Состязательное машинное обучение - это метод машинного обучения , который пытается обмануть модели, предоставляя вводимые в заблуждение данные. [1] [2] [3] Наиболее частая причина - сбой в модели машинного обучения.
Большинство методов машинного обучения были разработаны для работы с конкретными наборами задач, в которых данные обучения и тестирования генерируются из одного и того же статистического распределения ( IID ). Когда эти модели применяются в реальном мире, злоумышленники могут предоставить данные, которые нарушают это статистическое предположение. Эти данные могут быть организованы для использования определенных уязвимостей и компрометации результатов. [3] [4]
История
В Snow Crash (1992) автор предложил сценарии технологии, уязвимой для враждебной атаки. В Zero History (2010) персонаж надевает футболку, украшенную таким образом, что он становится невидимым для электронного наблюдения. [5]
В 2004 году Нилеш Далви и другие отметили, что линейные классификаторы, используемые в фильтрах спама, могут быть побеждены простыми « атаками уклонения », когда спамеры вставляют «хорошие слова» в свои спам-сообщения. (Примерно в 2007 году некоторые спамеры добавляли случайный шум к нечетким словам в «графическом спаме», чтобы обойти фильтры на основе OCR .) В 2006 году Марко Баррено и другие опубликовали «Может ли машинное обучение быть безопасным?», В котором описывается широкая систематика атак . Еще в 2013 году многие исследователи продолжали надеяться, что нелинейные классификаторы (такие как опорные векторные машины и нейронные сети ) могут быть надежными для злоумышленников. В 2012 году глубокие нейронные сети начали доминировать над проблемами компьютерного зрения; Начиная с 2014 года, Кристиан Сегеди и другие продемонстрировали, что злоумышленники могут обмануть глубокие нейронные сети. [6] [7]
Недавно было замечено, что враждебные атаки труднее производить в практическом мире из-за различных ограничений окружающей среды, которые нивелируют эффект шума. [8] [9] Например, любое небольшое вращение или небольшое освещение на изображении противника может уничтожить его.
Примеры
Примеры включают атаки при фильтрации спама , когда спам-сообщения маскируются из-за неправильного написания «плохих» слов или вставки «хороших» слов; [10] [11] атаки на компьютерную безопасность , такие как обфускация вредоносного кода в сетевых пакетах или введение в заблуждение обнаружения сигнатур; атаки при биометрическом распознавании, при которых поддельные биометрические характеристики могут быть использованы для выдачи себя за законного пользователя; [12] или скомпрометировать пользовательские галереи шаблонов, которые со временем адаптируются к обновленным характеристикам.
Исследователи показали, что, изменив только один пиксель, можно обмануть алгоритмы глубокого обучения. [13] [14] Другие разработчики 3-D напечатали игрушечную черепаху с текстурой, разработанной так, чтобы ИИ Google для обнаружения объектов классифицировал ее как винтовку независимо от угла, под которым была видна черепаха. [15] Для создания черепахи потребовалась только недорогая коммерчески доступная технология трехмерной печати. [16]
Было показано, что изображение собаки, обработанное машиной, выглядело как кошка как для компьютеров, так и для людей. [17] Исследование 2019 года показало, что люди могут угадывать, как машины будут классифицировать изображения враждебных сторон. [18] Исследователи обнаружили методы возмущения внешнего вида знака «Стоп», так что автономное транспортное средство классифицировало его как знак слияния или ограничения скорости. [3] [19] [20]
McAfee атаковал бывшую систему Tesla Mobileye , обманом заставив ее проехать на 50 миль в час сверх установленной скорости, просто добавив двухдюймовую полосу черной ленты к знаку ограничения скорости. [21] [22]
Состязательные узоры на очках или одежде, предназначенные для введения в заблуждение систем распознавания лиц или считывания номерных знаков, привели к появлению нишевой индустрии «стелс-стритвира». [23]
Состязательная атака на нейронную сеть может позволить злоумышленнику внедрить алгоритмы в целевую систему. [24] Исследователи также могут создавать состязательные аудиовходы, чтобы замаскировать команды умным помощникам в безобидном звуке; [25] параллельная литература исследует человеческое восприятие таких стимулов. [26] [27]
Алгоритмы кластеризации используются в приложениях безопасности. Анализ вредоносных программ и компьютерных вирусов направлен на выявление семейств вредоносных программ и создание конкретных сигнатур обнаружения. [28] [29]
Методы атаки
Таксономия
Атаки на (контролируемые) алгоритмы машинного обучения были классифицированы по трем основным направлениям: [30] влияние на классификатор, нарушение безопасности и их специфичность.
- Влияние классификатора: атака может повлиять на классификатор, нарушив этап классификации. Этому может предшествовать этап исследования для выявления уязвимостей. Возможности злоумышленника могут быть ограничены наличием ограничений манипулирования данными. [31]
- Нарушение безопасности: атака может предоставить вредоносные данные, которые классифицируются как законные. Вредоносные данные, предоставленные во время обучения, могут привести к отклонению законных данных после обучения.
- Специфика: целевая атака пытается разрешить конкретное вторжение / нарушение. В качестве альтернативы неизбирательное нападение создает общий хаос.
Эта таксономия была расширена до более полной модели угроз, которая позволяет делать явные предположения о цели противника, знании атакуемой системы, возможности манипулировать входными данными / компонентами системы и о стратегии атаки. [32] [33] Эта таксономия была дополнительно расширена и теперь включает измерения для стратегий защиты от вредоносных атак. [34]
Стратегии
Ниже приведены некоторые из наиболее часто встречающихся сценариев атак:
Уклонение
Атаки уклонения [32] [33] [35] являются наиболее распространенным типом атак. Например, спамеры и хакеры часто пытаются избежать обнаружения, скрывая содержимое спам-писем и вредоносных программ . Образцы изменены, чтобы избежать обнаружения; то есть быть классифицированным как законное. Это не связано с влиянием на данные обучения. Ярким примером уклонения является спам на основе изображений, в котором содержимое спама встроено в прикрепленное изображение, чтобы избежать анализа текста фильтрами защиты от спама. Другой пример уклонения - спуфинговые атаки на системы биометрической верификации. [12]
Отравление
Отравление - это состязательное заражение обучающих данных. Системы машинного обучения можно переобучать с использованием данных, собранных во время работы. Например, системы обнаружения вторжений (IDS) часто повторно обучаются с использованием таких данных. Злоумышленник может отравить эти данные, внедрив вредоносные образцы во время работы, которые впоследствии нарушат переобучение. [32] [33] [30] [36] [37] [38]
Модель кражи
Кража модели (также называемая извлечением модели) включает в себя злоумышленник, исследующий систему машинного обучения черного ящика, чтобы либо восстановить модель, либо извлечь данные, на которых она была обучена. [39] [40] Это может вызвать проблемы, когда данные обучения или сама модель являются конфиденциальными и конфиденциальными. Например, модель кражи может быть использована для извлечения проприетарной модели торговли акциями, которую злоумышленник затем может использовать для собственной финансовой выгоды.
Конкретные типы атак
Существует большое количество различных атак, которые могут быть использованы против систем машинного обучения. Многие из них работают как с системами глубокого обучения , так и с традиционными моделями машинного обучения, такими как SVM [41] и линейная регрессия . [42] Примеры этих типов атак высокого уровня включают:
- Примеры состязательности [43]
- Троянские атаки / атаки через черный ход [44]
- Инверсия модели [45]
- Вывод о членстве [46]
Состязательные примеры
Противоречивый пример относится к специально созданным входным данным, который спроектирован так, чтобы выглядеть «нормальным» для людей, но вызывает неправильную классификацию модели машинного обучения. Часто для выявления ошибочной классификации используется форма специально разработанного «шума». Ниже приведены некоторые современные методы создания состязательных примеров в литературе (далеко не исчерпывающий список).
- Метод быстрого градиентного знака (FGSM) [47]
- Прогнозируемый градиентный спуск (PGD) [48]
- Нападение Карлини и Вагнера (C&W) [49]
- Состязательная патч-атака [50]
Защиты
Исследователи предложили многоэтапный подход к защите машинного обучения. [7]
- Моделирование угроз - формализовать цели и возможности злоумышленников по отношению к целевой системе.
- Симуляция атаки - формализуйте проблему оптимизации, которую злоумышленник пытается решить в соответствии с возможными стратегиями атаки.
- Оценка воздействия атаки
- Дизайн противодействия
- Обнаружение шума (для атаки на основе уклонения) [51]
- Отмывание информации - изменение информации, полученной злоумышленниками (для модели атак с кражей) [40]
Механизмы
Был предложен ряд механизмов защиты от уклонения, отравления и атак на конфиденциальность, в том числе:
- Алгоритмы безопасного обучения [11] [52] [53]
- Системы множественных классификаторов [10] [54]
- Написанные AI алгоритмы. [24]
- ИИ, исследующие тренировочную среду; например, при распознавании изображений - активная навигация по трехмерной среде, а не пассивное сканирование фиксированного набора 2D-изображений. [24]
- Обучение с сохранением конфиденциальности [33] [55]
- Лестничный алгоритм соревнований в стиле Kaggle
- Теоретико-игровые модели [56] [57] [58]
- Очистка обучающих данных
- Состязательная подготовка [47]
- Алгоритмы обнаружения бэкдора [59]
Смотрите также
- Распознавание образов
Рекомендации
- ^ Кианпур, Мазахер; Вэнь, Шао-Фан (2020). «Временные атаки на машинное обучение: современное состояние». Интеллектуальные системы и приложения . Достижения в интеллектуальных системах и вычислениях. 1037 . С. 111–125. DOI : 10.1007 / 978-3-030-29516-5_10 . ISBN 978-3-030-29515-8.
- ^ Бенжио, Сами; Гудфеллоу, Ян Дж .; Куракин, Алексей (2017). «Масштабное состязательное машинное обучение». arXiv : 1611.01236 [ cs.CV ].
- ^ а б в Лим, Хейзел Си Мин; Taeihagh, Араз (2019). «Принятие алгоритмических решений в AV: понимание этических и технических проблем для умных городов». Устойчивое развитие . 11 (20): 5791. arXiv : 1910.13122 . Bibcode : 2019arXiv191013122L . DOI : 10,3390 / su11205791 . S2CID 204951009 .
- ^ Гудфеллоу, Ян; Макдэниел, Патрик; Папернот, Николас (25 июня 2018 г.). «Повышение устойчивости машинного обучения к злоумышленникам» . Коммуникации ACM . 61 (7): 56–66. DOI : 10.1145 / 3134599 . ISSN 0001-0782 . Проверено 13 декабря 2018 .
- ^ Винсент, Джеймс (12 апреля 2017 г.). «Магический ИИ: это оптические иллюзии, которые обманывают, обманывают и сбивают с толку компьютеры» . Грань . Проверено 27 марта 2020 года .
- ^ Сегеди, Кристиан; Заремба, Войцех; Суцкевер, Илья; Бруна, Жанна; Эрхан, Думитру; Гудфеллоу, Ян; Фергус, Роб (2014-02-19). «Интригующие свойства нейронных сетей» . arXiv: 1312.6199 [cs] .
- ^ а б Бигджо, Баттиста; Роли, Фабио (декабрь 2018 г.). «Дикие шаблоны: десять лет после появления враждебного машинного обучения». Распознавание образов . 84 : 317–331. arXiv : 1712.03141 . DOI : 10.1016 / j.patcog.2018.07.023 . S2CID 207324435 .
- ^ Куракин Алексей; Гудфеллоу, Ян; Бенжио, Сами (2016). «Противоречивые примеры в физическом мире». arXiv : 1607.02533 [ cs.CV ].
- ↑ Гупта, Кишор Датта, Дипанкар Дасгупта и Захид Ахтар. «Вопросы применимости состязательных атак на основе уклонения и методов смягчения». Серия симпозиумов IEEE 2020 по вычислительному интеллекту (SSCI). 2020.
- ^ а б Бигджо, Баттиста; Фумера, Джорджио; Роли, Фабио (2010). «Множественные системы классификаторов для надежного проектирования классификаторов в агрессивных средах» . Международный журнал машинного обучения и кибернетики . 1 (1–4): 27–41. DOI : 10.1007 / s13042-010-0007-7 . ISSN 1868-8071 . S2CID 8729381 .
- ^ а б Брюкнер, Михаэль; Канцов, Кристиан; Схеффер, Тобиас (2012). «Статические предсказательные игры для состязательных обучающих задач» (PDF) . Журнал исследований в области машинного обучения . 13 (сен): 2617–2654. ISSN 1533-7928 .
- ^ а б Родригес, Рикардо Н .; Линг, Ли Луан; Говиндараджу, Вену (1 июня 2009 г.). «Устойчивость мультимодальных методов биометрического слияния к атакам с подделкой» (PDF) . Журнал визуальных языков и вычислений . 20 (3): 169–179. DOI : 10.1016 / j.jvlc.2009.01.010 . ISSN 1045-926X .
- ^ Су, Цзявэй; Варгас, Данило Васконселлос; Сакураи, Коуичи (2019). «Атака одним пикселем для обмана глубоких нейронных сетей». IEEE Transactions по эволюционным вычислениям . 23 (5): 828–841. arXiv : 1710.08864 . DOI : 10.1109 / TEVC.2019.2890858 . S2CID 2698863 .
- ^ Су, Цзявэй; Варгас, Данило Васконселлос; Сакураи, Коити (октябрь 2019 г.). «Атака одним пикселем для обмана глубоких нейронных сетей». IEEE Transactions по эволюционным вычислениям . 23 (5): 828–841. arXiv : 1710.08864 . DOI : 10.1109 / TEVC.2019.2890858 . ISSN 1941-0026 . S2CID 2698863 .
- ^ «Изменение одного пикселя дурачит программы AI» . BBC News . 3 ноября 2017 . Проверено 12 февраля 2018 .
- ^ Аталые, Аниш; Энгстрем, Логан; Ильяс, Андрей; Квок, Кевин (2017). «Синтез надежных примеров противоборства». arXiv : 1707.07397 [ cs.CV ].
- ^ «У ИИ есть проблема с галлюцинациями, которую трудно исправить» . ПРОВОДНОЙ . 2018 . Проверено 10 марта 2018 .
- ^ Чжоу, Чжэнлун; Файерстоун, Чаз (2019). «Люди могут расшифровать состязательные образы» . Nature Communications . 10 (1): 1334. arXiv : 1809.04120 . Bibcode : 2019NatCo..10.1334Z . DOI : 10.1038 / s41467-019-08931-6 . PMC 6430776 . PMID 30902973 .
- ^ Джайн, Анант (09.02.2019). «Взлом нейронных сетей с помощью состязательных атак - к науке о данных» . Средний . Проверено 15 июля 2019 .
- ^ Акерман, Эван (2017-08-04). «Незначительные модификации уличных знаков могут полностью обмануть алгоритмы машинного обучения» . IEEE Spectrum: Новости технологий, инженерии и науки . Проверено 15 июля 2019 .
- ^ «Крошечный кусок ленты обманом заставил Тесла разогнаться до 50 миль в час» . Проводной . 2020 . Дата обращения 11 марта 2020 .
- ^ «Взлом модели ADAS для создания более безопасных дорог для автономных транспортных средств» . Блоги McAfee . 2020-02-19 . Проверено 11 марта 2020 .
- ^ Сибрук, Джон (2020). «Одежда для эпохи слежки» . Житель Нью-Йорка . Дата обращения 5 апреля 2020 .
- ^ а б в Небеса, Дуглас (октябрь 2019 г.). «Почему ИИ с глубоким обучением так легко обмануть» . Природа . 574 (7777): 163–166. Bibcode : 2019Natur.574..163H . DOI : 10.1038 / d41586-019-03013-5 . PMID 31597977 .
- ^ Хатсон, Мэтью (10 мая 2019 г.). «ИИ теперь может защищаться от вредоносных сообщений, скрытых в речи». Природа . DOI : 10.1038 / d41586-019-01510-1 . PMID 32385365 .
- ^ Лепори, Майкл А; Файерстоун, Чаз (27.03.2020). «Теперь вы меня слышите? Чуткие сравнения человеческого и машинного восприятия». arXiv : 2003.12362 [ eess.AS ].
- ^ Вадилло, Джон; Сантана, Роберто (23 января 2020 г.). «О человеческой оценке состязательных аудио примеров». arXiv : 2001.08444 [ eess.AS ].
- ^ DB Skillicorn. «Открытие состязательного знания». Интеллектуальные системы IEEE, 24: 54–61, 2009.
- ^ a b Б. Бигджо, Г. Фумера и Ф. Роли. « Системы распознавания образов подвергаются атаке: проблемы проектирования и исследовательские задачи ». Int'l J. Patt. Узнай. Артиф. Интеллект., 28 (7): 1460002, 2014.
- ^ а б Баррено, Марко; Нельсон, Блейн; Джозеф, Энтони Д .; Tygar, JD (2010). «Безопасность машинного обучения» (PDF) . Машинное обучение . 81 (2): 121–148. DOI : 10.1007 / s10994-010-5188-5 . S2CID 2304759 .
- ^ Сикос, Лесли Ф. (2019). ИИ в кибербезопасности . Справочная библиотека интеллектуальных систем. 151 . Чам: Спрингер. п. 50. DOI : 10.1007 / 978-3-319-98842-9 . ISBN 978-3-319-98841-2.
- ^ a b c Б. Бигджо, Г. Фумера и Ф. Роли. « Оценка безопасности атакованных классификаторов шаблонов. Архивировано 18 мая 2018 г. на Wayback Machine ». IEEE Transactions on Knowledge and Data Engineering, 26 (4): 984–996, 2014.
- ^ а б в г д Бигджо, Баттиста; Корона, Игино; Нельсон, Блейн; Рубинштейн, Бенджамин И. П.; Майорка, Давиде; Фумера, Джорджио; Джачинто, Джорджио; Роли, Фабио (2014). «Оценка безопасности машин опорных векторов в агрессивных средах». Приложения опорных векторных машин . Издательство Springer International. С. 105–153. arXiv : 1401,7727 . DOI : 10.1007 / 978-3-319-02300-7_4 . ISBN 978-3-319-02300-7. S2CID 18666561 .
- ^ Генрих, Кай; Граф, Йоханнес; Чен, Цзи; Лауриш, Якоб; Зшеч, Патрик (15.06.2020). «ОБУЧАЙ МЕНЯ ОДИН РАЗ, ПОЗОР ВАМ, ОБУЧАЙ МЕНЯ ДВАЖДЫ, ПОЗОР МЕНЯ: ТАКСОНОМИЯ АТАК И ЗАЩИТЫ ДЛЯ БЕЗОПАСНОСТИ ИИ» . Исследования ECIS 2020 .
- ^ Б. Нельсон, Б. И. Рубинштейн, Л. Хуанг, А. Д. Джозеф, С. Дж. Ли, С. Рао и Дж. Д. Тайгар. « Стратегии запросов для обхода классификаторов, вызывающих выпуклость ». J. Mach. Учить. Res., 13: 1293–1332, 2012 г.
- ^ Б. Биггио, Б. Нельсон и П. Ласков. « Поддержка векторных машин под состязательным шумом лейбла ». В Journal of Machine Learning Research - Proc. 3-я Азиатская конф. Машинное обучение, том 20, стр. 97–112, 2011.
- ^ М. Клофт и П. Ласков. « Анализ безопасности онлайн-обнаружения аномалий центроидов ». Журнал исследований в области машинного обучения, 13: 3647–3690, 2012.
- ^ Моисеев, Илья (2019-07-15). «Отравляющие атаки на машинное обучение - к науке о данных» . Средний . Проверено 15 июля 2019 .
- ^ «Как украсть современные системы НЛП с тарабарщиной?» . cleverhans-blog . 2020-04-06 . Проверено 15 октября 2020 .
- ^ а б Ван, Синьрань; Сян Юй; Гао, Цзюнь; Дин, Цзе (13.09.2020). «Отмывание информации в целях соблюдения конфиденциальности модели». arXiv : 2009.06112 [ cs.CR ].
- ^ Бигджо, Баттиста; Нельсон, Блейн; Ласков, Павел (25.03.2013). «Отравляющие атаки на машины опорных векторов». arXiv : 1206.6389 [ cs.LG ].
- ^ Ягельский, Мэтью; Опря, Алина; Бигджо, Баттиста; Лю, Чанг; Нита-Ротару, Кристина; Ли, Бо (май 2018 г.). «Манипулирование машинным обучением: отравляющие атаки и контрмеры для регрессионного обучения» . Симпозиум IEEE 2018 по безопасности и конфиденциальности (SP) . IEEE: 19–35. arXiv : 1804.00308 . DOI : 10,1109 / sp.2018.00057 . ISBN 978-1-5386-4353-2. S2CID 4551073 .
- ^ «Атака на машинное обучение с помощью состязательных примеров» . OpenAI . 2017-02-24 . Проверено 15 октября 2020 .
- ^ Гу, Тяньюй; Долан-Гавитт, Брендан; Гарг, Сиддхарт (11 марта 2019 г.). «Плохие сети: выявление уязвимостей в цепочке поставок модели машинного обучения». arXiv : 1708.06733 [ cs.CR ].
- ^ Вил, Майкл; Биннс, Рувим; Эдвардс, Лилиан (28.11.2018). «Запоминающие алгоритмы: атаки с инверсией модели и закон о защите данных» . Философские труды. Серия A, математические, физические и технические науки . 376 (2133). arXiv : 1807.04644 . Bibcode : 2018RSPTA.37680083V . DOI : 10,1098 / rsta.2018.0083 . ISSN 1364-503X . PMC 6191664 . PMID 30322998 .
- ^ Шокри, Реза; Стронати, Марко; Песня, Цунчжэн; Шматиков, Виталий (31.03.2017). «Атаки с выводом членства на модели машинного обучения». arXiv : 1610.05820 [ cs.CR ].
- ^ а б Гудфеллоу, Ян Дж .; Шленс, Джонатон; Сегеди, Кристиан (2015-03-20). «Объяснение и использование состязательных примеров». arXiv : 1412.6572 [ stat.ML ].
- ^ Мадри, Александр; Макелов, Александр; Шмидт, Людвиг; Ципрас, Димитрис; Владу, Адриан (2019-09-04). «На пути к моделям глубокого обучения, устойчивым к враждебным атакам». arXiv : 1706.06083 [ stat.ML ].
- ^ Карлини, Николай; Вагнер, Давид (22.03.2017). «К оценке устойчивости нейронных сетей». arXiv : 1608.04644 [ cs.CR ].
- ^ Браун, Том Б .; Мане, Одуванчик; Рой, Аурко; Абади, Мартин; Гилмер, Джастин (2018-05-16). «Состязательная нашивка». arXiv : 1712.09665 [ cs.CV ].
- ^ Кишор Датта Гупта; Ахтар, Захид; Дасгупта, Дипанкар (2020). «Определение последовательности методов обработки изображений (IPT) для обнаружения состязательных атак». arXiv : 2007.00337 [ cs.CV ].
- ^ О. Декель, О. Шамир и Л. Сяо. « Учимся классифицировать отсутствующие и поврежденные функции ». Машинное обучение, 81: 149–178, 2010.
- ^ Лю, Вэй; Чавла, Санджай (2010). «Разработка состязательных паттернов с помощью регуляризованной минимизации потерь» (PDF) . Машинное обучение . 81 : 69–83. DOI : 10.1007 / s10994-010-5199-2 . S2CID 17497168 .
- ^ Б. Бигджо, Г. Фумера и Ф. Роли. « Избегайте сложных систем множественных классификаторов ». В O. Okun и G. Valentini, редакторы, контролируемые и неконтролируемые методы ансамбля и их приложения, том 245 исследований в области вычислительного интеллекта, страницы 15–38. Springer Berlin / Heidelberg, 2009.
- ^ BIP Рубинштейн, П. Бартлетт, Л. Хуан и Н. Taft. « Обучение в большом функциональном пространстве: механизмы сохранения конфиденциальности для svm-обучения ». Журнал неприкосновенности частной жизни и конфиденциальности, 4 (1): 65–100, 2012.
- ^ М. Kantarcioglu, Б. Си, С. Клифтон. «Оценка классификатора и выбор атрибутов против активных противников» . Данные Мин. Знай. Discov., 22: 291–335, январь 2011.
- ^ Чивукула, Аниш; Ян, Синхао; Лю, Вэй; Чжу, Тяньцин; Чжоу, Ванлей (2020). «Теоретико-игровое состязательное глубокое обучение с различными противниками» . IEEE Transactions по разработке знаний и данных : 1. doi : 10.1109 / TKDE.2020.2972320 . ISSN 1558-2191 .
- ^ Чивукула, Аниш Сриваллабх; Лю, Вэй (2019). «Состязательные модели глубокого обучения с множеством противников» . IEEE Transactions по разработке знаний и данных . 31 (6): 1066–1079. DOI : 10.1109 / TKDE.2018.2851247 . ISSN 1558-2191 . S2CID 67024195 .
- ^ «Трояй» . www.iarpa.gov . Проверено 14 октября 2020 .
Внешние ссылки
- Семинар NIPS 2007 по машинному обучению в конкурентных средах для обеспечения компьютерной безопасности
- AlfaSVMLib - Состязательные атаки с переворотом метки на машины опорных векторов [1]
- Ласков, Павел; Липпманн, Ричард (2010). «Машинное обучение в состязательной среде». Машинное обучение . 81 (2): 115–119. DOI : 10.1007 / s10994-010-5207-6 . S2CID 12567278 .
- Семинар Dagstuhl Perspectives " Методы машинного обучения для компьютерной безопасности "
- Семинар по искусственному интеллекту и безопасности , серия (AISec)
- ^ Х. Сяо, Б. Биггио, Б. Нельсон, Х. Сяо, К. Эккерт и Ф. Роли. « Поддержка машин-переносчиков при заражении злонамеренных этикеток ». Нейрокомпьютеры, специальный выпуск о достижениях в обучении с помощью шума этикеток, в прессе.