0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

基于边界攻击以及决策的类攻击 提出了部署机器学习系统安全性的新问题

mK5P_AItists 2017-12-29 09:20 次阅读

不知道大家有没有注意到,许多机器学习算法很容易受到几乎不可察觉的输入干扰的影响。到目前为止,我们还不清楚这种对抗干扰将为现实世界中机器学习应用的安全性带来多大的风险,因为用于生成这种干扰的大多数方法要么依赖于详细的模型信息(基于梯度的攻击)或者置信度分数,例如类概率(基于分数的攻击),而这两种在大多数现实世界中都是不可用的。在许多这样的情况下,目前我们需要后退到基于迁移的攻击中,其中它依靠繁琐的替代模型,需要访问训练数据,并可以被防御。在这里,我们强调了纯粹依靠最终模型决策的攻击的重要性。这种基于决策的攻击是(1)适用于真实世界的黑盒模型,如自动驾驶汽车;(2)需要较少的知识,比基于迁移的攻击更容易应用;(3)相较于基于梯度或基于分数的攻击,它对于简单的防御具有更强健的鲁棒性。以往的攻击只限于简单的模型或简单的数据集。而在本文中,我们引入边界攻击(Boundary Attack)——一种基于决策的攻击,它从一个大的对抗性干扰开始,然后力求在保持对抗的同时减少干扰。这种攻击在概念上是很简单的,要求接近没有超参数的调整,并且在像ImageNet这样的标准计算机视觉任务中,可以与最好的基于梯度的攻击相媲美。我们将这个攻击应用于Clarifai.com中的两个黑盒算法。特别是边界攻击以及基于决策的类攻击,为研究机器学习模型的鲁棒性开辟了新的途径,并提出了关于部署机器学习系统安全性的新问题。这个攻击的实现可以作为Foolbox的一部分。

图1 :(左)对抗攻击方法的分类。边界攻击适用于现实世界中机器学习算法,因为它只需要访问模型的最终决策(例如类标签或转录句子),而不依赖于模型的信息,如梯度或置信度分数。(右)应用于Clarifai品牌识别模型的案例。

一般说来,应用于计算机视觉、语音识别和其他领域中的许多高性能机器学习算法易受到其输入的微小变化的影响(Szegedy等人于2013年提出)。我们可以举一个具体的例子来说明这一点,比如像VGG-19这样一个在目标识别中训练的先进的深度神经网络可以将图像中的主要目标准确地识别为虎猫(tiger cat),但是如果以某种特定的方式对像素值进行轻微的干扰,那么同一网络的预测结果将会彻底改变(比如将其识别为公交车)。这些所谓的对抗性干扰在许多机器学习模型中是普遍存在的,而且往往不被人类所感知。一般情况下,我们将力求找到这种对抗性干扰的算法称之为为对抗性攻击。

这种对抗性干扰引起了人们对于两个方面的关注。一方面,他们担心已部署的机器学习算法的完整性和安全性,比如自动驾驶汽车或人脸识别系统。路牌上(例如,将停车标志变成200公里/小时的速度限制)或路灯上(例如,将红灯变成绿灯)的微小干扰可能造成严重的后果;另一方面,对抗性干扰为人类和机器的感官信息处理之间的差距提供了一种关注焦点,并因此为更具鲁棒性、更加人性化的体系架构提供了指导。

对抗攻击大致可以分为三类:基于梯度的、基于分数的和基于迁移的攻击(参见图1)。基于梯度的攻击和基于分数的攻击通常被分别表示为白盒攻击和oracle攻击,但我们试图尽可能地明确在每个类别中所使用的信息。影响所有这些类别的攻击的一个严重问题是,它们直截了当地进行防御:

•基于梯度的攻击:大多数现有的攻击都依赖于详细的模型信息,包括输入的损失的梯度。

防御:防御基于梯度的攻击的一种简单方法是对梯度进行掩码操作,例如通过隐式地增加不可微的元素,比如防御性精炼或饱和的非线性,再或者通过明确地添加不可微的分类器。

•基于分数的攻击:一些攻击更加不可知,只依赖于模型的预测分数(例如类概率或逻辑)。

防御:通过在模型中加入像dropout这样的随机元素,从而可以直接严重阻碍对数值梯度的估计。此外,许多鲁棒的训练方法在样本周围引入了一个极值点,它们不仅对梯度本身进行了掩码,而且还对其数值估计进行了掩码。

•基于迁移的攻击:基于迁移的攻击并不依赖于模型信息,而是需要关于训练数据的信息。该数据用于训练一个完全可观察的替代模型,而该模型可以合成对抗干扰。它们依赖于经验观察,即对抗样本经常在模型之间迁移。

防御:最近针对迁移攻击的一种防御方法,是基于通过对由替代模型的对抗样本增强的数据集进行的健壮性训练,而它已经证明,在2017年的Kaggle 对抗攻击竞赛中,它几乎可以成功防御所有攻击(https://www.kaggle.com/c/nips-2017-defense-against-adversarial-attack)。

•基于决策的攻击:直接攻击,完全依赖于模型的最终决策(例如第一类标签或被转录的句子)。

这个划分类别是合理的,原因如下:首先,相较于基于分数的攻击,基于决策的攻击与真实世界的机器学习应用程序关联更大,其中,在这些应用程序中,很难获得置信度分数或logit。与此同时,相较于其他类别的攻击,基于决策的攻击有可能对标准防御(如梯度掩码、固有随机性或鲁棒性训练)具有更稳健的鲁棒性。最后,与基于迁移的攻击相比,它们所需要的模型(架构和训练数据)信息要少得多,而且要简单得多。

目前还没有有效的基于决策的攻击能够扩展到像ImageNet这样的自然数据集中,且能够适用于深度神经网络(DNN)。先前最相关的研究是迁移攻击的一个变体,其中用于学习替代模型的训练集被替换为合成数据集。这个合成数据集是由攻击者以及替代模型的训练生成的。每个合成样本的标签都是从黑盒模型中抽取的。虽然这种方法可以很好地处理内部类的可变性很低的数据集(比如MNIST),但是这并不表明它可以扩展到诸如CIFAR或ImageNet这样更为复杂的自然数据集中。其他基于决策的攻击是特定于线性或凸诱导性(convex-inducing classifiers)分类器,并不适用于其他机器学习模型。Biggio等人于2013所进行的研究基本上处于迁移攻击和基于决策的攻击之间,其中,替代模型是在从黑盒模型中观察到的标签的数据集上进行训练的。这种攻击仍然需要关于黑盒模型训练的数据分布知识,所以我们不认为这是一个纯粹的基于决策的攻击。最后,一些朴素攻击,比如沿着一个随机方向偏离原始样本的路线搜索,我们可以将其称之为基于决策的攻击,但它们引发了巨大的、非常明显的干扰,而这些干扰要比典型的基于梯度的、基于分数的或基于迁移的攻击要大得多。

在整篇论文中,我们主要关注威胁情景,在这种情景下,攻击者的目标是通过对样本产生最小干扰来改变特定输入样本的模型的决策(无论是有针对性还是无针对性)。攻击者可以观察模型对于任意输入的最终决策,并且知道至少一个干扰,但是大的干扰样本是对抗的。

本文的贡献如下:

•我们强调基于决策的攻击是与现实应用高度相关的对抗攻击的一个重要类别,对衡量模型的鲁棒性非常重要。

•我们引入了第一个有效的基于决策的攻击,可扩展到复杂的机器学习模型和自然数据集。 边界攻击(1)在概念上非常简单,(2)极其灵活,(3)只需要很少的超参数调整,(4)在有针对性和无针对性计算机视觉场景中能够与最好的基于梯度的攻击相媲美。

•我们表明,边界攻击能够打破以前建议的防御机制,如防御性精炼。

•我们在Clarifai.com网站上展示了边界攻击在两个黑盒机器学习模型上的实用性,用于品牌和名人识别。

由边界攻击生成的对抗样本,三个案例分别基于MNIST、CIFAR、ImageNet。对于MNIST,差异显示为正(蓝色)和负(红色)变化。对于CIFAR和ImageNet,我们采用颜色通道规范。所有差异都已被放大,以提高能见度。

无针对性攻击的例子。这里的目标是在错误分类(原始图像被正确分类)的同时,合成与原始图像尽可能接近的图像。对于每个图像,我们报告直到该点(图像上方)的模型调用(预测)的总数以及对抗及原始(图像下方)之间的均方误差。

在本文中,我们强调了一个大多数被忽视的对抗性攻击类型的重要性——基于决策的攻击, 可以在模型中找到对抗样本,其中,只有最后的决策才能被观察到。我们认为,这个类型的重要性原因有三:首先,这个类型的攻击与许多真实世界中部署的机器学习系统(如内部决策过程是不可观测的自动驾驶汽车)高度相关;其次,这个类别的攻击不依赖于在被攻击的模型上进行相似的数据训练的替代模型,从而使实际的应用更加直截了当。第三,这个类别的攻击有可能对诸如梯度掩码,内在随机性或鲁棒训练等常见欺骗行为具有更强的可靠性。

我们还引入了第一个适用于通用机器学习算法和复杂自然数据集的有效攻击:边界攻击。 边界攻击的核心是遵循对抗和非对抗样本之间的决策边界,采用非常简单的拒绝抽样算法(rejection sampling algorithm),结合简单的建议分布(proposal distribution)和信赖域方法(Trust Region methods)启发的动态步长调整。其基本的工作原理——从一个大的干扰开始,并逐渐减少——基本上推翻了了所有以前对抗攻击的逻辑。除了出奇的简单之外,边界攻击在可能的对抗标准方面也是非常灵活的,并且能够在基于最小干扰大小的标准计算机视觉任务上与基于梯度的攻击相提并论。

事实上,简单约束的独立同分布的高斯分布可以作为边界攻击每一步的有效建议干扰是出乎意料的,并揭示了当前计算机视觉体系结构信息处理的脆弱性。尽管如此,边界攻击还有很多方法可以更加有效,特别是通过某个特定模型学习适当的建议分布,或者通过对最近成功或失败的建议历史进行调整建议分布。

基于决策的攻击对于评估机器学习模型的鲁棒性以及突出像自动驾驶汽车这样的闭源机器学习系统的安全风险具有高度的相关性。我们希望边界攻击能够促进在这一领域进行更深入的研究。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 神经网络
    +关注

    关注

    42

    文章

    4765

    浏览量

    100561
  • 机器学习
    +关注

    关注

    66

    文章

    8381

    浏览量

    132431

原文标题:德国图宾根大学发布可扩展「对抗黑盒攻击」,仅通过观察决策即可愚弄深度神经网络

文章出处:【微信号:AItists,微信公众号:人工智能学家】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    VoIP网络边界攻击防护系统

    的RTP流通过异步查询信令流信息关联到所属的VoIP会话,为VoIP会话数据完整提供保证,从而实现了一种分布式VoIP网络边界攻击防护系统。对比测试证明该
    发表于 04-24 09:27

    对嵌入式系统攻击 攻击者通过什么途径得到ATM的密钥呢?

    。  防攻击措施  在高安全性应用中需要具有唯一的质询,单一品牌的处理器。安全微处理器,例如DallasSemiconductor的DS5250(图1),能够满足最高安全级别的设计需求
    发表于 08-11 14:27

    物联网开源工具Unik:用Unikernel提高连接安全性

    在管理程序,云服务和嵌入式设备上。使用绝对最少的代码有几个优点,最显著的便是减少应用footprint。这也意味着可以更快地启动,同时减少了受攻击面,提高了安全性。这些效率使得Unikernel非常
    发表于 06-07 10:18

    SCDN的抗CC攻击和抗DDoS攻击防护是什么?

    合法的访问,占用服务器的服务资源,从而使真正的用户的请求无法得到服务的响应。SCDN的抗CC攻击和抗DDoS攻击防护:阿里云SCDN基于阿里云飞天平台的计算能力,使用深度学习的算法,可以快速地产生
    发表于 01-05 14:45

    边缘智能的边缘节点安全性

    情况下,本来安全的网络和节点还必须与已有旧网络进行互操作,而这种老式网络本身的安全性可能要差很多。这就带来一个新问题:最弱的安全风险可能超出了
    发表于 10-22 16:52

    针对非接触式安全微控制器的攻击方式及防范措施

    对现在和未来的攻击进行有效的防范,很明显需要一个整体的安全概念。因此,英飞凌决定为他的芯片卡产品开发自己的高安全性处理器内核。在研发和产品开发过程,以及
    发表于 12-05 09:54

    嵌入式实时多任务操作系统安全性怎么样?

    许多实时操作系统本身就有不安全性和不可靠,这些不安全因素就给黑客的入侵和病毒的攻击留下了可趁之机。操作
    发表于 03-06 06:27

    HarmonyOS学习之三:HarmonyOS 系统安全性

    Execution Environment)中从头开始重塑安全性和可信赖。形式验证方法是从源头验证系统正确的有效数学方法,而传统验证方法(例如功能验证和黑客
    发表于 11-26 09:30

    你的应用程序如何保持安全性

    引言拥有特权的恶意软件或者可以实际访问安卓设备的攻击者是一个难以防范的攻击向量。 在这种情况下,你的应用程序如何保持安全性?本文将讨论 Android keystore 机制以及在尝试
    发表于 07-28 08:40

    新唐对应四大物联网安全攻击的保护措施

    所需的安全功能。透过微控制器内部的硬件加密加速器可将设备端以及服务器间的数据传递透过加密方式进行有助于对抗通讯攻击,结合秘钥存储器 (Key Store) 使用更能同时提高秘钥防窃能
    发表于 08-21 08:14

    分形水印检测边界的抗Oracle攻击安全性

    对于扩频水印机制,水印检测边界的分形化是对抗Oracle攻击的一种主要方法。该文研究Oracle攻击攻击距离对水印信号估计的影响,发现具有高检测值的
    发表于 04-02 08:35 10次下载

    双重数字水印的抗攻击安全性分析

    笔者通过对攻击原理进行分析,提出解决的对策,重点介绍了利用双水印技术对抗解释攻击的方法。了解这些攻击以及可能还会有的新的
    发表于 10-08 14:31 13次下载

    如何使用多线性分类器拟合实现攻击模拟算法

    为提高分类器在对抗性环境和训练阶段的抗攻击性提出一种新的攻击模拟算法。通过拟合成员分类器模拟并获取最差情况攻击使用的决策
    发表于 09-16 17:49 2次下载
    如何使用多线性分类器拟合实现<b class='flag-5'>攻击</b>模拟算法

    机器学习和人工智能如何改善网络安全性

    网络攻击活动如今日益猖獗,以至于组织采用的安全工具很难保护其业务并打击网络攻击者。采用机器学习和人工智能技术可以改善网络
    发表于 01-31 07:59 6次下载
    <b class='flag-5'>机器</b><b class='flag-5'>学习</b>和人工智能如何改善网络<b class='flag-5'>安全性</b>

    攻击者角度浅谈系统安全

    攻击者主要的目标围绕着破坏系统安全性问题,通过深入了解系统安全攻击者,从攻击者的视角上来考虑设计系统安
    发表于 12-21 15:05 566次阅读