Устойчивость нейросетей: как функции активации и данные влияют на защиту от атак

от

Автор: Денис Аветисян

В новом обзоре рассматриваются методы повышения устойчивости глубоких нейронных сетей к враждебным атакам в условиях как централизованного, так и федеративного обучения.

🐢

Ищешь ракеты? Это не к нам. У нас тут скучный, медленный, но надёжный, как швейцарские часы, фундаментальный анализ.

Бесплатный Телеграм канал
В условиях федеративного обучения, распределение данных между десятью клиентами исследуется посредством независимого и идентичного (IID) подхода, а также не-IID стратегий, используя набор данных CIFAR-10, состоящий из изображений десяти различных классов, что позволяет оценить влияние различных стратегий разделения данных на эффективность обучения.
В условиях федеративного обучения, распределение данных между десятью клиентами исследуется посредством независимого и идентичного (IID) подхода, а также не-IID стратегий, используя набор данных CIFAR-10, состоящий из изображений десяти различных классов, что позволяет оценить влияние различных стратегий разделения данных на эффективность обучения.

Исследование посвящено влиянию функций активации и распределения данных (IID и non-IID) на надежность моделей, а также предлагается стратегия обмена данными для федеративного обучения с несбалансированными данными.

Несмотря на успехи в обучении глубоких нейронных сетей, их устойчивость к намеренным искажениям данных и распределению в федеративном обучении остается сложной задачей. В данной работе, ‘Studying Various Activation Functions and Non-IID Data for Machine Learning Model Robustness’, исследуется влияние различных функций активации и характера данных (IID и non-IID) на устойчивость моделей машинного обучения к враждебным атакам в централизованных и федеративных сценариях. Показано, что предложенный подход к состязательному обучению, включающий обмен данными в условиях non-IID распределения, значительно повышает устойчивость моделей, превосходя существующие алгоритмы. Какие дальнейшие стратегии могут быть разработаны для обеспечения надежности и безопасности моделей машинного обучения в реальных условиях?

Старение данных: вызов для современных систем машинного обучения

Традиционные методы машинного обучения часто основываются на предположении о стационарности и независимости данных — что каждая выборка является идентичной и независимой от других ($IID$). Однако, в реальных сценариях это условие редко выполняется. Данные, поступающие из различных источников, часто демонстрируют значительные различия в распределении, отражая специфические особенности каждого источника. Например, данные о поведении пользователей в разных регионах, медицинские данные из разных клиник или финансовые данные из разных стран будут существенно отличаться. Игнорирование этих различий может привести к предвзятости модели, снижению её точности и, как следствие, к ошибочным прогнозам и неэффективным решениям. В связи с этим, разработка методов, способных эффективно работать с нестационарными и зависимыми данными, является критически важной задачей современной машинной аналитики.

В условиях все более распространенных децентрализованных данных, обучение моделей машинного обучения непосредственно на устройствах пользователей или в различных организациях становится необходимостью. Федеративное обучение представляет собой перспективный подход, позволяющий решать эту задачу, избегая централизации данных. Однако, в реальных сценариях данные, распределенные между участниками, часто не соответствуют предположению о независимом и одинаковом распределении (IID). Это означает, что каждый участник может обладать существенно отличающимся набором данных, что приводит к статистической неоднородности. Преодоление сложностей, связанных с не-IID данными, является ключевой задачей для обеспечения эффективного обучения и обобщающей способности моделей в федеративных системах, поскольку значительные различия в данных могут приводить к смещению моделей и снижению их производительности на новых, ранее не встречавшихся данных.

Неоднородность статистических данных, возникающая при обучении моделей на децентрализованных источниках, представляет собой серьезную проблему для производительности и обобщающей способности алгоритмов машинного обучения. Когда данные, распределенные между различными устройствами или организациями, значительно отличаются по своим характеристикам — например, разная частота встречаемости определенных классов или смещенные распределения признаков — стандартные методы обучения могут давать существенно худшие результаты. Это связано с тем, что модель, обученная на одном подмножестве данных, может плохо адаптироваться к данным из других источников. В результате, возникает необходимость разработки специальных алгоритмов, способных учитывать эту неоднородность и обеспечивать стабильную и надежную работу модели в условиях децентрализованного обучения, что требует учета $P(x)$ и $P(y)$ для каждого источника данных.

В предложенном федеративном методе обучения с подкреплением каждый клиент расширяет свой локальный набор данных для улучшения обобщающей способности модели.
В предложенном федеративном методе обучения с подкреплением каждый клиент расширяет свой локальный набор данных для улучшения обобщающей способности модели.

Повышение устойчивости с помощью состязательного обучения

Состязательное обучение — эффективный метод повышения устойчивости моделей машинного обучения к намеренно искаженным или зашумленным входным данным. Этот подход предполагает добавление к обучающей выборке примеров, модифицированных с использованием алгоритмов генерации состязательных атак, что позволяет модели научиться игнорировать незначительные, но целенаправленные изменения во входных данных. В результате, обученная модель демонстрирует повышенную надежность и точность даже при наличии вредоносных или неточных входных данных, что критически важно для приложений, связанных с безопасностью и надежностью, таких как автономное вождение и распознавание лиц.

Обучение с использованием возмущенных примеров, генерируемых атаками, такими как FGSM, PGD, C&W и DeepFool, позволяет моделям повысить устойчивость к незначительным, но намеренно измененным входным данным. Эти атаки создают примеры, отличающиеся от исходных лишь небольшими, незаметными для человека изменениями, но способными привести к ошибочной классификации. В процессе обучения модель подвергается воздействию этих возмущенных примеров, что заставляет её научиться игнорировать незначительные изменения и сосредотачиваться на существенных признаках, определяющих класс объекта. Таким образом, модель становится более устойчивой к “состязательным возмущениям” и улучшает свою обобщающую способность, особенно в условиях, когда входные данные могут быть намеренно искажены.

Состязательное обучение повышает обобщающую способность модели и защищает от уязвимостей, которые остаются незамеченными при стандартном обучении. Традиционное обучение часто оптимизирует производительность только на чистых данных, что делает модель восприимчивой к незначительным, намеренным изменениям во входных данных — так называемым состязательным возмущениям. Включение в процесс обучения примеров, подвергшихся этим возмущениям, заставляет модель учиться игнорировать нерелевантные изменения и сосредотачиваться на существенных признаках, что приводит к повышению устойчивости к шуму и злонамеренным атакам. В результате модель демонстрирует более надежные результаты не только на исходных данных, но и на данных, содержащих небольшие искажения или помехи, повышая общую надежность и безопасность системы.

Эффективное применение состязательного обучения требует тщательного выбора методов генерации возмущений. Различные атаки, такие как FGSM, PGD, C&W и DeepFool, создают различные типы пертурбаций, отличающиеся по своей структуре и интенсивности. Использование ограниченного набора атак может привести к переобучению модели к конкретным типам возмущений и снижению ее устойчивости к другим, более сложным атакам. Для достижения максимальной устойчивости рекомендуется комбинировать несколько методов атаки в процессе обучения, а также учитывать специфику решаемой задачи и потенциальные векторы атак, которые могут быть использованы злоумышленниками. Важно также проводить регулярную оценку устойчивости модели к новым и неизвестным атакам после завершения обучения.

Атака L∞-PGD с небольшими возмущениями (ϵ=8/255) успешно вводит в заблуждение сеть ResNet-18, заставляя её ошибочно классифицировать исходные изображения.
Атака L∞-PGD с небольшими возмущениями (ϵ=8/255) успешно вводит в заблуждение сеть ResNet-18, заставляя её ошибочно классифицировать исходные изображения.

В основе: Архитектура ResNet-18

ResNet-18 широко используется в качестве базовой модели при реализации состязательного обучения. Его архитектура, состоящая из 18 слоев, обеспечивает достаточную сложность для демонстрации эффективности методов защиты от состязательных атак. В контексте состязательного обучения, ResNet-18 позволяет оценить устойчивость модели к небольшим, намеренно внесенным изменениям во входных данных, предназначенным для обмана классификатора. Использование ResNet-18 в качестве отправной точки упрощает сравнение различных техник состязательной защиты и позволяет стандартизировать процесс оценки их эффективности на общедоступных наборах данных, таких как CIFAR-10.

Особенностью архитектуры ResNet-18 является использование остаточных связей, позволяющих эффективно обучать более глубокие сети. Традиционно, увеличение глубины нейронной сети приводит к проблеме затухания или взрыва градиентов при обратном распространении ошибки, что затрудняет обучение. Остаточные связи обходят один или несколько слоев, добавляя входной сигнал к выходному. Это позволяет градиентам распространяться напрямую через сеть, облегчая обучение глубоких моделей и улучшая обобщающую способность за счет снижения влияния проблемы исчезающих градиентов. Такой подход позволяет сети изучать остаточные отображения, а не прямые, что упрощает процесс оптимизации и способствует лучшей производительности на новых данных.

Основным строительным блоком ResNet-18 являются нелинейные функции активации, такие как ReLU и Batch Normalization, которые позволяют моделировать сложные зависимости в данных. Эти функции применяются после каждого сверточного слоя для введения нелинейности, что критически важно для обучения глубоких нейронных сетей. Без нелинейных активаций сеть была бы эквивалентна линейной модели, неспособной к эффективному решению сложных задач классификации изображений. Batch Normalization нормализует входные данные каждого слоя, ускоряя обучение и улучшая обобщающую способность модели, а также снижая зависимость от инициализации весов. Использование ReLU ($f(x) = max(0, x)$) позволяет избежать проблемы затухания градиента, распространенной в сетях с сигмоидальными функциями активации.

Обучение ResNet-18 на наборе данных CIFAR-10 является общепринятым стандартом для оценки производительности и сравнения различных методов обучения, включая состязательное обучение. CIFAR-10 состоит из 60 000 изображений размером 32×32 пикселя, разделенных на 10 классов с по 6000 изображений в каждом классе. Использование этого набора данных позволяет получить сопоставимые результаты, упрощает отладку и валидацию новых алгоритмов, а также обеспечивает воспроизводимость экспериментов в области машинного обучения. Точность классификации на CIFAR-10 часто используется как ключевая метрика для оценки эффективности архитектур глубокого обучения.

Модифицированная архитектура ResNet-18 отличается от стандартной заменой первого сверточного слоя на ядро 3x3 и исключением операций понижающей дискретизации в остаточных блоках для сохранения размеров карт признаков.
Модифицированная архитектура ResNet-18 отличается от стандартной заменой первого сверточного слоя на ядро 3×3 и исключением операций понижающей дискретизации в остаточных блоках для сохранения размеров карт признаков.

Оценка прироста производительности и ограничений

Обучение с состязательными примерами однозначно повышает устойчивость модели к намеренно искаженным данным, защищая её от так называемых состязательных атак. Суть метода заключается в том, чтобы во время обучения модели подвергать её воздействию не только корректных примеров, но и специально разработанных, чтобы вызвать ошибку, — состязательных примеров. Это заставляет модель учиться различать истинные закономерности в данных и не реагировать на незначительные, но целенаправленные изменения, призванные её обмануть. В результате модель становится более надежной и способной правильно классифицировать примеры даже в условиях враждебной среды, что особенно важно для приложений, связанных с безопасностью и критически важными системами.

Представленный подход продемонстрировал значительное повышение устойчивости к состязательным атакам типа FGSM, достигнув показателя точной классификации в 67.96%. Это существенный прогресс по сравнению с результатами, опубликованными Линь и коллегами, где данный показатель составлял всего 18.41%. Такое увеличение точности указывает на эффективность разработанной методики в защите моделей машинного обучения от намеренных искажений входных данных, призванных вызвать ошибки в классификации. Полученные данные подтверждают, что предложенная стратегия позволяет значительно повысить надежность систем, работающих в условиях потенциальных угроз безопасности.

Исследования показали значительное повышение устойчивости модели к атакам типа DeepFool благодаря предложенному подходу. В частности, достигнута надежная точность в 83.0% при использовании метода DeepFool, что является существенным улучшением по сравнению с результатом, зафиксированным Линь и коллегами, где данный показатель составлял лишь 47.0%. Данное увеличение свидетельствует о значительном прогрессе в защите нейронных сетей от целенаправленных искажений входных данных и подтверждает эффективность разработанной методики в обеспечении более надежной работы модели в условиях враждебной среды. Подобное увеличение точности имеет критическое значение для приложений, где надежность и безопасность являются первостепенными, таких как автономное вождение и медицинская диагностика.

Исследование демонстрирует, что предложенный подход к повышению устойчивости моделей к состязательным атакам не только эффективно защищает от них, но и сохраняет высокую точность при работе со стандартными, неискаженными данными. В ходе экспериментов было установлено, что точность модели на чистых примерах составляет 92.0%, что свидетельствует о минимальном влиянии методов повышения устойчивости на способность модели правильно классифицировать обычные изображения. Этот результат особенно важен, поскольку часто повышение устойчивости к атакам достигается за счет снижения общей точности, однако данная работа позволяет избежать подобного компромисса, обеспечивая надежную защиту без ущерба для производительности на реальных данных.

Для смягчения неизбежного компромисса между устойчивостью к враждебным атакам и точностью на чистых данных, применяются методы, такие как использование «мягких» меток и аугментация данных с помощью гауссовского шума. «Мягкие» метки, в отличие от стандартных «жестких» меток, предоставляют информацию о вероятности принадлежности к различным классам, что позволяет модели обучаться более плавно и обобщать знания. В свою очередь, аугментация данных посредством добавления гауссовского шума искусственно расширяет обучающую выборку, заставляя модель становиться менее чувствительной к незначительным изменениям во входных данных и, следовательно, более устойчивой к преднамеренным искажениям. Комбинация этих подходов позволяет добиться значительного улучшения устойчивости, практически не снижая при этом точность на исходных, «чистых» примерах.

Обученная на чистых данных модель ResNet-18 демонстрирует высокую естественную точность, но её устойчивость к враждебным примерам, сгенерированным методом FGSM с ϵ=8/255, значительно снижается.
Обученная на чистых данных модель ResNet-18 демонстрирует высокую естественную точность, но её устойчивость к враждебным примерам, сгенерированным методом FGSM с ϵ=8/255, значительно снижается.

Исследование устойчивости глубоких нейронных сетей к враждебным атакам, представленное в данной работе, затрагивает фундаментальный аспект эволюции любой системы. Подобно тому, как время испытывает архитектуру, так и враждебные примеры выявляют уязвимости в структуре модели. Линус Торвальдс однажды заметил: «Плохой код похож на рак: он будет расти». Эта фраза находит отражение в исследовании влияния не-IID данных на устойчивость моделей в условиях федеративного обучения. Неравномерное распределение данных подобно метастазам, ослабляющим общую систему. Авторы предлагают стратегию обмена данными, стремясь к своеобразной «химиотерапии», чтобы укрепить модель и обеспечить ее долговечность перед лицом угроз.

Куда же дальше?

Исследование, представленное в данной работе, лишь подчеркивает преходящую природу кажущейся устойчивости систем. Любая защита от враждебных атак — это временная задержка неизбежного. Подобно тому, как вода огибает препятствие, атака найдет уязвимость, а кажущаяся стабильность окажется иллюзией, закэшированной временем. Вопрос не в том, чтобы создать абсолютную защиту, а в том, чтобы понимать, как система деградирует, и смягчать последствия.

Особое внимание к не-IID данным в федеративном обучении — это признание гетерогенности реальности. Однако, предложенная стратегия обмена данными — лишь один из возможных подходов. Более глубокое исследование должно быть направлено на динамическое определение оптимальной стратегии обмена, учитывающей как характеристики данных, так и стоимость коммуникаций. Задержка — это налог, который платит каждый запрос, и этот налог необходимо минимизировать.

Будущие исследования должны сместить акцент с поиска «робастных» моделей на разработку систем, способных к адаптации и самовосстановлению. Все системы стареют — вопрос лишь в том, делают ли они это достойно. Необходимо признать, что полная устойчивость недостижима, и сосредоточиться на создании систем, способных извлекать уроки из своих ошибок и продолжать функционировать даже в условиях неопределенности.

Оригинал статьи: https://arxiv.org/pdf/2512.04264.pdf

Связаться с автором: https://www.linkedin.com/in/avetisyan/

Смотрите также:

2025-12-06 23:05