Być może słyszałeś o atakach wrogich w odniesieniu do sztucznej inteligencji i uczenia maszynowego, ale czym one są? Jakie są ich cele?

Technologia często sprawia, że ​​nasze życie jest wygodniejsze i bezpieczniejsze. Jednocześnie jednak takie postępy umożliwiły cyberprzestępcom dostęp do bardziej wyrafinowanych sposobów atakowania nas i niszczenia naszych systemów bezpieczeństwa, czyniąc je bezsilnymi.

Sztuczna inteligencja (AI) może być wykorzystywana zarówno przez specjalistów ds. bezpieczeństwa cybernetycznego, jak i przez cyberprzestępców; podobnie systemy uczenia maszynowego (ML) mogą być wykorzystywane zarówno do czynienia dobra, jak i zła. Ten brak kompasu moralnego sprawił, że ataki przeciwników w ML stały się coraz większym wyzwaniem. Czym właściwie są ataki przeciwnika? Jaki jest ich cel? A jak można się przed nimi chronić?

Czym są ataki kontradyktoryjne w uczeniu maszynowym?

Adversarial ML lub kontradyktoryjne ataki to cyberataki, które mają na celu oszukanie modelu ML za pomocą złośliwych danych wejściowych, a tym samym prowadzą do niższej dokładności i niskiej wydajności. Tak więc, pomimo swojej nazwy, kontradyktoryjne uczenie maszynowe nie jest typem uczenia maszynowego, ale różnymi technikami wykorzystywanymi przez cyberprzestępców — inaczej adwersarzy — do atakowania systemów uczenia maszynowego.

instagram viewer

Głównym celem takich ataków jest zazwyczaj nakłonienie modelki do przekazania poufnych informacji, niewykrywanie oszukańczych działań, tworzenie nieprawidłowych prognoz lub fałszowanie opartych na analizach raporty. Chociaż istnieje kilka rodzajów wrogich ataków, często ich celem jest wykrywanie spamu oparte na głębokim uczeniu się.

Prawdopodobnie słyszałeś o atak przeciwnika w środku, która jest nową i bardziej skuteczną wyrafinowaną techniką phishingu, która obejmuje kradzież prywatnych informacji, sesyjnych plików cookie, a nawet obejście metod uwierzytelniania wieloskładnikowego (MFA). Na szczęście można z nimi walczyć technologia MFA odporna na phishing.

Rodzaje ataków wrogich

Najprostszym sposobem sklasyfikowania rodzajów ataków przeciwnika jest podzielenie ich na dwie główne kategorie:ataki ukierunkowane I nieukierunkowane ataki. Jak sugerowano, ataki ukierunkowane mają określony cel (np. konkretną osobę), podczas gdy ataki nieukierunkowane nie mają na celu nikogo konkretnego: mogą atakować prawie każdego. Nic dziwnego, że ataki nieukierunkowane są mniej czasochłonne, ale także mniej skuteczne niż ich ukierunkowane odpowiedniki.

Te dwa typy można dalej podzielić na białe pudło I czarna skrzynka ataki kontradyktoryjne, gdzie kolor sugeruje wiedzę lub brak wiedzy na temat docelowego modelu ML. Zanim zagłębimy się w ataki typu „biała i czarna skrzynka”, rzućmy okiem na najczęstsze rodzaje ataków przeciwnika.

  • Uchylanie się: Najczęściej stosowane w scenariuszach ze złośliwym oprogramowaniem, ataki unikania mają na celu uniknięcie wykrycia poprzez ukrywanie treści e-maili zainfekowanych złośliwym oprogramowaniem i spamem. Wykorzystując metodę prób i błędów, atakujący manipuluje danymi w momencie wdrażania i narusza poufność modelu ML. Fałszowanie biometryczne jest jednym z najczęstszych przykładów ataku mającego na celu uniknięcie oszustwa.
  • Zatruwanie danych: Znane również jako ataki zanieczyszczające, mają one na celu manipulowanie modelem uczenia maszynowego podczas okresu szkolenia lub wdrażania oraz zmniejszenie dokładności i wydajności. Wprowadzając złośliwe dane wejściowe, osoby atakujące zakłócają model i utrudniają specjalistom ds. bezpieczeństwa wykrycie typu przykładowych danych, które uszkadzają model uczenia maszynowego.
  • Błędy bizantyjskie: Ten typ ataku powoduje utratę usługi systemowej w wyniku błędu Bizancjum w systemach, które wymagają konsensusu między wszystkimi jego węzłami. Gdy jeden z zaufanych węzłów stanie się nieuczciwy, może przeprowadzić atak typu „odmowa usługi” (DoS) i zamknąć system, uniemożliwiając komunikację innym węzłom.
  • Ekstrakcja modelu:Podczas ataku polegającego na ekstrakcji przeciwnik będzie sondował system ML czarnej skrzynki w celu wydobycia danych treningowych lub — w najgorszym przypadku — samego modelu. Następnie, mając kopię modelu ML w swoich rękach, przeciwnik może przetestować swoje złośliwe oprogramowanie pod kątem antymalware/antywirusa i dowiedzieć się, jak je ominąć.
  • Ataki wnioskowania: Podobnie jak w przypadku ataków polegających na ekstrakcji, celem jest spowodowanie wycieku informacji o danych treningowych modelu ML. Jednak przeciwnik spróbuje następnie ustalić, który zestaw danych został użyty do wyszkolenia systemu, aby mógł wykorzystać w nim luki w zabezpieczeniach lub uprzedzenia.

Białe pudełko vs. Czarna skrzynka vs. Ataki przeciwnika w szarej skrzynce

Tym, co odróżnia te trzy rodzaje ataków przeciwnika, jest ilość wiedzy, jaką przeciwnicy mają na temat wewnętrznego działania systemów ML, które planują zaatakować. Podczas gdy metoda białej skrzynki wymaga wyczerpujących informacji o docelowym modelu ML (w tym jego architektura i parametry), metoda czarnej skrzynki nie wymaga żadnych informacji i może jedynie ją obserwować wyjścia.

Tymczasem model szarej skrzynki znajduje się pośrodku tych dwóch skrajności. Zgodnie z nim przeciwnicy mogą mieć pewne informacje o zbiorze danych lub inne szczegóły dotyczące modelu ML, ale nie wszystkie.

Jak można obronić uczenie maszynowe przed atakami przeciwnika?

Chociaż ludzie są nadal kluczowym elementem wzmacniania cyberbezpieczeństwa,AI i ML nauczyły się wykrywać złośliwe ataki i zapobiegać im—mogą zwiększyć dokładność wykrywania złośliwych zagrożeń, monitorowania aktywności użytkowników, identyfikowania podejrzanych treści i nie tylko. Ale czy mogą odeprzeć ataki wroga i chronić modele uczenia maszynowego?

Jednym ze sposobów walki z cyberatakami jest nauczenie systemów uczenia maszynowego rozpoznawania ataków przeciwnika z wyprzedzeniem poprzez dodanie przykładów do ich procedury szkoleniowej.

W przeciwieństwie do podejścia brutalnej siły, defensywna metoda destylacji proponuje użycie podstawowego, bardziej wydajnego modelu do obliczenia zidentyfikować krytyczne cechy drugorzędnego, mniej wydajnego modelu, a następnie poprawić dokładność drugorzędnego z pierwotnym jeden. Modele ML trenowane z destylacją obronną są mniej wrażliwe na próbki przeciwnika, co czyni je mniej podatnymi na wykorzystanie.

Moglibyśmy również stale modyfikować algorytmy używane przez modele ML do klasyfikacji danych, co mogłoby sprawić, że ataki przeciwnika będą mniej skuteczne.

Inną godną uwagi techniką jest „wyciskanie” funkcji, które zmniejsza przestrzeń wyszukiwania dostępną dla przeciwników poprzez „wyciskanie” niepotrzebnych funkcji wejściowych. W tym przypadku celem jest zminimalizowanie liczby fałszywych alarmów i zwiększenie skuteczności wykrywania przykładów przeciwników.

Ochrona uczenia maszynowego i sztucznej inteligencji

Ataki wrogie pokazały nam, że wiele modeli ML można rozbić w zaskakujący sposób. W końcu przeciwstawne uczenie maszynowe jest wciąż nową dziedziną badań w dziedzinie cyberbezpieczeństwa i wiąże się z wieloma złożonymi problemami dla sztucznej inteligencji i uczenia maszynowego.

Chociaż nie ma magicznego rozwiązania chroniącego te modele przed wszystkimi atakami przeciwnika, przyszłość prawdopodobnie przyniesie bardziej zaawansowane techniki i inteligentniejsze strategie walki z tym strasznym przeciwnik.