Різноманітна команда експертів розробляє систему захисту для нейронних мереж

Різноманітна команда інженерів, біологів і математиків Мічиганського університету розробила систему захисту нейронних мереж на основі адаптивної імунної системи. Система може захищати нейронні мережі від різних типів атак.

Злочинні групи можуть налаштувати вхідні дані алгоритму глибокого навчання, щоб направити його неправильно, що може стати основною проблемою для таких програм, як ідентифікація, машинне бачення, обробка природної мови (NLP), переклад мови, виявлення ворожнечі тощо. 

Надійна змагальна імунна система навчання

Нещодавно сконструйована захисна система називається надійною системою навчання з опором на імунітет. Твір опубліковано в Доступ IEEE. 

Альфред Геро — почесний професор Університету Джона Х. Голланда. Він співкерував роботою. 

«RAILS представляє перший підхід до змагального навчання, який моделюється за адаптивною імунною системою, яка працює інакше, ніж вроджена імунна система», — сказав Геро. 

Команда виявила, що глибокі нейронні мережі, які вже створені мозком, також можуть імітувати біологічний процес імунної системи ссавців. Ця імунна система генерує нові клітини, призначені для захисту від конкретних патогенів. 

Індіка Раджапаксе — доцент кафедри обчислювальної медицини та біоінформатики, а також співкерівник дослідження.

«Імунна система створена для несподіванок. Він має дивовижний дизайн і завжди знайде рішення», – сказав Раджапаксе. 

Імітація імунної системи

RAILS імітує природний захист імунної системи, що дає їй змогу ідентифікувати підозрілі дані нейронної мережі та реагувати на них. Біологічна команда спочатку вивчила, як адаптивна імунна система мишей реагує на антиген, перш ніж створити модель імунної системи. 

Потім аналіз інформації провів Стівен Ліндслі, який на той час був докторантом з біоінформатики. Ліндслі допоміг перекласти цю інформацію між біологами та інженерами, що дало змогу команді Героя змоделювати біологічний процес на комп’ютерах. Для цього команда вклала в код біологічні механізми. 

Захист RAILS було перевірено за допомогою змагальних входів.

«Ми не були впевнені, що справді вловили біологічний процес, доки не порівняли криві навчання RAILS з тими, які були отримані в результаті експериментів», — сказав Геро. «Вони були абсолютно такими ж». 

RAILS перевершив два найпоширеніші процеси машинного навчання, які зараз використовуються для боротьби з агресивними атаками. Ці два процеси — це Рауст Deep k-Nearest Neighbor і згорточні нейронні мережі. 

Рен Ван — науковий співробітник у галузі електротехніки та комп’ютерної інженерії. Він відповідав за розробку та впровадження програмного забезпечення. 

«Дуже багатообіцяючою частиною цієї роботи є те, що наша загальна структура може захистити від різних типів атак», — сказав Рен Ван. 

Потім дослідники використали ідентифікацію зображень як тестовий приклад для оцінки RAILS проти восьми типів атак противника в різних наборах даних. Він продемонстрував покращення в усіх випадках і навіть захищав від атаки Projected Gradient Descent, яка є найруйнівнішим типом змагальної атаки. RAILS також покращив загальну точність.

«Це дивовижний приклад використання математики для розуміння цієї прекрасної динамічної системи», — сказав Раджапаксе. «Можливо, ми зможемо взяти те, що ми дізналися з RAILS, і допомогти перепрограмувати імунну систему, щоб вона працювала швидше».