360AI安全风险白皮书:小心深度学习逃逸攻击

  • 时间:
  • 浏览:0
  • 来源:大发时时彩官网_大发时时彩技巧_大发时时彩平台

2018-02-14 09:41   中国网     

这么多再再要要评论(

)

字号:T|T

2017以来,人工智能的兴起让“深度1学习”你你這個 词频繁冒出在公众视野。有了深度1学习算法,机器要是能模拟人类的思考辦法 ,自主获取知识,修习技能,完成要是常人无法完成的任务。并且 作为四种 新兴技术,深度1学习算法自身仍处于要是安全不足英文和漏洞。近日350安全研究院发布的《AI安全风险白皮书》结合深度1学习逃逸攻击方面的实例和研究工作,完全解读了人工智能应用所面临的安全风险。

“逃逸攻击”是另两个 专业术语,它指的是攻击者在不改变目标机器学习系统的清况 下,通过构造特定输入样本以完成欺骗目标系统的攻击。之类,攻击者可不前要修改另两个 恶意软件样本的非关键形态学 ,使得它被另两个 反病毒系统判定为良性样本,从而绕过检测。

图1:攻击者生成对抗样本使系统与人类有不同的判断

以最近颇受关注的图像识别为例,图像识别的原理是具备深度1学习能力的人工智能系统,模仿人类视觉功能,通过一定的算法规则,区分不同的图像目标。并且 ,目前图像识别深度1学习所依赖的判断规则和人眼的视觉机理仍处于较大的差距,这也就原困 :并且我对目标图片稍加改造,图像识别系统全是将会在完全正常的流程下输出另两个 截然不同的错误结果。

此前,Ian Goodfellow在2015年ICLR会议上就提出了著名逃逸样本,样本使用了谷歌的深度1学习研究系统,该系统利用卷积神经元网络,不能精确区分熊猫和长臂猿等图片。不过,攻击者对熊猫的图片“稍加改造”,增添了一点干扰因素。随便说说 这细微的差别未必会影响人类的判断,不过图像识别深度1学习系统却会把熊猫误认为长臂猿。

图2:逃逸攻击让深度1学习系统将熊猫误认为长臂猿

据悉,基于机器学习的逃逸攻击主要分为白盒攻击和黑盒攻击。白盒攻击前要获取机器学习模型内部人员的所有信息,并且 直接计算得到对抗样本;黑盒攻击则只前要知道模型的输入和输出,不前要了解模型内部人员的构造和清况 ,即可通过观察模型输出的变化来生成对抗样本。

此外,该文战略合作许伟林采用遗传编程随机修改恶意软件的辦法 ,成功攻击了另两个 号称准确率极高的恶意PDF文件分类器:PDFrate和Hidost。你你這個 逃逸检测的恶意文件和算法自动修改出来的,未必前要PDF安全专家介入。同样的算法可不前要用来对实际应用的机器学习系统进行逃逸攻击。

共同,针对AI系统的对抗性研究,要是给你工智能系统输出错误的结果。还是以手写图像识别为例,攻击者可不前要构造恶意的图片,使得人工智能系统在分类识别图片的过程中触发相应的安全漏洞,改变tcp连接运行正常执行的控制流或数据流,使得人工智能系统输出攻击者指定的结果。

图3:针对人脸识别系统的对抗样本生成

白皮书中还提到,随便说说 深度1学习系统经过训练可不前要对正常输入达到很低的误判率,并且 当攻击者用系统化的辦法 不能生成误判样本的事先,攻击的数率就可不前要接近50%,从而实现稳定的逃逸攻击。这也原困 ,随便说说 人工智能应用正这么 普及,并且 对于逃逸攻击的研究也应该同步跟进,其安全大疑问不容忽视。