Možno ste už počuli o nepriateľských útokoch v súvislosti s umelou inteligenciou a strojovým učením, ale čo to je? Aké sú ich ciele?

Technológia často znamená, že náš život je pohodlnejší a bezpečnejší. Zároveň však takéto pokroky odomkli sofistikovanejšie spôsoby, ako na nás kyberzločinci zaútočiť a poškodiť naše bezpečnostné systémy, čím sa stanú bezmocnými.

Umelú inteligenciu (AI) môžu využívať profesionáli v oblasti kybernetickej bezpečnosti aj kyberzločinci; podobne aj systémy strojového učenia (ML) môžu byť použité na dobro aj zlo. Tento nedostatok morálneho kompasu spôsobil, že útoky protivníkov v ML sú čoraz väčším problémom. Takže čo sú to vlastne nepriateľské útoky? Aký je ich účel? A ako sa pred nimi môžete chrániť?

Čo sú to nepriaznivé útoky v strojovom učení?

Adversarial ML alebo adversarial útoky sú kybernetické útoky, ktorých cieľom je oklamať model ML škodlivým vstupom, čo vedie k nižšej presnosti a slabému výkonu. Takže, napriek svojmu názvu, adversarial ML nie je typ strojového učenia, ale množstvo techník, ktoré kyberzločinci – aka protivníci – používajú na zacielenie systémov ML.

instagram viewer

Hlavným cieľom takýchto útokov je zvyčajne oklamať modelku, aby rozdávala citlivé informácie, zlyhanie pri odhaľovaní podvodných aktivít, vytváranie nesprávnych predpovedí alebo kazenie založené na analýze správy. Aj keď existuje niekoľko typov adverzných útokov, často sa zameriavajú na detekciu spamu založenú na hlbokom učení.

Pravdepodobne ste už počuli o a útok protivníka v strede, čo je nová a efektívnejšia sofistikovaná technika phishingu, ktorá zahŕňa krádež súkromných informácií, súbory cookie relácie a dokonca obchádzanie metód viacfaktorovej autentifikácie (MFA). Našťastie s nimi môžete bojovať technológia MFA odolná voči phishingu.

Typy nepriateľských útokov

Najjednoduchší spôsob, ako klasifikovať typy nepriateľských útokov, je rozdeliť ich do dvoch hlavných kategórií –cielené útoky a necielené útoky. Ako sa navrhuje, cielené útoky majú špecifický cieľ (napríklad konkrétnu osobu), zatiaľ čo necielené nemajú na mysli nikoho konkrétneho: môžu sa zamerať takmer na kohokoľvek. Nie je prekvapením, že necielené útoky sú menej časovo náročné, ale aj menej úspešné ako ich cielené náprotivky.

Tieto dva typy je možné ďalej deliť white-box a čierna krabica kontradiktórne útoky, kde farba naznačuje znalosť alebo nedostatok vedomostí o cielenom modeli ML. Predtým, ako sa ponoríme hlbšie do útokov typu white-box a black-box, pozrime sa v krátkosti na najbežnejšie typy adverzných útokov.

  • Vyhýbanie sa: Útoky na úniky, ktoré sa väčšinou používajú v scenároch škodlivého softvéru, sa pokúšajú vyhnúť sa detekcii skrytím obsahu e-mailov zamorených škodlivým softvérom a nevyžiadanej pošty. Použitím metódy pokus-omyl útočník manipuluje s údajmi v čase nasadenia a porušuje dôvernosť modelu ML. Biometrické spoofing je jedným z najbežnejších príkladov úniku.
  • Otrava dát: Tiež známe ako kontaminujúce útoky, ich cieľom je manipulovať s modelom ML počas tréningu alebo obdobia nasadenia a znížiť presnosť a výkon. Zavedením škodlivých vstupov útočníci narušia model a sťažia bezpečnostným profesionálom zistenie typu vzorových údajov, ktoré poškodzujú model ML.
  • Byzantské chyby: Tento typ útoku spôsobuje stratu systémovej služby v dôsledku byzantskej chyby v systémoch, ktoré vyžadujú konsenzus medzi všetkými uzlami. Akonáhle sa jeden z jeho dôveryhodných uzlov stane nečestným, môže obísť útok odmietnutia služby (DoS) a vypnúť systém, čím zabráni ostatným uzlom v komunikácii.
  • Extrakcia modelu:Pri extrakčnom útoku bude protivník skúmať systém black-box ML, aby extrahoval svoje tréningové dáta alebo – v najhoršom prípade – samotný model. Potom s kópiou modelu ML v rukách mohol protivník otestovať svoj malvér proti antimalvéru/antivírusu a zistiť, ako ho obísť.
  • Inferenčné útoky: Podobne ako pri extrakčných útokoch, aj tu je cieľom dosiahnuť, aby model ML unikal informácie o svojich tréningových údajoch. Protivník sa však potom pokúsi zistiť, ktorá množina údajov bola použitá na trénovanie systému, aby mohli zneužiť jeho zraniteľnosti alebo predsudky.

White-Box vs. Black-Box vs. Grey-Box Adversarial Attacks

To, čo odlišuje tieto tri typy nepriateľských útokov, je množstvo vedomostí, ktoré majú protivníci o vnútornom fungovaní systémov ML, na ktoré plánujú zaútočiť. Zatiaľ čo metóda white-box vyžaduje vyčerpávajúce informácie o cieľovom modeli ML (vrátane jeho architektúra a parametre), metóda čiernej skrinky nevyžaduje žiadne informácie a môže ich len pozorovať výstupov.

Model v sivom boxe medzitým stojí uprostred týchto dvoch extrémov. Podľa nej môžu mať protivníci nejaké informácie o súbore údajov alebo iné podrobnosti o modeli ML, ale nie všetky.

Ako môžete brániť strojové učenie pred nepriateľskými útokmi?

Hoci ľudia sú stále kritickým prvkom pri posilňovaní kybernetickej bezpečnosti,AI a ML sa naučili, ako odhaliť a zabrániť škodlivým útokom— môžu zvýšiť presnosť zisťovania škodlivých hrozieb, monitorovania aktivity používateľov, identifikácie podozrivého obsahu a oveľa viac. Dokážu však odraziť útoky protivníkov a ochrániť modely ML?

Jedným zo spôsobov, ako môžeme bojovať proti kybernetickým útokom, je trénovať systémy ML, aby vopred rozpoznali útoky protivníka, a to pridaním príkladov do ich tréningového postupu.

Na rozdiel od tohto prístupu hrubej sily metóda obrannej destilácie navrhuje, aby sme na zistenie použili primárny, efektívnejší model. odstrániť kritické vlastnosti sekundárneho, menej efektívneho modelu a potom zlepšiť presnosť sekundárneho modelu s primárnym jeden. Modely ML trénované obrannou destiláciou sú menej citlivé na nepriaznivé vzorky, čo ich robí menej náchylnými na využitie.

Mohli by sme tiež neustále upravovať algoritmy, ktoré modely ML používajú na klasifikáciu údajov, čo by mohlo spôsobiť, že útoky protivníkov budú menej úspešné.

Ďalšou pozoruhodnou technikou je stláčanie funkcií, ktoré skráti priestor vyhľadávania dostupný pre protivníkov „vytlačením“ nepotrebných vstupných funkcií. Tu je cieľom minimalizovať falošné poplachy a zefektívniť detekciu protichodných príkladov.

Ochrana strojového učenia a umelej inteligencie

Nepriateľské útoky nám ukázali, že mnohé modely ML môžu byť rozbité prekvapivými spôsobmi. Koniec koncov, strojové učenie protivníka je stále novou oblasťou výskumu v oblasti kybernetickej bezpečnosti a prichádza s mnohými zložitými problémami pre AI a ML.

Aj keď neexistuje magické riešenie na ochranu týchto modelov pred všetkými nepriateľskými útokmi, budúcnosť pravdepodobne prinesie pokročilejšie techniky a inteligentnejšie stratégie na riešenie tohto hrozného protivník.