共享模版防御技术可以抵御横向模式入侵
发布时间:2023-11-06 11:20:45 所属栏目:动态 来源:
导读:对抗性攻击对机器学习系统的可靠性和安全性构成了严重威胁。通过对输入进行微小的变动,攻击者就可以导致模型生成完全错误的输出。应对这一手段的防护一直是研究热点之一,然而现有的许多防护方案却均有严重弊端。
|
对抗性攻击对机器学习系统的可靠性和安全性构成了严重威胁。通过对输入进行微小的变动,攻击者就可以导致模型生成完全错误的输出。应对这一手段的防护一直是研究热点之一,然而现有的许多防护方案却均有严重弊端。 人们研究了许多类型的对抗性攻击,最常见的是白盒攻击。在这里,攻击者可全面访问模型的参数和架构。这让他们得以计算梯度,以精确地设计导致错误分类的输入。像对抗训练这样的防护措施已经被提义,但它们在面对整洁输入时性能会大幅度降低。 迁移攻击更现实。攻击者使用可访问的代理模型来设计对抗性事例。他们希望这些迁移骗过受害者的模型。迁移攻击很容易执行,并且不需要访问受害者模型。 PubDef的工作原理 1. 选择一组不同的公开可用源模型。 2. 使用训练损失,最大限度地减少来自这些源模型的迁移攻击的错误。 这种对抗性训练过程调整模型,以抵抗从公共员迁移过来的特定威胁模型。 试验结果 论文作者们在CIFAR-10、CIFAR-100和ImageNet数据集上针对264个不同的迁移攻击评估了PubDef。 结果显示,PubDef明显优于之前的防御措施,比如对抗性训练: 在CIFAR-10上,PubDef达到了89%的准确率,而对抗性训练只达到了69%的准确性。 在CIFAR-100上,准确率为51%比33%。 在ImageNet上,准确率为62%比36%。 因此,与对抗性训练相比,PubDef提供了更好的稳健性,对未受扰动的数据的性能影响要小得多。 局限性和未来工作 PubDef特别关注来自公共模型的迁移攻击,解决不了白盒攻击等其他威胁。另外一些限制如下: 依赖模型保密。 可以通过训练一个私人代理模型来加以规避。 需要防御基于查询的攻击的其他方法。 鉴于预期范围,PubDef提供了与实际攻击者能力相一致的实用防御。但还需要做进一步的工作,才能处理其他威胁,并减轻对保密的依赖。 结论 对抗性攻击为部署可靠的机器学习系统提出了一个紧迫的挑战。虽然已经提议了许多防御措施,但很少有防御措施在面对干净输入不降低性能的情况下在稳健性方面取得实质性进展。 PubDef代表着朝开发可以实际部署在实际系统中的防御迈出了大有希望的一步。在处理其他类型的攻击和对模型保密减轻依赖的程度方面仍有工作要做。然而,这里介绍的技术(即通过博弈论为模型建立交互、针对各种威胁进行训练,以及关注于可行的攻击)为进一步的进展提供了蓝图。本发明涉及一种电子设备,尤其是一种用于显示图像的电子设备。 (编辑:驾考网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
