ATTACKS
J'aime 0
Nom | Περιγραφή Επίθεσης | Φάση | Αντίμετρα |
|---|---|---|---|
| Inference or privacy attacks | ο επιτιθέμενος λαμβάνει χρήσιμες πληροφορίες σχετικά με το μοντέλο-στόχο μόνο από τα API πρόβλεψης. Αυτές οι επιθέσεις ανάλογα με το στόχο του επιτιθέμενου διακρίνονται περαιτέρω σε επιθέσεις Data inference και σε επιθέσεις Model inference. • Model inference στοχεύεται η λήψη πληροφοριών σχετικά με το ίδιο το μοντέλο-στόχο, όπως οι παράμετροι και η αρχιτεκτονική του. • Data inference στοχεύεται η εξαγωγή πληροφοριών σχετικά με τα δεδομένα στα οποία λειτουργεί το μοντέλο-στόχος•Membership inference attack •Model inversion •Model extraction via APIS | Training | Min-max game, Dropout, Model stalking, Differential privacy, Memguard |
| Gradient-based attacks | ο επιτιθέμενος αποκτά πρόσβαση στην κλίση του μοντέλου στόχου (είτε αυτή είναι χρήσιμη είτε είναι obfuscated: Shattered, Stochastic, Vanishing) προκειμένου να αυξήσει αντίστροφα τη συνάρτηση απώλειας και να προκαλέσει εσφαλμένη ταξινόμηση των εισόδων του. Απαραίτητη προϋπόθεση είναι η ύπαρξη κλίσης στο μοντέλο στόχο. Ορισμένα παραδείγματα τέτοιων επιθέσεων: Projected Gradient Descent PGD, Backward Pass Differentiable Approximation (BPDA), Expectation Over Transformation (EOT), Reparameterization, Fast gradient sign method (FGSM), Limited-memory Broyden-Fletcher-Goldfarb-Shanno (L-BFGS), Carlini & Wagner Attack (C&W), DeepFool, Jacobian Saliency Map Approach (JSMA) | Training | Grandient masking μηχανισμοί, Non-obfuscated gradients:Adversarial Training,Cascade Adversarial Training, Shatered gradients: Thermometer Encoding, Input Transformations, Local Intrinsic Dimensionality, Stochastic gradients: Stochastic Activation Pruning, Vanishing gradients: Pixel Defend, Local Gradients Smoothing (LGS) |
| Impersonate attacks | O επιτιθέμενος στοχεύει στη δημιουργία συγκεκριμένων δειγμάτων, έτσι ώστε τα υπάρχοντα συστήματα που βασίζονται στη μηχανική μάθηση να ταξινομούν εσφαλμένα τα αρχικά δείγματα με διαφορετικές ετικέτες από τα πλαστογραφημένα. Μια τέτοια επίθεση είναι ιδιαίτερα αποτελεσματική στην επίθεση αλγορίθμων DNN επειδή το DNN συνήθως εξάγει ένα μικρό σύνολο χαρακτηριστικών για να διευκολύνει την αναγνώριση του αντικειμένου . Έτσι, ο εισβολέας μπορεί εύκολα να ξεκινήσει πλαστοπροσωπίες επιθέσεις τροποποιώντας ορισμένα βασικά χαρακτηριστικά. Ορισμένα παραδείγματα: απομίμηση δειγμάτων δεδομένων από θύματα, χρήση στην αναγνώριση εικόνας, ανίχνευση κακόβουλου λογισμικού. | Testing | |
| Poisoning or causative or pollution attacks | ο επιτιθέμενος «δηλητηριάζει» τα δεδομένα, εισάγοντας προσεκτικά σχεδιασμένα λανθασμένα δείγματα προκειμένου να θέσει σε κίνδυνο ολόκληρη τη διαδικασία μάθησης. Υποκατηγορίες: Poison Label modification attacks: ο επιτιθέμενος μπορεί να τροποποιεί αποκλειστικά τις ετικέτες σε εποπτευόμενα σύνολα δεδομένων μάθησης, αλλά για αυθαίρετα σημεία δεδομένων. Συνήθως υπόκειται σε περιορισμό στο συνολικό κόστος τροποποίησης. Poison insertion attacks: Ο επιτιθέμενος έχει τη δυνατότητα να αυξήσει νέα δεδομένα στο εκπαιδευτικό σύνολο χωρίς να έχει πρόσβαση στα δεδομένα εκπαίδευσης καθώς και στον αλγόριθμο εκμάθησης. Είναι πιθανό να καταστρέψει το μοντέλο-στόχο εισάγοντας τροποποιημένα δείγματα στο σύνολο δεδομένων εκπαίδευσης. Data modification attacks: Ο επιτιθέμενος δεν έχει πρόσβαση στον αλγόριθμο εκμάθησης αλλά έχει πλήρη πρόσβαση στα δεδομένα εκπαίδευσης. Τα δεδομένα εκπαίδευσης μπορούν να «δηλητηριαστούν» απευθείας τροποποιώντας τα πριν χρησιμοποιηθούν για την εκπαίδευση του μοντέλου στόχου. Boiling frog attacks: σε αυτές τις επιθέσεις, ο αμυνόμενος θεωρείται ότι επαναλαμβάνει επαναληπτικά ένα μοντέλο. Η επανεκπαίδευση, με τη σειρά της, δίνει την ευκαιρία στον επιτιθέμενο να κατευθύνει χωρίς να γίνει αντιληπτό το μοντέλο με την πάροδο του χρόνου με την εισαγωγή μιας μικρής ποσότητας λανθασμένου δείγματος κάθε φορά, έτσι ώστε να έχει ελάχιστο αντίκτυπο σε μια συγκεκριμένη επανάληψη της επανεκπαίδευσης, αλλά ο αυξητικός αντίκτυπος τέτοιων επιθέσεων με την πάροδο του χρόνου είναι σημαντικός. | Training | Magnet,Data sanitization, Robust learning (PCA), Randomization, information hiding, security by obscurity |
| Evasion attacks | ο επιτιθέμενος τροποποιεί δείγματα κατά τη διάρκεια της δοκιμής για να αποφύγει την ανίχνευσή τους ή να τα ωθήσει σε εσφαλμένη ταξινόμηση. | Testing | Multiple classifier systems, Learning with Invariances (SVMs), Game Theory (SVMs) |
| Backdoor or Trojan attacks | οι μη εξουσιοδοτημένοι ή και εξουσιοδοτημένοι επιτιθέμενοι μπορούν να παρακάμψουν τα μέτρα ασφαλείας και να αποκτήσουν πρόσβαση υψηλού επιπέδου (root access) σε ένα υπολογιστικό σύστημα, δίκτυο ή εφαρμογή. Μπορούν να εγκατασταθούν από τους κατασκευαστές λογισμικού ή hardware ως σκόπιμα μέσα με σκοπό να αποκτούν πρόσβαση στις τεχνολογίες τους μετά την παραγωγή. Είναι χρήσιμα για να μπορούν να βοηθούν τους πελάτες τους που μπορεί να έχουν κλειδωθεί στις συσκευές τους ή για να επιλύουν προβλήματα λογισμικού. Τα backdoors σε νευρωνικά δίκτυα είναι κακόβουλο λογισμικό ενσωματωμένο σε ΑΝΝ που μπορεί να ενεργοποιηθεί μέσω συγκεκριμένων διαδικασιών. Ορισμένα παραδείγματα: Traditional backdoors, BadNets, Latent backdoor, Neural trojans | Training | Fine pruning, Neural Cleanse, Activation Clustering, Input Image Blurring, Multi-layer Tuning in Transfer Learning, Input anomaly detection, Retraining DNN, Preprocessing, Strip (Strong intentional perturbation) |
Avis utilisateurs et commentaires