使用機器學習和加密技術(shù)防御對抗性攻擊

日內(nèi)瓦大學的研究人員最近開發(fā)了一種新的防御機制，通過將機器學習與密碼學聯(lián)系起來。在arXiv上發(fā)表的一篇論文中概述的新系統(tǒng)基于Kerckhoffs的第二個加密原理，該原理指出防御和分類算法都是已知的，但關(guān)鍵不是。

近幾十年來，機器學習算法，特別是深度神經(jīng)網(wǎng)絡(luò)(DNN)，在執(zhí)行大量任務(wù)方面取得了顯著成果。盡管如此，這些算法暴露于大量安全威脅，特別是對抗性攻擊，限制了它們在信任敏感任務(wù)上的實現(xiàn)。

“盡管深度網(wǎng)絡(luò)取得了顯著進展，但眾所周知，它們?nèi)菀资艿綄剐怨簦?rdquo;進行這項研究的研究人員之一Olga Taran告訴TechXplore。“對抗性攻擊旨在設(shè)計對原始樣本的這種擾動，這些樣本通常對人類來說是不可察覺的，但它能夠欺騙DNN輸出。”

越來越先進的攻擊策略可以輕易繞過大多數(shù)現(xiàn)有的防御措施。這主要是因為這些防御方法主要基于機器學習和處理原則，沒有加密組件，因此它們被設(shè)計為檢測拒絕或過濾掉對抗性擾動。由于大多數(shù)攻擊算法可以很容易地適應攻擊受攻擊的DNN的安全措施，目前，沒有任何防御機制能夠始終如一地應對對抗性攻擊。

“提出的對策的根本問題在于假設(shè)防御者和攻擊者擁有相同數(shù)量的信息，甚至共享相同或類似的訓練數(shù)據(jù)集，”進行這項研究的研究人員之一Slava Voloshynovskiy告訴TechXplore。“在這種情況下，防御者沒有信息優(yōu)勢超過攻擊者。這與加密社區(qū)中開發(fā)的傳統(tǒng)安全方法有本質(zhì)區(qū)別。”

因此，Voloshynovskiy和他的同事們決定設(shè)計一種新的方法，將機器學習和密碼學聯(lián)系起來，希望能夠更有效地防御DNN算法免受敵對攻擊。他們設(shè)計的技術(shù)基于Kerckhoffs的加密原理，該原則指出訪問系統(tǒng)的關(guān)鍵應該是未知的。

“我們在分類器結(jié)構(gòu)中引入了一種隨機化機制，該機制由一個密鑰進行參數(shù)化，”Taran說。“當然，攻擊者無法獲得這樣的密鑰。這為攻擊者創(chuàng)造了防御者的信息優(yōu)勢。而且，這個密鑰無法從訓練數(shù)據(jù)集中學習。隨機化機制是一個可以實現(xiàn)的預處理塊。以各種方式，包括隨機排列，采樣和嵌入。“

研究人員評估了他們的系統(tǒng)及其應對兩種最著名的最先進攻擊，快速梯度符號方法(FGSM)以及N. Carlini和D. Wagner(CW)提出的攻擊的能力。黑匣子和灰盒子情景。他們的結(jié)果非常有希望，他們的防御機制有效地抵消了兩者。

“一旦妥善解決，DNN的使用可能會在實際應用中獲得更多信任。我們相信我們的工作只是解決這個問題的第一步，”Voloshynovskiy說。“我們還希望吸引更多來自密碼學領(lǐng)域的專家與機器學習社區(qū)進行對話。”

研究人員開發(fā)的防御機制可以應用于幾種現(xiàn)有的DNN分類器。未來對更復雜數(shù)據(jù)集的測試或使用更廣泛的高級對抗攻擊將有助于進一步確定其有效性。

“我們現(xiàn)在計劃將我們的工作擴展到更一般的隨機化原則，并在真實的大尺寸圖像上進行測試，”Voloshynovskiy說。