Možná jste slyšeli o nepřátelských útocích v souvislosti s umělou inteligencí a strojovým učením, ale co to je? Jaké jsou jejich cíle?

Technologie často znamená, že náš život je pohodlnější a bezpečnější. Zároveň však tyto pokroky odblokovaly sofistikovanější způsoby, jak na nás kyberzločinci útočit a korumpovat naše bezpečnostní systémy, čímž jsou bezmocní.

Umělou inteligenci (AI) mohou využívat odborníci na kybernetickou bezpečnost i kyberzločinci; podobně lze systémy strojového učení (ML) využít pro dobro i zlo. Tento nedostatek morálního kompasu způsobil, že útoky protivníka v ML jsou stále větší výzvou. Co jsou tedy vlastně nepřátelské útoky? Jaký je jejich účel? A jak se proti nim můžete chránit?

Co jsou nepřátelské útoky ve strojovém učení?

Adversarial ML nebo adversarial útoky jsou kybernetické útoky, jejichž cílem je oklamat model ML škodlivým vstupem, a tak vést k nižší přesnosti a nízkému výkonu. Takže navzdory svému názvu není adversarial ML typem strojového učení, ale řadou technik, které kyberzločinci – aka protivníci – používají k cílení na systémy ML.

instagram viewer

Hlavním cílem takových útoků je obvykle přimět modelku, aby rozdávala citlivé informace, selhání při odhalování podvodných aktivit, vytváření nesprávných předpovědí nebo narušení analýzy založené na analýze zprávy. Přestože existuje několik typů nepřátelských útoků, často se zaměřují na detekci spamu založenou na hlubokém učení.

Pravděpodobně jste slyšeli o útok protivníka uprostřed, což je nová a efektivnější sofistikovaná technika phishingu, která zahrnuje krádež soukromých informací, soubory cookie relace a dokonce obcházení metod vícefaktorové autentizace (MFA). Naštěstí s nimi můžete bojovat technologie MFA odolná proti phishingu.

Typy nepřátelských útoků

Nejjednodušší způsob, jak klasifikovat typy nepřátelských útoků, je rozdělit je do dvou hlavních kategorií –cílené útoky a necílené útoky. Jak je naznačeno, cílené útoky mají konkrétní cíl (jako konkrétní osoba), zatímco necílené nemají na mysli nikoho konkrétního: mohou cílit téměř na kohokoli. Není divu, že necílené útoky jsou méně časově náročné, ale také méně úspěšné než jejich cílené protějšky.

Tyto dva typy lze dále rozdělit bílá krabice a Černá skříňka adversarial útoky, kde barva naznačuje znalost nebo nedostatek znalostí cíleného modelu ML. Než se ponoříme hlouběji do white-box a black-box útoků, pojďme se rychle podívat na nejběžnější typy nepřátelských útoků.

  • Únik: Útoky úniků, které se většinou používají v malwarových scénářích, se pokoušejí vyhnout se detekci tím, že skryjí obsah e-mailů zamořených malwarem a nevyžádané pošty. Využitím metody pokus-omyl útočník manipuluje s daty v době nasazení a narušuje důvěrnost modelu ML. Biometrické spoofing je jedním z nejčastějších příkladů únikových útoků.
  • Otrava daty: Také známé jako kontaminující útoky, jejich cílem je manipulovat s modelem ML během tréninku nebo období nasazení a snížit přesnost a výkon. Zavedením škodlivých vstupů útočníci naruší model a znesnadňují bezpečnostním profesionálům odhalit typ vzorových dat, která poškozují model ML.
  • Byzantské chyby: Tento typ útoku způsobí ztrátu systémové služby v důsledku byzantské chyby v systémech, které vyžadují shodu všech uzlů. Jakmile se jeden z jeho důvěryhodných uzlů stane podvodným, může zaútočit na denial-of-service (DoS) a vypnout systém a zabránit ostatním uzlům v komunikaci.
  • Extrakce modelu:Při extrakčním útoku protivník prozkoumá black-box ML systém, aby extrahoval jeho tréninková data nebo – v nejhorším případě – samotný model. Poté, s kopií modelu ML ve svých rukou, mohl protivník otestovat svůj malware proti antimalwaru/antiviru a přijít na to, jak jej obejít.
  • Inferenční útoky: Podobně jako u extrakčních útoků je zde cílem zajistit, aby model ML unikal informace o svých trénovacích datech. Protivník se však poté pokusí zjistit, která datová sada byla použita k trénování systému, aby mohli využít zranitelnosti nebo zkreslení v něm.

White-Box vs. Black-Box vs. Grey-Box Adversarial Attacks

To, co odlišuje tyto tři typy nepřátelských útoků, je množství znalostí, které protivníci mají o vnitřním fungování systémů ML, na které plánují zaútočit. Zatímco metoda white-box vyžaduje vyčerpávající informace o cílovém modelu ML (včetně jeho architektura a parametry), metoda black-box nevyžaduje žádné informace a může je pouze pozorovat výstupy.

Model v šedé krabici přitom stojí uprostřed těchto dvou extrémů. Podle něj mohou mít protivníci určité informace o datovém souboru nebo jiné podrobnosti o modelu ML, ale ne všechny.

Jak můžete bránit strojové učení proti nepřátelským útokům?

Zatímco lidé jsou stále kritickou složkou při posilování kybernetické bezpečnosti,Umělá inteligence a ML se naučily, jak detekovat a předcházet škodlivým útokům—mohou zvýšit přesnost detekce škodlivých hrozeb, sledování aktivity uživatelů, identifikace podezřelého obsahu a mnoho dalšího. Dokážou však odrazit útoky protivníka a ochránit modely ML?

Jedním ze způsobů, jak můžeme bojovat proti kybernetickým útokům, je trénovat systémy ML, aby včas rozpoznávaly nepřátelské útoky přidáním příkladů do jejich tréninkového postupu.

Na rozdíl od tohoto přístupu hrubou silou metoda obranné destilace navrhuje použít primární, efektivnější model k určení odstranit kritické vlastnosti sekundárního, méně efektivního modelu a poté zlepšit přesnost sekundárního modelu s primárním jeden. ML modely trénované obrannou destilací jsou méně citlivé na nepřátelské vzorky, což je činí méně náchylnými k exploataci.

Mohli bychom také neustále upravovat algoritmy, které modely ML používají pro klasifikaci dat, což by mohlo snížit úspěšnost nepřátelských útoků.

Další pozoruhodnou technikou je vytlačování funkcí, které zkrátí prostor pro vyhledávání dostupný pro protivníky „vytlačením“ nepotřebných vstupních funkcí. Zde je cílem minimalizovat falešné poplachy a zefektivnit detekci nepřátelských příkladů.

Ochrana strojového učení a umělé inteligence

Útoky protivníka nám ukázaly, že mnoho modelů ML může být rozbito překvapivými způsoby. Koneckonců, strojové učení protivníka je stále novou oblastí výzkumu v oblasti kybernetické bezpečnosti a přináší mnoho složitých problémů pro AI a ML.

I když neexistuje kouzelné řešení pro ochranu těchto modelů proti všem nepřátelským útokům, budoucnost pravděpodobně přinese pokročilejší techniky a chytřejší strategie pro řešení tohoto hrozného protivník.