機器學習近年來在許多方面取得了巨大的成功,但是安全性問題卻一直沒有得到人們的重視,直到Ian Goodfellow和Papernot二人提出機器學習本身的安全問題,才越來越得到研究者的重視。這裏把他們二人提出的問題定義爲機器學習的安全和隱私問題。和接下來說的對抗機器學習是什麼關係呢?
對抗機器學習(Adverserial Machine Learning)作爲機器學習研究中的安全細分方向,在一定程度上保證模型的安全性。在這裏,把對抗機器學習看作是他們二人提出的問題的子集。
攻擊者對計算機方面的攻擊可以使用三個指標進行衡量,也就是CIA(confidentiality,integrity,availability),中文名是機密性、完整性、可用性。下面來介紹這三個指標。
- 機密性:機密性可以等同私密性,可以按照保密性來理解,例如,機器學習算法在訓練模型的時候,可能數據是具有敏感信息的,那麼這時候在訓練模型的時候如何保證機密性或者私密性就顯得尤爲重要了。
- 完整性:完整性是說保證模型和數據的完整性,不能讓攻擊者對數據進行破壞。
- 可用性:可用性是說需要保證模型的可用性,例如,傳感器在探測到前方的障礙很複雜時,要能夠有解決方案,而不是直接宕機,停止工作。
對抗機器學習常見的有兩種攻擊方法:
- 在訓練階段攻擊
- 在inference階段攻擊
在訓練階段攻擊可以進行數據擾亂,讓模型得到錯誤的模型。
在inference階段攻擊是在模型訓練好之後,對模型攻擊,讓模型得到錯誤的結果。