적대적 기계 학습

시리즈의 일부
기계 학습 및 데이터 마이닝
문제 분류 클러스터링 회귀 이상 검출 데이터 클리닝 자동 ML 어소시에이션 규칙 강화 학습 구조화된 예측 기능 엔지니어링 기능 학습 온라인 학습 준지도 학습 비지도 학습 순위 매기기 학습 문법 유도
지도 학습 (분류 • 회귀) 의사결정 트리 앙상블 배깅 부스팅 랜덤 포레스트 k-NN 선형 회귀 네이비 베이즈 인공신경망 로지스틱 회귀 분석 퍼셉트론 관련 벡터 머신(RVM) 서포트 벡터 머신(SVM)
클러스터링 버치 치유하다 계층적 k자형 기대 최대화(EM) DBSCAN 광학 평균 이동
치수 축소 인자 분석 CCA ICA LDA NMF PCA PGD t-SNE
구조화된 예측 그래픽 모델 베이즈 네트 조건부 랜덤 필드 히든 마르코프
이상 검출 k-NN 국소 특이치 계수
인공신경망 자동 인코더 인지 컴퓨팅 딥 러닝 딥 드림 다층 퍼셉트론 RNN LSTM GRU ESN 저장고 계산 제한 볼츠만 기계 GAN somerset. 컨볼루션 뉴럴 네트워크 유넷 트랜스포머 비전. 스파이킹 뉴럴 네트워크 메모리 트랜지스터 전기화학 RAM(ECRAM)
강화 학습 Q-러닝 사사 시간차(TD) 멀티 에이전트 셀프 플레이
인간과의 학습 액티브 러닝 크라우드 소싱 휴먼 인 더 루프
모델 진단 학습 곡선
이론. 커널 머신 바이어스-분산 트레이드오프 컴퓨터 학습 이론 경험적 리스크 최소화 오컴 러닝 PAC 학습 통계학 학습 VC 이론
기계학습장 NeurolIPS ICML ML JMLR ArXiv:cs.LG
관련 기사 인공지능 용어집 기계 학습 연구를 위한 데이터 세트 목록 기계학습의 개요
v t

적대적 기계 학습은 기계 학습 알고리즘에 대한 공격과 그러한 ^[1]공격에 대한 방어에 대한 연구이다.최근 조사에 따르면 실무자들은 산업용 ^[2]애플리케이션에서 기계 학습 시스템을 더 잘 보호해야 할 필요성이 절실하다고 보고했습니다.

이해하기 위해 대부분의 기계 학습 기법은 훈련 데이터와 테스트 데이터가 동일한 통계 분포(IID)에서 생성된다는 가정 하에 특정 문제 세트에 대해 작동하도록 설계되어 있습니다.그러나 사용자가 통계적 가정을 위반하는 조작된 데이터를 의도적으로 제공할 수 있는 실제 고위험 애플리케이션에서는 이러한 가정이 위험하게 위반되는 경우가 많다.

적대적 기계 학습에서 가장 일반적인 위협 모델에는 회피 공격,^[3] 데이터 중독 공격,^[4] 비잔틴 공격^[5] 및 모델 ^[6]추출이 포함됩니다.

역사

2004년에 Nilesh Dalvi와 다른 사람들은 스팸 필터에 사용되는 선형 분류기가 스팸 이메일에 "좋은 단어"를 삽입함으로써 단순한 "회피 공격"에 의해 물리칠 수 있다고 지적했습니다.(2007년경 일부 스팸 발송자는 OCR 기반 필터를 제거하기 위해 "이미지 스팸" 내의 흐릿한 단어에 랜덤 노이즈를 추가했습니다.)2006년에 Marco Barmono와 다른 사람들은 공격에 대한 광범위한 분류법을 요약한 "Can Machine Learning Be Secure?"를 발표했습니다.Battista Biggio와 다른 연구자들이 이러한 기계 학습 모델에 대한 첫 번째 그라데이션 기반 공격을 시연하기 전까지 2013년까지 많은 연구자들은 비선형 분류기(지원 벡터 기계 및 신경 네트워크 등)가 적에게 강력할 수 있기를 계속 희망했다^[7][8](2012-2013).2012년에는 심층 신경 네트워크가 컴퓨터 비전 문제를 지배하기 시작했습니다. 2014년부터 Christian Szegedy와 다른 연구진은 심층 신경 네트워크가 적에게 속아 넘어갈 수 있다는 것을 증명했으며, 다시 구배 기반 공격을 사용하여 적대적 ^[9][10]교란을 조성했습니다.

최근에는 ^[11][12]소음의 영향을 상쇄하는 환경적 제약이 다르기 때문에 현실 세계에서 적대적 공격이 더 발생하기 어렵다는 것이 관찰되었다.예를 들어, 적대적 이미지에 작은 회전이나 약간의 조명을 비추면 적대적 이미지가 파괴될 수 있습니다.게다가, 구글 브레인사의 니콜라스 프로스트와 같은 연구원들은 자가운전 자동차가^[13] 적대적인 ^[14]예를 만드는 것보다 물리적으로 표지판 자체를 제거함으로써 정지 신호를 놓치게 만드는 것이 훨씬 더 쉽다고 지적한다.또한 Frosst는 적대적 기계 학습 커뮤니티가 특정 데이터 분포에 대해 훈련된 모델이 완전히 다른 데이터 분포에서도 잘 수행될 것이라고 잘못 가정한다고 믿는다.그는 기계학습에 대한 새로운 접근법을 모색해야 한다고 제안하고, 현재 최첨단 ^[14]접근 방식보다는 인간의 인식과 유사한 특성을 가진 독특한 신경망을 연구하고 있다.

적대적 기계 학습이 학계에 뿌리를 두고 있는 가운데 Google, Microsoft 및 IBM과 같은 대형 기술 기업은 문서와 오픈 소스 코드 기반을 조정하여 다른 기업이 기계 학습 모델의 견고성을 구체적으로 평가하고 적대적 ^[15][16][17]공격의 위험을 최소화할 수 있도록 했습니다.

예

예로는 스팸 필터링에서 스팸 메시지" 나쁜"단어의 철자 바꾸기 또는" 좋은"단어의 삽입을 통해 난독화 되어 있어 공격, 컴퓨터 보안에서 그러한 네트워크 패킷 내에서 생성되거나를 호도하다 침입 탐지는 네트워크 흐름의 특성을 수식하는 악성 코드 코드들을 흐리게 하고로[18][19]공격, bi에서[20][21]공격을 포함한다.ometric recognit가짜 생체 특성을 악용하여 합법적인 사용자를 ^[22]가장하거나 시간이 지남에 따라 업데이트된 특성에 적응하는 사용자의 템플릿 갤러리를 손상시킬 수 있습니다.

연구자들은 단 한 화소만 바꾸면 딥 러닝 알고리즘을 ^[23]속일 수 있다는 것을 보여주었다.다른 사람들은 구글의 물체 감지 인공지능이 거북이를 보는 ^[24]각도에 상관없이 소총으로 분류하도록 만들어진 질감을 가진 거북이를 3D 프린팅했다.거북이를 만들기 위해서는 상업적으로 구할 수 있는 저렴한 3-D 프린팅 ^[25]기술만 필요했습니다.

기계로 문질러진 개 이미지는 컴퓨터와 ^[26]인간 모두에게 고양이처럼 보이는 것으로 나타났다.2019년 한 연구는 인간이 기계가 적대적 ^[27]이미지를 어떻게 분류할 것인지 추측할 수 있다고 보고했다.연구진은 무인자동차가 정지 표지판을 병합 표지판 ^[13][28][29]또는 속도 제한 표지판으로 분류할 정도로 정지 표지판의 외관을 교란시키는 방법을 발견했다.

McAfee는 테슬라의 이전 모빌아이 시스템을 공격하여 속도 제한 ^[30][31]표지판에 2인치 검은색 테이프를 추가하는 것만으로 제한 속도를 50mph 초과하도록 속였다.

얼굴 인식 시스템이나 번호판 판독기를 속이기 위해 고안된 안경이나 의복의 적대적 패턴은 "스텔스 스트리트 웨어"^[32]라는 틈새 산업을 이끌었다.

신경망에 대한 적대적 공격은 공격자가 대상 ^[33]시스템에 알고리즘을 주입할 수 있게 합니다.연구자들은 또한 양성처럼 보이는 ^[34]오디오에서 지능형 보조자에게 명령을 위장하기 위해 적대적인 오디오 입력을 생성할 수 있다. 병렬 문헌은 그러한 ^[35][36]자극에 대한 인간의 인식을 탐구한다.

클러스터링 알고리즘은 보안 애플리케이션에서 사용됩니다.멀웨어 및 컴퓨터 바이러스 분석은 멀웨어 패밀리를 식별하고 특정 탐지 ^[37][38]시그니처를 생성하는 것을 목적으로 합니다.

공격 양식

분류법

(감독되는) 머신러닝 알고리즘에 대한 공격은 분류자에 대한 영향, 보안 위반 및 그 특수성의 세 가지 주요 ^[39]축에 따라 분류되었습니다.

• 분류자의 영향:공격은 분류 단계를 중단함으로써 분류자에 영향을 줄 수 있습니다.여기에는 취약성을 식별하기 위한 탐색 단계가 선행될 수 있습니다.공격자의 기능은 데이터 조작 ^[40]제약 조건의 존재로 인해 제한될 수 있습니다.
• 보안 위반:공격은 합법적인 것으로 분류되는 악의적인 데이터를 제공할 수 있습니다.훈련 중에 제공된 악성 데이터는 훈련 후 정당한 데이터가 거부될 수 있습니다.
• 사양:표적 공격은 특정 침입/정지를 허용하려고 시도합니다.또는, 무차별적인 공격이 일반적인 대혼란을 일으킨다.

이 분류법은 적의 목표, 공격 시스템에 대한 지식, 입력 데이터/시스템 컴포넌트 조작 능력 및 공격 ^[41][42]전략에 대한 명확한 가정을 가능하게 하는 보다 포괄적인 위협 모델로 확장되었습니다.이 분류법은 적대적 ^[43]공격에 대한 방어 전략의 차원으로 더욱 확장되었다.

전략들

다음으로 가장 일반적인 공격 시나리오를 몇 가지 나타냅니다.

데이터 중독

중독은 교육 데이터 세트를 오염시키는 것으로 구성됩니다.학습 알고리즘이 교육 데이터셋에 의해 형성되는 것을 고려하면, 중독은 알고리즘을 효과적으로 재프로그래밍할 수 있다.특히 가짜 계정이 흔하다는 점을 감안할 때 콘텐츠 추천이나 자연어 모델과 같은 사용자 생성 교육 데이터에 대한 심각한 우려가 제기되었습니다.리스크의 규모를 측정하기 위해 페이스북은 ^[44][45]연간 약 70억 개의 가짜 계정을 삭제한다고 알려졌습니다.실제로 데이터 중독은 산업용 ^[2]애플리케이션의 주요 우려 사항으로 보고되고 있습니다.

소셜 미디어에서, 허위 정보 캠페인은 특정 컨텐츠를 다른 컨텐츠보다 우선시하기 위해 추천과 조정 알고리즘을 편향시키기 위해 방대한 양의 조작된 활동을 생성하는 것으로 알려져 있습니다.

데이터 중독의 특정 경우를 백도어 ^[46]공격이라고 하는데, 이는 이미지, 소리, 비디오 또는 텍스트의 작은 결함 등 특정 트리거가 있는 입력에 대한 특정 동작을 가르치는 것을 목적으로 한다.

예를 들어, IDS(침입 탐지 시스템)는 수집된 데이터를 사용하여 재교육되는 경우가 많습니다.공격자는 조작 중에 악의적인 샘플을 주입하여 이 데이터를 포이즈닝할 수 있습니다.이 경우 이후 재트레이닝이 ^{[41][42][39][47][48][49]}중단됩니다.

비잔틴의 공격

머신러닝이 확장됨에 따라 많은 경우 복수의 컴퓨팅 머신에 의존하게 됩니다.예를 들어 연합학습에서는 엣지 디바이스는 중앙 서버와 연계하여 일반적으로 그라데이션 또는 모델 파라미터를 송신합니다.그러나 이러한 장치 중 일부는 예상된 동작에서 벗어날 수 있습니다. 예를 들어 중앙 서버의^[50] 모델을 손상시키거나 특정 동작에 알고리즘을 편향시키는 것(예: 허위 정보 내용의 권장 증폭)입니다.한편, 트레이닝을 1대의 머신으로 실시하는 경우, 모델은 머신의 고장이나 머신의 공격에 매우 취약합니다.머신은 단일의 ^[51]장해 지점입니다.실제로 기계 소유자는 검출할 수 없는 백도어를 ^[52]삽입할 수 있습니다.

소수의 악의적(예: 비잔틴) 참가자들에게 (분산된) 학습 알고리즘을 입증할 수 있는 탄력적으로 만드는 현재의 선도 솔루션은 강력한 경사 집계 ^{[53][54][55][56][57][58]}규칙을 기반으로 한다.그럼에도 불구하고, 추천 알고리즘이나 언어 모델의 쓰기 스타일을 위한 다른 소비 습관을 가진 사용자들과 같은 이질적인 정직한 참여자들의 맥락에서, 어떤 강력한 학습 알고리즘이 보증할 ^[5][59]수 있는 것에 대한 입증 가능한 불가능 이론이 존재한다.

회피.

회피^{[8][41][42][60]} 공격은 훈련된 모델의 불완전성을 이용하는 것으로 구성됩니다.예를 들어 스팸 메일 및 악성 프로그램의 내용을 난독화하여 스팸 발송자나 해커가 탐지를 회피하는 경우가 많습니다.샘플은 탐지를 회피하기 위해, 즉 합법으로 분류되도록 수정됩니다.이것은 교육 데이터에 영향을 미치지 않습니다.회피의 명확한 예는 스팸 콘텐츠를 첨부 이미지 내에 삽입하여 안티스팸 필터에 의한 텍스트 분석을 회피하는 이미지 기반 스팸입니다.바이오메트릭 검증 ^[22]시스템에 대한 스푸핑 공격을 통해 회피의 또 다른 예를 들 수 있다.

회피 공격은 일반적으로 블랙박스 공격과 화이트박스 ^[16]공격의 두 가지 범주로 나눌 수 있습니다.

모델 추출

모델 추출에는 블랙박스 기계 학습 시스템이 훈련받은 ^[61][62]데이터를 추출하기 위해 상대방이 탐색하는 작업이 포함됩니다.따라서 교육 데이터 또는 모델 자체가 기밀성이 높고 기밀성이 높은 경우 문제가 발생할 수 있습니다.예를 들어, 모델 추출은 상대방이 재무적 효익을 위해 사용할 수 있는 독점적 주식거래모형을 추출하는 데 사용될 수 있다.

극단적인 경우, 모델 추출은 모델 도용으로 이어질 수 있으며, 이는 모델의 완전한 재구성을 가능하게 하는 충분한 양의 데이터를 모델에서 추출하는 것에 해당합니다.

한편, 멤버십 추론은 데이터 포인트의 소유자를 유추하는 표적 모델 추출 공격이며, 종종 잘못된 기계 학습 ^[63]관행에서 비롯되는 과적합성을 활용한다.이와 관련하여, 이것은 때때로 대상 모델의 매개변수에 대한 지식이나 접근 없이도 달성될 수 있으며, 의료 기록 및/또는 개인 식별 가능 정보를 포함하지만 이에 국한되지 않는 민감한 데이터에 대해 교육을 받은 모델에 대한 보안 문제가 제기됩니다.많은 최첨단 기계 학습 모델의 이전 학습과 공개 접근성이 등장함에 따라, 기술 기업들은 공개 학습 모델을 기반으로 한 모델을 제작하는 데 점점 더 끌리고 있으며,^[63] 공격자가 사용하는 모델의 구조와 유형에 자유롭게 접근할 수 있는 정보를 제공합니다.

특정 공격 유형

기계 학습 시스템에 대해 사용될 수 있는 다양한 적대적 공격이 있습니다.이들 대부분은 딥 러닝 시스템과 SVM^[7] 및 선형 ^[64]회귀와 같은 기존 머신 러닝 모델 모두에서 작동합니다.이러한 공격 유형의 대략적인 예는 다음과 같습니다.

• 적대적인^[65] 예
• 트로이 목마 공격/백도어^[66] 공격
• 모델^[67] 반전
• 멤버십 추론

적대적 예

적대적 예시는 인간에게 "정상"으로 보이도록 설계되었지만 기계 학습 모델로 잘못 분류되는 특수하게 조작된 입력을 참조합니다.종종 오분류를 유도하기 위해 특별히 설계된 "소음"의 형태가 사용된다.다음은 문헌에서 적대적 예를 생성하는 몇 가지 최신 기법이다(절대 포괄적인 목록은 아니다).

• 구배 기반 회피^[8] 공격
• Fast Gradient Sign Method(FGSM)^[69]
• 예상 경사 강하(PGD)^[70]
• 칼리니와 바그너(C&W) 공격^[71]
• 적대적 패치^[72] 공격

블랙박스 공격

적대적 기계 학습의 블랙박스 공격은 상대방이 제공된 입력에 대해서만 출력을 얻을 수 있고 모델 구조나 ^[16][73]매개변수에 대한 지식이 없다고 가정한다.이 경우, 적대적 예는 처음부터 생성된 모델을 사용하거나 모델이 전혀 없이 생성됩니다(원래 모델을 쿼리하는 기능은 제외).어느 경우든, 이러한 공격의 목적은 문제의 ^[74]블랙박스 모델로 이전할 수 있는 적대적 사례를 만드는 것입니다.

스퀘어 어택

스퀘어 공격은 구배 ^[75]정보 없이 분류 점수를 조회하는 블랙박스 회피 적대적 공격으로서 2020년에 도입되었다.점수 기반 블랙박스 공격으로서, 이 적대적 접근법은 모델 출력 클래스에 걸친 확률 분포를 쿼리할 수 있지만 모델 자체에 대한 다른 접근은 없다.이 논문의 저자에 따르면 제안된 스퀘어 공격은 당시 ^[75]아트 스코어 기반 블랙박스 공격에 비해 필요한 쿼리가 적다고 한다.

함수 목표를 설명하기 위해 공격은 분류자를 f$$:$$[$0$ , $1{}^{}$]$d^{}$ ${}^{}$ ${\mathbb{}}^{}$ ${}^{}$\ $textstyle$ f : [$0$ , $1$]^{$d$}\$rightarrow$ \$mathbb${R}$^{$K$\}$ 로 $정의$합니다.$d$\ $textstyle$ d$$}는$$ 입력의 치수를 $나타내고$K \ $textstyle$K는$$ 출력 클래스의 합계수를 나타냅니다.$f_{}$ k${}_{}$($x$ $){$$textstyle$ $f_{k}(x)}$는 입력$$x(\$textstyle$x)가$$ $클래스$k(\$textstyle$ k$)$에 속하는 점수(또는 확률)를 반환합니다.이것에 의해, ${\mathrm{임의}}_{}$의 $입력$x(\$textstyle$x)에$$ 대한 분류자의 클래스 출력을 $r$ g $x_{}$ k ${=1}_{}$,${}_{}{}_{}{}_{}$K $ftextstyle$ $x$)로 정의할 수 있습니다$.$$ax_{k=1,$ ..., $K}f_{k}(x$이 공격의 목적은 다음과 같습니다.^[75]

${\displaystyle argmax_{k=1,...K}f_{k}({\hat {x})\neq y, {\hat {x}-x}\leq \ilon {text} 및 {}{\hat {x}}\in [0,1]^{d}}\leq}$^[75]

즉, x$(\${$x})$와 x$(\textstyle${$x})$가 유사하다는 제약 $하$에 분류자가 이를 다른 클래스로 잘못 분류할 수 있도록 교란된 $적대적\stackrel{}{}$ 예$$x(\$textstyle$${$x})를$$ 찾는 것입니다.다음으로 손실 $(\$$textstyle$ L$)$을 L$(x\stackrel{}{}^$), y$)$ $=$ ${}_{}$ $x$) - $\underset{}{max}$ k $\underset{}{†}$ $\underset{}{y}$ $f_{}$k ($$ )$$、 y ) $= f$ _ { y } ( { \$hat$ { $x$} ) - $\ max$ { k \ $neq$y f { $x$} { k $}$} { $hat$ } { k } } } 로 정의합니다.다음 제한 최적화 문제:^[75]

$\displaystyle \min _{\hat {x}\in [0,1]^{d}}L(f({\hat {x}}), y), {\text{ s.t.}}{{x}\leq \epsilon}}$^[75]

이론의 결과는 잘못된 클래스에 대해 매우 자신만만하지만 원본 이미지와 매우 유사한 적대적 사례입니다.이러한 예를 찾기 위해, 사각 공격은 반복 랜덤 검색 기술을 사용하여 목적 함수를 개선하고자 이미지를 무작위로 교란합니다.각 단계에서 알고리즘은 픽셀의 작은 정사각형 부분만 교란하기 때문에 쿼리 효율을 개선하기 위해 적대적인 예가 발견되는 즉시 종료되는 Square Attack이라는 이름을 사용한다.마지막으로, 공격 알고리즘은 구배 정보가 아닌 점수를 사용하기 때문에, 본 논문의 저자들은 이 접근법이 ^[75]회피 공격을 방지하기 위해 이전에 사용되었던 일반적인 기술인 구배 마스킹의 영향을 받지 않음을 나타낸다.

Hop Skip Jump 공격

이 블랙박스 공격은 쿼리 효율적인 공격으로도 제안되었지만 입력의 예측 출력 클래스에 대한 액세스에만 의존하는 공격입니다.즉, HopSkipJump 공격은 구배를 계산하거나 Square Attack과 같은 점수 값에 액세스할 필요가 없으며 모델의 클래스 예측 출력만 필요합니다.제안된 공격은 타겟팅과 타겟팅되지 않은 두 가지 다른 설정으로 나뉘지만, 둘 다 다른 모델 출력으로 이어지는 최소한의 섭동을 추가하는 일반적인 아이디어에서 구축된다.대상 설정에서 목표는 모델이 교란된 이미지를 특정 대상 라벨(원래 라벨이 아님)로 잘못 분류하는 것입니다.대상화되지 않은 설정에서는 모델이 원래 라벨이 아닌 라벨로 섭동된 이미지를 잘못 분류하는 것이 목표입니다.두 가지 공격 목표는 다음과 같습니다$.$ $여기$서 x {\$textstyle$ x$}$는 원본 이미지, x ${\$ {\prime$}$는 적대 $,$ d {\$textstyle$d$$}는 이미지 간의 거리 $함수{}^{}$, c ${\$ {\$textstyle$ c$^{*}}$는 타깃 라벨,$C$ {\$textstyle$ C$}$는 모델의 분류 클래스입니다.ss 라벨 함수:

${\displaystyle\textbf {타깃:}}\min _{x^{\prime}}d(x^{\prime}},x){\text{}C(x^{\prime}}=c^{*}}}$^[76]

${\displaystyle\textbf {대상 없음:}}\min _{x^{\prime}}d(x^{\prime}},x){\text{}C(x^{\prime}}\neq C(x)}의 대상입니다.$^[76]

이 문제를 해결하기 위해 공격은 대상 설정 및 대상 설정 모두에 대해 다음 경계 $함수$ S$(\textstyle$ S$)$를 제안합니다.

$(\displaystyle S(x^{\prime}):=cisco{case}max_{c\neq C(x)}{F(x^{\prime })_{c}-F(x^{\prime })_{C(x)}},&{\text{(대상 미달)}}}\F(x^{\prime })_{c^{*}-max_{c\neq c^{*}}{F(x^{\prime })_{c}},&{\text{(타깃)})}}\end {case}}$^[76]

이를 더욱 단순화하여 서로 다른 잠재적 적대적 사례 간의 경계를 더 잘 시각화할 수 있습니다.

$\displaystyle S(x^{\prime })> 0\iff {begin{cases}argmax_{c}F(x^{\prime})\neq C(x),\text{(미대상)}}\argmax_{c}F(x^{\prime })=c^{*},&{\text{(타깃)}}}\end {case}}$^[76]

이 경계 함수를 사용하면 공격은 반복 알고리즘을 사용하여 공격 목표를 충족하는 특정 $이미지$x(\$textstyle$x^{\$prime$ })에$$ 대한 $적대적{}^{}$ 예 x$(\$ x$^{\$prime$$})를$$ 찾습니다.

1. $(\textstyle$ x$)$를 S 0$(\textstyle$ S$(x)>$ 0$)$으로 초기화합니다.
2. 아래에서 반복하다
   1. 경계 검색
   2. 그라데이션 업데이트
      • 그라데이션 계산
      • 스텝 사이즈 검색

경계 검색에서는 수정된 이진 검색을 사용하여 경계(S$${\$textstyle$ S$\}$에서 정의된$)$가 x(\$textstyle$ x$}$ $및{}^{}$ x$(\$ x$^{\prime$ $사이$의 선과 교차하는 지점을 찾습니다.다음 단계에서는 x$(\textstyle$ x$)$의 구배를 계산하고 이 구배와 선택 전 단계 크기를 사용하여 $원본$x(\$textstyle$ x$)$를 업데이트합니다.HopSkipJump 작성자는 이 반복 알고리즘이 수렴되어 x$(\textstyle$ x$)$가 원래 ^[76]이미지와 매우 가까운 경계선을 따라 점으로 $이동함$을 증명합니다.

그러나 HopSkipJump는 제안된 블랙박스 공격이며 위의 반복 알고리즘은 (블랙박스 공격에 접근할 수 없는) 두 번째 반복 단계에서 그라데이션 계산을 필요로 하기 때문에 저자들은 모델의 출력 예측만을 ^[76]필요로 하는 그라데이션 계산에 대한 솔루션을 제안한다.$모든{}_{}$ ${방향}_{}$으로$다수$의 랜덤 벡터를 생성함으로써 구배 근사치는 $이미지상의{}^{}$ 경계함수 부호에 의해 가중된 이들 랜덤 벡터의 평균을 사용하여 계산할 수 있습니다${}^{}$여기서 구배는 이미지상의 경계함수 부호에 의해 가중됩니다.x + ${u_{}}_{}$b { \ $text style$ x^ { \ $prime$} + \ $delta$_ { u _ { $b$}$$${u_{}}_{}$ _ { b }$$} 。$${{$u_{b}}}은$$($는) 랜덤 벡터 섭동의 크기:

$\displaystyle \sla S(x^{\prime },\sum _{b=1}^{B}\phi(x^{\prime}+\prime _{u_{b})u_{b}}}\phi(x^{\prime})$^[76]

위의 방정식의 결과는 반복 알고리즘의 스텝2에서 요구되는 구배 근사치를 나타내며 블랙박스 ^[77][78][76]공격으로서 HopSkipJump를 완성합니다.

화이트 박스 공격

화이트 박스 공격은 상대방이 제공된 ^[74]입력의 라벨을 얻을 수 있을 뿐만 아니라 모델 파라미터에 액세스할 수 있다고 가정합니다.

Fast Gradient Sign Method(FGSM)

구글의 연구원인 Ian J. Goodfellow, Jonathon Shlens,^[79] Christian Szegedy에 의해 적대적 사례를 생성하기 위해 가장 먼저 제안된 공격 중 하나가 제안되었다.이 공격은 고속 구배 부호법이라고 불리며, 이미지에 허용 가능한 노이즈의 선형 양을 추가하고 모델이 이를 잘못 분류하도록 하는 것으로 구성됩니다.이 노이즈는 교란하려는 이미지에 대한 구배 부호에 작은 상수 엡실론을 곱하여 계산됩니다.엡실론이 증가할수록 모델은 속아넘어갈 가능성이 높아지지만 섭동도 식별하기 쉬워집니다.아래는 x$(\textstyle$ x$)$가 원본 이미지이고,$(\textstyle$ \$epsilon)$는 매우 작은 숫자이고,$$ $x(\textstyle$ \$Delta$_{$x$$})$는 그라데이션 $함수$이며, J$(\textstyle$ J$)$는 손실 함수이고,$\delta$(\$textstyle \theta)$는 모델 가중치 및 모델 가중치입니다.$\textstyle$y는$$ 진정한 ^[80]라벨입니다.

$(\displaystyle adv_{x}=x+\ilon \cdot 기호(\Delta_{x}J(\theta,x,y)),$^[81]

이 방정식의 한 가지 중요한 특성은 입력 이미지에 대해 구배가 계산된다는 것이다. 왜냐하면 목표는 실제 $라벨의$원본 이미지에 대한 손실을 최대화하는 이미지를 생성하는 것이기 때문이다. ($모델$ 훈련의 경우$)$ 전통적인 구배 강하에서는 구배는 t 이후 모델의 가중치를 업데이트하기 위해 사용된다.그의 목표는 실제 날짜에서 모델의 손실을 최소화하는 것이다.고속 경사 부호 방법은 신경망이 ^[80][81][79]입력에 대한 선형적인 양의 섭동을 거부할 수 없다는 가설을 바탕으로 모델을 회피하기 위해 적대적 예를 생성하는 빠른 방법으로 제안되었다.

Carlini & Wagner (C&W)

기존의 적대적 공격과 방어를 분석하기 위해 2016년 캘리포니아 대학교 버클리, Nicholas Carlini 및 David Wagner의 연구원들은 적대적 사례를 생성하는 ^[82]더 빠르고 강력한 방법을 제안합니다.

Carlini와 Wagner가 제안한 공격은 어려운 비선형 최적화 방정식을 푸는 것으로 시작됩니다.

$\displaystyle \min(\displaystyle _{p}{\text{}C(x+\delta)=t,x+\display \in [0,1]^{n}}$^[62]

여기서의 목적은 기계학습 알고리즘$(C$$\$$textstyle$ C$)$이 dire가 아닌 delta$($$\mathrm{또는}x$ +$$$however$\$textstyle$x+\delta$)$를 사용하여 원래 입력$$x(\$textstyle$ x$+\$$delta$ )를 예측하도록 원래 $입력$ x(\$textstyle$x$)$에 추가된 노이즈$(\textstyle x)$를 최소화하는 것입니다.위의 방정식에 따르면 Carlini와 Wagner는 다음과 같은 새로운 $함수$ f$\textstyle$f를$$ 사용할 것을 제안한다.

$\displaystyle C(x+\delta)=t\iff f(x+\delta)\leq 0}$^[62]

이것에 의해, 다음의 문제에 대한 첫 번째 방정식이 정리됩니다.

$\displaystyle \min(\displaystyle _{p}{\text{}f(x+\displays)\leq 0,x+\displays\in [0,1]^{n}}$^[62]

더 많은 정보를 얻을 수 있습니다.

$\displaystyle \min(\displaystyle _{p}+c\cdot f(x+\cdot ), x+\display \in [0,1]^{n})$^[62]

Carlini와 Wagner는 주어진 $입력$x(\$textstyle$ x$)$에 대한 클래스 확률을 결정하는 함수인$Z$(\$textstyle$ Z$)$를 $사용$하여$$f(\$textstyle$ f$$$)$ $대신$ 아래 함수를 사용할 것을 제안한다. 이 방정식을 대입하면 가장 clas와 같은 다음 클래스보다 신뢰도가 높은 타깃 클래스를 찾는 것으로 생각할 수 있다.s는 일정한 양만큼:

${\displaystyle f(x)=([\max _{i\neq t}Z(x)_{i})-Z(x)_{t}^+})$^[62]

구배 강하를 사용하여 해결할 때, 이 방정식은 한 때 적대적 ^{[83][84][82][62]}예에 대해 효과적이라고 제안된 방어인 방어 증류도 우회할 수 있는 빠른 구배 부호 방법과 비교할 때 더 강력한 적대적 예를 생성할 수 있다.

방어.

연구자들은 기계 ^[10]학습을 보호하기 위한 다단계 접근법을 제안했습니다.

• 위협 모델링 – 대상 시스템에 대한 공격자의 목표와 능력을 공식화합니다.
• 공격 시뮬레이션 – 공격자가 해결하려는 최적화 문제를 가능한 공격 전략에 따라 공식화합니다.
• 공격 영향 평가
• 대책 설계
• 노이즈 검출(회피 기반 ^[85]공격의 경우)
• 정보 세탁 – 공격 대상자가 받은 정보 변경(모델 도용 ^[62]공격용)

메커니즘

회피, 포이즈닝 및 프라이버시 공격에 대한 방어 메커니즘은 다음과 같이 제안되고 있습니다.

• GAN으로부터의 데이터 증강으로 강화된 DNN(Deep Neural Network) 분류기.^[86]
• 안전한 학습 알고리즘^[19][87][88]
• 비잔틴 복원 알고리즘^[53][5]
• 다중 분류기^[18][89] 시스템
• 인공지능에 의해 작성된 알고리즘.^[33]
• 교육 환경을 탐색하는 AI. 예를 들어, 이미지 인식에서는 고정된 2D ^[33]이미지 세트를 수동적으로 스캔하는 대신 3D 환경을 능동적으로 탐색합니다.
• 프라이버시 보호^[42][90] 학습
• 카글식 경기용 사다리 알고리즘
• 게임 이론^[91][92][93] 모델
• 교육 데이터 삭제
• 적대적^[69][21] 훈련
• 백도어 검출 알고리즘^[94]

「 」를 참조해 주세요.

• 패턴 인식
• Fawkes(이미지 클로킹 소프트웨어)

레퍼런스

외부 링크

• MITRE ATLAS: 인공지능 시스템의 적대적 위협 상황
• NIST 8269 초안: 적대적 기계 학습 분류 및 용어
• NIPS 2007 컴퓨터 보안을 위한 적대적 환경에서의 머신러닝 워크숍
• AlfaSVMLib – Support Vector^[1] Machine에 대한 적대적 라벨 플립 공격
• Laskov, Pavel; Lippmann, Richard (2010). "Machine learning in adversarial environments". Machine Learning. 81 (2): 115–119. doi:10.1007/s10994-010-5207-6. S2CID 12567278.
• Dagstuhl 전망 워크숍 "컴퓨터 보안을 위한 기계 학습 방법"
• 인공지능과 보안(AISec) 시리즈 워크숍