28、对抗机器学习：攻击与防御全解析

对抗机器学习：攻击与防御全解析

1. 机器学习的发展与漏洞

机器学习（ML），特别是深度神经网络（DNNs）和卷积神经网络（CNNs），极大地提升了当今计算系统的处理能力。这些技术广泛应用于从计算机视觉到硬件安全等不同领域。例如，由于机器学习和计算机视觉领域的进步，自动驾驶成为可能；同时，机器学习在恶意软件和侧信道攻击检测方面也发挥了重要作用，有助于保障计算系统的安全。

然而，尽管机器学习的进步带来了诸多好处，但它也暴露出了现有技术的漏洞。虽然机器学习技术对噪声具有一定的鲁棒性，但研究表明，通过向输入数据添加精心设计的扰动，可以操纵机器学习的结果，这些经过处理的数据样本被称为对抗样本。对抗样本是通过在一定约束条件下，对输入进行一次或多次迭代扰动而构建的，目的是提高分类错误率。

以MNIST数字数据集为例，正常的数字“9”图像可能会被正确分类，但通过快速梯度符号法（FGSM）和Carlini Wagner（CW）攻击技术生成的对抗样本，可能会被错误分类为其他数字，如“4”。而且，人类肉眼很难区分正常样本和对抗样本，攻击参数的调整会影响噪声的大小，进而改变分类器的输出和置信度。

2. 对抗攻击的历史与分类

对抗样本的概念虽然是近年来在机器学习领域引入的，但类似的概念可以追溯到2004年的垃圾邮件过滤。当时的研究表明，线性分类器可能会被垃圾邮件内容的精心修改所欺骗，将其分类为正常邮件。在生物识别领域也有类似的欺骗研究。

对抗攻击大致可分为两类：
- 投毒攻击 ：在机器学习分类器的训练阶段进行攻击，更适合在线环境。
- 规避攻击