Nepriateľské útoky na neurónové siete
Hlboké učenie je funkcia umelej inteligencie, ktorá napodobňuje fungovanie ľudského mozgu pri spracovaní údajov a vytváraní vzorov na použitie pri rozhodovaní. V posledných rokoch sa popularita hlbokého učenia výrazne zvýšila, keď sa táto technika stala praktickým a výkonným nástrojom na automatizáciu úloh. Vďaka schopnosti učiť sa zložité abstraktné pojmy, sa hlboké učenie využíva ako riešenie mnohých rôznych úloh kybernetickej bezpečnosti: detekcia škodlivého softvéru, detekcia narušenia siete, autentifikácia hlasu, atď.
Neurónové siete tvoria základ súčasných aplikácií hlbokého učenia. Ukázalo sa, že sú efektívne v doménach, ktoré dokážu poskytnúť veľké množstvo označených údajov, aby bolo možné naučiť sa klasifikačný model s dostatočnou úrovňou presnosti. Jedna neurónová sieť je sieť vzájomne prepojených uzlov alebo neurónov, kde sa signál prenáša od vstupných neurónov smerom k výstupným neurónom.
V poslednom desaťročí sa ukázalo, že neurónové siete sú citlivé na malé nepriaznivé poruchy buď na vstupoch, alebo počas výpočtu. Takéto nepriateľské útoky môžu spôsobiť nesprávnu klasifikáciu a iné útočníkom požadované správanie neurónových sietí. Následne vedú k škodlivým výsledkom počas používania týchto sietí. Napríklad nesprávna klasifikácia dopravnej značky môže viesť k vážnym nehodám. V tejto prednáške predstavíme niekoľko nepriateľských útokov na neurónové siete a rozoberieme príslušné dôsledky.
Neurónové siete dnes dosahujú špičkové výsledky v rozpoznávaní obrazov, no dajú sa oklamať prekvapivo malými zásahmi do vstupu. Tzv. adversariálne útoky menia pixely alebo svetelné podmienky tak nenápadne, že človek rozdiel takmer nepostrehne, zatiaľ čo model si je nesprávnou odpoveďou sebavedomo istý. Prednáška ukázala, ako takéto útoky fungujú a prečo sú dôležité pre bezpečnosť v praxi. Neurónová sieť je prepojenie uzlov, ktoré premieňa vstup na výstup a často sa používa na klasifikáciu, napríklad obrázkov mačiek a psov. Už v roku 2014 autori ukázali, že k pôvodnému obrázku stačí pridať veľmi malý, cielene navrhnutý šum a sieť zmení názor s veľmi vysokou istotou, hoci človek zmenu takmer nevidí. Útok môže byť necielený (stačí spôsobiť chybu) alebo cielený, keď útočník prinúti model vybrať konkrétnu nesprávnu triedu. Ilustratívny príklad: fotografia pandy sa po nenápadnej úprave začne klasifikovať ako gibón s takmer absolútnou istotou.Od neurónových sietí k adversariálnym príkladom
