多元化专家团队开发神经网络防御系统

密歇根大学的一支由工程师、生物学家和数学家组成的多元化团队开发了一种基于适应性免疫系统的神经网络防御系统。该系统可以抵御各种类型的攻击。

恶意团体可以调整深度学习算法的输入以使其朝着错误的方向发展，这对识别、机器视觉、自然语言处理（NLP）、语言翻译、争议检测等应用来说是一个重大问题。

强大的对抗性免疫启发学习系统

新建的防御系统被称为强大的对抗性免疫启发学习系统。该工作发表在 IEEE Access 上。

阿尔弗雷德·赫罗是约翰·H·霍兰德杰出大学教授。他共同领导了这项工作。

“RAILS 代表了第一个对抗性学习方法，它的灵感来自于适应性免疫系统，这与固有免疫系统的工作方式不同，”赫罗说。

该团队发现，深度神经网络已经从大脑中汲取灵感，也可以模仿哺乳动物免疫系统的生物过程。这种免疫系统会产生新的细胞，旨在抵御特定的病原体。

印迪卡·拉贾帕克塞是计算医学和生物信息学的副教授，也是这项研究的共同领导者。

“免疫系统的设计初衷就是为了应对意外事件。它具有惊人的设计，并且总能找到解决方案，”拉贾帕克塞说。

模仿免疫系统

RAILS 模仿了免疫系统的自然防御，使其能够识别和处理神经网络中的可疑输入。生物学团队首先研究了小鼠的适应性免疫系统如何对抗原反应，然后创建了免疫系统的模型。

当时还是生物信息学博士生的斯蒂芬·林斯利对这些信息进行了数据分析。林斯利帮助生物学家和工程师之间进行信息转换，从而使赫罗的团队能够在计算机上模拟生物过程。为此，团队将生物机制融入代码中。

RAILS 的防御能力被测试过，使用了对抗性输入。

“我们不确定自己是否真正捕捉到了生物过程，直到我们将 RAILS 的学习曲线与从实验中提取的曲线进行比较，”赫罗说。“它们完全相同。”

RAILS 在性能上超过了当前用于对抗对抗性攻击的两种最常见的机器学习过程。这些过程是鲁棒深度 k-最近邻和卷积神经网络。

任旺是电气和计算机工程的研究员。他主要负责软件的开发和实施。

“这项工作中最有前途的方面之一是，我们的通用框架可以抵御不同类型的攻击，”任旺说。

研究人员随后使用图像识别作为测试案例，评估 RAILS 对八种不同数据集中的对抗性攻击的性能。它在所有情况下都表现出改善，并且甚至可以抵御投影梯度下降攻击，这是最具破坏性的对抗性攻击类型。RAILS 还提高了整体准确性。

“这是一个令人惊叹的例子，展示了如何使用数学来理解这个美丽的动态系统，”拉贾帕克塞说。“我们可能能够利用从 RAILS 中所学到的知识，帮助重新编程免疫系统，使其工作得更快。”