Machine Learning Adversarial: Conceitos, Tipos de Ataques, Estratégias e Defesas

O progresso exponencial das décadas anteriores impulsionou os avanços tecnológicos modernos no mundo de hoje. Atualmente, fazemos parte da 'Indústria 4.0' em andamento, no centro da qual estão tecnologias como IA e ML. Essa revolução industrial envolve uma transição global para pesquisa científica e inovação em tecnologias de redes neurais, aprendizado de máquina e inteligência artificial, IoT, digitalização e muito mais.

Eles nos fornecem uma série de benefícios em setores como comércio eletrônico, manufatura, sustentabilidade, gerenciamento da cadeia de suprimentos, etc. O mercado global de IA/ML deve ultrapassar US$ 266,92 bilhões até 2027 e continua sendo a escolha preferida de carreira para graduados em todos os lugares.

Embora a adaptação dessas tecnologias esteja abrindo caminho para o futuro, não estamos preparados para eventos como ataques Adversarial Machine Learning (AML). Os sistemas de aprendizado de máquina projetados usando linguagens de codificação como SML, OCaml, F# etc. contam com códigos programáveis ​​integrados em todo o sistema.

Aprenda Machine Learning on-line nas principais universidades do mundo - mestrados, programas de pós-graduação executiva e programa de certificação avançada em ML e IA para acelerar sua carreira.

Os ataques de AML externos realizados por hackers experientes representam uma ameaça à integridade e precisão desses sistemas de ML. Pequenas modificações no conjunto de dados de entrada podem fazer com que o algoritmo de ML classifique incorretamente o feed e, assim, reduza a confiabilidade desses sistemas.

Para se equipar com os recursos certos para projetar sistemas que possam resistir a esses ataques AML, inscreva-se em um PG Diploma in Machine Learning oferecido pela upGrad e IIIT Bangalore .

Conceitos centrados no aprendizado de máquina adversário

Antes de nos aprofundarmos no tema AML, vamos estabelecer as definições de alguns dos conceitos básicos deste domínio:

• A Inteligência Artificial refere-se à capacidade de um sistema de computação de executar lógica, planejamento, resolução de problemas, simulação ou outros tipos de tarefas. Uma IA imita a inteligência humana devido às informações alimentadas usando técnicas de aprendizado de máquina.
• O Machine Learning emprega algoritmos e modelos estatísticos bem definidos para sistemas de computador, que dependem da execução de tarefas com base em padrões e inferências. Eles são projetados para executar essas tarefas sem instruções explícitas e, em vez disso, usam informações predefinidas de redes neurais.
• As Redes Neurais são inspiradas no funcionamento biológico dos neurônios de um cérebro, que são usados ​​para programar sistematicamente os dados observacionais em um modelo de Deep Learning. Esses dados programados ajudam a decifrar, distinguir e processar dados de entrada em informações codificadas para facilitar o Deep Learning.
• O Deep Learning usa várias redes neurais e técnicas de ML para processar dados de entrada não estruturados e brutos em instruções bem definidas. Essas instruções facilitam a construção automática de algoritmos multicamadas por meio de sua representação/aprendizagem de recursos de maneira não supervisionada.
• Adversarial Machine Learning é uma técnica exclusiva de ML que fornece entradas enganosas para causar mau funcionamento em um modelo de Machine Learning. Adversarial Machine Learning explora vulnerabilidades nos dados de teste dos algoritmos de ML intrínsecos que compõem uma rede neural. Um ataque AML pode comprometer os resultados resultantes e representar uma ameaça direta à utilidade do sistema ML.

Para aprender os principais conceitos de ML, como Adversarial Machine Learning , em profundidade, inscreva-se no Masters of Science (M.Sc) em Machine Learning & AI da upGrad.

Tipos de ataques AML

Os ataques Adversarial Machine Learning são categorizados com base em três tipos de metodologias.

Eles estão:

1. Influência no Classificador

Os sistemas de Machine Learning classificam os dados de entrada com base em um classificador. Se um invasor puder interromper a fase de classificação modificando o próprio classificador, isso poderá fazer com que o sistema de ML perca sua credibilidade. Como esses classificadores são essenciais para identificar dados, adulterar o mecanismo de classificação pode revelar vulnerabilidades que podem ser exploradas por AMLs.

2. Violação de segurança

Durante os estágios de aprendizado de um sistema de ML, o programador define os dados que devem ser considerados legítimos. Se dados de entrada legítimos forem identificados incorretamente como maliciosos, ou se dados maliciosos forem fornecidos como dados de entrada durante um ataque AML, a rejeição pode ser considerada uma violação de segurança.

3. Especificidade

Enquanto ataques direcionados específicos permitem intrusões/interrupções específicas, ataques indiscriminados aumentam a aleatoriedade nos dados de entrada e criam interrupções por meio da diminuição do desempenho/falha na classificação.

Os ataques AML e suas categorias são conceitualmente ramificados fora do domínio Machine Learning. Devido à crescente demanda por sistemas de ML, quase 2,3 milhões de vagas de emprego estão disponíveis para engenheiros de ML e IA, de acordo com o Gartner. [2] Você pode ler mais sobre como a Engenharia de Aprendizado de Máquina pode ser uma carreira gratificante em 2021 .

Estratégias Adversárias de Aprendizado de Máquina

Para definir melhor o objetivo do adversário, seu conhecimento prévio do sistema a ser atacado e o nível de manipulação possível dos componentes de dados podem auxiliar na definição de estratégias Adversarial Machine Learning .

Eles estão:

1. Evasão

Os algoritmos de ML identificam e classificam o conjunto de dados de entrada com base em determinadas condições predefinidas e parâmetros calculados. O tipo evasão de ataque AML tende a evitar esses parâmetros usados ​​por algoritmos para detectar um ataque. Isso é feito modificando as amostras de uma maneira que possa evitar a detecção e classificá-las incorretamente como entrada legítima.

Eles não modificam o algoritmo, mas falsificam a entrada por vários métodos para que ela escape do mecanismo de detecção. Por exemplo, filtros antispam que analisam o texto de um e-mail são evitados com o uso de imagens que possuem texto de código/links de malware incorporado.

2. Extração do modelo

Também conhecido como 'roubo de modelo'; esse tipo de ataque AML é realizado em sistemas ML para extrair os dados de treinamento iniciais usados ​​para construir o sistema. Esses ataques são essencialmente capazes de reconstruir o modelo desse sistema de Machine Learning, o que pode comprometer sua eficácia. Se o sistema contiver dados confidenciais ou se a natureza do ML em si for proprietária/sensível, o invasor poderá usá-lo em seu benefício ou interrompê-lo.

3. Envenenamento

Esse tipo de ataque Adversarial Machine Learning envolve a interrupção dos dados de treinamento. Como os sistemas de ML são treinados novamente usando dados coletados durante suas operações, qualquer contaminação causada pela injeção de amostras de dados maliciosos pode facilitar um ataque de AML. Para envenenar dados, um invasor precisa acessar o código-fonte desse ML e retreiná-lo para aceitar dados incorretos, inibindo assim o funcionamento do sistema.

O conhecimento adequado dessas estratégias de ataque Adversarial Machine Learning pode permitir que um programador evite tais ataques durante a operação. Se você precisar de treinamento prático para projetar sistemas de ML que possam resistir a ataques de AML, inscreva-se no Mestrado em Machine Learning e IA oferecido pelo upGrad.

Tipos de Ataque Específicos

Tipos de ataque específicos que podem visar sistemas de Deep Learning, juntamente com sistemas convencionais de ML, como regressão linear e 'máquinas de vetor de suporte', podem ameaçar a integridade desses sistemas. Eles estão:

• Exemplos adversos, como FMCG, PGD, C&W e ataques de patch, fazem com que a máquina classifique incorretamente, pois parecem normais para o usuário. Um 'ruído' específico é usado dentro do código de ataque para causar mau funcionamento dos classificadores.
• Os ataques de backdoor/Trojan sobrecarregam um sistema de ML bombardeando-o com dados irrelevantes e auto-replicantes que impedem o funcionamento ideal. Esses ataques Adversarial Machine Learning são difíceis de proteger, pois exploram as brechas que existem dentro da máquina.
• O Model Inversion reescreve os classificadores para funcionarem de maneira oposta à que foram originalmente destinados. Essa inversão impede que a máquina execute suas tarefas básicas devido às mudanças aplicadas ao seu modelo de aprendizado inerente.
• Membership Inference Attacks (MIAs) podem ser aplicados a SL (aprendizado supervisionado) e GANs (Redes Adversariais Generativas). Esses ataques dependem das diferenças entre os conjuntos de dados de treinamento inicial e amostras externas que representam uma ameaça à privacidade. Com acesso à caixa-preta e seu registro de dados, os modelos de inferência podem prever se a amostra estava presente na entrada de treinamento ou não.

Para proteger os sistemas de ML desses tipos de ataques, programadores e engenheiros de ML são empregados em todas as principais multinacionais. As multinacionais indianas que hospedam seus centros de P&D para incentivar a inovação em Machine Learning oferecem salários que variam de 15 a 20 Lakh INR por ano. [3] Para saber mais sobre esse domínio e garantir um bom salário como engenheiro de ML, inscreva-se em uma Certificação Avançada em Aprendizado de Máquina e Nuvem hospedada pelo upGrad e IIT Madras.

Defesas contra AMLs

Para se defender contra esses ataques Adversarial Machine Learning , os especialistas sugerem que os programadores confiem em uma abordagem de várias etapas. Essas etapas serviriam como contramedidas aos ataques convencionais de AML descritos acima. Esses passos são:

• Simulação : Simular ataques de acordo com as possíveis estratégias de ataque do atacante pode revelar brechas. Identificá-los por meio dessas simulações pode impedir que ataques de AML tenham impacto no sistema.
• Modelagem: estimar os recursos e os objetivos potenciais dos invasores pode fornecer uma oportunidade para evitar ataques de AML. Isso é feito criando diferentes modelos do mesmo sistema de ML que podem resistir a esses ataques.
• Avaliação de impacto: Este tipo de defesa avalia o impacto total que um invasor pode ter sobre o sistema, garantindo assim a preparação em caso de tal ataque.
• Lavagem de informações : Ao modificar as informações extraídas pelo invasor, esse tipo de defesa pode tornar o ataque inútil. Quando o modelo extraído contém discrepâncias colocadas propositalmente, o invasor não pode recriar o modelo roubado.

Exemplos de AML

Vários domínios dentro de nossas tecnologias modernas estão diretamente sob a ameaça de ataques Adversarial Machine Learning . Como essas tecnologias dependem de sistemas de ML pré-programados, elas podem ser exploradas por pessoas com intenções maliciosas. Alguns dos exemplos típicos de ataques AML incluem:

1. Filtragem de spam: por palavras 'ruins' propositalmente incorretas que identificam spam ou pela adição de palavras 'boas' que impedem a identificação.

2. Segurança do computador : Ao ocultar o código de malware nos dados do cookie ou enganar as assinaturas digitais para contornar as verificações de segurança.

3. Biometria: Ao falsificar traços biométricos que são convertidos em informações digitais para fins de identificação.

Conclusão

À medida que os campos de Machine Learning e Inteligência Artificial continuam a se expandir, suas aplicações aumentam em setores como automação, redes neurais e segurança de dados. O Adversarial Machine Learning sempre será significativo para o propósito ético de proteger os sistemas de ML e preservar sua integridade.

Se você estiver interessado em saber mais sobre aprendizado de máquina, confira nosso programa Executive PG em aprendizado de máquina e programa de IA, projetado para profissionais que trabalham e fornece mais de 30 estudos de caso e atribuições, mais de 25 sessões de orientação do setor, mais de 5 práticas práticas projetos capstone, mais de 450 horas de treinamento rigoroso e assistência para colocação de emprego com as principais empresas.