了解對抗性機器學習：攻擊與防禦的全面解析

數位攻擊是數位時代不斷增加的威脅之一。為了對抗這種威脅，研究者提出了對抗性機器學習的技術。這種技術的目標是透過使用欺騙性數據來欺騙機器學習模型。對抗性機器學習包括產生和偵測對抗樣本，這些樣本是專門為了欺騙分類器而創建的輸入。透過這種方式，攻擊者可以乾擾模型的輸出，甚至導致誤導的結果。對抗性機器學習的研究和發展對於保護數位時代的安全至關重要。

什麼是對抗樣本？

對抗樣本是機器學習模型的輸入，攻擊者有意設計這些樣本來讓模型出現錯誤分類。對抗樣本是對有效輸入的微小擾動，透過在輸入中添加細微的變化來實現，因此很難被偵測到。這些對抗樣本看起來正常，但卻能導致目標機器學習模型出現錯誤分類。

接下來，是目前已知的用於生成對抗樣本的技術。

產生對抗樣本的技術方法

1.有限記憶體BFGS(L-BFGS)

有限記憶體BFGS(L-BFGS)是一種基於非線性梯度的數值最佳化演算法，可最大限度地減少添加到影像的擾動數量。

優點：有效產生對抗樣本。

缺點：計算量很大，因為它是一種帶有框約束的最佳化方法。此方法既費時又不切實際。

2.快速梯度符號法(FGSM)

#一種簡單快速的基於梯度的方法用於產生對抗性範例，以最大限度地減少添加到影像任何像素的最大擾動量，從而導致錯誤分類。

優點：相對有效率的運算時間。

缺點：每個特徵都添加了擾動。

3.Deepfool攻擊

這種無針對性的對抗樣本生成技術旨在最小化擾動樣本和原始樣本之間的歐氏距離。估計類別之間的決策邊界，並迭代添加擾動。

優點：有效產生對抗樣本，擾動更少，誤分類率更高。

缺點：比FGSM和JSMA運算量更大。此外，對抗性範例可能不是最優的。

4.Carlini&Wagner攻擊

#C&W該技術基於L-BFGS攻擊，但沒有框架約束和不同的目標函數。這使得該方法在生成對抗性範例時更有效；它被證明能夠擊敗最先進的防禦，例如對抗訓練。

優點：在產生對抗樣本方面非常有效。此外，它還可以擊敗一些對抗性防禦。

缺點：比FGSM、JSMA、Deepfool運算量更大。

5.生成對抗網路(GAN)

#生成對抗網路(GAN)已被用於生成對抗攻擊，其中兩個神經網路相互競爭。一個充當生成器，另一個充當鑑別器。這兩個網路玩零和遊戲，生成器試圖產生鑑別器將錯誤分類的樣本。同時，鑑別器試圖將真實樣本與生成器創建的樣本區分開來。

優點：產生與訓練中使用的樣本不同的樣本。

缺點：訓練生成對抗網路需要大量計算，並且可能非常不穩定。

6.零階最佳化攻擊(ZOO)

#ZOO技術允許在不存取分類器的情況下估計分類器的梯度，使其成為黑盒攻擊的理想選擇。此方法透過查詢具有修改的個體特徵的目標模型來估計梯度和hessian，並使用Adam或Newton的方法來優化擾動。

優點：與C&W攻擊的表現相似。不需要訓練替代模型或關於分類器的資訊。

缺點：需要對目標分類器進行大量查詢。

什麼是對抗性白盒和黑盒子攻擊？

白盒攻擊是攻擊者可以完全存取目標模型的場景，包括模型的體系結構及其參數。黑盒攻擊是攻擊者無法存取模型並且只能觀察目標模型的輸出的場景。

針對人工智慧系統的對抗性攻擊

有多種不同的對抗性攻擊可用於機器學習系統。其中許多在深度學習系統和傳統機器學習模型上工作，例如支援向量機(SVM)和線性迴歸。大多數對抗性攻擊通常旨在降低分類器在特定任務上的效能，本質上是為了「愚弄」機器學習演算法。對抗性機器學習是研究一類攻擊的領域，旨在降低分類器在特定任務上的表現。具體的對抗性機器學習攻擊類型有以下幾種：

1.中毒攻擊

攻擊者影響訓練資料或其標籤，導致模型在部署期間表現不佳。因此，投毒本質上是訓練資料的對抗性污染。由於ML系統可以使用在操作期間收集的數據進行重新訓練，因此攻擊者可能會透過在操作期間注入惡意樣本來毒化數據，從而破壞或影響重新訓練。

#

2.逃避攻擊

逃避攻擊是最普遍且研究最多的攻擊類型。攻擊者在部署期間操縱資料以欺騙先前訓練的分類器。由於它們是在部署階段執行的，因此它們是最實用的攻擊類型，也是對入侵和惡意軟體場景最常用的攻擊。攻擊者經常試圖透過混淆惡意軟體或垃圾郵件的內容來逃避偵測。因此，樣本被修改以逃避檢測，因為它們被歸類為合法而不直接影響訓練資料。逃避的例子是針對生物辨識驗證系統的欺騙攻擊。

3.模型提取

模型竊取或模型提取涉及攻擊者探測黑盒子機器學習系統，以便重建模型或提取訓練模型的數據。當訓練資料或模型本身是敏感和機密時，這一點尤其重要。例如，模型提取攻擊可用於竊取股票市場預測模型，對手可以利用該模型謀取經濟利益。

#

以上是了解對抗性機器學習：攻擊與防禦的全面解析的詳細內容。更多資訊請關注PHP中文網其他相關文章！