抗样本集），D_mr（形变关系样本集），Omega_support（支集）。
• 变异与预算：op_mut（变异算子），MR_k（形变关系），delta（扰动），epsilon_linf，epsilon_l2，attack_steps，step_size，targeted ∈ {true,false}，budget.cpu/gpu/mem，budget.power。
• 时间与频谱：ts，tau_mono，U_w（窗函数能量），ENBW，S_xx(f)。
• 指纹与签名：hash(·)，fingerprint，anchor，Graph.sig，ParamCard.sig，InferPipelineCard.sig。

III. 公设与最小方程

1. P51-4（可行域与量纲守恒公设）
   任一生成样本 x_gen 必位于可行域 X 且满足量纲校核 check_dim(expr)；若 x + delta 越界，则以投影 proj_X(·) 回到 X，且记录超界幅度与修正轨迹。
2. P51-5（形变不变性公设）
   对任一 MR_k，存在不变性质 Inv_k 使 Inv_k( x ) = Inv_k( MR_k(x) )；若观测违背该等式，则记为性质断言失败，并进入证伪流程（见 第5章）。
3. S52-5（对抗扰动预算与成功准则）
   • 预算约束：|| delta ||_p ≤ epsilon_lp，x_adv = proj_X( x + delta )。
   • 成功指标（通用口径二选一）：
     1. 标签翻转：argmax f( x_adv ) ≠ argmax f( x )
     2. 损失增量：ΔL = L( y, f( x_adv ) ) - L( y, f( x ) ) ≥ tau_attack
4. S52-6（OOD 距离与门限）
   设嵌入 z(·) 与度量 dist(·,·)，d_ood(x) = min_{x' ∈ D_train} dist( z(x), z(x') )；当 d_ood(x) ≥ eta_ood 判作 OOD。eta_ood 由目标 FPR、TPR 与开发集 ROC 校准确定。
5. S52-7（家族采样配额）
   家族采样分布 pi_family 满足 Σ_j pi_family(j) = 1；执行时期望配额 E[ n_j ] = pi_family(j) * N_total，并以 || \hat{pi} - pi_family ||_1 ≤ tau_mix 作为配比合格准则。

IV. 数据与清单口径

• DataCard（最小字段）
  schema_id，sources，license，pii_policy，features[{name, dtype, unit}]，window{history, context, lookahead=0}，sampling{rate, jitter}，preprocess{norm, clip, resample}，spectral{U_w, ENBW}，timebase{alpha, beta}，EnvLock，anchor，hash(dataset)。
• AdvOpsCard（对抗与变异配置）
  ops[ {id, method, norm ∈ {linf,l2}, epsilon, steps, step_size, targeted, random_start, seed} ]，constraints{proj_X, masks}，success_metric ∈ {label_flip, loss_delta}，tau_attack，pi_family，eta_ood。
• 指纹与追溯
  fingerprint = hash( schema_id || preprocess || AdvOpsCard || pi_family || seed || anchor )；任何字段变更均导致新指纹并递增版本。
• 标注与质量
  标签一致性 acc_annot = ( 1/M ) * Σ [ y_i = y_i^{ref} ]；若 acc_annot < tau_annot，该切片标为“弱标签”，在检验时降权或排除。

V. 算法与实现绑定

1. 绑定原型（承接与扩展 I50-*）
   • I50-3 generate_counterexamples(runtime:any, hypothesis:Hypothesis, ops:list, budget:dict) -> CEReport
   • I50-4 metamorphic_transform(x:any, MR:dict) -> x_prime:any
   • I50-5 adversarial_attack(runtime:any, x:any, method:str, eps:dict) -> AttackReport
   • I50-15 build_sample_bank(cards:dict, data:any) -> Bank（构建 D_family 并返回索引）
   • I50-16 filter_ood(data:any, z:any, eta_ood:float) -> {in:list, ood:list}
   • I50-17 balance_sampler(bank:Bank, pi_family:dict, N:int, seed:int) -> Batch
   • I50-18 sign_bank(bank:Bank, anchor:str) -> {fingerprint:str, sig:str}
   • I50-19 verify_budget(batch:Batch, constraints:dict) -> BudgetReport
2. 幂等与异常
   • 幂等条件：锁定 EnvLock、cards、seed 与 anchor 时，build_sample_bank 输出的 fingerprint 不变。
   • 可能异常：E_SCHEMA_MISMATCH，E_DIMENSION_MISMATCH，E_PRIVACY_VIOLATION，E_RESOURCE_EXCEEDED，E_NONDETERMINISM。

VI. 计量流程与运行图

1. Mx-55 数据入湖与规范化
   校核 DataCard → 执行 preprocess → 记录 hash(dataset) 与 timebase{alpha,beta} → check_dim(expr) 全量通过。
2. Mx-56 样本生成与约束验证
   生成 D_neg/D_boundary（边界值与约束模糊），D_mr（应用 MR_k），D_adv（adversarial_attack）→ verify_budget 保证 || delta ||_p ≤ epsilon_lp 与 proj_X 可行。
3. Mx-57 OOD 筛选与隐私审查
   计算 d_ood(x) 并以 eta_ood 划分 → 触发 pi_family 回补策略 → PII/合规扫描与脱敏。
4. Mx-58 样本库签名与发布
   sign_bank 产出 {fingerprint, sig} → 生成 Coverage.report、KillRate.report、OOD.eval → 发布至证据包并登记 anchor。
5. 运行观测点与回退
   • 观测：TS.latency（生成延迟）、TS.error（生成失败率）、budget.*（资源开销）。
   • 回退：若 || \hat{pi} - pi_family ||_1 > tau_mix 或 epsilon 违规，回滚至上一签名版本并降级生成策略（如降低 steps 或切换 method）。

VII. 验证与测试矩阵

1. 合规最小用例
   • 预算校核：随机抽样 x，验证 max_p || delta ||_p ≤ epsilon_lp 与 x_adv ∈ X。
   • 形变不变性：对每个 MR_k，抽检 Inv_k(x) = Inv_k(MR_k(x)) 失败率不超过预注册阈值。
   • OOD 门限：在标注开发集上 TPR@FPR=tau_fpr 达标。
2. 覆盖与杀伤
   • 规格覆盖：cov_spec ≥ tau_cov。
   • 杀伤率：kill_rate ≥ tau_kill，并给出 power 区间或 bootstrap 置信带 1 - delta。
3. 稳定性与再现
   重放 R=3 次：fingerprint 不变；attack_success_rate 变异系数低于 tau_cv；离线/在线生成在 ts 对齐下差异 delta_offon ≤ tau_offon。

VIII. 交叉引用与依赖

• 《Core.DataSpec》（字段、量纲、隐私与许可），《Core.Metrology》（覆盖、频谱与窗函数口径），《Core.Errors》（异常分级与告警），《Core.Threads》（执行与并发）。
• 《EFT.WP.Methods.Inference》第4章（数据与特征接口）、第7章（不确定性与校准）、第6章（在线/离线一致性）、第12章（验收与发布）。

IX. 风险、限制与开放问题

• 风险与限制
  梯度遮蔽导致攻击假阴性；z(·) 选择对 OOD 判别敏感；边界样本可能超出可观测物理域；隐私再识别风险；高成本生成对 TS.latency 与 budget.power 的压力。
• 开放问题
  流式 FDR 下的对抗样本自适应配额；跨域 eta_ood 迁移与共享；生成模型驱动 MR_k 的可验证性与偏差界。

X. 交付件与版本管理

• 交付件清单
  DataCard.yaml，AdvOpsCard.yaml，Bank.index.json（家族与配额统计），Coverage.report，KillRate.report，OOD.eval，BudgetReport.json，Bank.sig。
• 版本与变更
  任何 schema_id/preprocess/ops/epsilon/pi_family/eta_ood 变更均递增 major.minor.patch 中至少 minor；fingerprint 与 anchor 必更新；与 TestPlan.version 关联记录以便在验收与持续证伪（见 第12章）阶段回溯。