Je hebt misschien wel eens gehoord van vijandige aanvallen in relatie tot kunstmatige intelligentie en machine learning, maar wat zijn dat? Wat zijn hun doelen?

Technologie betekent vaak dat ons leven handiger en veiliger is. Tegelijkertijd hebben dergelijke ontwikkelingen echter geleid tot meer geavanceerde manieren voor cybercriminelen om ons aan te vallen en onze beveiligingssystemen te corrumperen, waardoor ze machteloos worden.

Kunstmatige intelligentie (AI) kan worden gebruikt door zowel cyberbeveiligingsprofessionals als cybercriminelen; evenzo kunnen machine learning (ML) -systemen zowel voor goed als kwaad worden gebruikt. Dit gebrek aan moreel kompas heeft vijandige aanvallen in ML tot een groeiende uitdaging gemaakt. Dus wat zijn vijandige aanvallen eigenlijk? Wat is hun doel? En hoe kun je je ertegen beschermen?

Wat zijn vijandige aanvallen bij machine learning?

Adversarial ML of vijandige aanvallen zijn cyberaanvallen die tot doel hebben een ML-model te misleiden met kwaadaardige invoer en zo te leiden tot lagere nauwkeurigheid en slechte prestaties. Ondanks zijn naam is adversarial ML dus geen vorm van machine learning, maar een verscheidenheid aan technieken die cybercriminelen, ook wel tegenstanders genoemd, gebruiken om ML-systemen aan te vallen.

instagram viewer

Het belangrijkste doel van dergelijke aanvallen is meestal om het model te misleiden om gevoelige informatie uit te delen, het niet detecteren van frauduleuze activiteiten, het produceren van onjuiste voorspellingen of het corrumperen van op analyse gebaseerde rapporten. Hoewel er verschillende soorten vijandige aanvallen zijn, richten ze zich vaak op op deep learning gebaseerde spamdetectie.

Je hebt waarschijnlijk wel eens gehoord van een tegenstander-in-het-midden aanval, een nieuwe en effectievere geavanceerde phishing-techniek die de diefstal van privé-informatie, sessiecookies en zelfs het omzeilen van multi-factor authenticatie (MFA)-methoden inhoudt. Gelukkig kun je deze bestrijden met phishing-resistente MFA-technologie.

Soorten vijandige aanvallen

De eenvoudigste manier om soorten vijandige aanvallen te classificeren, is door ze in twee hoofdcategorieën te verdelen:gerichte aanvallen En ongerichte aanvallen. Zoals wordt gesuggereerd, hebben gerichte aanvallen een specifiek doelwit (zoals een bepaalde persoon), terwijl niet-gerichte aanvallen niemand specifiek in gedachten hebben: ze kunnen zich op bijna iedereen richten. Het is dan ook niet verrassend dat ongerichte aanvallen minder tijdrovend maar ook minder succesvol zijn dan hun gerichte tegenhangers.

Deze twee soorten kunnen verder worden onderverdeeld in witte doos En zwarte doos vijandige aanvallen, waarbij de kleur de kennis of het gebrek aan kennis van het beoogde ML-model suggereert. Voordat we dieper ingaan op white-box- en black-box-aanvallen, gaan we eerst even kijken naar de meest voorkomende soorten vijandige aanvallen.

  • Ontduiking: Ontduikingsaanvallen, die meestal worden gebruikt in malwarescenario's, proberen detectie te omzeilen door de inhoud van met malware geïnfecteerde e-mails en spam-e-mails te verbergen. Door gebruik te maken van de trial-and-error-methode, manipuleert de aanvaller de gegevens op het moment van implementatie en corrumpeert de vertrouwelijkheid van een ML-model. Biometrische spoofing is een van de meest voorkomende voorbeelden van een ontwijkingsaanval.
  • Data vergiftiging: Deze aanvallen, ook wel besmettelijke aanvallen genoemd, hebben tot doel een ML-model tijdens de training of implementatieperiode te manipuleren en de nauwkeurigheid en prestaties te verminderen. Door kwaadaardige invoer te introduceren, verstoren aanvallers het model en maken ze het moeilijk voor beveiligingsprofessionals om het type voorbeeldgegevens te detecteren dat het ML-model corrumpeert.
  • Byzantijnse fouten: Dit type aanval veroorzaakt het verlies van een systeemservice als gevolg van een Byzantijnse fout in systemen die consensus tussen alle knooppunten vereisen. Zodra een van zijn vertrouwde nodes schurkenstaten wordt, kan het een denial-of-service (DoS)-aanval uitvoeren en het systeem afsluiten, waardoor wordt voorkomen dat andere nodes kunnen communiceren.
  • Modelextractie:Bij een extractieaanval onderzoekt de aanvaller een black-box ML-systeem om de trainingsgegevens te extraheren of, in het slechtste geval, het model zelf. Vervolgens kan een tegenstander, met een kopie van een ML-model in zijn handen, zijn malware testen tegen de antimalware/antivirus en uitzoeken hoe hij deze kan omzeilen.
  • Inferentie aanvallen: Net als bij extractie-aanvallen, is het doel hier om een ​​ML-model informatie te laten lekken over zijn trainingsgegevens. De tegenstander probeert dan echter te achterhalen welke dataset is gebruikt om het systeem te trainen, zodat hij kwetsbaarheden of vooroordelen daarin kan uitbuiten.

WhiteBox vs. Black Box vs. Grey-Box vijandige aanvallen

Wat deze drie soorten vijandige aanvallen onderscheidt, is de hoeveelheid kennis die tegenstanders hebben over de innerlijke werking van de ML-systemen die ze willen aanvallen. Hoewel de white-box-methode uitgebreide informatie vereist over het beoogde ML-model (inclusief zijn architectuur en parameters), vereist de black-box methode geen informatie en kan alleen de uitgangen.

Het grey-box-model bevindt zich ondertussen in het midden van deze twee uitersten. Volgens dit kunnen kwaadwillenden enige informatie hebben over de dataset of andere details over het ML-model, maar niet alles.

Hoe kunt u machine learning verdedigen tegen vijandige aanvallen?

Hoewel mensen nog steeds de cruciale component zijn bij het versterken van cyberbeveiliging,AI en ML hebben geleerd hoe ze kwaadaardige aanvallen kunnen detecteren en voorkomen—ze kunnen de nauwkeurigheid vergroten van het detecteren van kwaadaardige bedreigingen, het monitoren van gebruikersactiviteit, het identificeren van verdachte inhoud en nog veel meer. Maar kunnen ze vijandige aanvallen afweren en ML-modellen beschermen?

Een manier waarop we cyberaanvallen kunnen bestrijden, is door ML-systemen te trainen om vijandige aanvallen van tevoren te herkennen door voorbeelden toe te voegen aan hun trainingsprocedure.

In tegenstelling tot deze brute force-benadering, stelt de defensieve destillatiemethode voor dat we het primaire, efficiëntere model gebruiken om te berekenen de kritieke kenmerken van een secundair, minder efficiënt model eruit halen en vervolgens de nauwkeurigheid van het secundaire met het primaire model verbeteren een. ML-modellen die zijn getraind met defensieve destillatie zijn minder gevoelig voor vijandige monsters, waardoor ze minder vatbaar zijn voor uitbuiting.

We kunnen ook voortdurend de algoritmen wijzigen die de ML-modellen gebruiken voor gegevensclassificatie, waardoor vijandige aanvallen minder succesvol kunnen worden.

Een andere opmerkelijke techniek is feature squeezing, wat de beschikbare zoekruimte voor tegenstanders verkleint door onnodige invoerfuncties "uit te persen". Hier is het doel om valse positieven te minimaliseren en de detectie van tegenstrijdige voorbeelden effectiever te maken.

Bescherming van machine learning en kunstmatige intelligentie

Tegenstrijdige aanvallen hebben ons laten zien dat veel ML-modellen op verrassende manieren kunnen worden vernietigd. Tegenstrijdige machine learning is immers nog steeds een nieuw onderzoeksgebied binnen het domein van cybersecurity, en het brengt veel complexe problemen met zich mee voor AI en ML.

Hoewel er geen magische oplossing is om deze modellen te beschermen tegen alle vijandige aanvallen, biedt de de toekomst zal waarschijnlijk meer geavanceerde technieken en slimmere strategieën brengen om dit verschrikkelijke aan te pakken tegenstander.