机器学习近年来在许多方面取得了巨大的成功,但是安全性问题却一直没有得到人们的重视。这里把他们二人提出的问题定义为机器学习的安全和隐私问题。
对抗机器学习(Adverserial Machine Learning)作为机器学习研究中的安全细分方向,在一定程度上保证模型的安全性。
攻击者对计算机方面的攻击可以使用三个指标进行衡量,也就是CIA(confidentiality,integrity,availability),中文名是机密性、完整性、可用性。下面来介绍这三个指标。
- 机密性:机密性可以等同私密性,可以按照保密性来理解,例如,机器学习算法在训练模型的时候,可能数据是具有敏感信息的,那么这时候在训练模型的时候如何保证机密性或者私密性就显得尤为重要了。
- 完整性:完整性是说保证模型和数据的完整性,不能让攻击者对数据进行破坏。
- 可用性:可用性是说需要保证模型的可用性,例如,传感器在探测到前方的障碍很复杂时,要能够有解决方案,而不是直接宕机,停止工作。
对抗机器学习常见的有两种攻击方法:
- 在训练阶段攻击
- 在inference阶段攻击
在训练阶段攻击可以进行数据扰乱,让模型得到错误的模型。
在inference阶段攻击是在模型训练好之后,对模型攻击,让模型得到错误的结果。
1.什么是对抗学习?
对抗学习是一种很新的机器学习方法,由加拿大学者Ian Goodfellow首先提出。对抗学习实现的方法,是让两个网络相互竞争对抗,“玩一个游戏”。
其中一个是生成器网络,它不断捕捉训练库里真实图片的概率分布,将输入的随机噪声转变成新的样本(也就是假数据)。
另一个是判别器网络,它可以同时观察真实和假造的数据,判断这个数据到底是不是真的。
通过反复对抗,生成器和判别器的能力都会不断增强,直到达成一个平衡,最后生成器可生成高质量的、以假乱真的图片。
文字识别领域要解决的问题,除了上文提到的拍照图片、以及手写笔迹的识别,小样本条件下的文字识别,如古籍的识别也是一大挑战,因为用于训练的标记样本不足,深度学习难以取得较高的识别率。
小样本泛化性、自适应性、可解释性、鲁棒性是当前以深度学习为主的模式识别技术的主要局限所在,而这些恰恰是人脑的长处。因此,模式识别可以从脑科学和神经科学上寻找新的借鉴,发展新的类人感知和认知机理的模式识别学习理论与方法。
以泛化能力为例,在训练样本较少时,可以设计与人的记忆方式类似的模型进行训练,使机器记住文字的结构和关键特征,如构成文字的笔画、组合和关系。这种模型叫“生成模型”,可以记住每一类模式的关键特征及分布,并能生成数据,如生成满足一类文字基本结构、细节不同的手写字。生成模型也具有很好的解释性,在识别模式的同时能解释这个模式是由哪几部分构成的,几部分之间是什么关系。
模式识别、深度学习、对抗学习、脑科学……越来越多的人工智能研究路径进入了我们的视野。而对于人工智能发展的未来,刘成林也认为,深度学习依然会是人工智能研究的主流,但对抗学习、脑科学、认知科学等的理论方法,都会与其进行融合,共同推进人工智能的发展。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/208908.html原文链接:https://javaforall.net
