El aprendizaje automático adverso es una técnica de aprendizaje automático que intenta engañar a los modelos proporcionando información engañosa. [1] [2] [3] La razón más común es causar un mal funcionamiento en un modelo de aprendizaje automático.
La mayoría de las técnicas de aprendizaje automático se diseñaron para trabajar en conjuntos de problemas específicos en los que los datos de entrenamiento y prueba se generan a partir de la misma distribución estadística ( IID ). Cuando esos modelos se aplican al mundo real, los adversarios pueden proporcionar datos que violen ese supuesto estadístico. Estos datos pueden organizarse para aprovechar vulnerabilidades específicas y comprometer los resultados. [3] [4]
Historia
En Snow Crash (1992), el autor ofreció escenarios de tecnología que eran vulnerables a un ataque adverso. En Zero History (2010), un personaje se pone una camiseta decorada de una manera que lo hace invisible para la vigilancia electrónica. [5]
En 2004, Nilesh Dalvi y otros notaron que los clasificadores lineales utilizados en los filtros de correo no deseado podían ser derrotados por simples " ataques de evasión " cuando los spammers insertaban "buenas palabras" en sus correos electrónicos no deseados. (Alrededor de 2007, algunos spammers agregaron ruido aleatorio para confundir palabras dentro de "spam de imágenes" para derrotar los filtros basados en OCR ). En 2006, Marco Barreno y otros publicaron "¿Puede el aprendizaje automático ser seguro?", Que describe una amplia taxonomía de ataques. . Todavía en 2013, muchos investigadores seguían esperando que los clasificadores no lineales (como las máquinas de vectores de soporte y las redes neuronales ) pudieran ser resistentes a los adversarios. En 2012, las redes neuronales profundas comenzaron a dominar los problemas de visión por computadora; A partir de 2014, Christian Szegedy y otros demostraron que los adversarios podían engañar a las redes neuronales profundas. [6] [7]
Recientemente, se observó que los ataques adversarios son más difíciles de producir en el mundo práctico debido a las diferentes restricciones ambientales que anulan el efecto de los ruidos. [8] [9] Por ejemplo, cualquier pequeña rotación o iluminación leve en una imagen adversaria puede destruir la adversarialidad.
Ejemplos de
Los ejemplos incluyen ataques en el filtrado de correo no deseado , donde los mensajes de correo no deseado se confunden mediante la ortografía de palabras "malas" o la inserción de palabras "buenas"; [10] [11] ataques a la seguridad informática , como la ocultación del código de malware dentro de los paquetes de red o la detección de firmas engañosas; ataques en el reconocimiento biométrico donde se pueden explotar rasgos biométricos falsos para hacerse pasar por un usuario legítimo; [12] o comprometer las galerías de plantillas de los usuarios que se adaptan a las características actualizadas con el tiempo.
Los investigadores demostraron que al cambiar solo un píxel era posible engañar a los algoritmos de aprendizaje profundo. [13] [14] Otros imprimieron en 3-D una tortuga de juguete con una textura diseñada para que la IA de detección de objetos de Google la clasificara como un rifle, independientemente del ángulo desde el que se veía a la tortuga. [15] La creación de la tortuga solo requirió tecnología de impresión 3D de bajo costo disponible comercialmente. [dieciséis]
Se demostró que una imagen de un perro modificada por una máquina parecía un gato tanto para las computadoras como para los humanos. [17] Un estudio de 2019 informó que los humanos pueden adivinar cómo clasificarán las máquinas las imágenes adversas. [18] Los investigadores descubrieron métodos para perturbar la apariencia de una señal de alto de modo que un vehículo autónomo la clasificara como una señal de fusión o de límite de velocidad. [3] [19] [20]
McAfee atacó el antiguo sistema Mobileye de Tesla , engañándolo para que manejara 50 mph por encima del límite de velocidad, simplemente agregando una tira de cinta negra de dos pulgadas a una señal de límite de velocidad. [21] [22]
Los patrones antagónicos en anteojos o ropa diseñados para engañar a los sistemas de reconocimiento facial o lectores de matrículas han dado lugar a una industria de nicho de "ropa de calle sigilosa". [23]
Un ataque adverso a una red neuronal puede permitir que un atacante inyecte algoritmos en el sistema objetivo. [24] Los investigadores también pueden crear entradas de audio adversas para disfrazar los comandos a los asistentes inteligentes en un audio de apariencia benigna; [25] una literatura paralela explora la percepción humana de tales estímulos. [26] [27]
Los algoritmos de agrupación en clústeres se utilizan en aplicaciones de seguridad. El análisis de malware y virus informáticos tiene como objetivo identificar familias de malware y generar firmas de detección específicas. [28] [29]
Modalidades de ataque
Taxonomía
Los ataques contra algoritmos de aprendizaje automático (supervisados) se han categorizado a lo largo de tres ejes principales: [30] influencia en el clasificador, la violación de seguridad y su especificidad.
- Influencia del clasificador: un ataque puede influir en el clasificador interrumpiendo la fase de clasificación. Esto puede ir precedido de una fase de exploración para identificar vulnerabilidades. Las capacidades del atacante pueden verse restringidas por la presencia de restricciones de manipulación de datos. [31]
- Violación de seguridad: un ataque puede proporcionar datos maliciosos que se clasifican como legítimos. Los datos maliciosos proporcionados durante el entrenamiento pueden hacer que los datos legítimos sean rechazados después del entrenamiento.
- Especificidad: un ataque dirigido intenta permitir una intrusión / interrupción específica. Alternativamente, un ataque indiscriminado crea un caos generalizado.
Esta taxonomía se ha ampliado a un modelo de amenazas más completo que permite suposiciones explícitas sobre el objetivo del adversario, el conocimiento del sistema atacado, la capacidad de manipular los datos de entrada / componentes del sistema y la estrategia de ataque. [32] [33] Esta taxonomía se ha ampliado aún más para incluir dimensiones para las estrategias de defensa contra ataques adverseriales. [34]
Estrategias
A continuación, se muestran algunos de los escenarios de ataque más comunes:
Evasión
Los ataques de evasión [32] [33] [35] son el tipo de ataque más frecuente. Por ejemplo, los spammers y los piratas informáticos a menudo intentan evadir la detección ocultando el contenido de los correos electrónicos no deseados y el malware . Las muestras se modifican para evitar la detección; es decir, para ser clasificado como legítimo. Esto no implica influencia sobre los datos de entrenamiento. Un claro ejemplo de evasión es el spam basado en imágenes en el que el contenido de spam se incrusta en una imagen adjunta para evadir el análisis textual de los filtros antispam. Otro ejemplo de evasión lo dan los ataques de suplantación de identidad contra los sistemas de verificación biométrica. [12]
Envenenamiento
El envenenamiento es una contaminación adversa de los datos de entrenamiento. Los sistemas de aprendizaje automático se pueden volver a entrenar utilizando los datos recopilados durante las operaciones. Por ejemplo, los sistemas de detección de intrusos (IDS) a menudo se vuelven a entrenar utilizando esos datos. Un atacante puede envenenar estos datos inyectando muestras maliciosas durante la operación que posteriormente interrumpen el reentrenamiento. [32] [33] [30] [36] [37] [38]
Robo de modelos
El robo de modelos (también llamado extracción de modelos) implica que un adversario investigue un sistema de aprendizaje automático de caja negra para reconstruir el modelo o extraer los datos en los que se entrenó. [39] [40] Esto puede causar problemas cuando los datos de entrenamiento o el modelo en sí son sensibles y confidenciales. Por ejemplo, el robo de modelos podría usarse para extraer un modelo de negociación de acciones patentado que el adversario podría usar para su propio beneficio financiero.
Tipos de ataques específicos
Existe una gran variedad de diferentes ataques adversarios que se pueden utilizar contra los sistemas de aprendizaje automático. Muchos de ellos funcionan tanto en sistemas de aprendizaje profundo como en modelos tradicionales de aprendizaje automático, como SVM [41] y regresión lineal . [42] Una muestra de alto nivel de estos tipos de ataques incluye:
- Ejemplos de enfrentamientos [43]
- Ataques de troyanos / Ataques de puerta trasera [44]
- Inversión de modelo [45]
- Inferencia de membresía [46]
Ejemplos de adversarios
Un ejemplo de confrontación se refiere a una entrada especialmente diseñada que está diseñada para parecer "normal" para los humanos, pero que causa una clasificación errónea en un modelo de aprendizaje automático. A menudo, se utiliza una forma de "ruido" especialmente diseñado para provocar las clasificaciones erróneas. A continuación se presentan algunas técnicas actuales para generar ejemplos de confrontación en la literatura (de ninguna manera una lista exhaustiva).
- Método de señal de gradiente rápido (FGSM) [47]
- Descenso de gradiente proyectado (PGD) [48]
- Ataque de Carlini y Wagner (C&W) [49]
- Ataque de parche adversario [50]
Defensas
Los investigadores han propuesto un enfoque de varios pasos para proteger el aprendizaje automático. [7]
- Modelado de amenazas: formalice los objetivos y capacidades de los atacantes con respecto al sistema objetivo.
- Simulación de ataque: formalice el problema de optimización que el atacante intenta resolver de acuerdo con posibles estrategias de ataque.
- Evaluación del impacto del ataque
- Diseño de contramedidas
- Detección de ruido (para ataques basados en evasión) [51]
- Blanqueo de información: alterar la información recibida por los adversarios (para ataques de robo de modelos) [40]
Mecanismos
Se han propuesto varios mecanismos de defensa contra la evasión, el envenenamiento y los ataques a la privacidad, que incluyen:
- Algoritmos de aprendizaje seguro [11] [52] [53]
- Sistemas de clasificación múltiple [10] [54]
- Algoritmos escritos por IA. [24]
- IA que exploran el entorno de entrenamiento; por ejemplo, en el reconocimiento de imágenes, navegar activamente por un entorno 3D en lugar de escanear pasivamente un conjunto fijo de imágenes 2D. [24]
- Aprendizaje que preserva la privacidad [33] [55]
- Algoritmo de escalera para competiciones estilo Kaggle
- Modelos de teoría de juegos [56] [57] [58]
- Desinfectar datos de entrenamiento
- Entrenamiento contra adversarios [47]
- Algoritmos de detección de puerta trasera [59]
Ver también
- Reconocimiento de patrones
Referencias
- ^ Kianpour, Mazaher; Wen, Shao-Fang (2020). "Timing Attacks on Machine Learning: State of the Art". Sistemas y aplicaciones inteligentes . Avances en Computación y Sistemas Inteligentes. 1037 . págs. 111-125. doi : 10.1007 / 978-3-030-29516-5_10 . ISBN 978-3-030-29515-8.
- ^ Bengio, Samy; Goodfellow, Ian J .; Kurakin, Alexey (2017). "Aprendizaje automático de adversarios a escala". arXiv : 1611.01236 [ cs.CV ].
- ^ a b c Lim, Hazel Si Min; Taeihagh, Araz (2019). "Toma de decisiones algorítmicas en vehículos autónomos: comprensión de las preocupaciones éticas y técnicas de las ciudades inteligentes". Sustentabilidad . 11 (20): 5791. arXiv : 1910.13122 . Código bibliográfico : 2019arXiv191013122L . doi : 10.3390 / su11205791 . S2CID 204951009 .
- ^ Buen amigo, Ian; McDaniel, Patrick; Papernot, Nicolas (25 de junio de 2018). "Hacer que el aprendizaje automático sea robusto frente a las entradas adversas" . Comunicaciones de la ACM . 61 (7): 56–66. doi : 10.1145 / 3134599 . ISSN 0001-0782 . Consultado el 13 de diciembre de 2018 .
- ^ Vincent, James (12 de abril de 2017). "IA mágica: estas son las ilusiones ópticas que engañan, engañan y desconciertan a las computadoras" . The Verge . Consultado el 27 de marzo de 2020 .
- ^ Szegedy, Christian; Zaremba, Wojciech; Sutskever, Ilya; Bruna, Joan; Erhan, Dumitru; Buen amigo, Ian; Fergus, Rob (19 de febrero de 2014). "Propiedades intrigantes de las redes neuronales" . arXiv: 1312,6199 [cs] .
- ^ a b Biggio, Battista; Roli, Fabio (diciembre de 2018). "Patrones salvajes: diez años después del auge del aprendizaje automático adverso". Reconocimiento de patrones . 84 : 317–331. arXiv : 1712.03141 . doi : 10.1016 / j.patcog.2018.07.023 . S2CID 207324435 .
- ^ Kurakin, Alexey; Buen amigo, Ian; Bengio, Samy (2016). "Ejemplos de adversarios en el mundo físico". arXiv : 1607.02533 [ cs.CV ].
- ^ Gupta, Kishor Datta, Dipankar Dasgupta y Zahid Akhtar. "Problemas de aplicabilidad de las técnicas de mitigación y ataques contra adversarios basados en la evasión". Serie de simposios IEEE 2020 sobre inteligencia computacional (SSCI). 2020.
- ^ a b Biggio, Battista; Fumera, Giorgio; Roli, Fabio (2010). "Sistemas de clasificadores múltiples para un diseño robusto de clasificadores en entornos adversarios" . Revista Internacional de Aprendizaje Automático y Cibernética . 1 (1–4): 27–41. doi : 10.1007 / s13042-010-0007-7 . ISSN 1868-8071 . S2CID 8729381 .
- ^ a b Brückner, Michael; Kanzow, Christian; Scheffer, Tobias (2012). "Juegos de predicción estática para problemas de aprendizaje contradictorios" (PDF) . Revista de investigación sobre aprendizaje automático . 13 (septiembre): 2617–2654. ISSN 1533-7928 .
- ^ a b Rodrigues, Ricardo N .; Ling, Lee Luan; Govindaraju, Venu (1 de junio de 2009). "Robustez de los métodos de fusión biométrica multimodal contra ataques de suplantación" (PDF) . Revista de lenguajes visuales y computación . 20 (3): 169-179. doi : 10.1016 / j.jvlc.2009.01.010 . ISSN 1045-926X .
- ^ Su, Jiawei; Vargas, Danilo Vasconcellos; Sakurai, Kouichi (2019). "Ataque de un píxel para engañar a las redes neuronales profundas". Transacciones IEEE sobre computación evolutiva . 23 (5): 828–841. arXiv : 1710.08864 . doi : 10.1109 / TEVC.2019.2890858 . S2CID 2698863 .
- ^ Su, Jiawei; Vargas, Danilo Vasconcellos; Sakurai, Kouichi (octubre de 2019). "Ataque de un píxel para engañar a las redes neuronales profundas". Transacciones IEEE sobre computación evolutiva . 23 (5): 828–841. arXiv : 1710.08864 . doi : 10.1109 / TEVC.2019.2890858 . ISSN 1941-0026 . S2CID 2698863 .
- ^ "El cambio de un píxel engaña a los programas de IA" . BBC News . 3 de noviembre de 2017 . Consultado el 12 de febrero de 2018 .
- ^ Athalye, Anish; Engstrom, Logan; Ilyas, Andrew; Kwok, Kevin (2017). "Sintetizar ejemplos de adversarios robustos". arXiv : 1707.07397 [ cs.CV ].
- ^ "La IA tiene un problema de alucinaciones que está resultando difícil de solucionar" . CON CABLE . 2018 . Consultado el 10 de marzo de 2018 .
- ^ Zhou, Zhenglong; Firestone, Chaz (2019). "Los seres humanos pueden descifrar imágenes adversas" . Comunicaciones de la naturaleza . 10 (1): 1334. arXiv : 1809.04120 . Código Bibliográfico : 2019NatCo..10.1334Z . doi : 10.1038 / s41467-019-08931-6 . PMC 6430776 . PMID 30902973 .
- ^ Jain, Anant (9 de febrero de 2019). "Rompiendo redes neuronales con ataques adversarios - Hacia la ciencia de datos" . Medio . Consultado el 15 de julio de 2019 .
- ^ Ackerman, Evan (4 de agosto de 2017). "Modificaciones leves de la señal de la calle pueden engañar completamente a los algoritmos de aprendizaje automático" . IEEE Spectrum: Noticias de tecnología, ingeniería y ciencia . Consultado el 15 de julio de 2019 .
- ^ "Un pequeño trozo de cinta engañó a Teslas para acelerar 50 MPH" . Cableado . 2020 . Consultado el 11 de marzo de 2020 .
- ^ "Model Hacking ADAS para pavimentar carreteras más seguras para vehículos autónomos" . Blogs de McAfee . 2020-02-19 . Consultado el 11 de marzo de 2020 .
- ^ Seabrook, John (2020). "Vestirse para la era de la vigilancia" . The New Yorker . Consultado el 5 de abril de 2020 .
- ^ a b c Heaven, Douglas (octubre de 2019). "Por qué las IA de aprendizaje profundo son tan fáciles de engañar" . Naturaleza . 574 (7777): 163–166. Código Bib : 2019Natur.574..163H . doi : 10.1038 / d41586-019-03013-5 . PMID 31597977 .
- ^ Hutson, Matthew (10 de mayo de 2019). "La IA ahora puede defenderse de los mensajes maliciosos escondidos en el habla". Naturaleza . doi : 10.1038 / d41586-019-01510-1 . PMID 32385365 .
- ^ Lepori, Michael A; Firestone, Chaz (27 de marzo de 2020). "¿Puedes oírme ahora? Comparaciones sensibles de la percepción humana y de la máquina". arXiv : 2003.12362 [ eess.AS ].
- ^ Vadillo, Jon; Santana, Roberto (23 de enero de 2020). "Sobre la evaluación humana de ejemplos de audio contradictorios". arXiv : 2001.08444 [ eess.AS ].
- ^ DB Skillicorn. "Descubrimiento de conocimientos antagónicos". Sistemas inteligentes IEEE, 24: 54–61, 2009.
- ^ a b B. Biggio, G. Fumera y F. Roli. " Sistemas de reconocimiento de patrones bajo ataque: problemas de diseño y desafíos de investigación ". Int'l J. Patt. Reconocer. Artif. Intell., 28 (7): 1460002, 2014.
- ^ a b Barreno, Marco; Nelson, Blaine; Joseph, Anthony D .; Tygar, JD (2010). "La seguridad del aprendizaje automático" (PDF) . Aprendizaje automático . 81 (2): 121-148. doi : 10.1007 / s10994-010-5188-5 . S2CID 2304759 .
- ^ Sikos, Leslie F. (2019). IA en ciberseguridad . Biblioteca de referencia de sistemas inteligentes. 151 . Cham: Springer. pag. 50. doi : 10.1007 / 978-3-319-98842-9 . ISBN 978-3-319-98841-2.
- ^ a b c B. Biggio, G. Fumera y F. Roli. " Evaluación de seguridad de clasificadores de patrones bajo ataque Archivado 2018-05-18 en Wayback Machine ". IEEE Transactions on Knowledge and Data Engineering, 26 (4): 984–996, 2014.
- ^ a b c d e Biggio, Battista; Corona, Igino; Nelson, Blaine; Rubinstein, Benjamin IP; Maiorca, Davide; Fumera, Giorgio; Giacinto, Giorgio; Roli, Fabio (2014). "Evaluación de la seguridad de las máquinas de vectores de soporte en entornos adversarios". Admite aplicaciones de máquinas vectoriales . Springer International Publishing. págs. 105-153. arXiv : 1401.7727 . doi : 10.1007 / 978-3-319-02300-7_4 . ISBN 978-3-319-02300-7. S2CID 18666561 .
- ^ Heinrich, Kai; Graf, Johannes; Chen, Ji; Laurisch, Jakob; Zschech, Patrick (15 de junio de 2020). "ENGAÑARME UNA VEZ, VERGÜENZA DE TI, ENGAÑARME DOS VECES, VERGÜENZA DE MÍ: UNA TAXONOMÍA DE PATRONES DE ATAQUE Y DEFENSA PARA LA SEGURIDAD DE LA IA" . Documentos de investigación de ECIS 2020 .
- ^ B. Nelson, BI Rubinstein, L. Huang, AD Joseph, SJ Lee, S. Rao y JD Tygar. " Estrategias de consulta para evadir clasificadores inductores de convexidad ". J. Mach. Aprender. Res., 13: 1293–1332, 2012
- ^ B. Biggio, B. Nelson y P. Laskov. " Soporta máquinas vectoriales bajo ruido de etiquetas adversas ". En Journal of Machine Learning Research - Proc. 3a Conf. Asiática Aprendizaje automático, volumen 20, págs. 97–112, 2011.
- ^ M. Kloft y P. Laskov. " Análisis de seguridad de detección de anomalías de centroides en línea ". Journal of Machine Learning Research, 13: 3647–3690, 2012.
- ^ Moisejevs, Ilja (15 de julio de 2019). "Ataques de envenenamiento en el aprendizaje automático: hacia la ciencia de datos" . Medio . Consultado el 15 de julio de 2019 .
- ^ "¿Cómo robar sistemas modernos de PNL con galimatías?" . cleverhans-blog . 2020-04-06 . Consultado el 15 de octubre de 2020 .
- ^ a b Wang, Xinran; Xiang, Yu; Gao, Jun; Ding, Jie (13 de septiembre de 2020). "Lavado de información para la privacidad del modelo". arXiv : 2009.06112 [ cs.CR ].
- ^ Biggio, Battista; Nelson, Blaine; Laskov, Pavel (25 de marzo de 2013). "Ataques de envenenamiento contra máquinas de vectores de soporte". arXiv : 1206,6389 [ cs.LG ].
- ^ Jagielski, Matthew; Oprea, Alina; Biggio, Battista; Liu, Chang; Nita-Rotaru, Cristina; Li, Bo (mayo de 2018). "Manipulación del aprendizaje automático: envenenamiento de ataques y contramedidas para el aprendizaje de regresión" . Simposio IEEE 2018 sobre seguridad y privacidad (SP) . IEEE: 19–35. arXiv : 1804.00308 . doi : 10.1109 / sp.2018.00057 . ISBN 978-1-5386-4353-2. S2CID 4551073 .
- ^ "Atacar el aprendizaje automático con ejemplos de adversarios" . OpenAI . 2017-02-24 . Consultado el 15 de octubre de 2020 .
- ^ Gu, Tianyu; Dolan-Gavitt, Brendan; Garg, Siddharth (11 de marzo de 2019). "BadNets: identificación de vulnerabilidades en la cadena de suministro del modelo de aprendizaje automático". arXiv : 1708.06733 [ cs.CR ].
- ^ Veale, Michael; Binns, Reuben; Edwards, Lilian (28 de noviembre de 2018). "Algoritmos que recuerdan: ataques de inversión de modelos y ley de protección de datos" . Transacciones filosóficas. Serie A, Ciencias Matemáticas, Físicas e Ingeniería . 376 (2133). arXiv : 1807.04644 . Código Bib : 2018RSPTA.37680083V . doi : 10.1098 / rsta.2018.0083 . ISSN 1364-503X . PMC 6191664 . PMID 30322998 .
- ^ Shokri, Reza; Stronati, Marco; Song, Congzheng; Shmatikov, Vitaly (31 de marzo de 2017). "Ataques de inferencia de membresía contra modelos de aprendizaje automático". arXiv : 1610.05820 [ cs.CR ].
- ^ a b Goodfellow, Ian J .; Shlens, Jonathon; Szegedy, Christian (20 de marzo de 2015). "Explicación y aprovechamiento de ejemplos antagónicos". arXiv : 1412.6572 [ stat.ML ].
- ^ Madry, Aleksander; Makelov, Aleksandar; Schmidt, Ludwig; Tsipras, Dimitris; Vladu, Adrian (4 de septiembre de 2019). "Hacia modelos de aprendizaje profundo resistentes a ataques contradictorios". arXiv : 1706.06083 [ stat.ML ].
- ^ Carlini, Nicholas; Wagner, David (22 de marzo de 2017). "Hacia la evaluación de la robustez de las redes neuronales". arXiv : 1608.04644 [ cs.CR ].
- ^ Brown, Tom B .; Mané, diente de león; Roy, Aurko; Abadi, Martín; Gilmer, Justin (16 de mayo de 2018). "Parche adversario". arXiv : 1712.09665 [ cs.CV ].
- ^ Kishor Datta Gupta; Akhtar, Zahid; Dasgupta, Dipankar (2020). "Determinación de la secuencia de la técnica de procesamiento de imágenes (IPT) para detectar ataques adversarios". arXiv : 2007.00337 [ cs.CV ].
- ^ O. Dekel, O. Shamir y L. Xiao. " Aprendiendo a clasificar con características dañadas y faltantes ". Aprendizaje automático, 81: 149–178, 2010.
- ^ Liu, Wei; Chawla, Sanjay (2010). "Minería de patrones antagónicos a través de la minimización de pérdidas regularizada" (PDF) . Aprendizaje automático . 81 : 69–83. doi : 10.1007 / s10994-010-5199-2 . S2CID 17497168 .
- ^ B. Biggio, G. Fumera y F. Roli. " Evadir sistemas clasificadores múltiples duros ". En O. Okun y G. Valentini, editores, Métodos de conjuntos supervisados y no supervisados y sus aplicaciones, volumen 245 de Estudios en inteligencia computacional, páginas 15–38. Springer Berlín / Heidelberg, 2009.
- ^ BIP Rubinstein, PL Bartlett, L. Huang y N. Taft. " Aprendizaje en un gran espacio funcional: mecanismos de preservación de la privacidad para el aprendizaje de svm ". Revista de privacidad y confidencialidad, 4 (1): 65–100, 2012.
- ↑ M. Kantarcioglu, B. Xi, C. Clifton. "Evaluación de clasificadores y selección de atributos contra adversarios activos" . Datos Min. Knowl. Discov., 22: 291–335, enero de 2011.
- ^ Chivukula, Aneesh; Yang, Xinghao; Liu, Wei; Zhu, Tianqing; Zhou, Wanlei (2020). "Aprendizaje profundo de adversarios teóricos de juegos con adversarios variacionales" . Transacciones IEEE sobre conocimientos e ingeniería de datos : 1. doi : 10.1109 / TKDE.2020.2972320 . ISSN 1558-2191 .
- ^ Chivukula, Aneesh Sreevallabh; Liu, Wei (2019). "Modelos de aprendizaje profundo de adversarios con múltiples adversarios" . Transacciones IEEE sobre conocimiento e ingeniería de datos . 31 (6): 1066–1079. doi : 10.1109 / TKDE.2018.2851247 . ISSN 1558-2191 . S2CID 67024195 .
- ^ "TrojAI" . www.iarpa.gov . Consultado el 14 de octubre de 2020 .
enlaces externos
- Taller NIPS 2007 sobre aprendizaje automático en entornos adversarios para la seguridad informática
- AlfaSVMLib - Ataques de volteo de etiquetas adversarios contra máquinas de vectores de soporte [1]
- Laskov, Pavel; Lippmann, Richard (2010). "Machine learning en entornos adversarios". Aprendizaje automático . 81 (2): 115-119. doi : 10.1007 / s10994-010-5207-6 . S2CID 12567278 .
- Taller de perspectivas de Dagstuhl sobre " Métodos de aprendizaje automático para la seguridad informática "
- Taller de Inteligencia Artificial y Seguridad , (AISec) Series
- ^ H. Xiao, B. Biggio, B. Nelson, H. Xiao, C. Eckert y F. Roli. " Soporta máquinas de vectores bajo contaminación de etiquetas adversas ". Neurocomputación, número especial sobre avances en el aprendizaje con ruido de etiquetas, en prensa.