Може би сте чували за състезателни атаки във връзка с изкуствения интелект и машинното обучение, но какви са те? Какви са техните цели?

Технологиите често означават, че животът ни е по-удобен и сигурен. В същото време обаче този напредък отключи по-сложни начини за киберпрестъпниците да ни атакуват и да повредят нашите системи за сигурност, правейки ги безсилни.

Изкуственият интелект (AI) може да се използва както от специалисти по киберсигурност, така и от киберпрестъпници; по подобен начин системите за машинно обучение (ML) могат да се използват както за добро, така и за зло. Тази липса на морален компас превърна състезателните атаки в ML във все по-голямо предизвикателство. И така, какво всъщност представляват състезателните атаки? Каква е тяхната цел? И как можете да се предпазите от тях?

Какво представляват състезателните атаки в машинното обучение?

Adversarial ML или adversarial атаки са кибератаки, които имат за цел да подмамят ML модел със злонамерен вход и по този начин да доведат до по-ниска точност и ниска производителност. Така че, въпреки името си, състезателното машинно обучение не е вид машинно обучение, а разнообразие от техники, които киберпрестъпниците – известни още като противници – използват за насочване към системи за машинно обучение.

instagram viewer

Основната цел на такива атаки обикновено е да подмамят модела да раздаде чувствителна информация, неуспешно откриване на измамни дейности, създаване на неправилни прогнози или повредени анализи доклади. Въпреки че има няколко типа състезателни атаки, те често са насочени към откриване на спам, базирано на дълбоко обучение.

Вероятно сте чували за атака на противника по средата, което е нова и по-ефективна сложна фишинг техника, която включва кражба на лична информация, сесийни бисквитки и дори заобикаляне на методите за многофакторно удостоверяване (MFA). За щастие можете да се борите с тях с устойчива на фишинг MFA технология.

Видове състезателни атаки

Най-лесният начин да класифицирате видовете състезателни атаки е да ги разделите на две основни категории—целеви атаки и нецеленасочени атаки. Както се предполага, насочените атаки имат конкретна цел (като конкретен човек), докато ненасочените нямат предвид никого конкретно: те могат да се насочат към почти всеки. Не е изненадващо, че ненасочените атаки отнемат по-малко време, но също така са по-малко успешни от техните насочени двойници.

Тези два типа могат да бъдат допълнително разделени на бяла кутия и Черна кутия състезателни атаки, където цветът предполага познаването или липсата на знания за целевия модел на машинно обучение. Преди да се потопим по-дълбоко в атаките с бяла кутия и черна кутия, нека хвърлим бърз поглед на най-често срещаните видове противникови атаки.

  • Укриване: Използвани предимно в сценарии за злонамерен софтуер, атаките за укриване се опитват да избегнат откриването чрез скриване на съдържанието на заразени със злонамерен софтуер и спам имейли. Използвайки метода проба-грешка, нападателят манипулира данните по време на внедряването и нарушава поверителността на ML модел. Биометричното подправяне е един от най-честите примери за атака за укриване.
  • Отравяне на данни: Известни също като замърсяващи атаки, те имат за цел да манипулират ML модел по време на периода на обучение или внедряване и да намалят точността и производителността. Чрез въвеждането на злонамерени входове, атакуващите нарушават модела и затрудняват професионалистите по сигурността да открият типа примерни данни, които развалят ML модела.
  • Византийски грешки: Този тип атака причинява загуба на системна услуга в резултат на византийска повреда в системи, които изискват консенсус между всички свои възли. След като един от неговите доверени възли се превърне в измамник, той може да предприеме атака за отказ на услуга (DoS) и да изключи системата, предотвратявайки комуникацията на други възли.
  • Извличане на модел: При атака за извличане, противникът ще изследва черна кутия ML система, за да извлече нейните данни за обучение или – в най-лошия случай – самия модел. След това, с копие на ML модел в ръцете си, противник може да тества своя зловреден софтуер срещу антизловреден софтуер/антивирус и да разбере как да го заобиколи.
  • Атаки с изводи: Подобно на атаките за извличане, целта тук е да се накара ML модел да изтече информация за своите данни за обучение. След това обаче противникът ще се опита да разбере кой набор от данни е бил използван за обучение на системата, така че да може да използва уязвимостите или пристрастията в нея.

White-Box vs. Черна кутия срещу. Съпернически атаки на Grey-Box

Това, което отличава тези три типа състезателни атаки, е количеството познания, които противниците имат за вътрешната работа на системите за машинно обучение, които планират да атакуват. Докато методът на бялата кутия изисква изчерпателна информация за целевия ML модел (включително неговия архитектура и параметри), методът на черната кутия не изисква информация и може само да я наблюдава изходи.

Междувременно моделът на сивата кутия стои в средата на тези две крайности. Според него противниците могат да имат известна информация за набора от данни или други подробности за ML модела, но не цялата.

Как можете да защитите машинното обучение срещу противникови атаки?

Докато хората все още са критичният компонент в укрепването на киберсигурността,AI и ML са се научили как да откриват и предотвратяват злонамерени атаки— те могат да увеличат точността на откриване на злонамерени заплахи, наблюдение на активността на потребителите, идентифициране на подозрително съдържание и много повече. Но могат ли да отблъснат състезателните атаки и да защитят ML моделите?

Един от начините, по които можем да се борим с кибератаките, е да обучим системите за машинно обучение да разпознават конкурентни атаки преди време, като добавим примери към тяхната процедура за обучение.

За разлика от този подход на груба сила, методът на защитната дестилация предлага да използваме основния, по-ефективен модел, за да разберем извадете критичните характеристики на вторичен, по-малко ефективен модел и след това подобрете точността на вторичния с първичния един. ML моделите, обучени със защитна дестилация, са по-малко чувствителни към конкурентни проби, което ги прави по-малко податливи на експлоатация.

Можем също така постоянно да променяме алгоритмите, които ML моделите използват за класифициране на данни, което би могло да направи конкурентните атаки по-малко успешни.

Друга забележителна техника е притискането на функциите, което ще намали пространството за търсене, достъпно за противниците, като „изстиска“ ненужните функции за въвеждане. Тук целта е да се сведат до минимум фалшивите положителни резултати и да се направи по-ефективно откриването на състезателни примери.

Защита на машинното обучение и изкуствения интелект

Съперническите атаки ни показаха, че много ML модели могат да бъдат разбити по изненадващи начини. В края на краищата състезателното машинно обучение все още е нова изследователска област в областта на киберсигурността и идва с много сложни проблеми за AI и ML.

Въпреки че няма магическо решение за защита на тези модели срещу всички противникови атаки, бъдещето вероятно ще донесе по-напреднали техники и по-интелигентни стратегии за справяне с този ужас противник.