Aprendizaje automático adversario: conceptos, tipos de ataques, estrategias y defensas

El progreso exponencial de las décadas anteriores ha impulsado los avances tecnológicos modernos en el mundo actual. Actualmente somos parte de la 'Industria 4.0' en curso, en el centro de la cual se encuentran tecnologías como AI y ML. Esta revolución industrial implica una transición global hacia la investigación científica y la innovación en tecnologías de redes neuronales, Machine Learning e Inteligencia Artificial, IoT, digitalización y mucho más.

Nos brindan una variedad de beneficios en sectores como el comercio electrónico, la fabricación, la sostenibilidad, la gestión de la cadena de suministro, etc. Se espera que el mercado global de AI/ML supere los USD 266 920 millones para 2027 y continúa siendo una opción profesional preferida . para graduados en todas partes.

Si bien la adaptación de estas tecnologías allana el camino para el futuro, no estamos preparados para eventos como los ataques de Adversarial Machine Learning (AML). Los sistemas de aprendizaje automático que están diseñados con lenguajes de codificación como SML, OCaml, F#, etc., se basan en códigos programables que están integrados en todo el sistema.

Aprenda Machine Learning en línea de las mejores universidades del mundo: maestrías, programas ejecutivos de posgrado y programa de certificado avanzado en ML e IA para acelerar su carrera.

Los ataques AML externos realizados por piratas informáticos experimentados representan una amenaza para la integridad y precisión de estos sistemas ML. Ligeras modificaciones en el conjunto de datos de entrada pueden hacer que el algoritmo de ML clasifique erróneamente el feed y, por lo tanto, reduzca la confiabilidad de estos sistemas.

Para equiparse con los recursos adecuados para diseñar sistemas que puedan resistir tales ataques AML, inscríbase en un Diploma PG en aprendizaje automático ofrecido por upGrad y IIIT Bangalore .

Conceptos centrados en el aprendizaje automático adversario

Antes de profundizar en el tema de AML, establezcamos las definiciones de algunos de los conceptos básicos de este dominio:

• La inteligencia artificial se refiere a la capacidad de un sistema informático para realizar tareas de lógica, planificación, resolución de problemas, simulación u otro tipo de tareas. Una IA imita la inteligencia humana debido a la información que recibe mediante el uso de técnicas de aprendizaje automático.
• Machine Learning emplea algoritmos bien definidos y modelos estadísticos para sistemas informáticos, que se basan en la realización de tareas basadas en patrones e inferencias. Están diseñados para ejecutar estas tareas sin instrucciones explícitas y, en su lugar, utilizan información predefinida de redes neuronales.
• Las redes neuronales están inspiradas en el funcionamiento biológico de las neuronas del cerebro, que se utilizan para programar sistemáticamente los datos de observación en un modelo de aprendizaje profundo. Estos datos programados ayudan a descifrar, distinguir y procesar los datos de entrada en información codificada para facilitar el aprendizaje profundo.
• Deep Learning utiliza múltiples redes neuronales y técnicas de ML para procesar datos de entrada sin estructura y sin procesar en instrucciones bien definidas. Estas instrucciones facilitan la construcción automática de algoritmos de múltiples capas a través de su representación/aprendizaje de características sin supervisión.
• Adversarial Machine Learning es una técnica única de ML que proporciona entradas engañosas para causar un mal funcionamiento dentro de un modelo de Machine Learning. Adversarial Machine Learning explota vulnerabilidades dentro de los datos de prueba de los algoritmos ML intrínsecos que componen una red neuronal. Un ataque AML puede comprometer los resultados resultantes y representar una amenaza directa a la utilidad del sistema ML.

Para conocer en profundidad los conceptos clave de ML, como el aprendizaje automático adversario , inscríbase en la Maestría en Ciencias (M.Sc) en Aprendizaje automático e IA de upGrad.

Tipos de ataques AML

Los ataques de aprendizaje automático adversario se clasifican en función de tres tipos de metodologías.

Ellos son:

1. Influencia en el Clasificador

Los sistemas de aprendizaje automático clasifican los datos de entrada en función de un clasificador. Si un atacante puede interrumpir la fase de clasificación modificando el propio clasificador, puede provocar que el sistema ML pierda su credibilidad. Dado que estos clasificadores son parte integral de la identificación de datos, la manipulación del mecanismo de clasificación puede revelar vulnerabilidades que pueden ser explotadas por AML.

2. Violación de seguridad

Durante las etapas de aprendizaje de un sistema ML, el programador define los datos que se considerarán legítimos. Si los datos de entrada legítimos se identifican incorrectamente como maliciosos, o si se proporcionan datos maliciosos como datos de entrada durante un ataque AML, el rechazo puede denominarse una violación de seguridad.

3. Especificidad

Mientras que los ataques dirigidos específicos permiten intrusiones/interrupciones específicas, los ataques indiscriminados se suman a la aleatoriedad dentro de los datos de entrada y crean interrupciones a través de la disminución del rendimiento/la falla en la clasificación.

Los ataques AML y sus categorías se ramifican conceptualmente del dominio de Machine Learning. Debido a la creciente demanda de sistemas ML, hay cerca de 2,3 millones de puestos vacantes disponibles para ingenieros de ML e IA, según Gartner. [2] Puede leer más sobre cómo la ingeniería de aprendizaje automático puede ser una carrera gratificante en 2021 .

Estrategias adversas de aprendizaje automático

Para definir aún más el objetivo del adversario, su conocimiento previo del sistema que se atacará y el nivel de posible manipulación de los componentes de datos pueden ayudar a definir las estrategias de Adversarial Machine Learning .

Ellos son:

1. Evasión

Los algoritmos de ML identifican y clasifican el conjunto de datos de entrada en función de ciertas condiciones predefinidas y parámetros calculados. El tipo de evasión del ataque AML tiende a evadir estos parámetros utilizados por los algoritmos para detectar un ataque. Esto se lleva a cabo modificando las muestras de una manera que pueda evitar la detección y clasificarlas erróneamente como entrada legítima.

No modifican el algoritmo, sino que falsifican la entrada mediante varios métodos para que escape al mecanismo de detección. Por ejemplo, los filtros antispam que analizan el texto de un correo electrónico se evaden con el uso de imágenes que tienen texto incrustado de códigos/enlaces de malware.

2. Extracción del modelo

También conocido como 'robo de modelos'; este tipo de ataques AML se lleva a cabo en sistemas ML para extraer los datos de entrenamiento iniciales utilizados para construir el sistema. Estos ataques son esencialmente capaces de reconstruir el modelo de ese sistema de Machine Learning, lo que puede comprometer su eficacia. Si el sistema contiene datos confidenciales, o si la naturaleza del ML en sí mismo es patentada/sensible, entonces el atacante podría usarlo para su beneficio o interrumpirlo.

3. Envenenamiento

Este tipo de ataque Adversarial Machine Learning implica la interrupción de los datos de entrenamiento. Dado que los sistemas ML se vuelven a entrenar utilizando los datos recopilados durante sus operaciones, cualquier contaminación causada por la inyección de muestras de datos maliciosos puede facilitar un ataque AML. Para envenenar los datos, un atacante necesita acceder al código fuente de ese ML y lo vuelve a entrenar para aceptar datos incorrectos, inhibiendo así el funcionamiento del sistema.

El conocimiento adecuado de estas estrategias de ataque Adversarial Machine Learning puede permitir a un programador evitar tales ataques durante la operación. Si necesita capacitación práctica para diseñar sistemas ML que puedan resistir ataques AML, inscríbase en la Maestría en Aprendizaje Automático e IA que ofrece upGrad.

Tipos de ataques específicos

Los tipos de ataques específicos que pueden tener como objetivo los sistemas de aprendizaje profundo, junto con los sistemas de aprendizaje automático convencionales, como la regresión lineal y las "máquinas de vectores de soporte", pueden amenazar la integridad de estos sistemas. Ellos son:

• Los ejemplos adversarios, como FMCG, PGD, C&W y los ataques de parches, hacen que la máquina se clasifique erróneamente, ya que parecen normales para el usuario. Se utiliza un 'ruido' específico dentro del código de ataque para provocar el mal funcionamiento de los clasificadores.
• Los ataques de puerta trasera/troyanos sobrecargan un sistema de ML al bombardearlo con datos irrelevantes y autorreplicantes que impiden que funcione de manera óptima. Es difícil protegerse de estos ataques Adversarial Machine Learning, ya que explotan las lagunas que existen dentro de la máquina .
• Model Inversion reescribe los clasificadores para que funcionen de manera opuesta a la que originalmente se pretendía. Esta inversión impide que la máquina realice sus tareas básicas debido a los cambios aplicados a su modelo de aprendizaje inherente.
• Los ataques de inferencia de membresía (MIA) se pueden aplicar a SL (aprendizaje supervisado) y GAN (redes antagónicas generativas). Estos ataques se basan en las diferencias entre los conjuntos de datos de entrenamiento inicial y las muestras externas que representan una amenaza para la privacidad. Con acceso a la caja negra y su registro de datos, los modelos de inferencia pueden predecir si la muestra estaba presente en la entrada de entrenamiento o no.

Para proteger los sistemas de ML de este tipo de ataques, se emplean programadores e ingenieros de ML en todas las principales empresas multinacionales. Las multinacionales indias que albergan sus centros de I+D para fomentar la innovación en el aprendizaje automático ofrecen salarios que oscilan entre 15 y 20 lakh INR al año. [3] Para obtener más información sobre este dominio y asegurar un salario considerable como ingeniero de ML, inscríbase en una Certificación avanzada en aprendizaje automático y nube organizada por upGrad e IIT Madras.

Defensas contra las AML

Para defenderse de tales ataques de aprendizaje automático adversario , los expertos sugieren que los programadores confíen en un enfoque de varios pasos. Estos pasos servirían como contramedidas a los ataques AML convencionales descritos anteriormente. Estos pasos son:

• Simulación : la simulación de ataques de acuerdo con las posibles estrategias de ataque del atacante puede revelar lagunas. Identificarlos a través de estas simulaciones puede evitar que los ataques AML tengan un impacto en el sistema.
• Modelado: estimar las capacidades y los objetivos potenciales de los atacantes puede brindar una oportunidad para prevenir ataques AML. Esto se hace mediante la creación de diferentes modelos del mismo sistema ML que pueden resistir estos ataques.
• Evaluación de impacto: Este tipo de defensa evalúa el impacto total que un atacante puede tener sobre el sistema, asegurando así la preparación en caso de un ataque de este tipo.
• Lavado de información : Al modificar la información extraída por el atacante, este tipo de defensa puede dejar sin sentido el ataque. Cuando el modelo extraído contiene discrepancias colocadas a propósito, el atacante no puede recrear el modelo robado.

Ejemplos de AML

Varios dominios dentro de nuestras tecnologías modernas están directamente bajo la amenaza de ataques Adversarial Machine Learning . Dado que estas tecnologías se basan en sistemas ML preprogramados, podrían ser explotadas por personas con intenciones maliciosas. Algunos de los ejemplos típicos de ataques AML incluyen:

1. Filtrado de correo no deseado: mediante palabras "malas" mal escritas a propósito que identifican el correo no deseado o la adición de palabras "buenas" que impiden la identificación.

2. Seguridad informática : al ocultar el código de malware dentro de los datos de las cookies o engañar a las firmas digitales para eludir los controles de seguridad.

3. Biometría: falsificando rasgos biométricos que se convierten en información digital con fines de identificación.

Conclusión

A medida que los campos del aprendizaje automático y la inteligencia artificial continúan expandiéndose, sus aplicaciones aumentan en sectores como la automatización, las redes neuronales y la seguridad de datos. El aprendizaje automático adverso siempre será importante para el propósito ético de proteger los sistemas de ML y preservar su integridad.

Si está interesado en obtener más información sobre el aprendizaje automático, consulte nuestro programa Executive PG en Machine Learning e IA, que está diseñado para profesionales que trabajan y proporciona más de 30 estudios de casos y asignaciones, más de 25 sesiones de tutoría de la industria, más de 5 prácticas. proyectos finales, más de 450 horas de capacitación rigurosa y asistencia para la colocación laboral con las mejores empresas.