적대적 머신러닝 이해: 공격과 방어의 포괄적인 분석

디지털 공격은 디지털 시대에 증가하는 위협 중 하나입니다. 이러한 위협에 맞서기 위해 연구자들은 적대적 기계 학습 기술을 제안했습니다. 이 기술의 목표는 사기성 데이터를 사용하여 기계 학습 모델을 속이는 것입니다. 적대적 기계 학습에는 분류자를 속이기 위해 특별히 생성된 입력인 적대적 예를 생성하고 감지하는 작업이 포함됩니다. 이러한 방식으로 공격자는 모델의 출력을 방해하고 심지어 잘못된 결과를 초래할 수도 있습니다. 적대적 머신러닝의 연구 및 개발은 디지털 시대의 보안을 보호하는 데 매우 중요합니다.

적대적 예는 무엇인가요?

적대적 예는 기계 학습 모델에 대한 입력입니다. 공격자는 모델이 잘못 분류되도록 의도적으로 이러한 샘플을 설계합니다. 적대적 예는 입력에 미묘한 변화를 추가하여 유효한 입력에 대한 작은 교란이므로 감지하기 어렵습니다. 이러한 적대적인 예는 정상적으로 보이지만 대상 기계 학습 모델이 잘못 분류될 수 있습니다.

다음은 현재 알려진 적대적 사례 생성 기술입니다.

적대 샘플 생성을 위한 기술적 방법

1. 제한된 메모리 BFGS(L-BFGS)

제한된 메모리 BFGS(L-BFGS)는 이미지에 추가된 섭동의 양.

이점: 적대적인 샘플을 효과적으로 생성합니다.

단점: 상자 제약 조건이 있는 최적화 방법이므로 계산 집약적입니다. 이 방법은 시간이 많이 걸리고 비실용적입니다.

2. FGSM(Fast Gradient Sign Method)

이미지의 픽셀에 추가되는 최대 교란량을 최소화하여 오분류를 발생시키는 적대적 예를 생성하는 데 사용되는 간단하고 빠른 그라데이션 기반 방법입니다.

장점: 상대적으로 효율적인 계산 시간.

단점: 각 기능에 섭동이 추가됩니다.

3. Deepfool Attack

이 비표적 적대적 샘플 생성 기술은 교란된 샘플과 원본 샘플 사이의 유클리드 거리를 최소화하는 것을 목표로 합니다. 클래스 간의 결정 경계가 추정되고 섭동이 반복적으로 추가됩니다.

장점: 방해가 적고 오분류율이 높은 적대적 샘플을 효과적으로 생성합니다.

단점: FGSM 및 JSMA보다 계산 집약적입니다. 더욱이, 적대적인 예가 최적이 아닐 수도 있습니다.

4. Carlini & Wagner 공격

C&W 이 기술은 L-BFGS 공격을 기반으로 하지만 상자 제약과 다른 목적 함수가 없습니다. 이는 적대적 사례를 생성하는 데 있어 방법을 더욱 효과적으로 만듭니다. 이는 적대적 훈련과 같은 최첨단 방어를 무력화하는 것으로 나타났습니다.

장점: 적대적인 사례를 생성하는 데 매우 효과적입니다. 게다가 일부 적의 방어를 무너뜨릴 수도 있습니다.

단점: FGSM, JSMA, Deepfool보다 계산량이 많습니다.

5. 생성적 적대 신경망(GAN)

생성적 적대 신경망(GAN)은 두 개의 신경망이 서로 경쟁하는 생성적 적대적 공격에 사용되었습니다. 하나는 생성자 역할을 하고 다른 하나는 판별자 역할을 합니다. 두 네트워크는 판별자가 잘못 분류할 샘플을 생성하려고 시도하는 제로섬 게임을 합니다. 동시에 판별자는 생성자가 생성한 샘플과 실제 샘플을 구별하려고 시도합니다.

장점: 훈련에 사용된 샘플과 다른 샘플을 생성합니다.

단점: 생성적 적대 신경망 훈련은 계산 집약적이며 매우 불안정할 수 있습니다.

6. 영차최적화 공격(ZOO)

ZOO 기법을 사용하면 분류기에 액세스하지 않고도 분류기의 기울기를 추정할 수 있으므로 블랙박스 공격에 이상적입니다. 이 방법은 수정된 개별 특성을 사용하여 대상 모델을 쿼리하여 그래디언트와 헤센을 추정하고 Adam 또는 Newton의 방법을 사용하여 섭동을 최적화합니다.

장점: C&W 공격과 성능이 비슷합니다. 대리 모델 교육이나 분류자에 대한 정보가 필요하지 않습니다.

단점: 대상 분류자에 대한 쿼리가 많이 필요합니다.

적대적 화이트박스 공격과 블랙박스 공격이란?

화이트박스 공격은 공격자가 모델의 아키텍처와 매개변수를 포함하여 대상 모델에 대한 전체 액세스 권한을 갖는 시나리오입니다. 블랙박스 공격은 공격자가 모델에 접근할 수 없고 대상 모델의 출력만 관찰할 수 있는 시나리오입니다.

인공 지능 시스템에 대한 적대적 공격

기계 학습 시스템에서 사용할 수 있는 다양한 적대적 공격이 있습니다. 이들 중 다수는 딥 러닝 시스템과 SVM(지원 벡터 머신) 및 선형 회귀와 같은 기존 머신 러닝 모델을 사용합니다. 대부분의 적대적 공격은 일반적으로 특정 작업에 대한 분류기의 성능을 저하시키는 것을 목표로 하며, 본질적으로 기계 학습 알고리즘을 "속이기" 위해 노력합니다. 적대적 기계 학습은 특정 작업에 대한 분류기의 성능을 저하시키도록 설계된 공격 클래스를 연구하는 분야입니다. 적대적인 기계 학습 공격의 구체적인 유형은 다음과 같습니다.

1. 중독 공격

공격자는 훈련 데이터 또는 해당 레이블에 영향을 미쳐 배포 중에 모델 성능이 저하됩니다. 따라서 중독은 본질적으로 훈련 데이터의 적대적 오염입니다. ML 시스템은 작업 중에 수집된 데이터를 사용하여 재교육할 수 있으므로 공격자가 작업 중에 악성 샘플을 주입하여 데이터를 오염시켜 재교육을 손상시키거나 영향을 미칠 수 있습니다.

2. 회피 공격

탈출 공격은 가장 일반적이고 가장 많이 연구된 공격 유형입니다. 공격자는 이전에 훈련된 분류자를 속이기 위해 배포 중에 데이터를 조작합니다. 배포 단계에서 실행되므로 가장 실용적인 공격 유형이며 침입 및 맬웨어 시나리오에 가장 일반적으로 사용됩니다. 공격자는 악성 코드나 스팸 이메일의 내용을 난독화하여 탐지를 회피하려고 시도하는 경우가 많습니다. 따라서 훈련 데이터에 직접적인 영향을 주지 않고 합법적인 것으로 분류되므로 탐지를 회피하도록 샘플을 수정합니다. 회피의 예로는 생체 인증 시스템에 대한 스푸핑 공격이 있습니다.

3. 모델 추출

모델 도난 또는 모델 추출에는 모델을 재구성하거나 모델이 훈련된 데이터를 추출하기 위해 블랙박스 기계 학습 시스템을 조사하는 공격자가 포함됩니다. 이는 훈련 데이터나 모델 자체가 민감하고 기밀인 경우 특히 중요합니다. 예를 들어, 모델 추출 공격을 사용하면 주식 시장 예측 모델을 훔칠 수 있으며, 공격자는 이를 이용해 금전적인 이득을 얻을 수 있습니다.

위 내용은 적대적 머신러닝 이해: 공격과 방어의 포괄적인 분석의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!