《Adversarial Attacks and Defenses in Deep Learning: From a Perspective of Cybersecurity》论文解读

Introduction+Preliminary

本文首先强调了深度学习技术在多种任务中的广泛应用和取得的显著成就，尤其是深度学习在图像识别、语音识别、自然语言处理等领域的关键作用。然而，作者们也指出了深度学习模型的一个主要问题：对抗性样本的存在使得深度学习模型的安全性和稳定性受到威胁。

对抗性样本是指通过在原始数据中添加精心设计的微小扰动，导致深度学习模型以高概率给出错误预测的样本。这些扰动对于人类来说通常是难以察觉的，但对模型的预测结果却有显著的影响。这种现象在自动驾驶车辆、安全监控等关键领域尤为令人担忧，因为模型的失败可能导致严重的安全事故。
作者们提到，尽管对抗性攻击和防御的研究已经取得了一定的进展，但目前还缺乏标准化的评估方法来衡量对抗性攻击的真实威胁或深度学习模型的鲁棒性。因此，评估模型安全性成为AI项目生命周期中的一个重要组成部分。

此外，作者们还讨论了深度学习技术在实际应用中的隐私和安全威胁，以及一些组织正在参与人工智能标准化工作的进程。他们强调了制定AI系统生命周期标准的重要性，包括初始化、设计和开发、检查和验证、部署、操作监控、持续验证、重新评估和废弃等阶段。

最后，作者们指出，尽管已有一些关于对抗性机器学习的综述研究，但这些研究通常关注特定的攻击方法或防御策略，而没有从系统层面全面考虑模型安全风险。因此，本文旨在提供一个基于APT（高级持续性威胁）生命周期的分析框架，以系统地理解和研究深度学习中的对抗性攻击和防御问题。这个框架不仅提供了对现有攻击和防御方法的全面和系统性的回顾，而且还从网络安全的角度提供了新的视角，以帮助研究人员更好地理解和应对深度学习中的安全挑战。

Adversarial Attacks

1. 对抗性攻击的概述：

   • 对抗性攻击被定义为旨在通过在训练或推理阶段插入对抗性示例来欺骗机器学习模型的攻击类别。
   • 这些攻击可以显著降低深度学习模型的鲁棒性，并引发模型安全问题。

2. 对抗性攻击的分类：

   • 逃避攻击（Evasion Attacks）：在测试时发现的对抗性示例，攻击者试图在不改变模型参数的情况下，生成能够欺骗模型的输入样本。
   • 数据投毒攻击（Poisoning Attacks）：在训练数据中插入污染数据，影响最终训练出的模型。这类攻击又可分为两种目标：可用性违规和完整性违规。

3. 对抗性攻击的生命周期：

   • 论文提出了一个基于APT（高级持续性威胁）生命周期的对抗性攻击生命周期，该生命周期包括五个阶段：侦察、建立据点、横向移动、阻碍和后期阻碍。
   • 每个阶段都对应着攻击过程中的不同目标和策略。

4. 对抗性攻击的五个阶段：

   • 阶段1：漏洞分析：攻击者进行理论分析，以了解深度神经网络（DNN）对扰动的敏感性。
   • 阶段2：制作：攻击者利用第一阶段的信息设计出能够欺骗目标模型的对抗性样本。
   • 阶段3：后期制作：在已有对抗性样本的基础上，进行更高级的攻击，以提高攻击的成功率或生成更自然的对抗性样本。
   • 阶段4：实际应用：考虑实际应用中的特定特征，如噪声和环境变化，以提高攻击在现实世界中的成功率。
   • 阶段5：重新审视不可感知性：攻击者力求在保持攻击成功率的同时，最小化对抗性样本的可感知扰动。

5. 对抗性攻击的具体方法：

   • 论文详细讨论了多种对抗性攻击方法，包括基于优化的攻击、基于梯度的攻击和基于生成对抗网络（GAN）的攻击。
   • 这些方法在设计时考虑了不同的目标，如无目标攻击（Untargeted Attacks）和有目标攻击（Targeted Attacks），以及不同的攻击知识假设，如白盒攻击（White-box Attacks）和黑盒攻击（Black-box Attacks）。

6. 对抗性攻击的挑战和限制：

   • 论文讨论了在设计对抗性攻击时面临的挑战，如有限的知识、模型的特殊属性以及特定领域的约束。

7. 对抗性攻击的防御：

   • 论文还提到了对抗性攻击的防御措施，包括在不同阶段如何通过不同的策略来提高模型的鲁棒性。

8. 对抗性攻击的未来研究方向：

   • 论文最后提出了对抗性攻击领域的未来研究方向，包括探索新的攻击技术、提高攻击的转移性和在特定领域的应用。

Adversarial Defense

对抗性防御的讨论被详细地分为五个阶段，每个阶段都对应着对抗性攻击生命周期中的一个阶段，并提出了相应的防御策略。以下是对抗性防御部分的详细内容概述：

1. 对抗性防御的概述：

   • 对抗性防御旨在提高深度学习模型对对抗性样本的鲁棒性，以减少恶意攻击者通过对抗性样本对模型造成的影响。

2. 对抗性防御的五个阶段：

   • 阶段1：鲁棒性认证（Robustness Certification）：这一阶段的防御措施提供了理论上的鲁棒性保证，即使用数学证明来确保模型对小的输入扰动具有不变性。
   • 阶段2：反制作（Anti-crafting）：在这一阶段，防御者专注于防止对抗性样本的生成，通常是通过改进模型的训练过程，如使用对抗性训练或网络蒸馏技术。
   • 阶段3：后期制作（Post-crafting）：这一阶段的防御措施假设对抗性样本已经被成功生成，防御者需要关注如何在训练阶段防止由现有漏洞造成的进一步损害，例如通过模型架构修改或输入预处理。
   • 阶段4：应用特定防御（Application-specific Defenses）：在这一阶段，防御者利用特定应用场景的独特属性来提高模型对对抗性样本的鲁棒性，这些防御措施可能具有很好的针对性，但泛化能力较差。
   • 阶段5：检测防御（Detection Defenses）：这一阶段的防御措施旨在识别和减少恶意对抗性样本的影响，通常是通过设计有效的检测器来发现对抗性样本。

3. 对抗性防御的具体方法：

   • 论文详细讨论了各种对抗性防御技术，包括：
     • 利用对抗性训练来增强模型的鲁棒性。
     • 通过网络蒸馏将大型模型的知识转移到小型模型上。
     • 控制模型的Lipschitz常数来减少对抗性扰动的影响。
     • 使用输入变换技术，如JPEG压缩或随机化，来减少对抗性样本的影响。

4. 对抗性防御的挑战和限制：

   • 论文讨论了在设计对抗性防御时面临的挑战，如防御措施的计算成本、模型泛化能力的影响以及特定防御措施的适用性。

5. 对抗性防御的未来研究方向：

   • 论文提出了对抗性防御领域的未来研究方向，包括探索新的防御技术、提高模型的鲁棒性以及在特定领域的应用。

6. 对抗性防御的评估：

   • 论文强调了对抗性防御措施需要经过严格的评估，以确保它们在面对不同类型的对抗性攻击时的有效性。

EXPLANATIONS FOR THE PHENOMENON OF ADVERSARIAL EXAMPLES

探讨了对抗性示例现象的现有假设，并尝试从数据和模型两个角度来提供更深入的理解

1. 数据视角：
   • 非鲁棒特征（Non-robust features）：Ilyas等人提出，对抗性示例的现象是数据特征的结果。他们将特征分为鲁棒和非鲁棒特征，非鲁棒特征（对人类不可理解且更可能被攻击者操纵）可能导致对抗性漏洞。
   • 高维数据（High dimension）：Gilmer等人探索了数据维度和鲁棒性之间的关系，并发现数据的高维度可能限制了模型的鲁棒性。
   • 数据不足（Insufficient data）：Schmidt等人观察到，现有的数据集可能不足以获得鲁棒的模型，而Hendrycks等人提出在更大的数据集上预训练可以有效提高鲁棒性。
2. 模型视角：
   • 非线性（Nonlinearity）：Szegedy等人从模型的角度探讨了DNN的对抗性脆弱性，认为DNN的高非线性导致了数据流形中的低概率口袋，这些口袋可以在对抗性示例的搜索过程中被发现。
   • 过度线性（Overlinearity）：Goodfellow等人反驳了非线性假设，提出DNN的过度线性导致了脆弱性，特别是容易激活的函数（如ReLU和sigmoid）可能导致DNN的线性行为。
   • 决策边界倾斜（Decision boundary tilting）：Tanay和Griffin提出，局部线性行为本身不足以导致对抗性脆弱性，而可能是由于过度拟合的模型导致。
   • 训练过程（Training procedure）：Bubeck等人关注训练过程，认为对抗性脆弱性是标准训练中计算约束不可避免的结果。
3. 总结：
   • 论文指出，目前还没有一个统一的解释来说明DNN中对抗性示例的存在。尽管提出了几种假设，但它们之间存在冲突，且没有足够的证据完全否定任何一种假设。
   • 论文认为，脆弱性可能是多种假设共同作用的结果，而不是单一属性的效果。例如，增加训练数据的数量（通过数据增强）不仅可以减少非鲁棒特征的影响，还可以减少模型的线性，从而提高鲁棒性。
4. 未来研究方向：
   • 论文提出了未来研究方向，包括探索隐私保护和模型鲁棒性之间的关系，以及如何设计能够同时提高隐私保护和模型鲁棒性的方法。

DATASETS

这部分详细介绍了在对抗性学习领域常用的几个数据集，并对它们在对抗性攻击下的表现进行了分析

1. MNIST：

   • MNIST 是一个包含手写数字（0到9）的数据库，有 60,000 个训练样本和 10,000 个测试样本，每个样本都是通过大小归一化转换成 28×28 的图像。
   • 由于 MNIST 的简单性和小尺寸，它被认为是容易受到攻击和防御的数据集。

2. CIFAR-10：

   • CIFAR-10 包含 10 个类别的彩色图像，每个类别有 32×32 像素的图像，训练集有 50,000 张图像，测试集有 10,000 张图像。
   • CIFAR-10 也被认为是容易受到攻击的数据集，但防御对抗性示例的难度更大。

3. CIFAR-100：

   • CIFAR-100 与 CIFAR-10 类似，但类别增加到了 100 个。
   • 对于白盒无目标攻击，PGD 和 MI-FGSM 可以在 CIFAR-100 上实现高攻击成功率（ASR），但防御起来更困难。

4. SVHN (Street View House Numbers)：

   • SVHN 是一个包含 10 个类别的数字数据集，收集自 Google 街景图像中的房屋号码，训练集有 73,257 个数字，测试集有 26,032 个图像。
   • SVHN 的对抗性攻击也容易实现，但通过结合对抗性训练和离散化，可以显著提高模型的对抗性准确性。

5. ImageNet：

   • ImageNet 是一个大规模图像数据集，包含超过 14 百万张图像，对计算机视觉研究至关重要。
   • 在白盒设置中，没有防御的模型容易受到攻击，但对抗性训练等防御措施可以提高模型的鲁棒性。

6. 对抗性攻击和防御的效果：

   • 论文还比较了不同攻击方法在 ImageNet 上的效果，以及不同防御措施的效果。
   • 例如，DeepFool 和 C&W 可以在无防御模型上实现 100% 的 ASR，而单步 FGSM 的 ASR 较低（66.8%）。
   • 通过随机化机制，可以显著提高对抗迭代攻击（如 DeepFool 和 C&W）的准确性。

7. 防御策略的组合：

   • 论文指出，不同的防御措施对不同攻击的有效性差异很大，因此，将多种防御策略结合起来可能是提高模型整体鲁棒性的潜在解决方案。
   • 为了实现这一点，需要全面考虑现有方法，找出它们之间的差异和兼容性。

8. 数据集的挑战和未来方向：

   • 论文讨论了在实际应用中使用单一防御策略来消除所有对抗性攻击威胁的挑战，并提出了未来研究方向，包括探索隐私保护和模型鲁棒性之间的关系。

FUTURE DIRECTIONS

这部分作者探讨了未来研究方向，旨在解决深度学习系统中的安全和隐私问题，并推动“深度学习即服务”（deep learning as-a-service）的发展。

1. 安全和隐私框架（Safety and Privacy Framework）：
   • 作者指出，当前深度学习安全和隐私研究领域是碎片化的，因为威胁类型和目标不同。安全深度学习旨在构建对恶意输入具有高鲁棒性的模型，而隐私保护深度学习旨在保护用户数据的隐私。
   • 提出了需要设计一种统一的分析框架来同时解决隐私问题和安全问题，但目前这一目标尚未实现。
2. 对抗性模型反演防御（Adversarial Model Inversion Defenses）：
   • 讨论了隐私威胁研究中的成员推断和模型反演攻击，以及如何使用差分隐私技术来降低成员攻击的成功率。
   • 作者提出，可以利用对抗性学习来训练隐私保护模型，以抵御模型反演攻击，这是一种有趣的研究方向。
3. 监控方法（Monitoring Methods）：
   • 作者从APT（高级持续性威胁）防御策略中获得灵感，提出使用监控方法来研究深度学习模型的安全问题。
   • 建议在训练目标模型之前，先训练一个辅助模型来分析日志信息，以监控训练阶段是否出现恶意行为，如插入投毒样本。
4. 未来研究方向的具体建议：
   • 设计同时训练隐私保护和鲁棒性模型的方法：这一方向旨在开发能够同时提高模型对隐私攻击和对抗性攻击鲁棒性的方法。
   • 探索对抗性样本在模型反演攻击防御中的能力：研究如何利用对抗性样本来降低反演模型的性能，从而保护隐私。
   • 开发深度学习模型的监控技术：利用日志监控来检测训练过程中的异常行为，作为对抗训练阶段投毒攻击的潜在对策。
5. 结论：
   • 作者强调，尽管深度神经网络（DNN）在日常生活中的任务中表现出色，但它们对对抗性样本的安全性问题引起了广泛的关注。
   • 论文提出的分析框架旨在提供一个标准评估过程，帮助理解攻击方法，并结合多种防御策略来最小化对目标模型的风险。