Comprendre l'apprentissage automatique contradictoire : une analyse complète de l'attaque et de la défense

Les attaques numériques sont l'une des menaces croissantes à l'ère numérique. Afin de lutter contre cette menace, les chercheurs ont proposé une technologie d’apprentissage automatique contradictoire. Le but de cette technique est de tromper les modèles d’apprentissage automatique en utilisant des données trompeuses. L'apprentissage automatique contradictoire consiste à générer et à détecter des exemples contradictoires, qui sont des entrées créées spécifiquement pour tromper un classificateur. De cette manière, un attaquant peut interférer avec les résultats du modèle et même conduire à des résultats trompeurs. La recherche et le développement de l’apprentissage automatique contradictoire sont essentiels à la protection de la sécurité à l’ère numérique.

Quels sont les exemples contradictoires ?

Les exemples contradictoires sont des entrées dans des modèles d'apprentissage automatique. Les attaquants conçoivent intentionnellement ces échantillons pour provoquer une mauvaise classification du modèle. Les exemples contradictoires sont de petites perturbations sur une entrée valide, obtenues en ajoutant des changements subtils à l'entrée et sont donc difficiles à détecter. Ces exemples contradictoires semblent normaux, mais peuvent entraîner une mauvaise classification du modèle d'apprentissage automatique cible.

Ensuite, voici les techniques actuellement connues pour générer des exemples contradictoires.

Méthodes techniques pour générer des échantillons contradictoires

1. BFGS à mémoire limitée (L-BFGS)

Le BFGS à mémoire limitée (L-BFGS) est un algorithme d'optimisation numérique basé sur des gradients non linéaires qui peuvent maximiser et minimiser le quantité de perturbation ajoutée à l’image.

Avantages : Générez efficacement des échantillons contradictoires.

Inconvénients : C'est gourmand en calcul car c'est une méthode d'optimisation avec des contraintes de boîte. Cette méthode prend du temps et n’est pas pratique.

2. Méthode de signe de gradient rapide (FGSM)

Une méthode simple et rapide basée sur le gradient utilisée pour générer des exemples contradictoires afin de minimiser la quantité maximale de perturbation ajoutée à n'importe quel pixel de l'image, entraînant une erreur de classification.

Avantages : Temps de calcul relativement efficace.

Inconvénients : Une perturbation est ajoutée à chaque fonctionnalité.

3. Deepfool Attack

Cette technique de génération d'échantillons contradictoires non ciblés vise à minimiser la distance euclidienne entre l'échantillon perturbé et l'échantillon d'origine. Les limites de décision entre les classes sont estimées et les perturbations sont ajoutées de manière itérative.

Avantages : Générez efficacement des échantillons contradictoires, avec moins de perturbations et un taux d'erreur de classification plus élevé.

Inconvénients : Plus gourmand en calcul que FGSM et JSMA. De plus, les exemples contradictoires peuvent ne pas être optimaux.

4. Attaque Carlini & Wagner

C&W Cette technique est basée sur l'attaque L-BFGS, mais sans contraintes de boite et fonctions d'objectif différentes. Cela rend la méthode plus efficace pour générer des exemples contradictoires ; il a été démontré qu'elle peut vaincre les défenses de pointe telles que l'entraînement contradictoire.

Avantages : Très efficace pour générer des exemples contradictoires. De plus, il peut vaincre certaines défenses adverses.

Inconvénients : Plus gourmand en calcul que FGSM, JSMA et Deepfool.

5. Réseaux contradictoires génératifs (GAN)

Les réseaux contradictoires génératifs (GAN) ont été utilisés pour des attaques contradictoires génératives, où deux réseaux de neurones se font concurrence. L’un agit comme générateur et l’autre comme discriminateur. Les deux réseaux jouent à un jeu à somme nulle, le générateur essayant de générer des échantillons que le discriminateur classera mal. Dans le même temps, le discriminateur tente de distinguer les échantillons réels de ceux créés par le générateur.

Avantages : Générez des échantillons différents de ceux utilisés en formation.

Inconvénients : La formation d'un réseau adverse génératif nécessite beaucoup de calculs et peut être très instable.

6. Attaque d'optimisation d'ordre zéro (ZOO)

La technique ZOO permet d'estimer le gradient d'un classificateur sans accès au classificateur, ce qui la rend idéale pour les attaques par boîte noire. Cette méthode estime le gradient et la toile de jute en interrogeant le modèle cible avec des caractéristiques individuelles modifiées et utilise la méthode d'Adam ou de Newton pour optimiser la perturbation.

Avantages : Performances similaires à l'attaque C&W. Aucune formation de modèles de substitution ni aucune information sur le classificateur n'est requise.

Inconvénients : Nécessite un grand nombre de requêtes auprès du classificateur cible.

Que sont les attaques contradictoires en boîte blanche et en boîte noire ?

Une attaque en boîte blanche est un scénario dans lequel l'attaquant a un accès complet au modèle cible, y compris l'architecture du modèle et ses paramètres. Une attaque par boîte noire est un scénario dans lequel l'attaquant n'a pas accès au modèle et ne peut observer que la sortie du modèle cible.

Attaques contradictoires contre les systèmes d'intelligence artificielle

Il existe de nombreuses attaques contradictoires différentes qui peuvent être utilisées sur les systèmes d'apprentissage automatique. Beaucoup d’entre eux travaillent sur des systèmes d’apprentissage profond et des modèles d’apprentissage automatique traditionnels tels que les machines à vecteurs de support (SVM) et la régression linéaire. La plupart des attaques contradictoires visent généralement à dégrader les performances d'un classificateur sur une tâche spécifique, essentiellement pour « tromper » l'algorithme d'apprentissage automatique. L'apprentissage automatique contradictoire est le domaine qui étudie une classe d'attaques conçues pour dégrader les performances d'un classificateur sur une tâche spécifique. Les types spécifiques d'attaques adverses d'apprentissage automatique sont les suivants :

1. Attaque d'empoisonnement

L'attaquant affecte les données d'entraînement ou leurs étiquettes, entraînant de mauvaises performances du modèle pendant le déploiement. Par conséquent, l’empoisonnement est essentiellement une contamination adverse des données d’entraînement. Étant donné que les systèmes ML peuvent être recyclés à l'aide des données collectées pendant les opérations, les attaquants peuvent empoisonner les données en injectant des échantillons malveillants pendant les opérations, corrompant ou affectant ainsi le recyclage.

2. Attaques d'évasion

Les attaques d'évasion sont le type d'attaque le plus courant et le plus étudié. L'attaquant manipule les données pendant le déploiement pour tromper les classificateurs préalablement formés. Puisqu’elles sont exécutées pendant la phase de déploiement, elles constituent le type d’attaque le plus pratique et le plus couramment utilisé pour les scénarios d’intrusion et de malware. Les attaquants tentent souvent d’échapper à la détection en dissimulant le contenu des logiciels malveillants ou des spams. Par conséquent, les échantillons sont modifiés pour échapper à la détection car ils sont classés comme légitimes sans affecter directement les données d'entraînement. Des exemples d’évasion sont les attaques d’usurpation d’identité contre les systèmes de vérification biométrique.

3. Extraction de modèle

Le vol de modèle ou l'extraction de modèle implique un attaquant sondant un système d'apprentissage automatique boîte noire afin de reconstruire le modèle ou d'extraire les données sur lesquelles le modèle a été formé. Ceci est particulièrement important lorsque les données de formation ou le modèle lui-même sont sensibles et confidentiels. Par exemple, les attaques d’extraction de modèles peuvent être utilisées pour voler des modèles de prévision boursière, qu’un adversaire peut exploiter à des fins financières.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!