欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

外媒称对抗性机器学习存漏洞 黑客攻击轻而易举

来源:本站整理 作者:佚名 时间:2018-09-12 TAG: 我要投稿
华盛顿大学(University of Washington)计算机安全研究员厄尔伦斯·费尔南德斯(Earlence Fernandes)也从事停车标志研究,他表示:“攻击的范围很广,取决于攻击者处在机器学习模型生成过程的哪个阶段。” 费尔南德斯举例说,在开发机器学习模型时可进行训练时间攻击,也就是使用恶意数据来训练系统。他表示:“在人脸检测算法中,攻击者可能会用恶意数据对模型施以毒害,从而使检测算法将攻击者的脸识别为授权人。”

另一方面,推理时间攻击则是通过一系列算法——比如快速梯度符号法(Fast Gradient Sign Method,FGSM)和当前最优攻击方法(Carlini and Wagner)是两种最流行的算法——向模型显示精心制作的输入,从而迷惑神经网络。

随着人工智能渗透到我们生活的方方面面——驾驶汽车、分析视频监控系统、通过面部识别某人身份——对这些系统的攻击变得更加可能,也更加危险。黑客修改路边交通标志可能会导致车祸和人员伤害。对数据机器学习系统的细微改变也会导致人工智能系统做出的决策出现偏差。

但我们不应该过分担心。麻省理工学院的研究员安尼施·安塞也(Anish Athalye)指出,“据我们所知,这种类型的攻击目前还没有在被现实世界中的恶意组织所采纳过。但考虑到这一领域的所有研究,似乎很多机器学习系统都非常脆弱,如果现实世界的系统很容易就遭到了这种攻击,我也不会感到惊讶。”

安塞也自己的研究旨在使对抗性攻击更加健壮。一些被归为“标准”的攻击只从特定的角度进行,而另一些攻击则不管神经网络从什么角度观察物体或图像都可以进行。 “标准的对抗性例子是通过微调图像中的像素,从而将神经网络对目标图像的分类转移到其它类别——比如说把猫的图像归类为鳄梨沙拉酱。”他说,“一次又一次地重复这个过程,做出微小的改变,结果是有可能制作出一幅对人来说像一样东西的图像,却会让机器误一位完全不同的东西。”他说,研究表明,标准对抗性攻击是“脆弱的”,在现实世界中不太可能站得住脚。

因此,安塞也和他在麻省理工学院人工智能实验室LabSix的同事们开发了更好的示例,优化了攻击图像,使其不用考虑角度或距离问题都可起作用。他说:“我们还把它扩展到3D图像,这样你就可以有一个在人类看起来像乌龟的物体,但从机器角度观察却完全不同。”这其中就包括他的3D打印玩具龟,但在ImageNet分类器看来,它就像一把来复枪。

如果攻击只能以精确的角度起作用,或者干扰因素很容易被人类发现,那么攻击就没有什么用处。以自动驾驶汽车为例,它们往往通过依赖神经网络识别物体的计算机视觉技术来观察外部世界。这样的话,任何对抗性的招数都必须在每个观察角度起作用,也不会受到远近距离的影响,更不会被人类司机注意到,毕竟没有人能读懂一个被涂过油漆的交通标志。包括费尔南德斯(Fernandes)和宋(Song)在内的研究人员都成功地做到了这一点,他们使用不会模糊标识的细微油漆标记以及看起来像涂鸦的贴纸干扰路边的停车标志,却导致神经网络将“停止”解释为速度限制。

上一页  [1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载