新攻击绕过了当前用于保护深度学习系统的大多数防御方法
恶意演员可能导致人工智能总部位于德国CISPA Helmholtz信息安全中心的研究人员发现,不使用可见的“触发器”行动的系统。
在一个提交给ICLR 2021会议的论文,研究人员在深度学习系统中展示了所谓的“无扳机后门”的概念证明,这是一种绕过当前正在部署的大多数防御方法的新型攻击。
深度学习模型的后门攻击
随着机器学习在不同领域越来越流行,安全专家担心这些系统可以妥协的方式并用于恶意目的。
已经有很多研究后门攻击,其中恶意演员将隐藏的触发器植入机器学习系统中。
在这里,受污染的机器学习模型应像往常一样使用普通数据,但是在带有包含触发器的数据时切换到所需的行为。
“大多数后门攻击都取决于增加的触发器 - 例如,图像上的彩色正方形。”无触发后门纸的主要作者艾哈迈德·塞勒姆(Ahmed Salem)告诉每日swbeplay2018官网ig在书面评论中。
“在物理世界中复制这是一项艰巨的任务。例如,为了在面部身份验证系统中触发后门,对手需要在她的脸上添加扳机,并以正确的角度和位置添加扳机,并将[自己]调整为相机。此外,可见的触发器是可以轻松检测的。”
传统对ML系统的后门攻击需要可见的触发器来激活恶意行为
拉动扳机
CISPA研究人员在论文中提出了一种新的后门方法,该方法利用“辍学”,这是一种通用技术,用于使深度学习模型在其性能中更加一致。
深度学习是机器学习的专业子领域,它使用深神经网络,该网络是一种基于人脑的大脑设计的软件体系结构。深度学习模型由人工神经元层上的层组成,这些计算单元结合起来执行复杂的任务。
推荐的Trojannet - 对机器学习模型的简单而有效的攻击
辍学层随机停用一定比例的神经元以避免过度拟合,这是当模型过于习惯其训练示例并且对现实世界数据的准确性较低时就会发生这种问题。
在无触发的后门方案中,攻击者操纵深度学习模型,以激活特定神经元时的恶意行为。
无触发后门攻击绕过用于保护ML系统的大多数防御方法
概率攻击
无触发后门的好处是,攻击者不再需要可见的触发器来激活恶意行为 - 但确实有一些权衡。
研究人员在论文中写道:“无扳机后门攻击是一种概率攻击,这意味着对手需要多次查询模型,直到激活后门为止。”
这意味着可以在任何输入和偶然地激活后门。
塞勒姆说:“为了控制后门激活的速度,对手控制测试时间和神经元数量的辍学率。”
“控制模型行为的另一种方法是高级对手,它将随机种子设置为准确预测何时激活后门。”
控制随机种子会增加攻击的更加复杂性,并要求攻击者成为深度学习模型的所有者和发布者,而不是将其作为一个可以集成到应用程序中的序列化软件包。
尽管如此,这还是同类攻击的第一次攻击,可以为研究关于后门攻击和防御方法。
塞勒姆说:“我们计划继续努力探索机器学习的隐私和安全风险以及如何开发更强大的机器学习模型。”
