日內瓦大學的研究人員最近開發了一種新的防御機制，通過將機器學習與密碼學聯系起來。在arXiv上發表的一篇論文中概述的新系統基于Kerckhoffs的第二個加密原理，該原理指出防御和分類算法都是已知的，但關鍵不是。

近幾十年來，機器學習算法，特別是深度神經網絡(DNN)，在執行大量任務方面取得了顯著成果。盡管如此，這些算法暴露于大量安全威脅，特別是對抗性攻擊，限制了它們在信任敏感任務上的實現。

“盡管深度網絡取得了顯著進展，但眾所周知，它們容易受到對抗性攻擊，”進行這項研究的研究人員之一Olga Taran告訴TechXplore。“對抗性攻擊旨在設計對原始樣本的這種擾動，這些樣本通常對人類來說是不可察覺的，但它能夠欺騙DNN輸出。”

越來越先進的攻擊策略可以輕易繞過大多數現有的防御措施。這主要是因為這些防御方法主要基于機器學習和處理原則，沒有加密組件，因此它們被設計為檢測拒絕或過濾掉對抗性擾動。由于大多數攻擊算法可以很容易地適應攻擊受攻擊的DNN的安全措施，目前，沒有任何防御機制能夠始終如一地應對對抗性攻擊。

“提出的對策的根本問題在于假設防御者和攻擊者擁有相同數量的信息，甚至共享相同或類似的訓練數據集，”進行這項研究的研究人員之一Slava Voloshynovskiy告訴TechXplore。“在這種情況下，防御者沒有信息優勢超過攻擊者。這與加密社區中開發的傳統安全方法有本質區別。”

因此，Voloshynovskiy和他的同事們決定設計一種新的方法，將機器學習和密碼學聯系起來，希望能夠更有效地防御DNN算法免受敵對攻擊。他們設計的技術基于Kerckhoffs的加密原理，該原則指出訪問系統的關鍵應該是未知的。

“我們在分類器結構中引入了一種隨機化機制，該機制由一個密鑰進行參數化，”Taran說。“當然，攻擊者無法獲得這樣的密鑰。這為攻擊者創造了防御者的信息優勢。而且，這個密鑰無法從訓練數據集中學習。隨機化機制是一個可以實現的預處理塊。以各種方式，包括隨機排列，采樣和嵌入。“

研究人員評估了他們的系統及其應對兩種最著名的最先進攻擊，快速梯度符號方法(FGSM)以及N. Carlini和D. Wagner(CW)提出的攻擊的能力。黑匣子和灰盒子情景。他們的結果非常有希望，他們的防御機制有效地抵消了兩者。

“一旦妥善解決，DNN的使用可能會在實際應用中獲得更多信任。我們相信我們的工作只是解決這個問題的第一步，”Voloshynovskiy說。“我們還希望吸引更多來自密碼學領域的專家與機器學習社區進行對話。”

研究人員開發的防御機制可以應用于幾種現有的DNN分類器。未來對更復雜數據集的測試或使用更廣泛的高級對抗攻擊將有助于進一步確定其有效性。

“我們現在計劃將我們的工作擴展到更一般的隨機化原則，并在真實的大尺寸圖像上進行測試，”Voloshynovskiy說。