When Does Machine Learning FAIL? Generalized Transferability for Evasion and Poisoning Attacks论文笔记

When Does Machine Learning FAIL? Generalized Transferability for Evasion and Poisoning Attacks论文笔记

该论文主要是介绍了一个FAIL模型, 即一个通用框架用来分析针对机器学习系统的真实攻击, 同时也提出了一种有目标的投毒攻击, 称作StingRay, 使得该攻击能击溃现存的防御, 通过观察FAIL的维度, 发现现存的有目标的逃逸攻击(Evasion Attack)中的一种新的迁移特性以及一种能够对有目标的投毒攻击提供弹性的特性, 扩展了先前对于攻击迁移特性的研究并针对投毒攻击的样本给出一些结论.

投毒攻击: 即往训练样本里面掺杂恶意的样本, 使得训练后整体的模型性能下降
有目标: 即指的是针对某类结果进行攻击, 即最后攻击的是针对某类结果的性能下降, 而不是整体的性能下降
逃逸攻击: 逃逸是指攻击者在不改变目标机器学习系统的情况下, 通过构造特定输入样本以完成欺骗目标系统的攻击

概述

主要是针对对于机器学习系统的攻击, 先前许多攻击都有很多关于攻击者知识和能力的不同的假设, 这些假设可能是非真实的, 为了更好地更加系统地分析攻击的威胁性, 提出FAIL模型, 利用FAIL模型可以较好描述攻击者的能力, 更好地针对那些对于特征, 模型算法等细节的知识进行控制, 进而研究受限制的攻击者的表现.

利用FAIL分析了一种逃逸攻击的迁移特性以及设计了一种投毒攻击, 攻破了4个机器学习应用, 并针对投毒攻击逃逸攻击的样本的迁移特性进行进一步的讨论.

1. 介绍

现存的在各个领域的机器学习系统都有被攻击的风险, 包括数据集可能被投毒, 他人可能构造出一些对抗样本来使得系统结果出错等.近来有许多研究工作关注逃逸攻击, 举个例子, 一个分类器能区分猫和狗, 攻击者试图找到一张特定猫的图片使得其被分类为狗, 那么这张特定的猫的图片就可以诱导分类器出错, 这是有目标的逃逸攻击, 当然, 有目标的投毒攻击也被证明是可行的.

然而这些攻击方法层出不穷, 更新换代很快, 而且很多现存的攻击方法并不能表现真实环境下的攻击者, 为了能够更好地分析其性能和限制, 提出FAIL模型, FAIL即, Feature特征, Algorithm算法, Instances实例, Leverage影响, 在该框架下, 显示出一种先前的黑盒逃逸攻击在通用的迁移下表现不好.

提出了StingRay, 一种有目标的投毒攻击, 克服了先前此类攻击的限制, 攻破两种反投毒策略.

借助FAIL, 系统地探索了实际的攻击场景, 结果表现出通过FAIL维度表征的攻击的迁移特性.

2. 问题陈述

  1. 如何能够系统地基于现实的关于攻击者能力的假设对攻击者进行建模?
  2. 如何在各式各样的攻击模型中来定义和分析一种通用的迁移特性?
  3. 是否能够构造一种有目标的投毒攻击, 保证该攻击能够克服一些检测机制?

比如使用label标记正确的样本, 但是该样本会导致决策边界的移动

2.1 机器学习中一些定义

一个分类器可被定义为:
h: \mathscr{X} \rightarrow \mathscr{Y}
其中x\in \mathscr{X}, 是一个实例输入, 对应y\in \mathscr{Y} = \{y_0, y_1, ... ,y_n\}为标签, x = (x_1, ..., x_n)是一个n维的特征向量.

给出一个距离度量, 针对n维特征向量而言有:
D(x,x')

训练集定义为S \subset\mathscr{X}, 对应着标签集Y_S \subset \mathscr{Y}, 测试集记为T, 学习算法记作A, 利用学习算法和训练集得到的分类器可以记作h = A(S)

2.2 威胁模型

对于测试集中的t\in T, 有对应的标签y_t \in \mathscr{Y}, 定义干净的数据集为S^*, 有h^* = A(S^*), h^*(t) = y_t

对于攻击者来说, 不能控制ty_t, 但知道特征的表示形式, 攻击者的目的为:

  1. 利用S^*得到一个训练集S, 使得h=A(S), h(t)=y_d, y_d即攻击者希望对于t的分类结果
  2. 尽可能地对总体产生较小地影响, 通过PDR(性能下降比例)来衡量, 其中PDR=\frac{L_S(h)}{L_{S^*}(h^*)}

L_S(h)为训练集为S得到的分类器h的Loss

3. 对实际的攻击者建模

主要有知识能力两个方面
利用FAIL分为四个维度:

  1. 特征知识(Feature):F_k = \{i\in 1 ... n: x_i 是已知的\}

主要问题: 对于什么特征是保密的? 攻击者能够访问具体的特征值吗?

  1. 算法知识(Algorithm):A', 学习所用的算法, 攻击者利用此算法来创造对抗样本

主要问题: 算法类型是否已知? 训练算法是否保密? 分类器参数是否保密?

  1. 实例知识(Instance): S', 标记了的训练实例集

主要问题: 整个训练集都已知吗或者是部分已知吗? 已知的训练实例是否足够让攻击者训练出一个鲁棒的分类器?

  1. 影响知识(Leverage): F_m = \{i \in 1 ... n:x_i 可以被修改\}, 即攻击者能够修改的部分特征

主要问题: 哪一个特征是可以被攻击者修改的?

4. StingRay攻击

这里给出算法的伪代码


算法伪代码

给出算法的约束


算法约束

4.1 针对反投毒攻击的策略

RONI(Reject on Negative Impact)是一种反投毒攻击的防御策略, 但是RONI对于那些有目标的攻击效果不好, 因此又有tRONI(Target aware RONI), 这里给出tRONI的算法的伪代码

tRONI

5. 部分结论

对StingRay配合RONI和tRONI防御来进行分析


StingRay

可以看出tRONI最多只能拦截40%的恶意样本, 但是仍然会造成较大的性能损耗, PDR还是特别的高

通过FAIL模型还可以得到针对不同攻击和防御算法的分析数据

分析

6. 后话

可以看出来, 该文章利用FAIL模型对攻击者进行建模, 然后更加实际地来研究攻击模型的威胁, 从这个角度入手可能可以构造出更强的攻击或者更为实际的攻击方式, 毕竟对攻击者的知识和能力都做出了约束, 进而对于防御一块也有较大的贡献.

©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 158,560评论 4 361
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 67,104评论 1 291
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 108,297评论 0 243
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 43,869评论 0 204
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 52,275评论 3 287
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,563评论 1 216
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,833评论 2 312
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,543评论 0 197
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 34,245评论 1 241
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,512评论 2 244
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 32,011评论 1 258
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,359评论 2 253
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 33,006评论 3 235
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 26,062评论 0 8
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,825评论 0 194
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,590评论 2 273
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,501评论 2 268

推荐阅读更多精彩内容