360AI安全風險白皮書：小心深度學習逃逸攻擊

2017以來，人工智能的興起讓“深度學習”這個詞頻繁出現(xiàn)在公眾視野。有了深度學習算法，機器也能夠模擬人類的思考方式，自主獲取知識，修習技能，完成很多常人無法完成的任務。但是作為一種新興技術，深度學習算法自身仍存在很多安全缺陷和漏洞。近日360安全研究院發(fā)布的《AI安全風險白皮書》結合深度學習逃逸攻擊方面的實例和研究工作，詳細解讀了人工智能應用所面臨的安全風險。

“逃逸攻擊”是一個專業(yè)術語，它指的是攻擊者在不改變目標機器學習系統(tǒng)的情況下，通過構造特定輸入樣本以完成欺騙目標系統(tǒng)的攻擊。例如，攻擊者可以修改一個惡意軟件樣本的非關鍵特征，使得它被一個反病毒系統(tǒng)判定為良性樣本，從而繞過檢測。

圖1：攻擊者生成對抗樣本使系統(tǒng)與人類有不同的判斷

以最近頗受關注的圖像識別為例，圖像識別的原理是具備深度學習能力的人工智能系統(tǒng)，模仿人類視覺功能，通過一定的算法規(guī)則，區(qū)分不同的圖像目標。但是，目前圖像識別深度學習所依賴的判斷規(guī)則和人眼的視覺機理仍存在較大的差距，這也就意味著：只要對目標圖片稍加改造，圖像識別系統(tǒng)就有可能在完全正常的流程下輸出一個截然不同的錯誤結果。

此前，Ian Goodfellow在2015年ICLR會議上就提出了著名逃逸樣本，樣本使用了谷歌的深度學習研究系統(tǒng)，該系統(tǒng)利用卷積神經(jīng)元網(wǎng)絡，能夠精確區(qū)分熊貓和長臂猿等圖片。不過，攻擊者對熊貓的圖片“稍加改造”，增添了一些干擾因素。雖然這細微的差別并不會影響人類的判斷，不過圖像識別深度學習系統(tǒng)卻會把熊貓誤認為長臂猿。

圖2：逃逸攻擊讓深度學習系統(tǒng)將熊貓誤認為長臂猿

據(jù)悉，基于機器學習的逃逸攻擊主要分為白盒攻擊和黑盒攻擊。白盒攻擊需要獲取機器學習模型內部的所有信息，然后直接計算得到對抗樣本；黑盒攻擊則只需要知道模型的輸入和輸出，不需要了解模型內部的構造和狀態(tài)，即可通過觀察模型輸出的變化來生成對抗樣本。

此外，該文合作者許偉林采用遺傳編程隨機修改惡意軟件的方法，成功攻擊了兩個號稱準確率極高的惡意PDF文件分類器：PDFrate和Hidost。這些逃逸檢測的惡意文件和算法自動修改出來的，并不需要PDF安全專家介入。同樣的算法可以用來對實際應用的機器學習系統(tǒng)進行逃逸攻擊。

同時，針對AI系統(tǒng)的對抗性研究，就是讓人工智能系統(tǒng)輸出錯誤的結果。還是以手寫圖像識別為例，攻擊者可以構造惡意的圖片，使得人工智能系統(tǒng)在分類識別圖片的過程中觸發(fā)相應的安全漏洞，改變程序正常執(zhí)行的控制流或數(shù)據(jù)流，使得人工智能系統(tǒng)輸出攻擊者指定的結果。

圖3：針對人臉識別系統(tǒng)的對抗樣本生成

白皮書中還提到，雖然深度學習系統(tǒng)經(jīng)過訓練可以對正常輸入達到很低的誤判率，但是當攻擊者用系統(tǒng)化的方法能夠生成誤判樣本的時候，攻擊的效率就可以接近100%，從而實現(xiàn)穩(wěn)定的逃逸攻擊。這也意味著，雖然人工智能應用正越來越普及，但是對于逃逸攻擊的研究也應該同步跟進，其安全問題不容忽視。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。