強化学習における革新的な攻撃戦略
新しい手法は、トレーニング時の攻撃を通じてエージェントの行動を狙ってる。
― 1 分で読む
強化学習(RL)は、エージェントが環境内で行動を取って特定の目標を達成するために意思決定を学ぶ機械学習の一種なんだ。でも、RLシステムは訓練フェーズ中に攻撃を受けやすくて、それが挙動に問題を引き起こすことがある。これらの攻撃は訓練時攻撃(TTA)として知られている。
TTAは有害で、学習プロセスに弱点やバックドアをもたらす可能性がある。攻撃者は被害者のRLエージェントの挙動を操作し、特定の方法で行動させようとする。通常の攻撃とは違って、建設的なTTAは被害者エージェントが自分では選ばない特定の行動を取らせるんだ。
今回の研究では、被害者に自然には達成できない行動を取らせようとする新しいタイプの建設的TTAについて話す。新しいアプローチでは、攻撃者が狙っている行動が被害者の元々の目標に合わない場合でも、エージェントに影響を与えられることを示しているんだ。
背景
強化学習は報酬に基づいて機能する。エージェントは環境内で行動を取り、その行動に対するフィードバックとして報酬を得る。目標は、時間を通じて総報酬を最大化すること。TTAの場合、攻撃者は環境を変更して、被害者エージェントの学習や行動に影響を与えようとする。
攻撃者は被害者エージェントに関する内部情報(ホワイトボックス攻撃)を使ったり、エージェントが環境とどうやって相互作用するかの外部情報(ブラックボックス攻撃)だけを使ったりすることができる。私たちのケースでは、攻撃者が被害者エージェントの内部に直接アクセスできないブラックボックス攻撃に焦点を当てている。
現在のアプローチの問題
既存の多くの攻撃は、被害者の行動を変えて最適な行動を取らせようとするんだけど、これらの方法はしばしば、被害者エージェントが最終的に学べる修正に依存している。私たちの研究は、環境の性質や目標との不整合のために、被害者が学ぶのが本質的に難しい行動に焦点を当てて、別の方向を探求している。
そんな攻撃を効果的に実施するために、DDPG(Deep Deterministic Policy Gradient)アルゴリズムの特化型バージョンを提案する。私たちのアプローチは、攻撃の計画ホライズンを、被害者エージェントの現在の行動に基づいて調整するんだ。これにより、攻撃プロセス全体でより良い意思決定ができて、努力の分配を改善できる。
方法論
攻撃者アルゴリズムの開発
提案する攻撃方法論を支えるために、DDPGアルゴリズムを修正する。修正したアルゴリズムの主な側面は、報酬の動的割引だ。これにより、将来の報酬に与えられる重要性が、攻撃者の現在の行動や努力に基づいて変わる。
3Dグリッドドメインを実験の基盤として使用し、被害者を非最適な目標行動に向かわせるように環境を変更する攻撃を実施する。目標は、被害者エージェントが妨害なしに通常学ぶであろうよりも長い道を学ぶように導くことだ。
攻撃戦略
攻撃者は、環境内の特定のパラメータを調整することで、被害者の行動に対する環境の反応を変更する。これには、環境の風景を制御して被害者をより非最適な道に導くことが含まれる。
私たちの探求では、被害者エージェントに目標行動を達成させつつ、環境に必要な修正を最小限に抑える2つの目標をバランスさせて攻撃を最適化している。この二重の焦点が、攻撃者の全体的な努力を減らしつつ、攻撃の正確さを最大化するのに役立つ。
実験デザイン
テスト環境
3Dグリッド空間を利用し、ナビゲーションエージェント(被害者)が目標への最短経路を見つけることを学ぶ。攻撃者は標高の専門家として行動し、グリッドセルの高度を変更することで環境のダイナミクスを変える。この操作は、被害者エージェントを自然な学習パスから逸らすのに役立つ。
パフォーマンス指標
攻撃戦略の効果を評価するために、いくつかのパフォーマンス指標を定義する:
- 攻撃精度(@Acc):被害者が目標行動をどれだけ採用したかを測定。
- ソフトマックス精度(@SoftAcc):被害者が目標行動をどれだけ好むかを評価。
- 攻撃者の努力(@Effort):環境に対する修正の範囲を計算。
- 攻撃時間(@Time):攻撃者が行動を実行するのにかかった時間を記録。
実験スタディ
動的割引手法と従来の固定割引を比較するために、複数のスタディを実施する。それぞれのスタディは、上記の指標に基づいてさまざまな攻撃モデルを比較することを目的としている。
主な発見
動的割引の効果
私たちの研究は、動的割引を使用することで攻撃者が努力と精度を適応的にバランスさせることができ、固定割引では不可能だったことを示している。結果は、動的割引を使用した戦略が、攻撃精度を高めるだけでなく、固定割引に依存するものよりも少ない努力を必要とすることを示している。
攻撃モデルの比較
私たちは、修正したDDPGアルゴリズムが被害者に目標行動を採用させる点で、最先端の攻撃モデルを大幅に上回ることを発見した。テストの結果、従来の方法では局所最適に陥りがちであるのに対し、私たちのアプローチは柔軟性を維持し、被害者の学習を効果的に修正するためのより良い道筋を見つけることができる。
一般化能力
被害者エージェントの異なる初期状態に対して一般化する能力は重要だ。私たちの結果は、動的割引戦略が一般化を強化し、攻撃者が被害者の行動の変動により適応しやすくなることを示している。
結論
この研究は、強化学習における訓練時環境汚染攻撃に対する新しいアプローチを明らかにする。非最適な目標行動を達成することに焦点を当てることで、攻撃者がエージェントの学習にどのように影響を与えるかの新たな基準を設定している。
動的割引を採用した修正DDPGアルゴリズムは、今後の敵対的強化学習における新たな道を開き、被害者エージェントを望ましくない行動に導くためのより良い戦術を可能にする。この方法論は、連続環境や多目的最適化シナリオにもさらに拡張可能だ。
まとめると、私たちの研究はより効果的な攻撃の可能性を示すだけでなく、強化学習システムがこのような介入からどのように保護されるべきかを再考することを促すものだ。
タイトル: Adaptive Discounting of Training Time Attacks
概要: Among the most insidious attacks on Reinforcement Learning (RL) solutions are training-time attacks (TTAs) that create loopholes and backdoors in the learned behaviour. Not limited to a simple disruption, constructive TTAs (C-TTAs) are now available, where the attacker forces a specific, target behaviour upon a training RL agent (victim). However, even state-of-the-art C-TTAs focus on target behaviours that could be naturally adopted by the victim if not for a particular feature of the environment dynamics, which C-TTAs exploit. In this work, we show that a C-TTA is possible even when the target behaviour is un-adoptable due to both environment dynamics as well as non-optimality with respect to the victim objective(s). To find efficient attacks in this context, we develop a specialised flavour of the DDPG algorithm, which we term gammaDDPG, that learns this stronger version of C-TTA. gammaDDPG dynamically alters the attack policy planning horizon based on the victim's current behaviour. This improves effort distribution throughout the attack timeline and reduces the effect of uncertainty the attacker has about the victim. To demonstrate the features of our method and better relate the results to prior research, we borrow a 3D grid domain from a state-of-the-art C-TTA for our experiments. Code is available at "bit.ly/github-rb-gDDPG".
著者: Ridhima Bector, Abhay Aradhya, Chai Quek, Zinovi Rabinovich
最終更新: 2024-01-05 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2401.02652
ソースPDF: https://arxiv.org/pdf/2401.02652
ライセンス: https://creativecommons.org/licenses/by-nc-sa/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。