您的位置:首页 > 互联网

百度安全亮相Black Hat Asia 2019:当云端深度学习模型失去“黑盒保护”

发布时间:2019-04-03 17:49:44  来源:互联网     背景:

  摘要:在3月26日-29日于新加坡召开的Black Hat Asia 2019上,来自百度安全对于深度神经网络(DNN)模型算法安全性、Rowhammer新型攻击方法、Meltdown新变种等三大创新性研究报告成功入选。

  在3月26日-29日于新加坡召开的Black Hat Asia 2019上,来自百度安全对于深度神经网络(DNN)模型算法安全性、Rowhammer新型攻击方法、Meltdown新变种等三大创新性研究报告成功入选。其中,在The Cost of Learning from the Best: How Prior Knowledge Weakens the Security of Deep Neural Networks 的议题中,百度安全研究员们分享了在AI时代下机器学习算法安全领域的最新研究与实践。百度安全希望通过这个研究呼吁业内更加迫切的将人工智能模型算法的安全问题纳入研究范畴,携手工业界、学术界共同探索与建设安全的AI时代。

  Black Hat是国际安全工业界的顶级会议之一,具有广泛的影响力。Black Hat每年分别在美国、欧洲、亚洲各举办一次安全信息技术峰会,会议聚焦于先进安全研究、发展和趋势,并以其强技术性、权威性、客观性引领未来安全思想和技术的走向。近年来,百度安全多次登上Black Hat的舞台,分享在AI安全、移动安全等领域的研究与实践成果。本届Black Hat Asia上,百度安全Tao Wei、Yunhan Jia、Zhenyu Zhong、Yulong Zhang、Qian Feng的研究成果再次引发业内关注。

  深度学习模型容易受到对抗样本的攻击,这在业内已不是新鲜事。对图像数据叠加人类难以通过感官辨识到的细微扰动,就可以“欺骗”模型,指鹿为马,甚至无中生有。业内将这种影响AI决策边界的细微扰动称之为“对抗样本”(Adversarial Example Attack),攻击者往往提前知晓模型的架构、参数,既而利用特定算法针对性的生成“对抗样本”,诱导模型做出错误的、甚至攻击者预设的判别结果。此乃深度学习模型的“白盒攻击“,若应用到人脸识别、语音识别、无人驾驶等领域,不仅会导致严重的安全事故,也会破坏整个人工智能生态应用的进程与基本信任。

  幸运的是,通常情况下,攻击者未必对深度学习模型内部架构、参数那么了若指掌,不知道它是怎么“想“的,也不知道它是怎么“学“的,此时制造“对抗样本“则要麻烦许多——此乃“黑盒攻击“,理论上需要攻击者采取类似于“穷举法”的手段逐一测试,才能找到那个形成攻击者预期结果的关键位点,所需时间足够长,难度系数足够高,过程中凭手感、碰运气成分足够大。当下以Google、Amazon为代表的国内外知名科技公司将云计算的运作模式与人工智能深度融合,将人工智能技术作为一种云服务(AIaaS,人工智能即服务)提供给用户和合作伙伴,除Amazon等少数公司会告知模型算法,绝大多数公司仅向用户反馈调用结果。这意味着云端深度学习模型是黑盒模型,理论上可有效抵御对抗样本的攻击。

  然而,百度安全在Black Hat Asia 2019上带来的最新研究成果表明:黑盒模型制造的只是虚假的安全感,当模型架构和参数不可知的情况下,攻击者依然有机会实施对深度学习模型的欺骗。 报告中Zhenyu Zhong、Yunhan Jia博士展示了百度安全目前已实现的黑盒模型多种攻击技术,并创新性的提出了“指纹攻击“(Fingerprinting attack)——即根据极少的请求结果推测出模型的结构,既而针对性的构造对抗样本。

  百度安全研究员们设置了条件充足、非充足的两个黑盒攻击场景,同时结合两种不同的攻击手段——非定向攻击(Dispersion attack)、定向攻击(Target Score attack)进行比较,现场展示了指纹攻击的实验结果。如图1所示,在攻击者条件充足的情况下,攻击的绕过率分别高达86%(非定向)和65%(定向),而在条件不充足(比如仅支持2次请求)的情况下,攻击的绕过率也可以达到33%(非定向)和16%(定向)。这个实验结果表明,深度学习模型的“黑盒保护”看似安全,但是现实中还是存在弱点,而且在高效的攻击手段面前,这个弱点还很严重。

  图1:深度学习模型有限请求绕过率

  如果说对抗样本的发现,将传统安全产业框架延伸至机器学习模型算法安全性的范畴,那么当云端深度学习模型失去“黑盒保护”,则令这个问题更加严峻和复杂。这意味着,攻击者一旦破译了云端模型,未来可让AI系统丧失对城市交通、道路标识及车辆正确的识别能力,对车辆实施远程控制和对相关隐私信息的窃取,这个场景还可延伸至医疗保健、金融认证、工业控制等领域,蕴含巨大的安全风险。

  攻击技术实现背后,引出了当前深度学习模型训练常用的迁移学习(Transfer Learning)方法,及其从安全视角存在的缺陷。传统机器学习通常有两个基本条件,即用于学习的训练样本和新的测试样本同一分布且相互独立,且必须有足够可用的训练样本,以确保模型的高准确和可靠性,但是实际中两个条件往往无法满足。迁移学习放宽了这两个基本条件,这种机器学习的训练方法可以利用仅有少量的标签训练建立出一个模型,同时令原先需要几天甚至几个星期的训练时间缩短至几小时甚至几分钟,让普通用户同样可以享受到深度学习带来的技术革新。例如ImageNet视觉对象识别数据库的训练数据集有超过1400万张的图像,输出1000个类别,利用迁移学习,普通用户可以在ImageNet模型的基础上训练出一个输出远远低于1000类的模型。

 

 图2:迁移学习训练方法高效性及缺陷

  近年来,业内针对迁移学习展开广泛的算法研究和实践,在迁移学习放宽了机器学习两大基本条件、将大数据模型迁移到小数据、个性化数据模型的训练过程中,从安全视角,并非无懈可击。例如,迁移学习这种训练方法的高效性,来自于特征提取层的架构和参数被重复利用,同时在迁移学习过程中保持特征值和架构不变。正因如此,模型所使用的特征提取层可以通过一定的攻击手段推算出来。百度安全研究员提出的“指纹攻击”就是用于推算黑盒模型使用的特征提取层的有效方法——通过对深度学习模型的特征提取层中的最后一层的神经元的离散值的最小化,从而使得目标分类的置信度降低,通过搜集的14个不同的公开模型(VGG16, VGG19, RESNET50, MobileNET等),分别构造输入样本使得对应的模型特征提取层的最后一层神经元的离散值最小化,并把该构造后的样本以API方式输入云端黑盒模型,并观察最后分类层的输出结果。最后,选取API返回结果中置信度最低的样本,并把生成该样本的网络架构作为云端模型的架构。当攻击者知晓云端模型特征提取层的架构之后,他就可以按照白盒的方式精确的构造对抗样本,从而对云端模型进行定向和非定向攻击。

  与会,百度安全研究员介绍了百度安全针对对抗样本的解决思路,以及通过对抗训练强化模型提高深度学习模型鲁棒性的途径。百度安全针对人工智能算法安全性的研究,包括深度学习模型鲁棒性测试、形式化验证、机器识别恶意样本实时监测、黑白盒攻防等领域。此外,百度安全始终倡导通过新一代技术研发与开源,实现对安全问题的快速响应与对抗,百度安全实验室AdvBox对抗样本工具包针对AI算法模型提供安全性研究和解决方案,目前已应用于百度深度学习开源平台PaddlePaddle及当下主流深度学习平台,可高效地使用最新的生成方法构造对抗样本数据集用于对抗样本的特征统计、攻击全新的AI应用,加固业务AI模型,为模型安全性研究和应用提供重要的支持。

  人工智能在拓宽传统产业格局框架的同时,也重塑了安全的防线边界,传统的安全防御已无法应对新时代的挑战。百度安全的研究证明,人工智能时代不仅要面对曾经的云管端的安全问题,机器学习算法自身的安全性亦存在漏洞,存在现实威胁性。包括对抗样本工具包AdvBox在内,百度安全2018年将首创的七大技术——KARMA系统自适应热修复、OpenRASP下一代云端安全防护系统、MesaLock Linux内存安全操作系统、MesaLink TLS下一代安全通信库、MesaTEE下一代可信安全计算服务、HugeGraph大规模图数据库——开源汇成“七种武器”,全面解决云管端以及大数据和算法层面的一系列安全风险问题,实现由传统安全时代的强管理向AI时代的强技术支撑下的核心管理的转变,全面应对AI时代下层出不穷且日益复杂的生态安全问题及挑战。

  对抗样本在机器识别领域是一个实实在在的威胁,不仅存在于黑盒/白盒模型中,并且真实存在于物理世界中。百度安全针对机器学习模型漏洞进行物理攻击可行性研究,感兴趣的同学请点击“阅读原文”,回顾百度安全科学家在Black Hat Europe 2018上重现AI版大卫•科波菲尔的“神秘魔法”。






特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
从此次CES 2020看AMD追赶Intel还有多长的路要走?
2020年的元旦刚一过,PC市场就硝烟弥漫,半导体行业两大上游厂商Intel和AMD在美国CES 2020上各自开......
日期:01-17
疫情防控,百度AI一直在行动,又落地多项举措保障返程开工安全
新型冠状病毒肺炎疫情防控仍在关键时期。与此同时,面对春节假期结束后各地居民返工返程带来的人流......
日期:02-04
智能边缘,开启中国“数”“智”新时代
2020年已悄然过半,在今年这场持久的“科技战疫”中,远程会议、在线教育、智慧医疗......
日期:07-27
ISC2020:5G成高价值攻击入口 恐引“蝴蝶效应”式的安全崩塌
一发不可牵,牵之动全身。未来联网设备将数以百亿计,每一个都可能成为网络攻击的切入点,防不胜防......
日期:08-05
“2019智慧城市创新创业大赛”全国总决赛在南京建邺举行
10月22-23日,“2019智慧城市创新创业大赛”全国总决赛在南京市建邺区朗昇希尔顿酒店正式......
日期:10-30
国美零售模式创新-社群营销渡“疫”情
2020年春节期间,新型冠状肺炎疫情的爆发,给社会及企业造成了巨大的冲击。疫情影响之下,控制病毒传播......
日期:06-16
驰援抗疫 比亚迪医用级免洗手消毒凝胶日产30万瓶
新型冠状病毒肺炎疫情蔓延,“勤洗手、戴口罩”成为全民自我防范的金字口诀,口罩、消毒液......
日期:02-21
2019青蓝菁英招聘会全国高校巡回在京圆满收官
2019年11月20日,首届青蓝菁英招聘会全国高校巡回在北京邮电大学隆重举行。...
日期:12-04
哈啰出行开通天猫旗舰店:出租、售卖电动车
11月6日消息 今日中午,哈啰出行官方宣布,其现已开通天猫旗舰店,主营业务包括售卖电动车、出租电......
日期:11-06
抢占直播带货新风口 北京电信金牌主播来了!
自疫情发生以来,中国电信北京公司(以下简称北京电信)积极采用直播带货途径,探索5G时代商业新模式......
日期:06-18
奇安信CERT发布1月安全监测报告:51个漏洞威胁较大
近日,奇安信CERT发布了2020年1月安全监测报告。今年1月,奇安信CERT共监测到2611个漏洞,根据漏洞......
日期:02-23
4199元!九号电动C40小米有品众筹:手机蓝牙感应解锁、定速巡航
据@九号机器人 官微消息,Ninebot九号新国标电动自行车C40小米有品众筹2月22日(今天)10点正式开启,......
日期:02-22
疫情之下企业救市求生众生相
这次“新冠”疫情对各行业造成很大影响,从餐饮到零售到地产概莫能外。如今抗疫进入攻坚......
日期:02-26
助力旅游扶贫行动 高德上线“山西省旅游扶贫地图”
旅游扶贫不仅是精准扶贫的有效手段,更是推动乡村振兴的重要引擎。...
日期:03-28
北通双十二优惠劲爆 北通宙斯游戏手柄直降60元
临近双十二,国内知名游戏外设品牌——北通。今天也公布了最新的折扣信息,这次公布的来......
日期:12-09
天象产城:经济下行时,创业项目应千方百计“活”下去
开篇明义,我们采访了由天象产城、微链主办,英诺创新空间(成都)、腾讯众创空间(重庆)联合主办,国科创......
日期:04-07
中国科学院合肥物质科学研究院实力背书 荣耀智能体脂秤2开启定金预约
11月26日,随着荣耀V30系列及5G智慧全场景发布会的召开,荣耀智能体脂秤2也一同发布。新品售价99元......
日期:11-26
真不是马甲:从东芝RD500到铠侠RD10,变得不仅仅是名称
随着东芝存储改名铠侠完成,原有东芝存储固态硬盘也获得了全新的命名,由此诞生了一些彼此高度相似......
日期:07-20
科技自立空前重要 百度PaddlePaddle在中国顶级青年大会上展示“硬科技”
5月24日,以“硬科技创新”为主题的中国计算机学会青年精英大会(以下简称YEF2019)在成都......
日期:05-25
共享雨伞会是下一个共享单车?还是未知数
(原标题:从低调潜伏到百亿级市场,共享雨伞还有没有戏?) 文 | 王新喜 在共享经济领域,我们会发现,共享单车凉了之...
日期:08-20