Des chercheurs de l'Université de Genève ont récemment développé un nouveau mécanisme de défense qui fonctionne en reliant l'apprentissage automatique à la cryptographie. Le nouveau système, décrit dans un article prépublié sur arXiv, est basé sur le deuxième principe cryptographique de Kerckhoffs, qui stipule que les algorithmes de défense et de classification sont connus, mais la clé ne l'est pas.

Au cours des dernières décennies, algorithmes d'apprentissage automatique, particulièrement les réseaux de neurones profonds (DNN), ont obtenu des résultats remarquables dans l'exécution d'un vaste éventail de tâches. Néanmoins, ces algorithmes sont exposés à des menaces de sécurité importantes, attaques particulièrement contradictoires, limiter leur mise en œuvre sur les tâches sensibles à la confiance.

« Malgré les progrès remarquables réalisés par les réseaux profonds, ils sont connus pour être vulnérables aux attaques adverses, " Olga Taran, l'un des chercheurs qui a mené l'étude, Raconté TechXplore . "Les attaques contradictoires visent à concevoir une telle perturbation des échantillons originaux qui, en général, est imperceptible pour l'homme, mais il est capable de tromper la sortie DNN."

La plupart des mesures de défense existantes peuvent être facilement contournées par les stratégies d'attaque de plus en plus avancées. Ceci est principalement dû au fait que ces méthodes de défense sont principalement basées sur des principes d'apprentissage et de traitement automatiques, sans composante cryptographique, ils sont donc conçus pour détecter-rejeter ou filtrer les perturbations antagonistes. Comme la plupart des algorithmes d'attaque peuvent facilement être adaptés pour tromper les mesures de sécurité du DNN attaqué, actuellement, il n'y a pas de mécanisme de défense qui résiste toujours bien aux attaques adverses.

"Le problème fondamental avec les contre-mesures proposées consiste dans l'hypothèse que le défenseur et l'attaquant possèdent la même quantité d'informations ou même partagent des ensembles de données d'entraînement identiques ou similaires, " Slava Voloshynovskiy, l'un des chercheurs qui a mené l'étude a déclaré à TechXplore. « Dans un tel scénario, le défenseur n'a aucun avantage informationnel sur l'attaquant. Cela diffère essentiellement des approches de sécurité classiques développées dans la communauté cryptographique."

Voloshynovskiy et ses collègues ont donc décidé de concevoir une nouvelle approche qui relie l'apprentissage automatique et la cryptographie, en espérant qu'il serait plus efficace pour défendre les algorithmes DNN contre les attaques contradictoires. La technique qu'ils ont mise au point est basée sur le principe cryptographique de Kerckhoffs, qui stipule que la clé d'accès à un système est censée rester inconnue.

"Nous avons introduit un mécanisme de randomisation à la structure du classificateur qui est paramétré par une clé secrète, " dit Taran. " Naturellement, une telle clé n'est pas disponible pour l'attaquant. Cela crée un avantage informationnel du défenseur sur l'attaquant. De plus, cette clé ne peut pas être apprise à partir de l'ensemble de données d'apprentissage. Le mécanisme de randomisation est un bloc de prétraitement qui peut être mis en œuvre de diverses manières, notamment la permutation aléatoire, échantillonnage et enrobage."

Les chercheurs ont évalué leur système et sa capacité à répondre à deux des attaques de pointe les plus renommées, la méthode du gradient rapide (FGSM) et les attaques proposées par N. Carlini et D. Wagner (CW), dans des scénarios de boîte noire et de boîte grise. Leurs résultats étaient très prometteurs, avec leur mécanisme de défense contrecarrant efficacement les deux.

"Une fois correctement résolu, l'utilisation de DNN pourrait gagner plus de confiance dans les applications réelles. Nous pensons que notre travail n'est qu'un premier pas vers la solution de ce problème, " a déclaré Voloshynovskiy. "Nous aimerions également attirer plus de spécialistes du domaine de la cryptographie pour dialoguer avec la communauté de l'apprentissage automatique."

Le mécanisme de défense développé par les chercheurs pourrait être appliqué à plusieurs classificateurs DNN existants. De futurs tests sur des ensembles de données plus complexes ou utilisant une gamme plus large d'attaques contradictoires avancées aideront à déterminer davantage son efficacité.

"Nous prévoyons maintenant d'étendre notre travail à des principes de randomisation plus généraux et de le tester sur de vraies images de grande taille, " a déclaré Voloshynovskiy.

© 2018 Tech Xplore