Что такое состязательные атаки в машинном обучении и как с ними бороться?

Технологии часто делают нашу жизнь более удобной и безопасной. Однако в то же время такие достижения открывают киберпреступникам более изощренные способы атаковать нас и повреждать наши системы безопасности, делая их бессильными.

Искусственный интеллект (ИИ) может использоваться как специалистами по кибербезопасности, так и киберпреступниками; Точно так же системы машинного обучения (МО) можно использовать как во благо, так и во зло. Это отсутствие морального компаса сделало враждебные атаки в ML все более серьезной проблемой. Так что же на самом деле представляют собой состязательные атаки? Какова их цель? И как от них защититься?

Что такое состязательные атаки в машинном обучении?

Состязательное машинное обучение или состязательные атаки — это кибератаки, цель которых — обмануть модель машинного обучения с помощью злонамеренного ввода, что приводит к снижению точности и производительности. Таким образом, несмотря на свое название, состязательное ML — это не тип машинного обучения, а множество методов, которые киберпреступники — они же злоумышленники — используют для атак на системы ML.

Основная цель таких атак, как правило, состоит в том, чтобы обманом заставить модель передать конфиденциальную информацию. неспособность обнаружить мошеннические действия, создание неверных прогнозов или искажение основанных на анализе отчеты. Хотя существует несколько типов состязательных атак, они часто нацелены на обнаружение спама на основе глубокого обучения.

Вы, наверное, слышали о атака противника посередине, который является новым и более эффективным изощренным методом фишинга, который включает в себя кражу частной информации, файлов cookie сеанса и даже обход методов многофакторной аутентификации (MFA). К счастью, вы можете бороться с ними с помощью устойчивая к фишингу технология MFA.

Типы враждебных атак

Самый простой способ классифицировать типы состязательных атак — разделить их на две основные категории:целевые атаки и нецелевые атаки. Как предполагается, целевые атаки имеют конкретную цель (например, конкретного человека), в то время как нецелевые атаки не имеют в виду кого-то конкретного: они могут быть нацелены практически на кого угодно. Неудивительно, что нецелевые атаки занимают меньше времени, но и менее успешны, чем их целевые аналоги.

Эти два типа можно разделить на белая коробка и черный ящик состязательные атаки, где цвет указывает на знание или незнание целевой модели машинного обучения. Прежде чем мы углубимся в атаки белого и черного ящиков, давайте кратко рассмотрим наиболее распространенные типы атак злоумышленников.

• Уклонение: в основном используемые в сценариях вредоносных программ, атаки уклонения пытаются избежать обнаружения, скрывая содержимое зараженных вредоносным ПО и спам-сообщений. Используя метод проб и ошибок, злоумышленник манипулирует данными во время развертывания и нарушает конфиденциальность модели машинного обучения. Биометрическая подмена является одним из наиболее распространенных примеров атаки уклонения.
• Отравление данными: Эти атаки, также известные как заражающие атаки, направлены на манипулирование моделью машинного обучения в период обучения или развертывания, а также на снижение точности и производительности. Вводя вредоносные входные данные, злоумышленники нарушают модель и затрудняют специалистам по безопасности обнаружение типа образцов данных, которые повреждают модель машинного обучения.
• Византийские разломы: этот тип атаки вызывает потерю системной службы в результате византийской ошибки в системах, требующих консенсуса между всеми ее узлами. Как только один из его доверенных узлов становится мошенническим, он может запустить атаку типа «отказ в обслуживании» (DoS) и отключить систему, препятствуя обмену данными с другими узлами.
• Извлечение модели: В атаке с извлечением злоумышленник исследует систему машинного обучения «черный ящик», чтобы извлечь ее обучающие данные или, в худшем случае, саму модель. Затем, имея в руках копию модели машинного обучения, злоумышленник может протестировать свое вредоносное ПО против вредоносного ПО/антивируса и выяснить, как его обойти.
• Логические атаки: Как и в случае с атаками извлечения, цель здесь состоит в том, чтобы заставить модель машинного обучения утечь информацию о своих обучающих данных. Однако затем злоумышленник попытается выяснить, какой набор данных использовался для обучения системы, чтобы он мог использовать ее уязвимости или предубеждения.

Белый ящик против Черный ящик против. Враждебные атаки серого ящика

Что отличает эти три типа состязательных атак, так это объем знаний, которыми обладают злоумышленники о внутренней работе систем машинного обучения, которые они планируют атаковать. В то время как метод белого ящика требует исчерпывающей информации о целевой модели ML (включая ее архитектуры и параметров), метод черного ящика не требует информации и может только наблюдать за ее выходы.

Тем временем модель серого ящика находится посередине этих двух крайностей. В соответствии с ним злоумышленники могут иметь некоторую информацию о наборе данных или другие сведения о модели машинного обучения, но не все.

Как защитить машинное обучение от враждебных атак?

Хотя люди по-прежнему являются критическим компонентом в укреплении кибербезопасности,AI и ML научились обнаруживать и предотвращать вредоносные атаки— они могут повысить точность обнаружения вредоносных угроз, мониторинга активности пользователей, выявления подозрительного контента и многое другое. Но могут ли они отразить атаки противников и защитить модели машинного обучения?

Один из способов борьбы с кибератаками — научить системы машинного обучения заранее распознавать атаки со стороны противника, добавляя примеры в их процедуру обучения.

В отличие от этого подхода грубой силы, метод защитной дистилляции предлагает использовать первичную, более эффективную модель для расчета выделить критические характеристики вторичной, менее эффективной модели, а затем повысить точность вторичной модели с помощью первичной один. Модели машинного обучения, обученные защитной дистилляции, менее чувствительны к враждебным образцам, что делает их менее восприимчивыми к эксплуатации.

Мы также могли бы постоянно изменять алгоритмы, используемые моделями машинного обучения для классификации данных, что могло бы сделать атаки со стороны противника менее успешными.

Еще один известный метод — сжатие признаков, которое сокращает пространство поиска, доступное злоумышленникам, «выжимая» ненужные входные признаки. Здесь цель состоит в том, чтобы свести к минимуму ложные срабатывания и сделать обнаружение состязательных примеров более эффективным.

Защита машинного обучения и искусственного интеллекта

Враждебные атаки показали нам, что многие модели машинного обучения могут быть разрушены неожиданным образом. В конце концов, состязательное машинное обучение все еще является новой областью исследований в области кибербезопасности, и оно сопряжено со многими сложными проблемами для ИИ и машинного обучения.

Хотя волшебного решения для защиты этих моделей от всех враждебных атак не существует, будущее, вероятно, принесет более продвинутые методы и более разумные стратегии для борьбы с этим ужасным противник.