使用机器学习和加密技术防御对抗性攻击

日内瓦大学的研究人员最近开发了一种新的防御机制，通过将机器学习与密码学联系起来。在arXiv上发表的一篇论文中概述的新系统基于Kerckhoffs的第二个加密原理，该原理指出防御和分类算法都是已知的，但关键不是。

近几十年来，机器学习算法，特别是深度神经网络(DNN)，在执行大量任务方面取得了显着成果。尽管如此，这些算法暴露于大量安全威胁，特别是对抗性攻击，限制了它们在信任敏感任务上的实现。

“尽管深度网络取得了显着进展，但众所周知，它们容易受到对抗性攻击，”进行这项研究的研究人员之一Olga Taran告诉TechXplore。“对抗性攻击旨在设计对原始样本的这种扰动，这些样本通常对人类来说是不可察觉的，但它能够欺骗DNN输出。”

越来越先进的攻击策略可以轻易绕过大多数现有的防御措施。这主要是因为这些防御方法主要基于机器学习和处理原则，没有加密组件，因此它们被设计为检测拒绝或过滤掉对抗性扰动。由于大多数攻击算法可以很容易地适应攻击受攻击的DNN的安全措施，目前，没有任何防御机制能够始终如一地应对对抗性攻击。

“提出的对策的根本问题在于假设防御者和攻击者拥有相同数量的信息，甚至共享相同或类似的训练数据集，”进行这项研究的研究人员之一Slava Voloshynovskiy告诉TechXplore。“在这种情况下，防御者没有信息优势超过攻击者。这与加密社区中开发的传统安全方法有本质区别。”

因此，Voloshynovskiy和他的同事们决定设计一种新的方法，将机器学习和密码学联系起来，希望能够更有效地防御DNN算法免受敌对攻击。他们设计的技术基于Kerckhoffs的加密原理，该原则指出访问系统的关键应该是未知的。

“我们在分类器结构中引入了一种随机化机制，该机制由一个密钥进行参数化，”Taran说。“当然，攻击者无法获得这样的密钥。这为攻击者创造了防御者的信息优势。而且，这个密钥无法从训练数据集中学习。随机化机制是一个可以实现的预处理块。以各种方式，包括随机排列，采样和嵌入。“

研究人员评估了他们的系统及其应对两种最着名的最先进攻击，快速梯度符号方法(FGSM)以及N. Carlini和D. Wagner(CW)提出的攻击的能力。黑匣子和灰盒子情景。他们的结果非常有希望，他们的防御机制有效地抵消了两者。

“一旦妥善解决，DNN的使用可能会在实际应用中获得更多信任。我们相信我们的工作只是解决这个问题的第一步，”Voloshynovskiy说。“我们还希望吸引更多来自密码学领域的专家与机器学习社区进行对话。”

研究人员开发的防御机制可以应用于几种现有的DNN分类器。未来对更复杂数据集的测试或使用更广泛的高级对抗攻击将有助于进一步确定其有效性。

“我们现在计划将我们的工作扩展到更一般的随机化原则，并在真实的大尺寸图像上进行测试，”Voloshynovskiy说。