Перенос на модель чёрного ящика
Оригинал: Black-Box Transfer
При атаках с переносом на модель чёрного ящика злоумышленник использует одну или несколько прокси-моделей, к которым у него есть полный доступ и которые близки по поведению к целевой модели. Такие прокси-модели могут быть обучены через создание прокси-модели ИИ или обучение прокси через репликацию. Злоумышленник применяет оптимизацию в режиме белого ящика к прокси-моделям, чтобы сгенерировать состязательные примеры. Если набор прокси-моделей достаточно близок к целевой модели, состязательный пример должен переноситься с одной модели на другую. Это означает, что атака, работающая против прокси-моделей, с высокой вероятностью сработает и против целевой модели. Если у злоумышленника есть доступ к API инференса ИИ-модели, он может использовать проверку атаки, чтобы подтвердить работоспособность атаки и учесть эту информацию в процессе обучения.
Тактики
Родительская техника
Другие подтехники родителя
Меры защиты
Усиленные модели более устойчивы к состязательным входным данным.
AML.M0006Использование ансамблевых методовИспользование ансамбля моделей усложняет создание эффективных состязательных данных и повышает общую устойчивость.
AML.M0010Восстановление входных данныхВосстановление входных данных может помогать исправлять состязательные входные данные.
AML.M0015Обнаружение состязательных входных данныхВстраивайте обнаружение состязательных входных данных, чтобы блокировать вредоносные входные данные во время инференса.
Примеры процедур из кейсов
Реплицированные модели использовались для генерации состязательных примеров, которые успешно срабатывали на сервисах машинного перевода с закрытой внутренней логикой.
AML.CS0008Обход ProofPointЗатем исследователи ML алгоритмически нашли в этой "офлайн" прокси-модели образцы, которые помогли получить нужное представление о ее поведении и влиятельных переменных. Примеры образцов с хорошими оценками: "calculation", "asset" и "tyson". Примеры образцов с плохими оценками: "software", "99" и "unsub".
AML.CS0014Сбивание с толку антивирусных нейронных сетейС помощью разработанного градиентного алгоритма из вредоносных файлов были созданы состязательные вредоносные файлы для прокси-модели, предназначенные для переноса на целевую модель в режиме чёрного ящика.