Resultados de la estrategia de defensa pura bajo ataque óptimo. Crédito:Ou &Samavi.
Los ataques de envenenamiento se encuentran entre las mayores amenazas de seguridad para los modelos de aprendizaje automático (ML). En este tipo de ataque, un adversario intenta controlar una fracción de los datos utilizados para entrenar redes neuronales e inyecta puntos de datos maliciosos para obstaculizar el rendimiento de un modelo.
Aunque los investigadores han estado intentando desarrollar técnicas que pudieran detectar o contrarrestar estos ataques, la eficacia de estas técnicas a menudo depende de cuándo y cómo se apliquen. Además, A veces, la aplicación de técnicas de filtrado para detectar modelos de AA contra ataques de envenenamiento puede reducir su precisión. impidiéndoles analizar datos genuinos y corruptos.
En un estudio reciente, Los investigadores de la Universidad McMaster en Canadá han utilizado con éxito la teoría de juegos para modelar escenarios de ataques de envenenamiento. Sus hallazgos, descrito en un artículo publicado previamente en arXiv, demuestra la inexistencia de un equilibrio de Nash de estrategia pura, lo que implica que cada jugador elija repetidamente la misma estrategia en el "juego" del atacante y del defensor.
Estudiar los comportamientos tanto de los atacantes como de los defensores cuando se producen ataques de envenenamiento podría ayudar a desarrollar algoritmos de aprendizaje automático que estén más protegidos contra ellos y, sin embargo, conserven su precisión. En su estudio, los investigadores intentaron modelar los ataques de envenenamiento dentro del contexto de la teoría de juegos, una rama de las matemáticas que se ocupa de comprender mejor las estrategias utilizadas en situaciones competitivas (por ejemplo, juegos), donde un resultado depende en gran medida de las elecciones de los involucrados (es decir, los participantes).
"El objetivo de este artículo es encontrar el equilibrio de Nash (NE) del modelo de juego de ataque y defensa con envenenamiento, "Yifan Ou y Reza Samavi, los dos investigadores que realizaron el estudio, explicar en su papel. "La identificación de la estrategia de NE nos permitirá encontrar la fuerza de filtro óptima del algoritmo de defensa, así como el impacto resultante en el modelo ML cuando tanto el atacante como el defensor están usando estrategias óptimas ".
En teoría de juegos, NE es un estado estable de un sistema que implica interacciones competitivas entre diferentes participantes (por ejemplo, un juego). Cuando ocurre NE, ningún participante puede ganar nada mediante un cambio unilateral de estrategia si la estrategia del otro jugador / jugadores permanece sin cambios.
En su estudio, Ou y Samavi intentaron encontrar el NE en el contexto de ataques de envenenamiento y estrategias de defensa. Primero, utilizaron la teoría de juegos para modelar la dinámica de los ataques de envenenamiento y demostraron que un NE puro no existe en dicho modelo. Después, propusieron una estrategia de NE mixta para este modelo de juego en particular y demostraron su eficacia en un entorno experimental.
"Usamos la teoría de juegos para modelar las estrategias de atacante y defensor en escenarios de ataque de envenenamiento, "escribieron los investigadores en su artículo." Demostramos la inexistencia de la estrategia pura NE, propuso una extensión mixta de nuestro modelo de juego y un algoritmo para aproximar la estrategia NE para el defensor, luego demostró la efectividad de la estrategia de defensa mixta generada por el algoritmo ".
En el futuro, los investigadores quisieran investigar un enfoque más general para abordar los ataques de envenenamiento, lo que implica detectar y rechazar muestras mediante algoritmos de auditoría. Este enfoque alternativo podría ser particularmente eficaz para actualizar y mejorar un modelo capacitado en situaciones en las que se busca la retroalimentación de los usuarios en línea.
© 2019 Science X Network