如何确保您的机器学习模型不会被欺骗？

Q&AQ&A问答

如何确保您的机器学习模型不会被欺骗？

来源：CPDA数据分析师网 / 作者：数据君 / 时间：2021-04-28

我们将对人脸识别系统及其潜在漏洞进行简要的案例研究
此处描述的攻击和计数器有些笼统，但是人脸识别提供了简单易懂的示例，人脸识别系统，随着人脸大数据可用性的增加，由于易于构造，训练和部署，诸如深度神经网络之类的机器学习方法变得极为有吸引力，基于这些神经网络的面部识别系统继承了网络的漏洞，如果不加以解决，将容易受到多种形式的攻击。

物理攻击
简单明显的攻击是展示攻击，攻击者将目标人物的照片或视频简单地放在镜头前，攻击者还可以使用现实的面具来欺骗，尽管演示攻击可能很有效，但旁观者和/或人工操作人员很容易注意到它们，表现攻击的一个更细微的变化是物理扰动攻击，这包括攻击者佩戴特制的愚弄的东西，例如一副特殊颜色的眼镜，尽管人类会正确地将其分类为陌生人，但FRS神经网络可能会被愚弄。

数字攻击
人脸识别系统更容易受到数字攻击，知道底层神经网络的攻击者可以精心制作一个像素一个像素的示例，以地欺骗网络并假冒任何人，与物理攻击相比，这使数字攻击更加隐蔽，而物理攻击则效率更低，更引人注目，数字攻击有几个组成部分。尽管所有这些都相对难以察觉，但是下意识的是噪声攻击，攻击者的图像由自定义噪声图像修改，其中每个像素值多更改1％，上面的照片说明了这种攻击，对于人类而言，第三张图像看起来与张图像完全相同，但是神经网络将其注册为完全不同的图像。这使操作员和FRS都不会注意到攻击者，其他类似的数字攻击包括转换和生成攻击，转换攻击只是以愚弄FRS的方式旋转脸部或移动眼睛，生成攻击利用复杂的生成模型来创建具有与目标相似的面部结构的攻击者示例。

可能的解决方案
为了适当地解决一般人脸识别系统和神经网络的漏洞，机器学习鲁棒性领域开始发挥作用，该领域有助于解决机器学习模型部署中不一致的普遍问题，并提供有关如何减轻对抗性攻击的答案，提高神经网络鲁棒性的一种可能方法是将对抗性示例合并到训练中，通常这会导致模型在训练数据上的准确性稍差，但是部署后该模型将更适合于检测和拒抗性攻击，另一个好处是该模型将在现实世界的数据上更一致地执行，这通常是嘈杂的和不一致的。

提高模型鲁棒性的另一种常用方法是使用多个机器学习模型进行整体学习
在人脸识别系统的情况下，可以串联使用具有不同结构的多个神经网络，不同的神经网络具有不同的漏洞，因此对抗攻击一次只能利用一个或两个网络的漏洞，由于终决定是多数票，因此对抗性攻击不能欺骗，而不会欺骗大多数神经网络，这将需要对图像进行重大更改，而操作员将很容易注意到这些更改。

结论

各个领域中数据的指数增长使神经网络和其他机器学习模型成为完成大量任务的理想选择，解决方案以前需要花费数千小时才能解决，现在有了简单，优雅的解决方案，但是这些进步带来了对抗攻击的危险，这些攻击可以利用神经网络结构来达到恶意目的，为了解决这些漏洞，需要应用机器学习的鲁棒性以确保检测到并防止对抗性攻击。

免费客服热线：400-050-6600

商业联合会数据分析专业委员会

Prev article

您的人工智能计划需要成功应该要怎样做？

返回列表

Next article

将数据转化为见解是每个人的渴望？