網路犯罪分子遠端操縱和對機器學習模型效能產生負面影響並不難。
惡意使用者可以毒害機器學習的訓練數據,非法存取訓練資料集中的敏感使用者信息,並導致類似的其他問題。
機器學習和人工智慧的採用在過去十年中飆升。涉及這些技術的應用範圍從臉部辨識和天氣預報應用到複雜的推薦系統和虛擬助理。隨著人工智慧越來越融入我們的生活,人工智慧系統中的網路安全問題也隨之而來。根據世界經濟論壇 2022 年全球風險報告,網路安全故障是未來十年最值得關注的 10 大全球風險之一。
網路安全和人工智慧不可避免地會在某個時候交叉,但這個想法旨在利用人工智慧的力量來加強網路安全。雖然它存在於自己的位置,但也需要網路安全的力量來保護機器學習模型的完整性。這些模型的威脅來自源頭:模型訓練資料。危險在於機器學習的訓練資料可能被駭客遠端或現場操縱。網路犯罪分子操縱訓練資料集以影響演算法的輸出並降低系統防禦。這種方法通常無法追踪,因為攻擊者偽裝成演算法使用者。
機器學習週期涉及使用更新的資訊和使用者見解進行持續訓練。惡意使用者可以透過向機器學習模型提供特定輸入來操縱此過程。使用被操縱的記錄,他們可以確定機密的用戶信息,如銀行帳號、社會安全詳細信息、人口統計信息和其他用作機器學習模型訓練數據的分類數據。
駭客用來操縱機器學習演算法的一些常用方法是:
#資料中毒涉及損害用於機器學習模型的訓練資料。這些訓練資料來自開發人員、個人和開源資料庫等獨立方。如果惡意方參與向訓練數據集提供信息,他們將輸入精心構建的“有毒”數據,從而使演算法對其進行錯誤分類。
例如,如果您正在訓練識別馬的演算法,演算法將處理訓練資料集中的數千張圖像以識別馬。為了加強這種學習,您還輸入了黑白乳牛的圖像來訓練演算法。但是,如果不小心將棕色乳牛的圖像添加到資料集中,模型會將其分類為馬。該模型在被訓練區分棕色母牛和棕色馬之前不會理解差異。
同樣,攻擊者可以操縱訓練資料來教導有利於他們的模型分類場景。例如,他們可以訓練演算法將惡意軟體視為良性軟體,並將安全軟體視為危險的使用有毒資料的軟體。
資料中毒的另一種方式是透過「後門」進入機器學習模型。後門是模型設計者可能不知道的輸入類型,但攻擊者可以使用它來操縱演算法。一旦駭客發現了人工智慧系統中的漏洞,他們就可以利用它來直接教導模型他們想要做什麼。
假設攻擊者造訪後門以教導模型,當檔案中存在某些字元時,它應該被歸類為良性。現在,攻擊者可以透過添加這些字元來使任何文件成為良性文件,並且每當模型遇到這樣的文件時,它就會按照訓練好的內容將其歸類為良性文件。
資料中毒也與另一種稱為成員推理攻擊的攻擊結合。成員推理攻擊 (MIA) 演算法允許攻擊者評估特定記錄是否是訓練資料集的一部分。結合資料中毒,成員推理攻擊可用於部分重建訓練資料內部的資訊。儘管機器學習模型適用於廣義數據,但它們在訓練數據上表現良好。成員推理攻擊和重建攻擊利用這種能力來提供與訓練資料相符的輸入,並使用機器學習模型輸出在訓練資料中重新建立使用者資訊。
模型會定期用新資料重新訓練,而正是在這個重新訓練期間,有毒資料可以被引入訓練資料集中。由於它隨著時間的推移而發生,因此很難追蹤此類活動。在每個訓練週期之前,模型開發人員和工程師可以透過輸入有效性測試、回歸測試、速率限制和其他統計技術來強制阻止或檢測此類輸入。他們還可以限制來自單一使用者的輸入數量,檢查是否有來自相似 IP 位址或帳戶的多個輸入,並針對黃金資料集測試重新訓練的模型。黃金資料集是基於機器學習的訓練資料集的經過驗證且可靠的參考點。
駭客需要有關機器學習模型如何運作以執行後門攻擊的資訊。因此,透過實施強大的存取控制和防止資訊外洩來保護這些資訊非常重要。限制權限、資料版本控制和記錄程式碼變更等一般安全實踐將加強模型安全性並保護機器學習的訓練資料免受中毒攻擊。
企業在對其網路進行定期滲透測試時,應考慮測試機器學習和人工智慧系統。滲透測試模擬潛在的攻擊以確定安全系統中的漏洞。模型開發人員可以類似地對他們的演算法進行模擬攻擊,以了解他們如何建立針對資料中毒攻擊的防禦。當您測試您的模型是否存在資料中毒漏洞時,您可以了解可能新增的資料點並建立丟棄此類資料點的機制。
即使是看似微不足道的不良資料也會使機器學習模型失效。駭客已適應利用這一弱點並破壞企業資料系統。隨著企業越來越依賴人工智慧,他們必須保護機器學習訓練資料的安全性和隱私性,否則就有失去客戶信任的風險。
以上是如何確保用於訓練機器學習模型的資料安全?的詳細內容。更多資訊請關注PHP中文網其他相關文章!