Memahami pembelajaran mesin lawan: Pecahan menyeluruh serangan dan pertahanan

Serangan digital adalah salah satu ancaman yang semakin meningkat dalam era digital. Untuk memerangi ancaman ini, penyelidik telah mencadangkan teknologi pembelajaran mesin yang bertentangan. Matlamat teknik ini adalah untuk menipu model pembelajaran mesin dengan menggunakan data yang mengelirukan. Pembelajaran mesin adversarial melibatkan penjanaan dan pengesanan contoh lawan, yang merupakan input yang dibuat khusus untuk menipu pengelas. Dengan cara ini, penyerang boleh mengganggu output model dan juga membawa kepada keputusan yang mengelirukan. Penyelidikan dan pembangunan pembelajaran mesin adversarial adalah penting untuk melindungi keselamatan dalam era digital.

Apakah contoh musuh?

Contoh lawan ialah input kepada model pembelajaran mesin dengan sengaja mereka bentuk sampel ini untuk menyebabkan model tersalah klasifikasi. Contoh musuh ialah gangguan kecil pada input yang sah, dicapai dengan menambahkan perubahan halus pada input dan oleh itu sukar untuk dikesan. Contoh musuh ini kelihatan biasa, tetapi boleh menyebabkan model pembelajaran mesin sasaran tersalah klasifikasi.

Seterusnya, ialah teknik yang diketahui pada masa ini untuk menghasilkan contoh musuh.

Kaedah teknikal untuk menjana sampel lawan

1 BFGS memori terhad (L-BFGS)

Memori terhad BFGS (L-BFGS) adalah algoritma pengoptimuman bukan pengoptimuman berangka. jumlah gangguan yang ditambahkan pada imej.

Kelebihan: Menjana sampel lawan dengan berkesan.

Kelemahan: Ia adalah intensif dari segi pengiraan kerana ia merupakan kaedah pengoptimuman dengan kekangan kotak. Kaedah ini memakan masa dan tidak praktikal.

2. Kaedah Tanda Kecerunan Pantas (FGSM)

Kaedah berasaskan kecerunan yang mudah dan pantas digunakan untuk menjana contoh lawan untuk meminimumkan jumlah gangguan maksimum yang ditambahkan pada mana-mana piksel imej, mengakibatkan Salah Klasifikasi.

Kelebihan: Masa pengiraan yang agak cekap.

Keburukan: Gangguan ditambah pada setiap ciri.

3. Deepfool Attack

Teknik penjanaan sampel lawan yang tidak disasarkan ini bertujuan untuk meminimumkan jarak Euclidean antara sampel yang terganggu dan sampel asal. Sempadan keputusan antara kelas dianggarkan dan gangguan ditambah secara berulang.

Kelebihan: Menjana sampel lawan dengan berkesan, dengan kurang gangguan dan kadar salah klasifikasi yang lebih tinggi.

Kelemahan: Lebih intensif secara pengiraan daripada FGSM dan JSMA. Tambahan pula, contoh musuh mungkin tidak optimum.

4. Serangan Carlini & Wagner

C&W Teknik ini berdasarkan serangan L-BFGS, tetapi tanpa kekangan kotak dan fungsi objektif yang berbeza. Ini menjadikan kaedah ini lebih berkesan dalam menghasilkan contoh musuh; ia telah ditunjukkan untuk mengalahkan pertahanan terkini seperti latihan lawan.

Kelebihan: Sangat berkesan dalam menjana contoh musuh. Selain itu, ia boleh mengalahkan beberapa pertahanan musuh.

Kelemahan: Lebih banyak pengiraan daripada FGSM, JSMA dan Deepfool.

5. Generative Adversarial Networks (GAN)

Generative Adversarial Networks (GAN) telah digunakan untuk serangan musuh generatif, di mana dua rangkaian saraf bersaing antara satu sama lain. Satu bertindak sebagai penjana dan satu lagi bertindak sebagai diskriminasi. Kedua-dua rangkaian memainkan permainan jumlah sifar, dengan penjana cuba menjana sampel yang akan disalahklasifikasikan oleh diskriminator. Pada masa yang sama, diskriminasi cuba membezakan sampel sebenar daripada yang dicipta oleh penjana.

Kelebihan: Hasilkan sampel yang berbeza daripada yang digunakan dalam latihan.

Keburukan: Melatih rangkaian musuh generatif adalah intensif dari segi pengiraan dan boleh menjadi sangat tidak stabil.

6. Zero-Order Optimization Attack (ZOO)

Teknik ZOO membolehkan kecerunan pengelas dianggarkan tanpa akses kepada pengelas, menjadikannya ideal untuk serangan kotak hitam. Kaedah ini menganggarkan kecerunan dan hessian dengan menanyakan model sasaran dengan ciri individu yang diubah suai dan menggunakan kaedah Adam atau Newton untuk mengoptimumkan gangguan.

Kelebihan: Prestasi yang sama dengan serangan C&W. Tiada latihan model pengganti atau maklumat tentang pengelas diperlukan.

Kelemahan: Memerlukan sejumlah besar pertanyaan kepada pengelas sasaran.

Apakah itu serangan kotak putih dan kotak hitam musuh?

Serangan kotak putih ialah senario di mana penyerang mempunyai akses penuh kepada model sasaran, termasuk seni bina model dan parameternya. Serangan kotak hitam ialah senario di mana penyerang tidak mempunyai akses kepada model dan hanya boleh memerhatikan output model sasaran.

Serangan Musuh pada Sistem Kepintaran Buatan

Terdapat banyak serangan musuh berbeza yang boleh digunakan pada sistem pembelajaran mesin. Kebanyakan daripada mereka bekerja pada sistem pembelajaran mendalam dan model pembelajaran mesin tradisional seperti mesin vektor sokongan (SVM) dan regresi linear. Kebanyakan serangan musuh biasanya bertujuan untuk merendahkan prestasi pengelas pada tugas tertentu, pada asasnya untuk "menipu" algoritma pembelajaran mesin. Pembelajaran mesin adversarial ialah bidang yang mengkaji kelas serangan yang direka untuk merendahkan prestasi pengelas pada tugas tertentu. Jenis khusus serangan pembelajaran mesin musuh adalah seperti berikut:

1. Serangan keracunan

Penyerang menjejaskan data latihan atau labelnya, menyebabkan model berprestasi buruk semasa penggunaan. Oleh itu, keracunan pada asasnya adalah pencemaran musuh data latihan. Oleh kerana sistem ML boleh dilatih semula menggunakan data yang dikumpul semasa operasi, penyerang mungkin boleh meracuni data dengan menyuntik sampel berniat jahat semasa operasi, sekali gus merosakkan atau menjejaskan latihan semula.

2. Serangan Mengelak

Serangan melarikan diri adalah jenis serangan yang paling biasa dan paling diteliti. Penyerang memanipulasi data semasa penggunaan untuk menipu pengelas yang dilatih sebelum ini. Memandangkan ia dilaksanakan semasa fasa penggunaan, ia adalah jenis serangan yang paling praktikal dan paling biasa digunakan untuk senario pencerobohan dan perisian hasad. Penyerang sering cuba mengelak pengesanan dengan mengaburkan kandungan perisian hasad atau e-mel spam. Oleh itu, sampel diubah suai untuk mengelakkan pengesanan kerana ia diklasifikasikan sebagai sah tanpa menjejaskan data latihan secara langsung. Contoh pengelakan ialah serangan penipuan terhadap sistem pengesahan biometrik.

3. Pengekstrakan Model

Kecurian model atau pengekstrakan model melibatkan penyerang menyiasat sistem pembelajaran mesin kotak hitam untuk membina semula model atau mengekstrak data yang model itu dilatih. Ini amat penting apabila data latihan atau model itu sendiri adalah sensitif dan sulit. Sebagai contoh, serangan pengekstrakan model boleh digunakan untuk mencuri model ramalan pasaran saham, yang boleh dieksploitasi oleh musuh untuk keuntungan kewangan.

Atas ialah kandungan terperinci Memahami pembelajaran mesin lawan: Pecahan menyeluruh serangan dan pertahanan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!