I ricercatori dell'Università di Ginevra hanno recentemente sviluppato un nuovo meccanismo di difesa che funziona collegando l'apprendimento automatico con la crittografia. Il nuovo sistema, delineato in un documento pre-pubblicato su arXiv, si basa sul secondo principio crittografico di Kerckhoffs, che afferma che sono noti sia gli algoritmi di difesa che quelli di classificazione, ma la chiave no.

Negli ultimi decenni, algoritmi di apprendimento automatico, reti neurali particolarmente profonde (DNN), hanno ottenuto risultati notevoli nell'esecuzione di una vasta gamma di compiti. Ciò nonostante, questi algoritmi sono esposti a sostanziali minacce alla sicurezza, attacchi particolarmente contraddittori, limitando la loro attuazione su compiti sensibili alla fiducia.

"Nonostante i notevoli progressi compiuti dalle reti profonde, sono noti per essere vulnerabili agli attacchi avversari, "Olga Taran, uno dei ricercatori che ha condotto lo studio, detto TechXplore . "Gli attacchi contraddittori mirano a progettare una tale perturbazione ai campioni originali che, generalmente, è impercettibile per l'uomo, ma è in grado di ingannare l'output DNN."

La maggior parte delle misure di difesa esistenti può essere facilmente aggirata dalle strategie di attacco sempre più avanzate. Ciò è principalmente dovuto al fatto che questi metodi di difesa si basano principalmente sull'apprendimento automatico e sui principi di elaborazione, senza alcun componente crittografico, quindi sono progettati per rilevare-rifiutare o filtrare le perturbazioni contraddittorie. Poiché la maggior parte degli algoritmi di attacco può essere facilmente adattata per ingannare le misure di sicurezza del DNN sotto attacco, attualmente, non esiste un meccanismo di difesa in grado di far fronte in modo coerente agli attacchi contraddittori.

"Il problema fondamentale con le contromisure proposte consiste nel presupposto che il difensore e l'attaccante possiedano la stessa quantità di informazioni o addirittura condividano lo stesso set di dati di addestramento o simili, "Slava Voloshynovskiy, uno dei ricercatori che hanno condotto lo studio ha detto a TechXplore. "In uno scenario del genere, il difensore non ha alcun vantaggio informativo sull'attaccante. Ciò differisce essenzialmente dai classici approcci alla sicurezza sviluppati nella comunità crittografica".

Voloshynovskiy e i suoi colleghi hanno quindi deciso di ideare un nuovo approccio che collegasse l'apprendimento automatico e la crittografia, sperando che sarebbe stato più efficace nel difendere gli algoritmi DNN dagli attacchi avversari. La tecnica che hanno ideato si basa sul principio crittografico di Kerckhoffs, che afferma che la chiave per accedere a un sistema dovrebbe rimanere sconosciuta.

"Abbiamo introdotto un meccanismo di randomizzazione nella struttura del classificatore che è parametrizzato da una chiave segreta, " Disse Taran. "Naturalmente, tale chiave non è disponibile per l'attaccante. Questo crea un vantaggio informativo del difensore sull'attaccante. Inoltre, questa chiave non può essere appresa dal set di dati di addestramento. Il meccanismo di randomizzazione è un blocco di pre-elaborazione che può essere implementato in vari modi, inclusa la permutazione casuale, campionamento e inclusione."

I ricercatori hanno valutato il loro sistema e la sua capacità di rispondere a due dei più rinomati attacchi all'avanguardia, il metodo fast gradient sign (FGSM) e gli attacchi proposti da N. Carlini e D. Wagner (CW), in scenari scatola nera e scatola grigia. I loro risultati sono stati molto promettenti, con il loro meccanismo di difesa che contrasta efficacemente entrambi.

"Una volta risolta correttamente, l'uso di DNN potrebbe guadagnare più fiducia nelle applicazioni reali. Crediamo che il nostro lavoro sia solo un primo passo verso la soluzione di questo problema, " Voloshynovskiy ha detto. "Vorremmo anche attirare più specialisti del dominio della crittografia per dialogare con la comunità del machine learning".

Il meccanismo di difesa sviluppato dai ricercatori potrebbe essere applicato a diversi classificatori DNN esistenti. I test futuri su set di dati più complessi o l'utilizzo di una gamma più ampia di attacchi avversari avanzati aiuteranno a determinarne ulteriormente l'efficacia.

"Ora abbiamo in programma di estendere il nostro lavoro a principi di randomizzazione più generali e di testarlo su immagini reali di grandi dimensioni, " ha detto Voloshynovskij.

© 2018 Tech Xplore