Le rôle crucial du hasard dans la sécurité de l'apprentissage automatique
Examiner comment le hasard influence les vulnérabilités en apprentissage automatique et le besoin de meilleures normes.
― 10 min lire
Table des matières
L'aléa joue un rôle super important dans plein de domaines du machine learning (ML), genre pour améliorer les modèles, choisir des données et garantir la vie privée et la sécurité. Mais y a des inquiétudes sur la qualité de cet aléa dans ces systèmes. Beaucoup de systèmes ML dépendent des Générateurs de Nombres Aléatoires (RNG) pour l'aléa sans vraiment vérifier à quel point ces générateurs sont efficaces. Un aléa pourri peut mener à des vulnérabilités, rendant les systèmes ML plus faciles à exploiter par des attaquants.
Historiquement, les attaquants ont profité de faiblesses dans l'aléa. Par exemple, il y a eu des cas où des agences gouvernementales ont bidouillé des RNG pour briser des protections cryptographiques. Ce papier examine comment des attaquants pourraient exploiter des failles dans l'aléa pour compromettre les systèmes ML, en se concentrant particulièrement sur une technique appelée « Lissage aléatoire », qui est couramment utilisée pour améliorer la sécurité et la fiabilité des modèles ML.
Le lissage aléatoire implique généralement d'ajouter du bruit gaussien aux points de données, ce qui aide à évaluer si un modèle peut résister à des tentatives de le tromper avec des exemples adverses. Ces exemples adverses sont des entrées soigneusement conçues pour tromper le modèle et le faire faire de mauvaises prédictions. Le processus d'ajout de bruit sert à créer un tampon contre de telles attaques.
Ce papier présente un nouveau type d'attaque qui cible le générateur de nombres aléatoires lui-même. En manipulant l'aléa dont un modèle dépend, un attaquant peut créer de fausses certifications sur la robustesse du modèle. Ça veut dire qu'un modèle peut sembler plus sécurisé qu'il ne l'est réellement, ou moins sécurisé dans d'autres cas. Cette manipulation est pas facile à détecter et peut avoir un impact significatif sur la fiabilité du système ML.
L'Importance de l'Aléa dans le Machine Learning
L'aléa est essentiel dans divers aspects du ML. Il aide dans la sélection des utilisateurs dans l'apprentissage fédéré, veillant à une représentation variée des participants et réduisant le biais. Dans l'optimisation, des algorithmes comme la descente de gradient stochastique (SGD) dépendent de l'aléa pour prendre les meilleures décisions pendant l'entraînement. L'aléa est aussi clé pour choisir des échantillons de données représentatifs pour l'entraînement des modèles et dans des méthodes comme les simulations de Monte Carlo.
L'apprentissage actif, où l'algorithme choisit les échantillons les plus informatifs pour le marquage, s'appuie sur l'aléa pour minimiser les coûts. En termes de vie privée, l'aléa est vital pour la confidentialité différentielle, qui cherche à ajouter du bruit aux données de manière à protéger la vie privée individuelle tout en permettant une analyse précise. De plus, l'aléa est utilisé pour générer des données synthétiques, ce qui peut élargir les ensembles d'entraînement et améliorer les capacités de généralisation des modèles ML.
Malgré son importance, les vulnérabilités dues à des normes d'aléa faibles n'ont pas été suffisamment adressées. Il y a un besoin d'explorer comment les changements dans les générateurs de nombres aléatoires peuvent influencer des processus décisionnels critiques dans le ML. Ce papier se concentre en particulier sur une technique courante utilisée pour comprendre l'incertitude, même si elle n'est pas principalement reconnue comme telle dans la littérature.
Attaques Basées sur l'Aléa
Dans cet article, deux types d'attaques sur le lissage aléatoire sont explorés. La première est une attaque basique qui substitue une distribution gaussienne par un autre type de distribution de bruit, comme la distribution de Laplace, pour perturber la fiabilité des estimations de confiance du modèle. Bien que cette méthode initiale soit relativement simple et puisse être détectée, elle montre la faisabilité d'exploiter l'aléa.
La seconde attaque est plus sophistiquée, ne modifiant qu'un seul bit dans la sortie du générateur de nombres aléatoires. Ce type d'attaque par inversion de bit peut mener à des jugements complètement erronés concernant la confiance du modèle, rendant difficile pour les défenseurs d'identifier quand une attaque a été réalisée. De telles attaques démontrent l'insuffisance des normes et défenses actuelles pour protéger contre les menaces ciblant l'aléa utilisé dans le machine learning.
Technique de Lissage Aléatoire
Le lissage aléatoire est une technique qui analyse comment les changements d'entrées peuvent affecter les prédictions du modèle en échantillonnant du bruit autour des points d'entrée. L'objectif est de créer un filet de sécurité contre les exemples adverses. Cela implique d'ajouter du bruit gaussien isotrope aux points de données pour comprendre combien de perturbation un modèle peut tolérer sans changer ses prédictions.
Bien que le lissage aléatoire soit devenu une manière courante d'assurer la robustesse d'un modèle, peu d'attention a été portée à la qualité du bruit gaussien utilisé. Par exemple, un mauvais échantillonnage de bruit pourrait mener à des certifications inappropriées de la sécurité du modèle contre les attaques adverses.
Cet article sensibilise sur la façon dont les attaquants peuvent exploiter les générateurs de nombres aléatoires et propose d'adopter des mesures plus robustes pour améliorer les normes d'aléa dans le machine learning.
Comprendre les Mécanismes d'Attaque
La première méthode d'attaque, bien que simple, montre comment la substitution d'une distribution de bruit peut mener à des résultats trompeurs. Par exemple, passer de la distribution gaussienne à celle de Laplace peut fausser les Niveaux de confiance estimés pour les prédictions du modèle, entraînant potentiellement des surestimations ou des sous-estimations de la robustesse.
La seconde attaque, l'attaque par inversion de bit, fonctionne en modifiant les bits qui sortent du générateur de nombres aléatoires. En changeant juste un bit sur chaque 64 bits, un attaquant peut obtenir une mauvaise quantification substantielle des niveaux de confiance dans les prédictions d'un modèle. Cette modification est discrète et ne déclenche pas les mécanismes de détection traditionnels, soulignant la nécessité d'améliorer les tests et les normes pour les RNG.
L'Importance des Tests d'Aléa
Les normes actuelles en matière de tests d'aléa, comme celles recommandées par l'Institut national des normes et de la technologie (NIST), ne couvrent pas suffisamment les défis uniques rencontrés dans le machine learning. Les tests sont principalement conçus pour des applications cryptographiques et peuvent ne pas capturer efficacement les types d'échecs d'aléa qui se produisent dans les systèmes ML. Les insuffisances de ces tests ouvrent une porte aux adversaires cherchant à exploiter l'aléa dans les environnements ML.
Par exemple, de nombreux tests de bruit recommandés par le NIST ne parviennent pas à détecter les attaques présentées ici, car ils reposent sur des paramètres standards qui ne peuvent pas détecter des manipulations subtiles de l'aléa généré. Cet article préconise une réévaluation et une modernisation des normes de tests d'aléa pour mieux répondre aux besoins des applications ML, en particulier celles qui sont critiques pour la sécurité.
Explorer les Défenses Contre les Attaques d'Aléa
À la lumière des attaques présentées, il est crucial de réfléchir à comment les praticiens du machine learning peuvent se défendre contre les vulnérabilités potentielles liées à l'aléa. La première étape est de s'assurer que tout cadre de génération d'aléa soit soigneusement examiné pour des vulnérabilités. Les organisations devraient améliorer leur compréhension des outils qu'elles utilisent et des faiblesses potentielles qui peuvent en découler.
Une façon d'améliorer les défenses est d'incorporer des tests et des vérifications supplémentaires. Des tests d'aléa plus complets, alignés avec les exigences spécifiques du machine learning, pourraient aider à détecter quand l'aléa a été compromis. Cela inclut le développement d'évaluations adaptées aux types de distributions de bruit couramment utilisées dans les systèmes ML.
Une autre approche pourrait impliquer la mise en œuvre d'algorithmes plus avancés pour générer des nombres aléatoires en mettant l'accent sur la fiabilité plutôt que sur la rapidité. En s'assurant que l'aléa utilisé dans les modèles est robuste, il pourrait être plus facile de prévenir les exploitations par des attaquants.
L'Appel à de Meilleures Normes dans le ML
Les résultats de cet article mettent en lumière un écart significatif dans les normes actuelles d'aléa dans le machine learning. À mesure que les modèles deviennent de plus en plus complexes et dépendent davantage d'éléments aléatoires, il est essentiel d'établir des directives et des bonnes pratiques plus claires.
Pour atteindre cela, la communauté ML doit engager des discussions ouvertes sur les risques associés à l'aléa et comment développer des mesures de sécurité qui abordent spécifiquement ces risques. Cela inclut la définition de ce que signifie un aléa sécurisé dans le contexte du ML et comment cela devrait être évalué.
De plus, les organisations devraient être encouragées à collaborer et à partager des idées sur les meilleures pratiques pour garantir un aléa sécurisé. En travaillant ensemble, la communauté peut créer une compréhension partagée de l'importance des normes d'aléa robustes dans le machine learning.
Conclusion : Avancer
Bien que l'aléa soit vital au fonctionnement du machine learning, les vulnérabilités causées par de faibles normes d'aléa nécessitent plus d'attention. Comme le montrent les exemples discutés, les attaquants peuvent manipuler l'aléa pour compromettre l'efficacité et la fiabilité des systèmes ML.
Pour atténuer ces risques, il est crucial de réévaluer les normes de test actuelles pour l'aléa dans le machine learning, d'adopter de nouvelles pratiques et de développer des RNG plus robustes. En faisant cela, le domaine peut améliorer la sécurité et la résilience des applications de machine learning, s'assurant qu'elles restent fiables et dignes de confiance dans divers contextes du monde réel.
La recherche continue devrait se concentrer sur l'exploration de nouveaux vecteurs d'attaques ciblant l'aléa dans le ML et chercher à établir des défenses plus solides. Cet article sert d'appel à l'action pour les chercheurs, les praticiens et les organisations pour prioritiser l'intégrité de l'aléa dans les systèmes de machine learning, visant des normes et des pratiques améliorées qui peuvent résister à de potentielles menaces.
En conclusion, l'aléa dans le machine learning ne devrait pas être une réflexion après coup. Aborder les vulnérabilités liées à l'aléa est essentiel pour sécuriser l'avenir du machine learning et ses applications.
Titre: Machine Learning needs Better Randomness Standards: Randomised Smoothing and PRNG-based attacks
Résumé: Randomness supports many critical functions in the field of machine learning (ML) including optimisation, data selection, privacy, and security. ML systems outsource the task of generating or harvesting randomness to the compiler, the cloud service provider or elsewhere in the toolchain. Yet there is a long history of attackers exploiting poor randomness, or even creating it -- as when the NSA put backdoors in random number generators to break cryptography. In this paper we consider whether attackers can compromise an ML system using only the randomness on which they commonly rely. We focus our effort on Randomised Smoothing, a popular approach to train certifiably robust models, and to certify specific input datapoints of an arbitrary model. We choose Randomised Smoothing since it is used for both security and safety -- to counteract adversarial examples and quantify uncertainty respectively. Under the hood, it relies on sampling Gaussian noise to explore the volume around a data point to certify that a model is not vulnerable to adversarial examples. We demonstrate an entirely novel attack, where an attacker backdoors the supplied randomness to falsely certify either an overestimate or an underestimate of robustness for up to 81 times. We demonstrate that such attacks are possible, that they require very small changes to randomness to succeed, and that they are hard to detect. As an example, we hide an attack in the random number generator and show that the randomness tests suggested by NIST fail to detect it. We advocate updating the NIST guidelines on random number testing to make them more appropriate for safety-critical and security-critical machine-learning applications.
Auteurs: Pranav Dahiya, Ilia Shumailov, Ross Anderson
Dernière mise à jour: 2024-02-10 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2306.14043
Source PDF: https://arxiv.org/pdf/2306.14043
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.