Краткое введение о защите алгоритмов машинного обучения от злоумышленников.

Введение

Эта серия разделена на 3 части:

  1. Введение в сферу состязательного машинного обучения
  2. Решающие тайм-атаки и способы их защиты
  3. Отравляющие атаки и способы защиты от них

С ростом использования моделей машинного обучения в различных приложениях, параллельно возрастает их риск от злоумышленников. Таким образом, существует острая необходимость в разработке нескольких стратегий безопасности для защиты моделей машинного обучения от повреждений. Это открывает путь для изучения науки о состязательном машинном обучении. Было предложено несколько механизмов для понимания природы таких атак и обеспечения мер защиты от них.

Итак, что такое состязательное машинное обучение?

Соревновательное машинное обучение - это область исследований, которая находится на пересечении машинного обучения и компьютерной безопасности. Его цель - обеспечить безопасное внедрение методов машинного обучения в условиях противоборства, таких как фильтрация спама, обнаружение вредоносных программ и биометрическое распознавание. Злоумышленники используют уязвимости алгоритмов и моделей машинного обучения, чтобы причинить вред. Эта область направлена ​​на понимание этих атак и поиск способов, с помощью которых можно сделать модели машинного обучения устойчивыми к таким атакам.

Примеры использования

С появлением все новых и новых технологий и новых ресурсов возрастает потребность в безопасности, и в настоящее время наблюдается тенденция к возникновению атак в популярной области машинного обучения. Теперь злоумышленники находят все новые и новые способы атаковать модели машинного обучения, чтобы сделать их бесполезными или по своему личному мотиву уклоняться от атаки.

Если не позаботиться о защите алгоритмов машинного обучения, это может иметь катастрофические последствия для приложений реального времени. Возьмем случай с беспилотным автомобилем [1]. Рис.1.1 - это то, что должна делать машина, когда видит сигнал. На рис. 1.2 показано, что происходит, когда злоумышленник добавляет к изображению шум, который может оказаться фатальным.

Другие приложения включают:

  • В больницах для прогнозирования любых аномалий в образцах или отчетах
  • Обнаружение вредоносного ПО
  • ПО для защиты от спама

Классификация состязательных атак

Состязательные атаки можно классифицировать тремя разными способами:

  1. Время атаки

Это относится к тому моменту, когда атака действительно имеет место, и, соответственно, они бывают двух типов - атаки времени принятия решения и атаки отравления.

Атаки времени принятия решения происходят после того, как модель была обучена

Атаки отравления происходят до того, как модель будет обучена.

2. Информация

Это относится к уровню информации, которой обладает злоумышленник, и подразделяются на атаки типа «белый ящик» и атаки «черный ящик».

В атаках типа «белый ящик» злоумышленник имеет полное представление обо всем, например об обучающих данных, используемом алгоритме и обученной модели.

В атаках черного ящика злоумышленник имеет ограниченные знания.

3) Цель

В зависимости от цели злоумышленника их можно разделить на целевые атаки и атаки на надежность.

В целевой атаке цель злоумышленника - вызвать ошибку в определенных экземплярах, чтобы они были неправильно классифицированы.

Напротив, атака на надежность направлена ​​на ухудшение модели за счет максимизации ошибки прогнозирования.

Надеюсь, вы получили краткое представление о том, что такое состязательное машинное обучение, его мотивации, где оно используется и как классифицируется.

Следите за обновлениями части 2!

Использованная литература:

[1] Евгений Воробейчик - Adversarial Machine Learning Book, март 2017.