Kaj so kontradiktorni napadi v strojnem učenju in kako se lahko borimo proti njim?

Tehnologija pogosto pomeni, da je naše življenje bolj udobno in varno. Hkrati pa je takšen napredek kibernetskim kriminalcem odklenil bolj sofisticirane načine, da nas napadejo in pokvarijo naše varnostne sisteme, zaradi česar so nemočni.

Umetno inteligenco (AI) lahko uporabljajo tako strokovnjaki za kibernetsko varnost kot kibernetski kriminalci; podobno se lahko sistemi strojnega učenja (ML) uporabljajo tako za dobro kot za zlo. Zaradi tega pomanjkanja moralnega kompasa so kontradiktorni napadi v ML vedno večji izziv. Kaj torej pravzaprav so kontradiktorni napadi? Kakšen je njihov namen? In kako se lahko zaščitite pred njimi?

Kaj so kontradiktorni napadi v strojnem učenju?

Adversarial ML ali kontradiktorni napadi so kibernetski napadi, katerih namen je pretentati model ML z zlonamernimi vhodi in tako privesti do manjše natančnosti in slabe učinkovitosti. Torej kljub svojemu imenu adversarial ML ni vrsta strojnega učenja, temveč vrsta tehnik, ki jih kiberkriminalci – ali nasprotniki – uporabljajo za ciljanje na sisteme ML.

Glavni cilj takšnih napadov je običajno pretentati model, da izda občutljive informacije, nezmožnost odkrivanja goljufivih dejavnosti, izdelava napačnih napovedi ali pokvarjena analiza poročila. Čeprav obstaja več vrst kontradiktornih napadov, so ti pogosto usmerjeni na zaznavanje neželene pošte, ki temelji na globokem učenju.

Verjetno ste že slišali za napad nasprotnika v sredini, ki je nova in učinkovitejša sofisticirana tehnika lažnega predstavljanja, ki vključuje krajo zasebnih podatkov, sejnih piškotkov in celo obide metode večfaktorske avtentikacije (MFA). Na srečo se lahko proti tem borite z tehnologija MFA, odporna proti lažnemu predstavljanju.

Vrste kontradiktornih napadov

Najenostavnejši način za razvrščanje vrst kontradiktornih napadov je, da jih ločite v dve glavni kategoriji—ciljno usmerjeni napadi in neciljanih napadov. Kot je predlagano, imajo ciljni napadi točno določeno tarčo (na primer določeno osebo), medtem ko neciljni napadi nimajo v mislih nikogar določenega: ciljajo lahko na skoraj vsakogar. Ni presenetljivo, da so neciljani napadi manj zamudni, a tudi manj uspešni kot njihovi ciljni dvojniki.

Ti dve vrsti lahko nadalje razdelimo na bela škatla in Črna škatla kontradiktorni napadi, kjer barva nakazuje poznavanje ali nepoznavanje ciljanega modela ML. Preden se poglobimo v napade z belimi in črnimi skrinjicami, si na hitro oglejmo najpogostejše vrste nasprotniških napadov.

• Izmikanje: Napadi izogibanja, ki se večinoma uporabljajo v scenarijih zlonamerne programske opreme, se poskušajo izogniti odkrivanju s prikrivanjem vsebine e-poštnih sporočil, okuženih z zlonamerno programsko opremo, in neželenih sporočil. Z uporabo metode poskusov in napak napadalec manipulira s podatki v času uvajanja in pokvari zaupnost modela ML. Biometrično ponarejanje je eden najpogostejših primerov napadov izogibanja.
• Zastrupitev podatkov: znani tudi kot kontaminacijski napadi, njihov namen je manipulirati z modelom ML med obdobjem usposabljanja ali uvajanja ter zmanjšati natančnost in zmogljivost. Z uvedbo zlonamernih vnosov napadalci zmotijo ​​model in varnostnim strokovnjakom otežijo odkrivanje vrste vzorčnih podatkov, ki kvarijo model ML.
• Bizantinske napake: Ta vrsta napada povzroči izgubo sistemske storitve zaradi bizantinske napake v sistemih, ki zahtevajo soglasje med vsemi vozlišči. Ko eno od njegovih zaupanja vrednih vozlišč postane prevarantsko, lahko sproži napad zavrnitve storitve (DoS) in zaustavi sistem ter prepreči komunikacijo drugih vozlišč.
• Ekstrakcija modela: V napadu ekstrakcije bo nasprotnik preiskoval sistem črne skrinjice ML, da bi izluščil podatke o njegovem usposabljanju ali – v najslabšem primeru – sam model. Nato lahko nasprotnik s kopijo modela ML v rokah preizkusi svojo zlonamerno programsko opremo proti protivirusni programski opremi/protivirusni programski opremi in ugotovi, kako jo obiti.
• Napadi sklepanja: Tako kot pri napadih ekstrakcije je tudi tukaj cilj doseči, da model ML razkrije informacije o svojih podatkih o usposabljanju. Vendar pa bo nasprotnik nato poskušal ugotoviti, kateri niz podatkov je bil uporabljen za usposabljanje sistema, tako da lahko izkoristi ranljivosti ali pristranskosti v njem.

White-Box vs. Črna skrinjica vs. Grey-Box kontradiktorni napadi

Kar ločuje te tri vrste kontradiktornih napadov, je količina znanja, ki ga imajo nasprotniki o notranjem delovanju sistemov ML, ki jih nameravajo napasti. Medtem ko metoda bele škatle zahteva izčrpne informacije o ciljnem modelu ML (vključno z njegovim arhitektura in parametri), metoda črne skrinjice ne zahteva nobenih informacij in jih lahko le opazuje izhodi.

Model sive škatle medtem stoji sredi teh dveh skrajnosti. V skladu z njim lahko imajo nasprotniki nekaj informacij o naboru podatkov ali drugih podrobnostih o modelu ML, vendar ne vseh.

Kako lahko ubranite strojno učenje pred kontradiktornimi napadi?

Čeprav so ljudje še vedno ključna komponenta pri krepitvi kibernetske varnosti,AI in ML sta se naučila odkriti in preprečiti zlonamerne napade— lahko povečajo natančnost zaznavanja zlonamernih groženj, spremljanja dejavnosti uporabnikov, prepoznavanja sumljive vsebine in še veliko več. Toda ali lahko odvrnejo kontradiktorne napade in zaščitijo modele ML?

Eden od načinov, kako se lahko borimo proti kibernetskim napadom, je, da usposobimo sisteme ML, da vnaprej prepoznajo kontradiktorne napade, tako da v njihov postopek usposabljanja dodamo primere.

Za razliko od tega pristopa grobe sile metoda obrambne destilacije predlaga uporabo primarnega, učinkovitejšega modela za ugotovitev izločiti kritične značilnosti sekundarnega, manj učinkovitega modela in nato izboljšati natančnost sekundarnega s primarnim eno. Modeli ML, usposobljeni za obrambno destilacijo, so manj občutljivi na kontradiktorne vzorce, zaradi česar so manj dovzetni za izkoriščanje.

Prav tako bi lahko nenehno spreminjali algoritme, ki jih modeli ML uporabljajo za klasifikacijo podatkov, zaradi česar bi lahko nasprotni napadi postali manj uspešni.

Druga pomembna tehnika je stiskanje funkcij, ki bo zmanjšalo iskalni prostor, ki je na voljo nasprotnikom, tako da bo "iztisnil" nepotrebne vhodne funkcije. Tukaj je cilj čim bolj zmanjšati lažne pozitivne rezultate in narediti odkrivanje kontradiktornih primerov učinkovitejše.

Zaščita strojnega učenja in umetne inteligence

Kontradiktorni napadi so nam pokazali, da je veliko modelov strojnega učenja mogoče razbiti na presenetljive načine. Navsezadnje je kontradiktorno strojno učenje še vedno novo raziskovalno področje na področju kibernetske varnosti in prihaja s številnimi kompleksnimi težavami za AI in ML.

Čeprav ni čarobne rešitve za zaščito teh modelov pred vsemi kontradiktornimi napadi, je prihodnost bo verjetno prinesla naprednejše tehnike in pametnejše strategije za spopadanje s tem strašnim nasprotnik.