近年来,机器学习算法在各种任务中取得了令人瞩目的成就,包括图像和音频文件分类。一类被证明特别有前途的算法是深度神经网络(DNN)。近年来,机器学习算法在各种任务中取得了令人瞩目的成就,包括图像和音频文件分类。一类被证明特别有前途的算法是深度神经网络(DNN),它可以通过分析大量数据来自动学习解决特定问题。
DNN是一种数据驱动的技术,这意味着他们需要接受大量数据的训练,以学习如何最有效地对新信息进行分类。他们对训练数据的依赖使得这个算法非常脆弱。事实上,即使DNN训练有素,也很容易诱导他们错误地对数据进行分类。
过去的研究发现,网络攻击者可以通过巧妙地修改真实图像或音频文件,并创建人工副本(称为对抗图像/音频),轻松欺骗DNN。然后,深度学习架构会错误地对这些对抗性数据进行分类,让恶意用户访问隐私信息或者破坏模型的整体功能。这种欺骗DNN的方法叫做对抗攻击。
加拿大Colede Technologies UPE rieure(TS)的研究人员最近开发了一种方法,可以保护用于对环境声音进行分类的模型免受对抗性攻击。这种方法是在第45届IEEE国际声学、语音和信号处理会议(ICASSP)上提出的。有必要使用能够测量合法和恶意语音表达之间的差异的检测器,以提高音频分类器的可靠性。
“通常,分类器会学习不同类别之间的决策边界(非线性函数)来区分它们,”进行这项研究的研究人员之一Mohammad Esmaeilpour告诉TechXplore。可以通过降低所学习的非线性函数对样本的正确类别的敏感度并增加错误分类的机会来修改该判定边界,使得样本可以跨越样本边界。这可以通过对受害者DNN运行一种优化算法来实现,这种算法被称为抗攻击。”
举一个简单的例子,可以训练DNN完成二进制分类任务,这涉及到将数据分为A和b两类,为了进行对抗性攻击,攻击者在DNN上运行优化算法,生成一个类似于A类的视觉样本,但这个模型会被错误而自信地分类为b类
计算机科学的最新发展使得越来越先进的优化算法得以发展,这极大地促进了对抗性攻击。尽管一些研究人员一直试图提出保护分类器免受这些攻击的技术,但到目前为止,这些技术还没有被证明是完全有效的。为了创建有效的工具来保护分类器免受对抗性攻击,首先需要更好地理解这些攻击及其特征。
Esmaeilpour解释说,“不幸的是,实际上不可能在笛卡尔空间(我们的自然生活空间)中显示对抗性例子的子空间,并将其与真实样本的子空间进行比较,因为它们有太多的重叠。”"因此,在我们的研究中,我们最终得到了Schur分解的单位空间来表示对抗性子空间."
Esmaeilpour和他的同事使用弦距离测量来区分非相邻子空间中的样本,并发现对抗性音频表示在许多方面不同于真实和有噪声的音频样本。这些差异最终使他们能够在单个Schur向量空间中区分对抗性音频文件和原始音频文件。
随后,研究人员根据样本在这个向量空间中表示的特征值设计了一个检测器。我们发现,在大多数测试情况下,这种检测器的性能优于以前开发的用于检测对抗数据的最新技术。
Esmaeilpour说,“我们最近在《IEEE信息取证和安全性事务》杂志上发表了一篇论文,其中我们使用了一种类似于Schur的分解方法。”“我们实施了奇异值分解来增强频谱。在采用这种方法时,我们注意到单一空间的壮观特征。这引起了我个人对了解这些空间的更多兴趣,最终,我产生了探索这些空间进行光谱分析的想法。对抗性的案例研究。”
广义舒尔分解(也叫QZ分解)是一种数学方法,它可以将给定的矩阵变换成三个后续的具有垂直跨度的伪正规矩阵(即特征向量和特征值)。该方法可以作为利用特征值被提升的特征向量重构任何矩阵的基准。
在这种情况下,特征值保留了给定样本的结构成分,并且可以基于多个维度来表示它们。最终,这可以帮助消除子空间重叠,突出不同项目之间的差异。
Esmaeilpour和他的同事设计的技术使用Schur分解来区分原始音频文件和对抗性音频文件。检测器对测试样本进行处理,提取它们的Schur特征值,然后利用预先训练好的回归模型实时验证它们是原生的还是拮抗的。
回归模型运行速度快,也可以作为任何分类器的活动模块。它特别适合于分析与短音频信号相关的声谱图。频谱是音频和语音信号的2D表示,用于解释它们的频率信息。
Esmaeilpour说,“我们最近的论文的主要贡献是研究对抗子空间,并刻画非笛卡尔空间中的对抗例子。大多数引进的探测器都不起作用。”“我们假设通用对策探测器将扩展到它的
他数据集或任务的困难是由于在非正交的笛卡尔空间中测量样本相似性/分布。”在一系列初步评估中,研究人员发现,他们的方法可以很好地区分向量空间中的任何对抗性音频样本和合法音频样本。有趣的是,它也可以编码到几乎任何分类器中,因此可以潜在地防止许多基于DNN的技术被对抗性攻击所欺骗。
“在不缺乏普遍性的情况下,由于我们提出的检测器主要是为频谱图而开发的(短时傅立叶变换,梅尔频率倒谱系数,离散小波变换等),因此音频和语音处理系统可以使用该指标来提高频谱图的鲁棒性。他们的DNN可以针对有针对性/无针对性的白/黑匣子对抗攻击。” Esmaeilpour说。
将来,所报道的技术可能会减少现有分类器或新开发的分类器遭受对抗性攻击的脆弱性,这可能会对几种应用产生影响。例如,检测器可以提高基于DNN的生物识别工具的可靠性。
Esmaeilpour说:“专家检测是一个开放的问题,开发健壮的多用途分类器的道路仍然很长,在我的下一个研究中,我想使用弦距编码的增强版本来改进我们提出的检测器。 ,我非常热衷于探索其他向量空间,以更好地表征和可视化对抗流形。”
标签:
免责声明:本文由用户上传,如有侵权请联系删除!