使用機(jī)器學(xué)習(xí)和加密技術(shù)防御對(duì)抗性攻擊

2019-06-10 17:56:57 編輯：來(lái)源：

導(dǎo)讀日內(nèi)瓦大學(xué)的研究人員最近開發(fā)了一種新的防御機(jī)制，通過(guò)將機(jī)器學(xué)習(xí)與密碼學(xué)聯(lián)系起來(lái)。在arXiv上發(fā)表的一篇論文中概述的新系統(tǒng)基于Kerckhoff

日內(nèi)瓦大學(xué)的研究人員最近開發(fā)了一種新的防御機(jī)制，通過(guò)將機(jī)器學(xué)習(xí)與密碼學(xué)聯(lián)系起來(lái)。在arXiv上發(fā)表的一篇論文中概述的新系統(tǒng)基于Kerckhoffs的第二個(gè)加密原理，該原理指出防御和分類算法都是已知的，但關(guān)鍵不是。

近幾十年來(lái)，機(jī)器學(xué)習(xí)算法，特別是深度神經(jīng)網(wǎng)絡(luò)(DNN)，在執(zhí)行大量任務(wù)方面取得了顯著成果。盡管如此，這些算法暴露于大量安全威脅，特別是對(duì)抗性攻擊，限制了它們?cè)谛湃蚊舾腥蝿?wù)上的實(shí)現(xiàn)。

“盡管深度網(wǎng)絡(luò)取得了顯著進(jìn)展，但眾所周知，它們?nèi)菀资艿綄?duì)抗性攻擊，”進(jìn)行這項(xiàng)研究的研究人員之一Olga Taran告訴TechXplore。“對(duì)抗性攻擊旨在設(shè)計(jì)對(duì)原始樣本的這種擾動(dòng)，這些樣本通常對(duì)人類來(lái)說(shuō)是不可察覺(jué)的，但它能夠欺騙DNN輸出。”

越來(lái)越先進(jìn)的攻擊策略可以輕易繞過(guò)大多數(shù)現(xiàn)有的防御措施。這主要是因?yàn)檫@些防御方法主要基于機(jī)器學(xué)習(xí)和處理原則，沒(méi)有加密組件，因此它們被設(shè)計(jì)為檢測(cè)拒絕或過(guò)濾掉對(duì)抗性擾動(dòng)。由于大多數(shù)攻擊算法可以很容易地適應(yīng)攻擊受攻擊的DNN的安全措施，目前，沒(méi)有任何防御機(jī)制能夠始終如一地應(yīng)對(duì)對(duì)抗性攻擊。

“提出的對(duì)策的根本問(wèn)題在于假設(shè)防御者和攻擊者擁有相同數(shù)量的信息，甚至共享相同或類似的訓(xùn)練數(shù)據(jù)集，”進(jìn)行這項(xiàng)研究的研究人員之一Slava Voloshynovskiy告訴TechXplore。“在這種情況下，防御者沒(méi)有信息優(yōu)勢(shì)超過(guò)攻擊者。這與加密社區(qū)中開發(fā)的傳統(tǒng)安全方法有本質(zhì)區(qū)別。”

因此，Voloshynovskiy和他的同事們決定設(shè)計(jì)一種新的方法，將機(jī)器學(xué)習(xí)和密碼學(xué)聯(lián)系起來(lái)，希望能夠更有效地防御DNN算法免受敵對(duì)攻擊。他們?cè)O(shè)計(jì)的技術(shù)基于Kerckhoffs的加密原理，該原則指出訪問(wèn)系統(tǒng)的關(guān)鍵應(yīng)該是未知的。

“我們?cè)诜诸惼鹘Y(jié)構(gòu)中引入了一種隨機(jī)化機(jī)制，該機(jī)制由一個(gè)密鑰進(jìn)行參數(shù)化，”Taran說(shuō)。“當(dāng)然，攻擊者無(wú)法獲得這樣的密鑰。這為攻擊者創(chuàng)造了防御者的信息優(yōu)勢(shì)。而且，這個(gè)密鑰無(wú)法從訓(xùn)練數(shù)據(jù)集中學(xué)習(xí)。隨機(jī)化機(jī)制是一個(gè)可以實(shí)現(xiàn)的預(yù)處理塊。以各種方式，包括隨機(jī)排列，采樣和嵌入。“

研究人員評(píng)估了他們的系統(tǒng)及其應(yīng)對(duì)兩種最著名的最先進(jìn)攻擊，快速梯度符號(hào)方法(FGSM)以及N. Carlini和D. Wagner(CW)提出的攻擊的能力。黑匣子和灰盒子情景。他們的結(jié)果非常有希望，他們的防御機(jī)制有效地抵消了兩者。

“一旦妥善解決，DNN的使用可能會(huì)在實(shí)際應(yīng)用中獲得更多信任。我們相信我們的工作只是解決這個(gè)問(wèn)題的第一步，”Voloshynovskiy說(shuō)。“我們還希望吸引更多來(lái)自密碼學(xué)領(lǐng)域的專家與機(jī)器學(xué)習(xí)社區(qū)進(jìn)行對(duì)話。”

研究人員開發(fā)的防御機(jī)制可以應(yīng)用于幾種現(xiàn)有的DNN分類器。未來(lái)對(duì)更復(fù)雜數(shù)據(jù)集的測(cè)試或使用更廣泛的高級(jí)對(duì)抗攻擊將有助于進(jìn)一步確定其有效性。

“我們現(xiàn)在計(jì)劃將我們的工作擴(kuò)展到更一般的隨機(jī)化原則，并在真實(shí)的大尺寸圖像上進(jìn)行測(cè)試，”Voloshynovskiy說(shuō)。

標(biāo)簽：加密技術(shù)