Dijital Çağ’da yükselen bir eğilim olan aldatıcı verilerle modelleri kandırmaya çalışan bir teknik olan çekişmeli makine öğrenimi, Yapay Zeka (YZ) ve makine öğreniminde büyüyen bir tehdittir.
Bu makalede ele alacağımız konular Çekişmeli Makine Öğrenimi, Makine Öğrenmesinde Çekişmeli Saldırı Türleri, Çekişmeli Saldırılar Nasıl Gerçekleştiği, Popüler Saldırı Yöntemlerini ve Etkinliği.
Çekişmeli Makine Öğrenimi Nedir?
Çekişmeli makine öğrenimi, aldatıcı girdi sağlayarak makine öğrenimi modellerini kandırmayı amaçlayan bir makine öğrenimi yöntemidir. Bu nedenle, sınıflandırıcıları aldatmak için özel olarak oluşturulan girdiler olan saldırgan örneklerin hem oluşturulmasını hem de tespitini içerir.
Saldırgan makine öğrenimi olarak adlandırılan bu tür saldırılar, görüntü sınıflandırması ve spam tespiti gibi bazı alanlarda kapsamlı bir şekilde araştırılmıştır.
Çekişmeli makine öğreniminin en kapsamlı çalışmaları, bir sınıflandırıcının yanlış tahminler üretmesine neden olan görüntüler üzerinde değişikliklerin yapıldığı görüntü tanıma alanında yürütülmüştür.
Çekişmeli Örnek Nedir?
Çekişmeli saldırı, çekişmeli örnekler üretme yöntemidir. Dolayısıyla, çekişmeli örnek, bir makine öğrenimi modeline, bir modelin geçerli bir girdiye benzemesine rağmen tahminlerinde hata yapmasına neden olmak için kasıtlı olarak tasarlanmış bir girdidir.
Çekişmeli Beyaz Kutu ile Kara Kutu Saldırıları Arasındaki Fark
Beyaz kutu saldırısı, saldırganın hedef modele, modelin mimarisi ve parametreleri dahil olmak üzere tam erişime sahip olduğu bir senaryodur.
Kara kutu saldırısı, saldırganın modele erişimi olmadığı ve yalnızca hedeflenen modelin çıktılarını gözlemleyebildiği bir senaryodur.
Makine Öğreniminde Çekişmeli Saldırı Tehdidi
Makine öğrenimi hızla kuruluşların değer önerisinin merkezi haline geldikçe, kuruluşların onları koruma ihtiyacı hızla artmaktadır. Bu nedenle, Çekişmeli Makine Öğrenimi yazılım endüstrisinde önemli bir alan haline geliyor.
Google, Microsoft ve IBM, makine öğrenimi sistemlerini güvence altına almaya yatırım yapmaya başladı. Son yıllarda, makine öğrenimine büyük yatırım yapan şirketler Google, Amazon, Microsoft ve Tesla bazı çekişmeli saldırılarla karşı karşıya kaldı.
Dahası, hükümetler makine öğrenimi sistemleri için güvenlik standartları uygulamaya başladı ve Avrupa Birliği, makine öğrenimi sistemlerinin güvenilirliğini değerlendirmek için eksiksiz bir kontrol listesi bile yayınladı (Güvenilir Yapay Zeka için Değerlendirme Listesi – ALTAI).
Önde gelen bir endüstri pazar araştırma şirketi olan Gartner, “uygulama liderlerinin veri bozulması, model hırsızlığı ve saldırgan örneklerin olası risklerini öngörmeleri ve bunları azaltmak için hazırlık yapmaları gerektiğini” söyledi.
Son çalışmalar, günümüzün yapay zeka sistemlerinin güvenliğinin işletmeler için büyük önem taşıdığını gösteriyor. Ancak, vurgulama hala geleneksel güvenlik üzerinde. Kuruluşlar, üretimde makine öğrenimi sistemlerini güvence altına almak için taktiksel bilgiye sahip görünmüyor. Üretim sınıfı bir yapay zeka sisteminin benimsenmesi, Gizliliği Koruyan Makine Öğrenimi’ ne (PPML) olan ihtiyacı artırıyor.
Çekişmeli YZ Saldırıları Nasıl Gerçekleşir
Makine öğrenimi sistemlerine karşı kullanılabilecek çok çeşitli çekişmeli saldırılar vardır. Bunların çoğu derin öğrenme sistemleri ve Destek Vektör Makineleri (SVM’ler) ve doğrusal regresyon gibi geleneksel makine öğrenimi modelleri üzerinde çalışır.
Çoğu çekişmeli saldırı genellikle belirli görevlerdeki sınıflandırıcıların performansını düşürmeyi, esasen makine öğrenimi algoritmasını “kandırmayı” amaçlar.
Çekişmeli makine öğrenimi, belirli görevlerdeki sınıflandırıcıların performansını düşürmeyi amaçlayan bir saldırı sınıfını inceleyen alandır. Çekişmeli saldırılar esas olarak aşağıdaki kategorilere ayrılabilir;
- Zehirleme Saldırıları
- Kaçınma Saldırıları
- Model Çıkarma Saldırıları
Zehirleme Saldırıları
Saldırgan, eğitim verilerini veya etiketlerini etkileyerek modelin dağıtım sırasında düşük performans göstermesine neden olur. Bu nedenle, Zehirleme esasen eğitim verilerinin saldırgan kirlenmesidir.
Makine Öğrenmesi sistemleri, operasyon sırasında toplanan veriler kullanılarak yeniden eğitilebildiğinden, bir saldırgan operasyon sırasında kötü amaçlı örnekler enjekte ederek verileri zehirleyebilir ve bu da daha sonra yeniden eğitimi bozar veya etkiler.
Kaçınma Saldırıları
Kaçınma saldırıları en yaygın ve en çok araştırılan saldırı türleridir. Saldırgan, daha önce eğitilmiş sınıflandırıcıları aldatmak için dağıtım sırasında verileri manipüle eder. Dağıtım aşamasında gerçekleştirildikleri için en pratik saldırı türleridir ve saldırı ve kötü amaçlı yazılım senaryolarında en çok kullanılan saldırılardır.
Saldırganlar genellikle kötü amaçlı yazılım veya spam e-postalarının içeriğini gizleyerek tespitten kaçınmaya çalışırlar. Bu nedenle, örnekler doğrudan eğitim verilerini etkilemeden meşru olarak sınıflandırıldıkları için tespitten kaçınmak üzere değiştirilir.
Biyometrik doğrulama sistemlerine yönelik sahte saldırılar, kaçınma örneğidir.
Model Çıkarma Saldırıları
Model çalma veya model çıkarma, bir saldırganın modeli yeniden oluşturmak veya eğitildiği verileri çıkarmak için bir kara kutu makine öğrenimi sistemini araştırmasını içerir. Bu, özellikle eğitim verileri veya modelin kendisi hassas ve gizli olduğunda önemlidir.
Model çıkarma saldırıları, örneğin, saldırganın kendi mali çıkarı için kullanabileceği bir borsa tahmin modelini çalmak için kullanılabilir.
Çekişmeli Makine Öğrenimi Örnekleri Nelerdir?
Çekişmeli örnekler, bir saldırganın modelin hata yapmasına neden olmak için kasıtlı olarak tasarladığı makine öğrenimi modellerine girdilerdir. Çekişmeli bir örnek, geçerli bir girdinin bozulmuş bir sürümüdür ve bozulma, buna küçük bir büyüklükte bir bozulma eklenerek yapılır.
Bu zar zor fark edilen rahatsızlık, sınıflandırıcıyı yanlış bir sınıf olasılığını en üst düzeye çıkararak aldatmak için tasarlanmıştır. Çekişmeli örnek, insanlara “normal” görünecek şekilde tasarlanmıştır ancak hedeflenen makine öğrenimi modeli tarafından yanlış sınıflandırmaya neden olur.
Aşağıda, çekişmeli örnekler üretmek için bilinen mevcut tekniklerden bazıları sıralanmıştır.
Yaygın Çekişmeli YZ Saldırı Yöntemleri
Sınırlı bellekli BFGS (L-BFGS)
Sınırlı bellekli Broyden-Fletcher-Goldfarb-Shanno (L-BFGS) yöntemi, görüntülere eklenen bozulma sayısını en aza indirmek için doğrusal olmayan bir gradyan tabanlı sayısal optimizasyon algoritmasıdır.
Avantajı, Çekişmeli örnekler üretmede etkilidir.
Dezavantajları, Kutu kısıtlamaları olan optimize edilmiş bir yöntem olduğu için hesaplama açısından çok yoğundur. Yöntem zaman alıcıdır ve pratik değildir.
FastGradient Sign Yöntemi (FGSM)
Görüntünün herhangi bir pikseline yanlış sınıflandırmaya neden olacak şekilde eklenen maksimum bozulma miktarını en aza indirmek için düşmanca örnekler üretmek için basit ve hızlı bir gradyan tabanlı yöntem kullanılır.
Avantajı, karşılaştırıldığında verimli hesaplama süreleri.
Dezavantajı, her özelliğe bozulmalar eklenir.
Jacobian Tabanlı Belirginlik Haritası Saldırısı (JSMA)
FGSM’den farklı olarak, yöntem yanlış sınıflandırmaya neden olurken değiştirilen özelliklerin sayısını en aza indirmek için özellik seçimini kullanır. Düz bozulmalar, azalan sıraya göre belirginlik değerine göre özelliklere yinelemeli olarak eklenir.
Avantajı, çok az özellik bozulur.
Dezavantajı, FGSM’den daha fazla hesaplama yoğunluğu gerektirir.
Deepfool Saldırısı
Bu hedefsiz düşmanca örnek oluşturma tekniği, bozulmuş örnekler ile orijinal örnekler arasındaki Öklid mesafesini en aza indirmeyi amaçlar. Sınıflar arasındaki karar sınırları tahmin edilir ve bozulmalar yinelemeli olarak eklenir.
Avantajları, Daha az bozulma ve daha yüksek yanlış sınıflandırma oranları ile çekişmeli örnekler üretmede etkilidir.
Dezavantajları, FGSM ve JSMA’dan daha fazla hesaplama yoğunluğu gerektirir. Ayrıca, çekişmeli örnekler muhtemelen en uygunu değildir.
Carlini & Wagner Saldırısı (C&W)
Teknik, L-BFGS saldırısına (optimizasyon problemi) dayanmaktadır ancak kutu kısıtlamaları ve farklı hedef fonksiyonları yoktur. Bu, yöntemi düşmanca örnekler üretmede daha verimli hale getirir; savunma damıtma ve düşmanca eğitim gibi en son savunmaları yenebildiği gösterilmiştir.
Avantajları, düşmanca örnekler üretmede çok etkilidir. Ayrıca, bazı düşmanca savunmaları yenebilir.
Dezavantajı, FGSM, JSMA ve Deepfool’dan daha fazla hesaplama gerektirir.
Üretken Çekişmeli Ağlar (GAN)
Üretken Çekişmeli Ağlar (Generative Adversarial Networks), iki sinir ağının birbirleriyle rekabet ettiği düşmanca saldırılar üretmek için kullanılmıştır. Bu sayede biri üreteç olarak hareket ederken diğeri ayırıcı olarak davranır. İki ağ, üretecin ayırıcının yanlış sınıflandıracağı örnekler üretmeye çalıştığı sıfır toplamlı bir oyun oynar. Bu arada, ayırıcı gerçek örnekleri üreteç tarafından oluşturulanlardan ayırt etmeye çalışır.
Avantajı, eğitimde kullanılanlardan farklı örneklerin üretilmesi.
Dezavantajlar, bir GAN’ın eğitilmesi hesaplama açısından çok yoğun ve oldukça kararsız olabilir.
Sıfırıncı dereceden optimizasyon saldırısı (ZOO)
Zeroth-order optimization attack (ZOO) tekniği, sınıflandırıcıya erişim olmadan sınıflandırıcıların eğiminin tahmin edilmesine olanak tanır ve bu da onu kara kutu saldırıları için ideal hale getirir. Yöntem, hedef modeli değiştirilmiş bireysel özelliklerle sorgulayarak eğimi ve Hessian’ı tahmin eder ve bozulmaları optimize etmek için Adam veya Newton yöntemini kullanır.
Avantajları, C&W saldırısına benzer performans. Yedek modellerin veya sınıflandırıcı hakkında bilginin eğitilmesi gerekmez.
Dezavantajı, Hedef sınıflandırıcıya çok sayıda sorgu yapılmasını gerektirir.
Sonuç
Çelişkili makine öğrenimi yeni bir saldırı yüzeyi sunar, veri manipülasyonu ve istismarı olasılığıyla güvenlik risklerini artırır. Makine öğrenimi teknolojilerini benimseyen kuruluşlar, veri kümelerinin bozulmasına, model hırsızlığına ve saldırgan örneklere karşı güçlü bir savunma stratejisiyle olası riskleri öngörmelidir.
