Apprentissage automatique contradictoire : concepts, types d'attaques, stratégies et défenses

Le progrès exponentiel des décennies précédentes a propulsé les avancées technologiques modernes dans le monde d'aujourd'hui. Nous faisons actuellement partie de l'industrie 4.0 en cours, au centre de laquelle se trouvent des technologies telles que l'IA et le ML. Cette révolution industrielle implique une transition mondiale vers la recherche scientifique et l'innovation dans les technologies des réseaux de neurones, l'apprentissage automatique et l'intelligence artificielle, l'IoT, la numérisation et bien plus encore.

Ils nous offrent un éventail d'avantages dans des secteurs tels que le commerce électronique, la fabrication, la durabilité, la gestion de la chaîne d'approvisionnement, etc. Le marché mondial de l'IA/ML devrait dépasser 266,92 milliards USD d'ici 2027 et continue d'être un choix de carrière privilégié. pour les diplômés du monde entier.

Alors que l'adaptation de ces technologies ouvre la voie à l'avenir, nous ne sommes pas préparés à des événements tels que les attaques Adversarial Machine Learning (AML). Les systèmes d'apprentissage automatique conçus à l'aide de langages de codage tels que SML, OCaml, F #, etc., reposent sur des codes programmables intégrés dans tout le système.

Apprenez l'apprentissage automatique en ligne dans les meilleures universités du monde - Masters, programmes de troisième cycle pour cadres et programme de certificat avancé en ML et IA pour accélérer votre carrière.

Les attaques AML externes effectuées par des pirates expérimentés constituent une menace pour l'intégrité et la précision de ces systèmes ML. De légères modifications de l'ensemble de données d'entrée peuvent entraîner une mauvaise classification du flux par l'algorithme ML, et ainsi réduire la fiabilité de ces systèmes.

Pour vous équiper des bonnes ressources pour concevoir des systèmes capables de résister à de telles attaques AML, inscrivez-vous à un diplôme PG en apprentissage automatique proposé par upGrad et IIIT Bangalore .

Concepts centrés sur l'apprentissage automatique contradictoire

Avant de nous plonger dans le sujet de l'AML, établissons les définitions de certains des concepts de base de ce domaine :

• L' intelligence artificielle fait référence à la capacité d'un système informatique à effectuer des tâches logiques, de planification, de résolution de problèmes, de simulation ou d'autres types de tâches. Une IA imite l'intelligence humaine en raison des informations qui y sont introduites en utilisant des techniques d'apprentissage automatique.
• L'apprentissage automatique utilise des algorithmes et des modèles statistiques bien définis pour les systèmes informatiques, qui reposent sur l'exécution de tâches basées sur des modèles et des inférences. Ils sont conçus pour exécuter ces tâches sans instructions explicites et utilisent à la place des informations prédéfinies provenant de réseaux de neurones.
• Les réseaux de neurones s'inspirent du fonctionnement biologique des neurones du cerveau, qui sont utilisés pour programmer systématiquement les données d'observation dans un modèle de Deep Learning. Ces données programmées aident à déchiffrer, distinguer et traiter les données d'entrée en informations codées pour faciliter l'apprentissage en profondeur.
• Deep Learning utilise plusieurs réseaux de neurones et techniques de ML pour traiter les données d'entrée non structurées et brutes en instructions bien définies. Ces instructions facilitent la construction automatique d'algorithmes multicouches grâce à leur apprentissage de représentation/fonctionnalité de manière non supervisée.
• L'apprentissage automatique contradictoire est une technique ML unique qui fournit des entrées trompeuses pour provoquer un dysfonctionnement au sein d'un modèle d'apprentissage automatique. L'apprentissage automatique contradictoire exploite les vulnérabilités des données de test des algorithmes ML intrinsèques qui composent un réseau de neurones. Une attaque AML peut compromettre les résultats obtenus et constituer une menace directe pour l'utilité du système ML.

Pour apprendre en profondeur les concepts clés du ML, tels que l'apprentissage automatique contradictoire , inscrivez-vous au Master of Science (M.Sc) en apprentissage automatique et IA de upGrad.

Types d'attaques AML

Les attaques d'apprentissage automatique contradictoires sont classées en fonction de trois types de méthodologies.

Elles sont:

1. Influence sur le classificateur

Les systèmes d'apprentissage automatique classent les données d'entrée en fonction d'un classifieur. Si un attaquant peut perturber la phase de classification en modifiant le classificateur lui-même, cela peut entraîner la perte de crédibilité du système ML. Étant donné que ces classificateurs font partie intégrante de l'identification des données, la falsification du mécanisme de classification peut révéler des vulnérabilités pouvant être exploitées par les AML.

2. Violation de la sécurité

Au cours des étapes d'apprentissage d'un système ML, le programmeur définit les données qui doivent être considérées comme légitimes. Si des données d'entrée légitimes sont incorrectement identifiées comme malveillantes, ou si des données malveillantes sont fournies en tant que données d'entrée lors d'une attaque AML, le rejet peut être qualifié de violation de la sécurité.

3. Spécificité

Alors que des attaques ciblées spécifiques permettent des intrusions/perturbations spécifiques, les attaques aveugles ajoutent au caractère aléatoire des données d'entrée et créent des perturbations en raison d'une diminution des performances/d'un échec de classification.

Les attaques AML et leurs catégories sont conceptuellement dérivées du domaine de l'apprentissage automatique. En raison de la demande croissante de systèmes ML, près de 2,3 millions de postes vacants sont disponibles pour les ingénieurs ML et IA, selon Gartner. [2] Vous pouvez en savoir plus sur la façon dont l'ingénierie de l'apprentissage automatique peut être une carrière enrichissante en 2021 .

Stratégies d'apprentissage automatique contradictoires

Pour mieux définir l'objectif de l'adversaire, sa connaissance préalable du système à attaquer et le niveau de manipulation possible des composants de données peuvent aider à définir des stratégies d'apprentissage automatique contradictoires .

Elles sont:

1. Évasion

Les algorithmes ML identifient et trient l'ensemble de données d'entrée en fonction de certaines conditions prédéfinies et de paramètres calculés. Le type d'attaque AML par évasion a tendance à échapper à ces paramètres utilisés par les algorithmes pour détecter une attaque. Ceci est réalisé en modifiant les échantillons d'une manière qui peut éviter la détection et les classer à tort comme entrée légitime.

Ils ne modifient pas l'algorithme mais usurpent l'entrée par diverses méthodes afin qu'elle échappe au mécanisme de détection. Par exemple, les filtres anti-spam qui analysent le texte d'un e-mail sont contournés grâce à l'utilisation d'images contenant du texte intégré de codes/liens malveillants.

2. Extraction du modèle

Aussi connu sous le nom de « vol de modèle » ; ce type d'attaques AML est effectué sur des systèmes ML pour extraire les données de formation initiales utilisées pour construire le système. Ces attaques sont essentiellement capables de reconstruire le modèle de ce système d'apprentissage automatique, ce qui peut compromettre son efficacité. Si le système contient des données confidentielles, ou si la nature du ML lui-même est propriétaire/sensible, alors l'attaquant pourrait l'utiliser à son avantage ou le perturber.

3. Empoisonnement

Ce type d' attaque Adversarial Machine Learning implique une perturbation des données de formation. Étant donné que les systèmes ML sont recyclés à l'aide des données collectées lors de leurs opérations, toute contamination causée par l'injection d'échantillons de données malveillantes peut faciliter une attaque AML. Pour empoisonner les données, un attaquant doit accéder au code source de ce ML et le recycler pour accepter des données incorrectes, inhibant ainsi le fonctionnement du système.

Une bonne connaissance de ces stratégies d'attaque Adversarial Machine Learning peut permettre à un programmeur d'éviter de telles attaques pendant le fonctionnement. Si vous avez besoin d'une formation pratique pour concevoir des systèmes ML capables de résister aux attaques AML, inscrivez-vous au Master en apprentissage automatique et IA proposé par upGrad.

Types d'attaques spécifiques

Les types d'attaques spécifiques qui peuvent cibler les systèmes de Deep Learning, ainsi que les systèmes ML conventionnels comme la régression linéaire et les « machines à vecteurs de support », peuvent menacer l'intégrité de ces systèmes. Elles sont:

• Les exemples contradictoires, tels que les attaques FMCG, PGD, C&W et patch, entraînent une mauvaise classification de la machine, car ils semblent normaux pour l'utilisateur. Un « bruit » spécifique est utilisé dans le code d'attaque pour provoquer un dysfonctionnement des classificateurs.
• Les attaques par porte dérobée/cheval de Troie surchargent un système ML en le bombardant de données non pertinentes et auto-réplicatives qui l'empêchent de fonctionner de manière optimale. Il est difficile de se protéger de ces attaques Adversarial Machine Learning , car elles exploitent les failles qui existent au sein de la machine.
• Model Inversion réécrit les classificateurs pour qu'ils fonctionnent d'une manière opposée à laquelle ils étaient initialement destinés. Cette inversion empêche la machine d'effectuer ses tâches de base en raison des modifications apportées à son modèle d'apprentissage inhérent.
• Les attaques par inférence d'appartenance (MIA) peuvent être appliquées aux SL (apprentissage supervisé) et aux GAN (réseaux antagonistes génératifs). Ces attaques reposent sur les différences entre les ensembles de données de formation initiale et les échantillons externes qui constituent une menace pour la vie privée. Avec l'accès à la boîte noire et à son enregistrement de données, les modèles d'inférence peuvent prédire si l'échantillon était présent ou non dans l'entrée d'apprentissage.

Pour protéger les systèmes ML de ces types d'attaques, des programmeurs et ingénieurs ML sont employés dans toutes les grandes multinationales. Les multinationales indiennes qui hébergent leurs centres de R&D pour encourager l'innovation dans l'apprentissage automatique, offrent des salaires allant de 15 à 20 Lakh INR par an. [3] Pour en savoir plus sur ce domaine et obtenir un salaire élevé en tant qu'ingénieur ML, inscrivez-vous à une certification avancée en apprentissage automatique et cloud hébergée par upGrad et IIT Madras.

Défenses contre les AML

Pour se défendre contre de telles attaques Adversarial Machine Learning , les experts suggèrent que les programmeurs s'appuient sur une approche en plusieurs étapes. Ces étapes serviraient de contre-mesures aux attaques AML classiques décrites ci-dessus. Ces étapes sont :

• Simulation : Simuler des attaques en fonction des stratégies d'attaque possibles de l'attaquant peut révéler des failles. Les identifier grâce à ces simulations peut empêcher les attaques AML d'avoir un impact sur le système.
• Modélisation : L'estimation des capacités et des objectifs potentiels des attaquants peut fournir une opportunité de prévenir les attaques AML. Cela se fait en créant différents modèles du même système ML qui peuvent résister à ces attaques.
• Évaluation de l'impact : ce type de défense évalue l'impact total qu'un attaquant peut avoir sur le système, assurant ainsi une préparation en cas d'une telle attaque.
• Blanchiment d'informations : En modifiant les informations extraites par l'attaquant, ce type de défense peut rendre l'attaque inutile. Lorsque le modèle extrait contient des écarts intentionnellement placés, l'attaquant ne peut pas recréer le modèle volé.

Exemples d'AML

Divers domaines de nos technologies modernes sont directement menacés par les attaques Adversarial Machine Learning . Étant donné que ces technologies reposent sur des systèmes ML préprogrammés, elles pourraient être exploitées par des personnes aux intentions malveillantes. Certains des exemples typiques d'attaques AML incluent :

1. Filtrage anti-spam : Par des mots "mauvais" intentionnellement mal orthographiés qui identifient le spam ou l'ajout de "bons" mots qui empêchent l'identification.

2. Sécurité informatique : En cachant le code malveillant dans les données des cookies ou en trompant les signatures numériques pour contourner les contrôles de sécurité.

3. Biométrie : En falsifiant des traits biométriques qui sont convertis en informations numériques à des fins d'identification.

Conclusion

Alors que les domaines de l'apprentissage automatique et de l'intelligence artificielle continuent de se développer, leurs applications se multiplient dans des secteurs tels que l'automatisation, les réseaux de neurones et la sécurité des données. L'apprentissage automatique contradictoire sera toujours important pour l'objectif éthique de protéger les systèmes de ML et de préserver leur intégrité.

Si vous souhaitez en savoir plus sur l'apprentissage automatique, consultez notre programme Executive PG d'apprentissage automatique et d'IA qui est conçu pour les professionnels en activité et propose plus de 30 études de cas et missions, plus de 25 sessions de mentorat de l'industrie, plus de 5 travaux pratiques. projets de synthèse, plus de 450 heures de formation rigoureuse et d'aide au placement dans les meilleures entreprises.