本文探讨了时间序列预测模型对对抗性攻击的脆弱性,特别是针对深度学习模型如LSTNet、CNN、RNN和MHANET。提出了基于梯度和重要性测量的对抗性时间序列生成算法,能够在不影响数据可感知性的情况下,通过较小的扰动降低预测模型的性能。实验显示,这些方法能有效攻击多种预测模型,并具有良好的可迁移性。
论文发表于2022 Information Sciences
框架图总览:
摘要:
[背景描述] 时间序列数据在现实工业场景中广泛存在。为了恢复和推断现实应用中丢失的信息,时间序列预测问题作为数据挖掘中的经典研究课题已被广泛研究。 深度学习架构也被看作是下一代时间序列预测模型。然而,最近的研究表明,深度学习模型很容易受到对抗性攻击。
[本文做法] 本文前瞻性地检测了时间序列预测对抗攻击问题,并提出了一种通过向原始时间序列添加恶意扰动来生成对抗性时间序列的攻击策略,以恶化时间序列预测模型的性能。具体地,使用预测模型梯度信息的a perturbation-based adversarial example generation algorithm被提出。在实践中,与图像处理领域中人类的不可感知性不同,时间序列数据对异常扰动更加敏感,并且对扰动量有更严格的要求。为了解决这个问题,我们根据重要性测量importance measurement来制作一个对抗性时间序列,以稍微扰乱原始数据。
[实验结果] 基于对真实时间序列数据集进行的综合实验,我们验证了所提出的对抗性攻击方法不仅有效地欺骗了目标时间序列预测模型 LSTNet,而且还攻击了最先进的基于 CNN、RNN 和 MHANET 的模型。同时,结果表明所提出的方法具有良好的可迁移性。 也就是说,为特定预测模型生成的对抗性示例可以显着影响其他方法的性能。此外,通过与现有的对抗性攻击方法的比较,我们可以看到,对于所提出的基于重要性测量的对抗性攻击方法来说,更小的扰动就足够了。 本文描述的方法对于理解对抗性攻击对时间序列预测的影响并提高此类预测技术的鲁棒性具有重要意义。
1. Introduction
[时序的定义及背景] 时序数据指的是按时间顺序排列的一系列统计观察。时间序列数据在工业 4.0 时代无处不在,数以百万计的传感器被部署来收集传感数据,例如电力负荷、交通流量、工业监控和气候趋势。 随着数据量的增加,时间序列分析已成为数据挖掘领域众多研发项目的焦点。 时间序列预测问题旨在通过分析过去的观察并根据发展过程、方向和趋势进行类比或扩展来预测未来值。 时间序列预测具有广泛的应用,例如预测不久的将来的天气状况、预测交通拥堵、预测未来的用电量并确定能源管理所需的电量、检测异常的能源使用情况并揭露窃电行为等。
[时序预测方法的陈述,引人DNN模型] 传统上,已经提出了许多参数模型用于时间序列预测,例如自回归(AR)、exponential smoothing和structural time-series models。 然而,模型的特征工程始终是手动进行的,其结果取决于研究人员的专业知识。 最近,机器学习方法的数据可用性和计算能力不断增强,使得时间动态的纯粹数据驱动学习成为可能。 具体来说,由于深度学习在语音和语言处理、人脸识别和目标检测等各种应用中的令人印象深刻的性能,已经开发了许多基于深度神经网络的时间序列预测方法,其中学习机制可以捕获变量之间的动态相关性并考虑短期和长期重复模式的混合,从而实现更高的准确性。
[基于DNN的模型易于收到攻击,图像方面的相关工作回顾] 最近的研究表明,基于深度神经网络的模型具有固有的缺点,并且容易受到对抗性攻击。 这些攻击试图找到难以察觉的扰动并生成对抗性示例,以产生高置信度的错误输出。 也就是说,包括神经网络在内的机器学习模型会对与原始数据仅略有不同的示例进行错误分类。 最初,提出对抗性攻击的概念是为了描述深度神经网络(DNN)针对图像像素难以察觉的扰动的不稳定性和不可靠性。 随后,针对机器学习模型的类似对抗攻击方案也被证明在各个应用领域是有效的。 例如,Sharif等人试图通过优化图像中出现的太阳镜的颜色来攻击人脸识别系统。 Xian等人提出了一种针对图数据上的链接预测方法的基于深层架构的对抗攻击方法。 此外,黄等人开发了一种对抗性扰动方法来攻击雷达信号解释领域的目标识别任务。
[时序预测的稳健性很重要,DNN对时序分析的对抗攻击工作回顾] 鉴于时间序列数据的可用性不断增加,时间序列预测的准确结果在解决现实问题中发挥着至关重要的作用。 因此,研究时间序列预测模型的稳健性非常重要。 同时,由于优异的结果,深度神经网络已成为新一代时间序列分析模型的基础组成部分。 最近,为了探索基于深度学习的时间序列分析模型的鲁棒性,Fawaz 等人利用现有的迭代对抗攻击机制iterative adversarial attack mechanism来欺骗基于残差网络residual-network的时间序列分类模型。 Karim等人针对传统时间序列分类模型提出了基于对抗变换网络(ATN)的攻击方法,包括1-最近邻动态时间扭曲(1-NN DTW)、全连接网络和全卷积网络(FCN)。 为了抵御对时间序列分类模型的对抗性攻击,Yang 等人训练了一个对抗性样例检测器adversarial example detector来区分对抗性例子和正常例子。 此外,Siddiqui等人采用了一些经过充分验证的对抗性防御方法,在图像上进行了测试,并评估了它们对时间序列数据的鲁棒性。 尽管针对时间序列分析方法提出的对抗性攻击很少,但最先进的深度时间序列预测模型(例如 LSTNet、RNN 和 MHANET)的对抗性漏洞尚未得到足够的关注。 同时,与图像处理领域的人眼难以察觉不同,时间序列数据对异常扰动更加敏感。 因此,对扰动量有更严格的要求。 因此,在本研究中,我们关注时间序列预测对抗性攻击问题,旨在解决以下问题:最先进的深度时间序列预测模型能否受到此类对抗性例子的攻击? 此外,如何生成难以察觉的对抗性示例来稍微扰乱时间序列数据?
[本文做法] 在本研究中,我们提出并制定了时间序列预测对抗性攻击问题。 在这里,我们假设数据点在观察到的时间序列的模式中发挥不同的作用,并对学习模型产生不成比例的影响。 由于长期和短期时间序列网络(LSTNet)的最先进性能,我们为基于 LSTNet 的深度时间序列预测模型引入了一种基于全局扰动的对抗性时间序列生成算法a global perturbation-based adversarial time-series generation algorithm for LSTNet-based deep time series prediction model。 为了解决轻微对抗性扰动的挑战,提出了一种基于重要性测量的先进对抗性时间序列生成算法an advanced adversarial time-series generation algorithm based on the importance measurement。 对现实世界时间序列数据集的实验表明,所提出的对抗性攻击方法在多个最先进的时间序列预测模型上取得了令人满意的性能。
本文贡献:
- Effectiveness. 我们制定了时间序列预测对抗性攻击问题,并利用预测模型的梯度信息提出了一种基于全局扰动的对抗性时间序列生成算法。 由于对原始数据的扰动,生成的对抗性时间序列可能会导致错误的输出。
- Imperceptibility. 为了确保对抗性时间序列难以察觉,我们开发了一种基于重要性测量的对抗性攻击方法,以最小化对抗性示例与原始数据之间的差异。 与现有的对抗性攻击方法相比,所提出的方法可以以更小的扰动来攻击最先进的深度时间序列预测模型。
- Applicability and Transferability. 我们的方法不仅可以用于特定的时间序列预测模型,还可以应用于其他预测模型。 此外,为目标模型生成的对抗性时间序列也可以用于攻击其他时间序列预测模型。
- Risk Analysis. 我们证明了时间序列预测模型对对抗性攻击的脆弱性。 可转移性验证还表明,对抗性攻击不需要目标模型的先验知识。 因此,基于时间序列预测的实际应用存在很高的安全风险。
2. Background and related work
2.1 Deep neural networks for time-series prediction时间序列预测的相关工作
鉴于深度学习令人印象深刻的性能,基于深度神经网络的时间序列预测近年来受到了极大的关注。 由于时间序列数据自然地解释为输入和目标序列,因此人们提出了许多基于循环神经网络(RNN)的时间序列预测方法。 具体来说,Rangapuram 等人提出了一种新的概率时间序列预测方法,该方法使用 RNN 参数化特定的线性状态空间模型。 陈等人提出了一种基于粒子群优化和进化算法的 RNN 的混合体,用于时间序列预测。 然而,RNN 变体在学习数据中的远程依赖性方面受到限制,因此开发了基于长短期记忆网络(LSTM)的方法。 此外,由于空间维度上的不变性,具有多层因果卷积的卷积神经网络(CNN)被提出用于时间序列预测。 通过将 CNN 与 RNN 相结合,Lai 等人提出了一种新颖的深度学习框架LSTNet,用于提取变量之间的短期局部依赖模式并发现时间序列趋势的长期模式。 注意力机制最近已被应用于时间序列预测技术的改进。 例如,Ran 等人提出了一种基于 LSTM 的具有注意机制的旅行时间预测方法。 此外,范等人提出了一种具有时间注意力机制的多水平时间序列预测方法来捕获历史数据中的模式。 在本研究中,不是考虑时间序列预测方法,而是通过对抗性攻击来探索基于深度学习的时间序列预测模型的脆弱性。
2.2 Deep learning and adversarial attacks图像领域的对抗攻击相关工作
由于智能系统的广泛应用,深度学习的安全性变得越来越重要,并引起了许多相关研究人员和实践者的关注。 Szegedy等人开创了神经网络稳定性的探索,并揭示了它们对难以察觉的扰动的脆弱性。 此外,Goodfellow等人试图解释这种现象,并认为神经网络容易受到对抗性扰动,主要是因为它们是线性的。 从那时起,人们一直致力于探索各种深度学习模型(例如 CNN、LSTM和强化学习(RL)的漏洞。 目前,对抗性攻击的主要应用是在图像处理领域。 Eykholt等人提出了鲁棒物理扰动(RP2)来生成道路标志的对抗性示例,以确保对象识别系统错误地识别这些标志。 此外,Sharif等人在数字和物理层面攻击人脸识别模型。 为了欺骗语义分割和对象检测模型,Xie 等人生成对抗性扰动,对所有输出标签产生错误的预测。 此外,由于图挖掘和文本分析的重要性,针对图结构和文本数据模型的对抗性例子也存在。 与上述研究不同,我们关注针对时间序列预测模型的对抗性攻击。
2.3 Adversarial attacks on time series analysis时序分析的对抗攻击相关工作
与研究图像、图形和文本数据的攻击和防御机制的兴趣日益浓厚相比,最近才进行了为时间序列分类模型生成对抗性示例的开拓性研究。具体地,Fawaz等人考虑到深度学习模型对对抗性时间序列示例的脆弱性,利用现有的迭代对抗性攻击机制在原始时间序列中添加难以察觉的噪声,从而降低分类模型的准确性。 然而,攻击时间序列模型和攻击传统图像分类器之间存在一些差异,并且时间序列数据对对抗性扰动的敏感性尚未得到充分考虑。Karim等人提出使用对抗性变换网络(ATN)来攻击各种时间序列分类模型。 Harford等人提出在蒸馏模型上改造现有的ATN,以攻击各种多元时间序列分类模型。 然而,此类研究侧重于传统时间序列分类模型(即 1-NN DTW、FCN 和全连接网络)的鲁棒性,而不是最先进的深度时间序列预测模型,如 LSTNet、RNN 和 MHANET。 此外,Yang等人研究了针对时间序列数据的传统对抗性攻击方法的防御方法。 然而,时间序列数据的特征尚未得到充分探索。 与上述研究不同,本研究旨在前瞻性地探索对最先进的深度时间序列预测模型的对抗性攻击,并生成难以察觉的对抗性示例以稍微扰乱时间序列数据。
3. Problem definition and target models
3.1 Problem definition
3.2 Long- and short-term time-series network model LSTNet
详细参考论文:LSTNet: Modeling Long- and Short-Term Temporal Patterns with Deep Neural Networks,其框架图如下:
3.3 Other methods
- Convolutioal Neural Networks
- Recurrent Neural Networks
- Multi-Head Attention Network (MHANet)
4. Gradient-based adversarial time-series generators
4.1 Framework
时间序列预测的对抗性攻击旨在生成精心设计的对抗性时间序列来欺骗时间序列预测方法。具体来说,给定一段时间内的时间信号,时间序列预测模型可以准确预测未来趋势的方向。 然而,基于攻击的方法可以产生对抗性扰动来扰乱原始时间序列并欺骗预测方法,同时对抗时间序列和原始时间序列应该尽可能接近。 在这项研究中,我们试图通过调节扰动来最小化两个序列之间的距离。
一个对抗攻击包括以下3大元素:
- 对抗时序生成器Adversarial time series generator。对抗时序生成器的目标是针对时间序列预测模型在原始时间序列中生成难以察觉但有效的对抗性扰动。 假设攻击者知道时间序列预测方法的损失函数,攻击者可以通过损失值的偏导来获得梯度信息。
- 时间序列预测对抗攻击Time series prediction adversarial attack。由对抗时序实施的对抗性攻击会阻止准确预测未来值。 考虑到数据操纵的成本和对抗性扰动的难以察觉,对抗性攻击的目标是尽可能地破坏时间序列预测方法的准确性。
- 可转移的攻击Transferable attack。许多最先进的深度神经网络已应用于时间序列预测问题。 如果为特定预测模型生成的对抗性时间序列对该模型本身有效,同时使其他时间序列预测方法失败,则该过程称为“可转移对抗性攻击”。 在本文中,我们分析了可转移对抗攻击的可能性,并进行了全面的实验来验证此类方法的可转移性。
时间序列预测对抗攻击的总体框架图:
4.2 LSTNet model for time series prediction
详细参考论文:LSTNet: Modeling Long- and Short-Term Temporal Patterns with Deep Neural Networks,框架图见3.2节。
4.3 Adversarial time series generator
adversarial time series的生成过程如上图所示。
受到gradient-based model attack strategy启发,对抗时间序列可以基于模型的梯度信息生成。换句话说,如果我们想要去攻击模型,可以针对输入X计算损失函数的梯度并根据梯度信号方向扰动他。
4.4 Adversarial attacks with importance measurement
原则:可以扰动重要的数据点,以此有效地欺骗模型并尽可能减少扰动时序和原始时序之间的差异。
根据4.3节,可以基于全局扰动得到an adversarial time series以攻击时间序列预测模型。但是,尽管最大扰动e非常小,算法1中的攻击还是会改变原始数据的每个点,无法确保扰动的不可感知以及数据的可用性。因此,基于我们之前的研究,假设数据点对潜在的模型扮演了不同的角色,一些数据点对数据集的规律性有着不成比例的影响,因此时间序列数据只会被有限数量的数据点干扰。同时,the area over the perturbation curve (AOPC)方法被提出以量化特征对模型性能的重要性。
4.5 Loss funstion
我们分析了具有 L1 和 L2 损失函数的预测模型的鲁棒性,以广泛探索所提出的对抗性攻击方法的性能。
4.6 Time complexity analysis
略。
5. Experiments
5.1 Experiment setup
5.1.1 Datasets
- Electricity
- Solar
- Household_power_consumption
5.1.2 Time series prediciton methods
- RNN
- CNN
- LSTNet
- MHANet
5.1.3 Metrics
- root RSE
- RAE
- CORR
- MSE
对抗攻击方法中,本文提出利用a Frobenius norm量化对抗时序和原始时序的距离。
6. Conclusions and discussion
本研究重点关注时间序列预测模型的对抗性攻击问题。 据我们所知,针对时序数据学习模型的对抗性攻击的研究还很少。 此外,现有的研究主要集中在传统对抗性攻击方法在时序数据分析任务上的迁移和应用,特别是针对图像处理提出的攻击方法。 总的来说,现有研究存在两个不足:(1)事实上,对于人眼来说,时间序列数据比图像数据对对抗性扰动更敏感。 因此,图像应用中人眼无法察觉扰动的假设对于时间序列数据分析仍然无效。 因此,对时间序列数据分析的对抗扰动量应该有更严格的要求。 (2)现有的几种对时间序列数据的学习任务有效的对抗性攻击并不针对最先进的深度预测模型,因此无法体现其鲁棒性。 针对上述问题,本文针对代表性的深度时序预测方法,提出了基于模型梯度信息的ATSG对抗攻击方法。 由于基于梯度的对抗性攻击方法的优点,它们可以快速生成对抗性示例,使学习模型产生错误的结果。 然而,这种类型的方法无法控制对抗性扰动的最佳量。 因此,在ATSG的基础上,本文提出AAIM方法,在保证攻击效果的同时,显着减少扰动量。 本文的实验结果证明了时间序列的数据点具有以下假设的合理性: 对学习模式产生不成比例的影响。 因此,在未来,预计会设计出具有微妙扰动的复杂对抗性攻击方法。 此外,本文提出的AAIM方法需要依次计算数据点的重要性。 作为未来的研究,开发先进的对抗性攻击重要性测量方法值得考虑。
扫一扫
508
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
