机器学习近年来在许多方面取得了巨大的成功,但是安全性问题却一直没有得到人们的重视,直到Ian Goodfellow和Papernot二人提出机器学习本身的安全问题,才越来越得到研究者的重视。这里把他们二人提出的问题定义为机器学习的安全和隐私问题。和接下来说的对抗机器学习是什么关系呢?
对抗机器学习(Adverserial Machine Learning)作为机器学习研究中的安全细分方向,在一定程度上保证模型的安全性。在这里,把对抗机器学习看作是他们二人提出的问题的子集。
攻击者对计算机方面的攻击可以使用三个指标进行衡量,也就是CIA(confidentiality,integrity,availability),中文名是机密性、完整性、可用性。下面来介绍这三个指标。
- 机密性:机密性可以等同私密性,可以按照保密性来理解,例如,机器学习算法在训练模型的时候,可能数据是具有敏感信息的,那么这时候在训练模型的时候如何保证机密性或者私密性就显得尤为重要了。
- 完整性:完整性是说保证模型和数据的完整性,不能让攻击者对数据进行破坏。
- 可用性:可用性是说需要保证模型的可用性,例如,传感器在探测到前方的障碍很复杂时,要能够有解决方案,而不是直接宕机,停止工作。
对抗机器学习常见的有两种攻击方法:
- 在训练阶段攻击
- 在inference阶段攻击
在训练阶段攻击可以进行数据扰乱,让模型得到错误的模型。
在inference阶段攻击是在模型训练好之后,对模型攻击,让模型得到错误的结果。