本文主要调研了针对量子机器学习中安全性问题的一些防御方法(以隐私保护和对抗攻击为主)。
写在前面
量子机器学习安全性问题的背景知识
量子机器学习顾名思义就是量子力学和机器学习的交叉,同时很多机器学习中的安全性问题在量子机器学习中依然存在,因此为了便于读者的后续阅读下面列出本文涉及到的主要前置知识:
- 量子计算
- 机器学习(深度学习、联邦学习)
- 差分隐私
- 对抗攻击
记号
下面用ML表示机器学习,DL表示深度学习,QML表示量子机器学习,DP表示差分隐私,BP表示反向传播。
隐私保护(Privacy)
基于差分隐私的防御方法
概述
差分隐私广泛应用于DL中,以防御成员推理等攻击,其核心思想就是在模型训练的过程中加入噪声,具体方法包括:
- 对目标函数添加噪声
- 对梯度添加噪声
- 对模型输出添加噪声
那么类似地,在QML中,也可以通过类似的方式添加噪声,将一些已有的DP方法引入到QML中,从而进行隐私保护。
基于差分隐私给梯度添加噪声的防御方法
由于传统计算和量子计算的不同,DL模型中的梯度是由BP计算的,QML模型中的量子梯度是由参数移位规则计算的,但是在QML模型的训练过程中,依然可以采用给梯度添加噪声的方法保护隐私。
步骤
- 使用参数移位规则计算量子梯度
- 将高斯噪声和剪切机制应用于该梯度
- 使用处理之后的梯度进行参数更新
优点&效果
- 基于DP的QML可以在保护隐私的同时保持QML的优越性。
- 由于只需要对梯度进行差分隐私的处理,因此这种方法十分通用。
来源
【2021 arXiv】Quantum machine learning with differential privacy
基于差分隐私给数据集添加噪声的防御方法
由于传统计算和量子计算的不同,在QML模型训练中,需要先将数据先转换为量子表示。因此,在QML模型的训练过程中,可以先对数据集加入噪声,然后再将数据从经典表示转换为量子表示并进行后续的QML训练。(其实这种方法就是将DP直接用于了QML,在思想上并没有太大的变化。)
步骤
- 对数据集加入离散拉普拉斯噪声
- 将数据从经典表示转换为量子表示
- 采用QML算法对转换后的数据集进行建模
优点&效果
- 只需要对输入的数据集添加噪声,因此这种方法十分通用。
来源
【2017 IEEE】Privacy-preserving quantum machine learning using differential privacy
对抗攻击(adversarial attack)
概述
与基于经典ML训练得到的模型类似,基于QML训练得到的量子模型同样容易受到精心构造的对抗样本的攻击,即在合法的输入数据中添加一个精心设计的微小扰动会导致模型在高置信度上做出不正确的预测,这些对抗样本是通过向合法输入的数据添加不可察觉的扰动获得的。
在经典ML中,针对对抗攻击的防御措施主要有:
- 在学习过程中修改训练过程或者修改输入样本
- 修改网络,如添加更多层/子网络、改变损失/激活函数等
- 当分类未见过的样本时,用外部模型作为附加网络
上述策略都有各自的优缺点。考虑到ML和QML的相似性,可以尝试将这些防御措施应用于QML的对抗攻击中。
基于在学习过程中修改输入样本的防御方法
概述
修改输入样本,使模型对对抗性扰动的鲁棒性增强。
基于对抗性训练的防御方法
对抗训练的基本思想是通过向训练集中注入对抗样本来增强模型的鲁棒性。主要需要使用一个或多个对抗攻击方法生成许多对抗样本,然后使用正常样本和对抗样本重新训练模型。
根据对抗性训练的基本思想,采用一种鲁棒优化的方法,将任务简化为求解典型的 min − max \min-\max min−max优化问题 min Θ 1 N ∑ i = 1 N max U δ ∈ Δ L ( h ( U δ ∣ ψ ⟩ in ( i ) ; Θ ) , y ( i ) ) \min _{\Theta} \frac{1}{N} \sum_{i=1}^{N} \max _{U_{\delta} \in \Delta} L\left(h\left(U_{\delta}|\psi\rangle_{\text {in }}^{(i)} ; \Theta\right), y^{(i)}\right) minΘN1∑i=1NmaxUδ∈ΔL(h(Uδ∣ψ⟩in (i);Θ),y(i)),这个式子描述了模型对最坏情况扰动的输入样本的平均损失。其中内部最大化问题与产生对抗性扰动的问题完全相同,外部最小化任务相当于针对对抗样本,最小化损失函数的任务。下面是求解该问题的具体步骤。
步骤
- 随机选取一批输入样本 ∣ ψ ⟩ in ( i ) |\psi\rangle_{\text {in }}^{(i)} ∣ψ⟩in (i)及其对应的标签 y ( i ) y^{(i)} y(i)
- 计算 ∣ ψ ⟩ in ( i ) |\psi\rangle_{\text {in }}^{(i)} ∣ψ⟩in (i)对当前模型参数 Θ t \Theta_{t} Θt的“最坏情况”的扰动,即求解 U δ ∗ = argmax U δ ∈ Δ L ( h ( U δ ∣ ψ ⟩ ; Θ ) , y ( i ) ) U_{\delta^{*}}=\operatorname{argmax}_{U_{\delta} \in \Delta} L\left(h\left(U_{\delta}|\psi\rangle ; \Theta\right), y^{(i)}\right) Uδ∗=argmaxUδ∈ΔL(h(Uδ∣ψ⟩;Θ),y(i))
- 我们根据 U δ ∗ ∣ ψ ⟩ in U_{\delta^{*}}|\psi\rangle_{\text {in }} Uδ∗∣ψ⟩in 的最小化问题来更新参数 Θ t \Theta_{t} Θt,得到 Θ t + 1 = Θ t − η ∇ Θ L ( h ( U δ ∗ ∣ ψ ⟩ in ( i ) ; Θ t ) , y ( i ) ) \Theta_{t+1}=\Theta_{t}-\eta \nabla_{\Theta} L\left(h\left(U_{\delta^{*}}|\psi\rangle_{\text {in }}^{(i)} ; \Theta_{t}\right), y^{(i)}\right) Θt+1=Θt−η∇ΘL(h(Uδ∗∣ψ⟩in (i);Θt),y(i))。
- 重复上述三个步骤,直到模型收敛。
优点&效果
- 经过对抗性训练后,量子分类器对对抗性扰动的鲁棒性将显著提高。
来源
【2020 APS】Quantum adversarial machine learning
总结
首先,从整体上说目前研究QML安全性问题的文章不是太多。
其次,在QML安全性问题中,无论是隐私保护还是防御对抗攻击,目前大多方法的出发点都是基于经典ML中的防御方法,并结合QML的新特性将这些方法进行不同程度的改变后移植到QML安全性问题中,而并非是提出一种全新的方法。
我认为可以有以下几种研究思路:
- 现有的经典ML中的隐私保护和防御对抗攻击的方法已经研究得比较丰富了,因此针对QML安全性问题,我认为的一个研究思路是可以考虑继续完成从经典ML防御方法到QML防御方法的移植,感觉目前别人只是把一些相对比较简单直观的防御方法移植到了QML中,因此可以尝试移植一些别人还没有移植过的方法。
- 目前一些解决QML中安全性问题的方法只是考虑到了QML中和ML比较相似的子领域,比如很多对于对抗攻击的防御方法考虑的领域还是图像的分类问题,而考虑ML和QML的不同,对抗攻击还会存在于其他QML问题中,如可分性纠缠分类、量子态分辨、量子态层析,因此另一个研究思路就是将一些解决QML子领域安全性问题的方法扩展到QML的其他子领域,但这种研究思路应该需要对量子物理本身有比较深的了解。
- 除了上述方向之外,还有一个可能的研究方向是不研究QML本身存在的问题,而是探索QML相对于ML在安全性方面的优势,用QML解决ML中存在的安全性问题,比如QML在PCB板缺陷的检测方面更加安全。
另外,我认为要想在QML安全性问题这个领域比较好地开展下一步研究,首先就需要把量子计算+经典ML中的防御方法(如隐私保护和对抗攻击领域中的防御方法)搞得比较清楚,也就是本文开头提到的背景知识,这也是我目前比较欠缺的。
1826
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
