對抗性機器學習：概念、攻擊類型、策略和防禦

過去幾十年的指數級進步推動了當今世界的現代技術進步。 我們目前是正在進行的“工業 4.0”的一部分，其核心是 AI 和 ML 等技術。 這場工業革命涉及全球向神經網絡、機器學習和人工智能、物聯網、數字化等技術的科學研究和創新過渡。

它們在電子商務、製造、可持續發展、供應鏈管理等領域為我們提供了一系列好處。到 2027 年，人工智能/機器學習的全球市場預計將超過 2669.2 億美元，並將繼續成為職業的首選為各地的畢業生。

雖然這些技術的適應正在為未來鋪平道路，但我們對對抗性機器學習(AML) 攻擊等事件毫無準備。 使用 SML、OCaml、F# 等編碼語言設計的機器學習系統依賴於集成在整個系統中的可編程代碼。

從世界頂級大學在線學習機器學習——碩士、高級管理人員研究生課程和 ML 和 AI 高級證書課程，以加快您的職業生涯。

經驗豐富的黑客執行的外部 AML 攻擊對這些 ML 系統的完整性和準確性構成威脅。 對輸入數據集的輕微修改可能會導致 ML 算法對提要進行錯誤分類，從而降低這些系統的可靠性。

要為自己配備合適的資源來設計能夠抵禦此類 AML 攻擊的系統，請註冊upGrad 和 IIIT Bangalore 提供的機器學習 PG 文憑。

以對抗性機器學習為中心的概念

在我們深入研究 AML 的主題之前，讓我們建立該領域的一些基本概念的定義：

• 人工智能是指計算系統執行邏輯、計劃、解決問題、模擬或其他類型任務的能力。 由於使用機器學習技術輸入的信息，人工智能模仿人類智能。
• 機器學習為計算機系統採用定義明確的算法和統計模型，它們依賴於基於模式和推理執行任務。 它們旨在在沒有明確指令的情況下執行這些任務，而是使用來自神經網絡的預定義信息。
• 神經網絡的靈感來自大腦神經元的生物學功能，這些神經元用於將觀察數據系統地編程到深度學習模型中。 這種編程數據有助於破譯、區分輸入數據並將其處理為編碼信息，以促進深度學習。
• 深度學習使用多個神經網絡和 ML 技術將非結構化和原始輸入數據處理成定義明確的指令。 這些指令有助於通過其表示/特徵學習以無監督的方式自動構建多層算法。
• 對抗性機器學習是一種獨特的機器學習技術，它提供欺騙性輸入來導致機器學習模型出現故障。 對抗性機器學習利用了構成神經網絡的內在 ML 算法的測試數據中的漏洞。 AML 攻擊可能會損害結果，並對 ML 系統的實用性構成直接威脅。

要深入學習機器學習的關鍵概念，例如對抗性機器學習，請從 upGrad 註冊機器學習和人工智能的理學碩士 (M.Sc) 。

AML 攻擊的類型

對抗性機器學習攻擊根據三種類型的方法進行分類。

他們是：

1. 對分類器的影響

機器學習系統基於分類器對輸入數據進行分類。 如果攻擊者可以通過修改分類器本身來破壞分類階段，則可能導致 ML 系統失去可信度。 由於這些分類器是識別數據不可或缺的一部分，因此篡改分類機制可以揭示可被 AML 所利用的漏洞。

2. 安全違規

在機器學習系統的學習階段，程序員定義被認為是合法的數據。 如果合法輸入數據被錯誤地識別為惡意數據，或者如果在 AML 攻擊期間提供惡意數據作為輸入數據，則拒絕可以稱為安全違規。

3. 特異性

雖然特定的有針對性的攻擊允許特定的入侵/破壞，但不分青紅皂白的攻擊會增加輸入數據的隨機性，並通過降低性能/分類失敗來造成破壞。

AML 攻擊及其類別在概念上從機器學習領域分支出來。 根據 Gartner 的數據，由於對 ML 系統的需求不斷增長，有近 230 萬個職位空缺可供 ML 和 AI 工程師使用。 [2]您可以閱讀更多有關機器學習工程如何在 2021 年成為一項有價值的職業的信息。

對抗性機器學習策略

為了進一步定義對手的目標，他們對要攻擊的系統的先驗知識以及對數據組件的可能操作級別可以幫助定義對抗性機器學習策略。

他們是：

1. 逃避

ML 算法根據某些預定義的條件和計算的參數來識別和排序輸入數據集。 逃避類型的 AML 攻擊傾向於逃避算法用來檢測攻擊的這些參數。 這是通過以一種可以避免檢測並將它們錯誤分類為合法輸入的方式修改樣本來實現的。

他們不修改算法，而是通過各種方法欺騙輸入，使其逃避檢測機制。 例如，分析電子郵件文本的反垃圾郵件過濾器通過使用嵌入了惡意軟件代碼/鏈接文本的圖像來規避。

2.模型提取

也稱為“模型竊取”； 這種類型的 AML 攻擊是在 ML 系統上進行的，以提取用於構建系統的初始訓練數據。 這些攻擊本質上能夠重建該機器學習系統的模型，這可能會損害其功效。 如果系統保存機密數據，或者如果 ML 本身的性質是專有/敏感的，那麼攻擊者可以使用它來謀取利益或破壞它。

3.中毒

這種類型的對抗性機器學習攻擊涉及訓練數據的中斷。 由於 ML 系統使用在其操作過程中收集的數據進行再訓練，因此註入惡意數據樣本造成的任何污染都可能促進 AML 攻擊。 對於中毒數據，攻擊者需要訪問該 ML 的源代碼並對其進行重新訓練以接受不正確的數據，從而抑制系統的運行。

正確了解這些對抗性機器學習攻擊策略可以使程序員在操作過程中避免此類攻擊。 如果您需要動手培訓來設計可以抵禦 AML 攻擊的 ML 系統，請註冊upGrad 提供的機器學習和 AI 碩士課程。

特定攻擊類型

可以針對深度學習系統的特定攻擊類型，以及線性回歸和“支持向量機”等傳統 ML 系統，可能會威脅這些系統的完整性。 他們是：

• 對抗性示例，例如 FMCG、PGD、C&W 和補丁攻擊，會導致機器錯誤分類，因為它們在用戶看來是正常的。 在攻擊代碼中使用特定的“噪聲”來導致分類器故障。
• 後門/特洛伊木馬攻擊通過用不相關和自我複制的數據轟炸機器學習系統，使其無法發揮最佳功能，從而使機器學習系統過載。 這些對抗性機器學習攻擊難以防範，因為它們利用了機器內存在的漏洞。
• 模型反轉重寫分類器，使其以與最初預期相反的方式運行。 由於應用於其固有學習模型的更改，這種反轉會阻止機器執行其基本任務。
• 成員推理攻擊 (MIA) 可應用於 SL（監督學習）和 GAN（生成對抗網絡）。 這些攻擊依賴於初始訓練數據的數據集與構成隱私威脅的外部樣本之間的差異。 通過訪問黑盒及其數據記錄，推理模型可以預測樣本是否存在於訓練輸入中。

為了保護 ML 系統免受這些類型的攻擊，所有主要跨國公司都僱用了 ML 程序員和工程師。 擁有研發中心以鼓勵機器學習創新的印度跨國公司提供每年 15 至 200 萬印度盧比的薪水。 [3]要了解有關該領域的更多信息並獲得作為 ML 工程師的高薪，請註冊由 upGrad 和 IIT Madras 主辦的機器學習和雲高級認證。

反洗錢防禦

為了防禦這種對抗性機器學習攻擊，專家建議程序員依賴多步驟方法。 這些步驟將作為對上述傳統 AML 攻擊的對策。 這些步驟是：

• 模擬：根據攻擊者可能的攻擊策略模擬攻擊，可以發現漏洞。 通過這些模擬識別它們可以防止 AML 攻擊對系統產生影響。
• 建模：估計攻擊者的能力和潛在目標可以提供防止 AML 攻擊的機會。 這是通過創建可以抵禦這些攻擊的同一 ML 系統的不同模型來完成的。
• 影響評估：這種類型的防禦評估攻擊者對系統的總體影響，從而確保在發生此類攻擊時做好準備。
• 信息洗錢：通過修改攻擊者提取的信息，這種類型的防禦可以使攻擊變得毫無意義。 當提取的模型包含故意放置的差異時，攻擊者無法重新創建被盜模型。

反洗錢示例

我們現代技術中的各個領域都直接受到對抗性機器學習攻擊的威脅。 由於這些技術依賴於預編程的 ML 系統，它們可能會被有惡意的人利用。 AML 攻擊的一些典型示例包括：

1. 垃圾郵件過濾：故意拼錯識別垃圾郵件的“壞”詞或添加阻止識別的“好”詞。

2. 計算機安全：通過將惡意軟件代碼隱藏在 cookie 數據中或誤導數字簽名以繞過安全檢查。

3. 生物特徵：通過偽造生物特徵，將其轉換為用於識別目的的數字信息。

結論

隨著機器學習和人工智能領域的不斷擴展，它們在自動化、神經網絡和數據安全等領域的應用也在不斷增加。 對抗性機器學習對於保護 ML 系統和保持其完整性的道德目的始終具有重要意義。

如果您有興趣了解有關機器學習的更多信息，請查看我們的機器學習和 AI 執行 PG 計劃，該計劃專為在職專業人士設計，提供 30 多個案例研究和作業、25 多個行業指導課程、5 多個實踐實踐頂石項目，超過 450 小時的嚴格培訓和頂級公司的就業幫助。