Методы защиты от атак уклонением на алгоритмы машинного обучения

Темой данной диссертационной работы является «Методы защиты от атак уклонением на алгоритмы машинного обучения». В условиях повсеместного внедрения информационных технологий существует огромное количество автоматизированных систем, позволяющих оптимизировать практически любой процесс, как в бизнесе, так и в быту. На передовой этого процесса находится машинное обучение и глубокое обучение в частности, алгоритмы которых в настоящее время достаточно сильно уязвимы к разного рода атакам.

Решением проблемы устойчивости машинного обучения (англ. Machine Learning, ML) занимается состязательное машинное обучение (англ. Adversarial ML) - область исследования, занимающаяся изучением атак на алгоритмы машинного обучения и способов борьбы с ними. В настоящее время данная проблема крайне молода и только начиная с 2017 года начали проводится активные исследования в этой области (судя по количеству статей на ресурсе arXiv.org по этой теме).

В данной исследовательской работе будут освещаться современные насущные проблемы в области машинного обучения, что в свою очередь послужит основой для аргументации актуальности выбранной темы. В работе будут описаны, с одной стороны - существующие стратегии и типы состязательных атак на машинное обучение, с другой - превентивные меры и методы защиты от таковых.

Цель данной работы заключается в программной реализации методов защиты от существующих способов атак уклонением на алгоритмы машинного обучения и системы компьютерного зрения.

Для достижения этой цели весь процесс был разбит на следующие задачи:

1) исследовать проблематику состязательного машинного обучения как явления,

2) изучить существующие способы проведения атак уклонением на алгоритмы машинного обучения,

3) изучить существующие методы защиты от атак уклонением,

4) разработать систему принятия решений для осуществления выбора метода защиты в той или иной ситуации,

5) попытаться выявить новый способ защиты от атак уклонением,

6) осуществить программную реализацию данной системы принятия решений,

7) провести тестирование программной реализации путем

проведения экспериментов,

8) проанализировать результаты поставленных экспериментов.

ВВЕДЕНИЕ..................................................................................................... 3

1. Существующие стратегии атак и способы защиты.................................. 5

2. Выбранные атаки уклонением и методы защиты.................................. 12

3. Проведение экспериментов на предмет эффективности выбранных методов защиты 16

4. Экспериментальная система принятия решений.................................... 26

ЗАКЛЮЧЕНИЕ............................................................................................. 29

СПИСОК ЛИТЕРАТУРЫ............................................................................ 33

ПРИЛОЖЕНИЯ............................................................................................ 36

Приложение 1. Функции для создания зашумленных изображений......... 36

Приложение 2. Методы для создания состязательных примеров.............. 37

Приложение 3. Методы для осуществления защиты от атак уклонением. 39

Приложение 4. Методы тестирования методов защиты............................. 40

Приложение 5. Программный код эксперимента по выявлению стратегии ... 42

Приложение 6. Программный код экспериментальной системы принятия

решений......................................................................................................... 44

1) Уклонение от атак на машинное обучение [Электронный ресурс]. - URL: https://machinelearningmastery.ru/evasion-attacks-on-machine-learning-or- adversarial-examples-12f2283e06a1/ (дата обращения 15.12.2022). - Текст:

электронный.

2) ML Attack Models: Adversarial Attacks and Data Poisoning Attacks [Электронный ресурс]. - URL: https://arxiv.org/ftp/arxiv/papers/

2112/2112.02797.pdf (дата обращения 17.12.2022). - Текст: электронный.

3) Adversarial machine learning [Электронный ресурс]. - URL: https: //en.wikipedia. org/wiki/Adversarial_machine_leammg (дата обращения 20.12.2022). - Текст: электронный.

4) How to steal modern NLP systems with gibberish? [Электронный ресурс]. - URL: http://www.cleverhans.io/2020/04/06/stealing-bert.html (дата обращения 22.12.2022). - Текст: электронный.

5) White-box Membership Attack Against Machine Learning Based Retinopathy Classification [Электронный ресурс]. - URL:

https://arxiv.org/abs/2206.03584 (дата обращения 23.12.2022). - Текст:

электронный.

6) A Survey of Black-Box Adversarial Attacks on Computer Vision Models [Электронный ресурс]. - URL: https://arxiv.org/abs/1912.01667 (дата обращения 23.12.2022). - Текст: электронный.

7) Adversarial machine learning. - URL :

https://en.wikipedia.org/wiki/Adversarial_machine_learning (дата обращения 24.12.2022). - Текст: электронный.

8) OpenCV шаг за шагом. Обработка изображения — пороговое преобразование. - URL: https://robocraft.ru/computervision/357 (дата обращения 15.11.2023). - Текст: электронный.

9) JPEG. Алгоритм сжатия. - URL: https://habr.com/ru/articles/482728/ (дата обращения 20.11.2023). - Текст: электронный.

10) Вейвлет - анализ. Основы. - URL:

https://habr.com/ru/articles/449646/ (дата обращения 25.11.2023). - Текст:

электронный.

11) Как работает метод главных компонент (PCA) на простом примере. - URL: https://habr.com/ru/articles/304214/ (дата обращения 26.11.2023). - Текст: электронный.

12) Цветовая субдискретизация понятным языком. - URL: https://projectorworld.ru/blog/957.html (дата обращения 27.11.2023). - Текст: электронный.

13) Что такое Adversarial Machine Learning: определение и история появления. - URL: https://chernobrovov.ru/articles/kak-obmanut-nejroset-ili-chto- takoe-adversarial-attack.html (дата обращения 29.11.2023). - Текст:

электронный.

14) Автоэнкодеры в Keras, Часть 1: Введение. - URL:

https://habr.com/ru/articles/331382/ (дата обращения 30.11.2023). - Текст: электронный.

15) Безопасность алгоритмов машинного обучения. - URL: https://habr.com/ru/companies/dsec/articles/438644/ (дата обращения

01.12.2023). - Текст: электронный.

16) Реализация атак уклонением на нейронные сети и методы их предотвращения. - URL: https://ntk.kubstu.ru/data/mc/0091/4523.pdf (дата обращения: 10.02.024). - Текст: электронный.

17) Влияние шумов на алгоритмы цифровой обработки. - URL:

https://elibrary.ru/item.asp?id=46498271 (дата обращения: 11.02.024). - Текст: электронный.

18) Salt and Pepper Noise: an overview. - URL:

https://www.sciencedirect.com/topics/engineering/pepper-noise (дата обращения: 12.02.024). - Текст: электронный.

19) Генерация шумов на изображении. - URL:

https://elibrary.ru/item.asp?id=45480158 (дата обращения: 12.02.024). - Текст: электронный.

20) Устранение гауссовского и пуассоновского шумов на растровых изображениях. - URL: https://cyberleninka.ru/article/n/ustranenie-gaussovskogo-i- puassonovskogo-shumov-na-rastrovyh-izobrazheniyah (дата обращения:

14.02.024). - Текст: электронный.

21) One pixel attack. Или как обмануть нейронную сеть. - URL: https://habr.com/ru/articles/498114/ (дата обращения: 15.02.024). - Текст:

электронный.

22) Быстрый алгоритм медианной фильтрации. - URL:

https://cyberleninka.ru/article/n/bystryy-algoritm-mediannoy-flltratsii (дата

обращения: 18.02.024). - Текст: электронный.

23) Квантизация изображений. - URL:

https://habr.com/ru/articles/315490/ (дата обращения: 19.02.024). - Текст:

электронный.

24) Методы устранения шумов на изображениях. Сжатие. - URL: https://cyberleninka.ru/article/n/metody-ustraneniya-shumov-na-izobrazheniyah (дата обращения: 19.02.024). - Текст: электронный.

25) Постеризация изображения. - URL:

https://www.cambridgeincolour.com/ru/tutorials-ru/posterization.htm (дата

обращения: 19.02.024). - Текст: электронный.

26) Ultralytics. YOLO - URL: https://docs.ultralytics.com/ru (дата обращения: 20.02.024). - Текст: электронный.