CanSecWest 2019 | 如何用AI“欺骗”AI？

反抗样本同样可以蒙骗色情辨认体系。图11表现了行使Google Cloud [8]色情辨认体系将修改后的色情图片辨认为正常图片。

 图11. Google Cloud色情辨认功效

4.怎样防御反抗样本进攻?

针对AI安详反抗样本进攻的防止首要分为三个阶段：数据网络阶段、模子实习阶段、模子行使阶段。图12列出了在各个阶段的各类防止技能。

 图12. AI安详反抗样本防止技能

天生反抗样本(Adversarial Example Generation)：该要领是指在模子实习之前举办数据网络阶段，行使各类已知的进攻要领和收集模子天生反抗样本，作为数据的一部门。一样平常而言，天生的反抗样本的要领和模子范例越多，样本的变革越大，越有利于实习天生鲁棒的模子。

收集蒸馏(Network Distillation)：该要领的根基道理是指在模子实习阶段，对多个神经收集举办串联，个中前一个大收集的实习功效被作为“软标签”去实习后一个小收集。相干研究[9]发明迁徙常识可以在必然水平上低落模子对细小扰动的敏感度，进步AI模子的鲁棒性。

反抗实习(Adversarial Training)：该要领是指在模子实习进程中将在数据网络阶段天生的各类百般的反抗样本插手实习齐集，对模子举办单次或多次实习，可以天生可以抵挡反抗滋扰的反抗模子。该要领不只可以加强新天生模子的鲁棒性，还可以加强模子的精确率。

反抗样本检测(Adversarial Example Detection)：该要领的根基道理是指在模子行使阶段插手反抗样本检测模块来判定输入的样本是否为反抗样本。可所以在输入样本达到原模子之前举办反抗样本检测，也可所以从原模子内部提守信息来举办判定。譬喻，输入样本和正常数据之间的差别性可以作为判定尺度，也可以简朴地实习一个基于神经收集的二分类模子来举办反抗样本检测。

样本重构(Example Reconstruction)：样本重构是指将反抗样本规复为正常样本。通过这样的转换后，反抗样本将差池收集猜测的功效发生影响。样本重构最常用的要领是对输入的反抗样本举办降噪，纵然用降噪收集将反抗样本转换为正常样本，或是直接在原模子收集架构中插手降噪模块。

模子验证(Model Verification)：模子验证是指搜查神经收集的属性，验证输入是否违背或满意属性要求。该要领是防止反抗样本进攻很有但愿的一种防止技能，由于它可以检测不曾见过的反抗样本进攻。

然而，以上的防止法子都有特定的应用场景，并不能防止全部的反抗样本进攻，出格是一些进攻性较强的、不曾呈现过的反抗样本进攻。另外，也可以并行或串行整合多种防止要领，加强AI模子的防止手段。今朝，大大都防止要领都是针对计较机视觉中的反抗样本，跟着其他规模的反抗样本的成长，好比语音，急切必要针对这些规模的反抗样本进攻的防止要领。

总结

AI扩宽了人类办理题目的界线，可是也袒露了各类百般的安详性题目。本文分解了AI体系极易受到反抗样本的进攻，而且现有的防止技能并不能完全防止这样的进攻。一旦AI体系被恶意进攻，轻则造成工业丧失，重则威胁人身安详。AI应用的大局限遍及和成长必要很强的安详性担保，因此，我们还必要一连晋升AI安详、晋升AI算法的鲁棒性。安平AI安详研究团队也会在这个规模不绝深耕，助力AI奇迹成长。

参考文献

Szegedy, Christian, et al. "Intriguing properties of neural networks." Computer Science (2013).

Goodfellow, Ian J., J. Shlens, and C. Szegedy. "Explaining and Harnessing Adversarial Examples." Computer Science (2015).

Kurakin, Alexey, I. Goodfellow, and S. Bengio. "Adversarial examples in the physical world." (2016).

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!