Talán hallott már a mesterséges intelligenciával és a gépi tanulással kapcsolatos ellenséges támadásokról, de mik ezek? Mik a céljaik?
A technológia gyakran azt jelenti, hogy életünk kényelmesebb és biztonságosabb. Ugyanakkor az ilyen fejlesztések kifinomultabb módszereket nyitottak meg a kiberbűnözők számára, hogy megtámadjanak minket, és megrongálják biztonsági rendszereinket, tehetetlenné téve azokat.
A mesterséges intelligenciát (AI) a kiberbiztonsági szakemberek és a kiberbûnözõk egyaránt hasznosíthatják; hasonlóképpen a gépi tanulási (ML) rendszerek jóra és rosszra egyaránt használhatók. Az erkölcsi iránytű hiánya egyre nagyobb kihívássá tette az ellenfél támadásait az ML-ben. Tehát mik is valójában az ellenséges támadások? Mi a céljuk? És hogyan védekezhet ellenük?
Mik azok az ellenséges támadások a gépi tanulásban?
Az ellenséges ML vagy adversariális támadások olyan kibertámadások, amelyek célja egy ML-modell rosszindulatú bemenettel történő becsapása, és ezáltal alacsonyabb pontossághoz és gyenge teljesítményhez vezetnek. Tehát a neve ellenére az ellenséges ML nem a gépi tanulás egyik fajtája, hanem a kiberbűnözők – más néven ellenfelek – különféle technikák, amelyekkel az ML-rendszereket célozzák meg.
Az ilyen támadások fő célja általában az, hogy rávegyék a modellt érzékeny információk kiosztására, a csaló tevékenységek felderítésének elmulasztása, helytelen előrejelzések előállítása vagy az elemzés alapú megsértése jelentéseket. Noha az ellenséges támadásoknak többféle típusa létezik, gyakran a mély tanuláson alapuló spamészlelést célozzák.
Valószínűleg hallottál már egy ellenfél középen támadása, amely egy új és hatékonyabb, kifinomult adathalászati technika, amely magában foglalja a személyes adatok ellopását, a munkamenet-sütiket, és még a többtényezős hitelesítési (MFA) módszerek megkerülését is. Szerencsére ezekkel le lehet küzdeni adathalászat-ellenálló MFA technológia.
Az ellenséges támadások típusai
Az ellenséges támadások típusainak osztályozásának legegyszerűbb módja, ha két fő kategóriába soroljuk őket:célzott támadások és céltalan támadások. Amint azt javasolják, a célzott támadásoknak van egy konkrét célpontja (például egy adott személy), míg a nem célzott támadásoknak senkire nem gondolnak konkrétan: szinte bárkit célba vehetnek. Nem meglepő, hogy a nem célzott támadások kevésbé időigényesek, de kevésbé sikeresek is, mint a célzott társaik.
Ez a két típus tovább osztható fehér doboz és fekete doboz ellenséges támadások, ahol a szín a megcélzott ML modell ismeretére vagy ismeretének hiányára utal. Mielőtt mélyebben belemerülnénk a white-box és black-box támadásokba, vessünk egy gyors pillantást az ellenséges támadások leggyakoribb típusaira.
- Kijátszás: Leggyakrabban rosszindulatú programokkal kapcsolatos forgatókönyvek esetén használják az adókijátszási támadásokat, amelyek a rosszindulatú programokkal fertőzött és spam e-mailek tartalmának elrejtésével próbálják elkerülni az észlelést. A próba és hiba módszer használatával a támadó manipulálja az adatokat a telepítéskor, és megsérti az ML-modell titkosságát. A biometrikus hamisítás az egyik leggyakoribb példa az adócsalási támadásokra.
- Adatmérgezés: Más néven szennyező támadások, ezek célja egy ML-modell manipulálása a betanítási vagy telepítési időszak alatt, és csökkenti a pontosságot és a teljesítményt. A rosszindulatú bemenetek bevezetésével a támadók megzavarják a modellt, és megnehezítik a biztonsági szakemberek számára az ML-modellt megrongáló mintaadatok észlelését.
- Bizánci hibák: Ez a fajta támadás a rendszerszolgáltatás elvesztését okozza bizánci hiba következtében azokban a rendszerekben, amelyek konszenzust igényelnek az összes csomópont között. Amint az egyik megbízható csomópont gazemberré válik, képes lesz egy szolgáltatásmegtagadási (DoS) támadásra, és leállíthatja a rendszert, megakadályozva a többi csomópont kommunikációját.
- Modell kivonás: A kivonatolási támadás során az ellenfél egy feketedobozos ML rendszert vizsgál meg, hogy kinyerje a képzési adatait vagy – a legrosszabb esetben – magát a modellt. Ezután egy ML-modell másolatával a kezében az ellenfél tesztelheti a rosszindulatú programját az antimalware/vírusirtó ellen, és kitalálhatja, hogyan kerülheti el azt.
- Következtetési támadások: Az extrakciós támadásokhoz hasonlóan itt is az a cél, hogy egy ML modell információt szivárogtasson ki a betanítási adatairól. Az ellenfél azonban ezután megpróbálja kitalálni, hogy melyik adatkészletet használta a rendszer betanításához, így kihasználhatja a benne lévő sebezhetőségeket vagy torzításokat.
White-Box vs. Black-Box vs. Gray-Box ellenfél támadások
Az ellenséges támadások három típusát az különbözteti meg egymástól, hogy az ellenfelek milyen tudással rendelkeznek a támadni tervezett ML-rendszerek belső működéséről. Míg a white-box módszer kimerítő információkat igényel a megcélzott ML-modellről (beleértve annak architektúra és paraméterek), a black-box módszer nem igényel információt, és csak megfigyelni tudja azt kimenetek.
A szürkedobozos modell pedig e két véglet közepén áll. Eszerint az ellenfelek rendelkezhetnek bizonyos információkkal az adathalmazról vagy az ML modell egyéb részleteiről, de nem mindenről.
Hogyan védheti meg a gépi tanulást az ellenséges támadásokkal szemben?
Bár az ember még mindig kritikus eleme a kiberbiztonság megerősítésének,Az AI és az ML megtanulta, hogyan lehet észlelni és megelőzni a rosszindulatú támadásokat– növelhetik a rosszindulatú fenyegetések észlelésének pontosságát, a felhasználói tevékenység figyelését, a gyanús tartalom azonosítását és még sok mást. De képesek-e visszaszorítani az ellenséges támadásokat és megvédeni az ML modelleket?
A kibertámadások elleni küzdelem egyik módja az, hogy az ML-rendszereket megtanítjuk arra, hogy idő előtt felismerjék az ellenséges támadásokat, példákkal kiegészítve a képzési eljárásukat.
Ettől a nyers erő megközelítéstől eltérően a védekező desztillációs módszer azt javasolja, hogy az elsődleges, hatékonyabb modellt használjuk. egy másodlagos, kevésbé hatékony modell kritikus jellemzőit, majd javítsa a másodlagos pontosságát az elsődleges modellel egy. A defenzív desztillációval kiképzett ML modellek kevésbé érzékenyek az ellenséges mintákra, ami kevésbé érzékeny a kiaknázásra.
Folyamatosan módosíthatjuk az ML modellek adatosztályozási algoritmusait is, ami kevésbé sikeressé teheti az ellenséges támadásokat.
Egy másik figyelemre méltó technika a funkciók összenyomása, amely csökkenti az ellenfelek rendelkezésére álló keresési teret a szükségtelen beviteli funkciók „kiszorításával”. Itt a cél a téves pozitívumok minimalizálása és a kontradiktórius példák észlelésének hatékonyabbá tétele.
A gépi tanulás és a mesterséges intelligencia védelme
Az ellenséges támadások megmutatták, hogy sok ML modell meglepő módon összetörhető. Végül is az ellenséges gépi tanulás még mindig új kutatási terület a kiberbiztonság területén, és számos összetett problémával jár az AI és az ML számára.
Noha nincs varázslatos megoldás ezeknek a modelleknek az összes ellenséges támadással szembeni védelmére, a A jövő valószínűleg fejlettebb technikákat és intelligensebb stratégiákat fog hozni a szörnyűség leküzdésére ellenség.
