多元化专家团队开发神经网络防御系统

密歇根大学的一支由工程师、生物学家和数学家组成的多元化团队已经开发出了一种基于适应性免疫系统的神经网络防御系统。该系统可以抵御神经网络的各种类型的攻击。

恶意团体可以调整深度学习算法的输入以使其朝着错误的方向发展，这对于识别、机器视觉、自然语言处理（NLP）、语言翻译、争端检测等应用来说是一个重大问题。

强健的对抗性免疫启发学习系统

新建的防御系统被称为强健的对抗性免疫启发学习系统。该工作发表在 IEEE Access 上。

阿尔弗雷德·赫罗（Alfred Hero）是约翰·H·霍兰德（John H. Holland）杰出大学教授，他领导了这项工作。

“RAILS 代表了第一个对抗性学习方法，它是基于适应性免疫系统的，这与固有免疫系统的运作方式不同，”赫罗说。

该团队发现，深度神经网络已经从大脑中汲取灵感，也可以模仿哺乳动物免疫系统的生物过程。这种免疫系统会产生新的细胞来抵御特定的病原体。

印迪卡·拉贾帕克塞（Indika Rajapakse）是计算机医学和生物信息学的副教授，也是该研究的共同领导者。

“免疫系统是为意外事件而设计的。它有一个惊人的设计，并且总会找到解决方案，”拉贾帕克塞说。

模仿免疫系统

RAILS 模仿了免疫系统的自然防御，使其能够识别和处理神经网络中的可疑输入。生物团队首先研究了小鼠的适应性免疫系统如何对抗原做出反应，然后创建了免疫系统的模型。

当时还是生物信息学博士生的斯蒂芬·林斯利（Stephen Lindsly）对这些信息进行了数据分析。林斯利帮助生物学家和工程师之间翻译这些信息，从而使赫罗的团队能够在计算机上模拟生物过程。为此，团队将生物机制融入代码中。

RAILS 的防御被测试了对抗性输入。

“我们不确定是否真正捕捉到了生物过程，直到我们将 RAILS 的学习曲线与实验中提取的曲线进行比较，”赫罗说。“它们完全相同。”

RAILS 在抵御对抗性攻击方面优于目前使用的两种最常见的机器学习过程。这些过程是 Roust Deep k-Nearest Neighbor 和卷积神经网络。

任旺（Ren Wang）是电气和计算机工程的研究员，他主要负责软件的开发和实施。

“这项工作中最有前途的部分之一是，我们的通用框架可以抵御不同类型的攻击，”任旺说。

研究人员然后使用图像识别作为测试用例来评估 RAILS 对各种数据集中的八种类型的对抗性攻击的性能。它在所有情况下都表现出改进，并且甚至可以抵御最具破坏性的对抗性攻击——Projected Gradient Descent 攻击。RAILS 还提高了整体准确性。

“这是一个使用数学来理解这个美丽动态系统的惊人例子，”拉贾帕克塞说。“我们可能能够从 RAILS 中学习并帮助重新编程免疫系统，使其能够更快速地工作。”