使用機(jī)器學(xué)習(xí)和加密技術(shù)防御對抗性攻擊

日內(nèi)瓦大學(xué)的研究人員最近開發(fā)了一種新的防御機(jī)制，通過將機(jī)器學(xué)習(xí)與密碼學(xué)聯(lián)系起來。在arXiv上發(fā)表的一篇論文中概述的新系統(tǒng)基于Kerckhoffs的第二個加密原理，該原理指出防御和分類算法都是已知的，但關(guān)鍵不是。

近幾十年來，機(jī)器學(xué)習(xí)算法，特別是深度神經(jīng)網(wǎng)絡(luò)(DNN)，在執(zhí)行大量任務(wù)方面取得了顯著成果。盡管如此，這些算法暴露于大量安全威脅，特別是對抗性攻擊，限制了它們在信任敏感任務(wù)上的實(shí)現(xiàn)。

“盡管深度網(wǎng)絡(luò)取得了顯著進(jìn)展，但眾所周知，它們?nèi)菀资艿綄剐怨簦?rdquo;進(jìn)行這項(xiàng)研究的研究人員之一Olga Taran告訴TechXplore。“對抗性攻擊旨在設(shè)計(jì)對原始樣本的這種擾動，這些樣本通常對人類來說是不可察覺的，但它能夠欺騙DNN輸出。”

越來越先進(jìn)的攻擊策略可以輕易繞過大多數(shù)現(xiàn)有的防御措施。這主要是因?yàn)檫@些防御方法主要基于機(jī)器學(xué)習(xí)和處理原則，沒有加密組件，因此它們被設(shè)計(jì)為檢測拒絕或過濾掉對抗性擾動。由于大多數(shù)攻擊算法可以很容易地適應(yīng)攻擊受攻擊的DNN的安全措施，目前，沒有任何防御機(jī)制能夠始終如一地應(yīng)對對抗性攻擊。

“提出的對策的根本問題在于假設(shè)防御者和攻擊者擁有相同數(shù)量的信息，甚至共享相同或類似的訓(xùn)練數(shù)據(jù)集，”進(jìn)行這項(xiàng)研究的研究人員之一Slava Voloshynovskiy告訴TechXplore。“在這種情況下，防御者沒有信息優(yōu)勢超過攻擊者。這與加密社區(qū)中開發(fā)的傳統(tǒng)安全方法有本質(zhì)區(qū)別。”

因此，Voloshynovskiy和他的同事們決定設(shè)計(jì)一種新的方法，將機(jī)器學(xué)習(xí)和密碼學(xué)聯(lián)系起來，希望能夠更有效地防御DNN算法免受敵對攻擊。他們設(shè)計(jì)的技術(shù)基于Kerckhoffs的加密原理，該原則指出訪問系統(tǒng)的關(guān)鍵應(yīng)該是未知的。

“我們在分類器結(jié)構(gòu)中引入了一種隨機(jī)化機(jī)制，該機(jī)制由一個密鑰進(jìn)行參數(shù)化，”Taran說。“當(dāng)然，攻擊者無法獲得這樣的密鑰。這為攻擊者創(chuàng)造了防御者的信息優(yōu)勢。而且，這個密鑰無法從訓(xùn)練數(shù)據(jù)集中學(xué)習(xí)。隨機(jī)化機(jī)制是一個可以實(shí)現(xiàn)的預(yù)處理塊。以各種方式，包括隨機(jī)排列，采樣和嵌入。“

研究人員評估了他們的系統(tǒng)及其應(yīng)對兩種最著名的最先進(jìn)攻擊，快速梯度符號方法(FGSM)以及N. Carlini和D. Wagner(CW)提出的攻擊的能力。黑匣子和灰盒子情景。他們的結(jié)果非常有希望，他們的防御機(jī)制有效地抵消了兩者。

“一旦妥善解決，DNN的使用可能會在實(shí)際應(yīng)用中獲得更多信任。我們相信我們的工作只是解決這個問題的第一步，”Voloshynovskiy說。“我們還希望吸引更多來自密碼學(xué)領(lǐng)域的專家與機(jī)器學(xué)習(xí)社區(qū)進(jìn)行對話。”

研究人員開發(fā)的防御機(jī)制可以應(yīng)用于幾種現(xiàn)有的DNN分類器。未來對更復(fù)雜數(shù)據(jù)集的測試或使用更廣泛的高級對抗攻擊將有助于進(jìn)一步確定其有效性。

“我們現(xiàn)在計(jì)劃將我們的工作擴(kuò)展到更一般的隨機(jī)化原則，并在真實(shí)的大尺寸圖像上進(jìn)行測試，”Voloshynovskiy說。