Skip to article frontmatterSkip to article content
Site not loading correctly?

This may be due to an incorrect BASE_URL configuration. See the MyST Documentation for reference.

Adversarial Machine Learning:攻撃と防御

DNNは様々なタスクで高い性能を発揮する一方、意図的な攻撃に対して脆弱であることが知られている。 本セクションでは、Wu et al. (2023). Defenses in Adversarial Machine Learning: A Surveyのライフサイクルに基づいた統一的な枠組みに従い、攻撃と防御を体系的に整理する。

3つの攻撃パラダイム

MLシステムに対する攻撃は、大きく3つのパラダイムに分類される。

パラダイム攻撃段階概要
バックドア攻撃訓練時訓練データに毒入れし、特定のトリガーで誤動作させる
重み攻撃デプロイ時ビットフリップ等でモデルパラメータを直接改変する
敵対的サンプル推論時テスト入力に微小な摂動を加え、誤分類を誘発する

記法

記号説明
x,y\mathbf{x}, y入力データとそのラベル
D\mathcal{D}訓練データ分布
fθ()f_{\boldsymbol{\theta}}(\cdot)パラメータ θ\boldsymbol{\theta} を持つDNNモデル
Δ\Delta事前設計されたトリガーパターン
δ\delta攻撃アルゴリズムにより生成された摂動
ϵ\epsilon摂動の制約(LpL_pノルム上限)
L\mathcal{L}損失関数
T()T(\cdot)入力に対する変換
τ()\tau(\cdot)勾配に対する変換

ライフサイクルに基づく統一的な枠組み

Wu et al. (2023) は、MLシステムのライフサイクルを5つの段階に分け、各段階における攻撃と防御を統一的に整理した。

MLシステムのライフサイクル
│
├─ 1. 訓練前(Pre-training)
│     攻撃: データ毒入れ、バックドア挿入
│     防御: ロバストなアーキテクチャ設計、毒入れデータの検出
│
├─ 2. 訓練(Training)
│     攻撃: データ毒入れ、連合学習でのバックドア
│     防御: 敵対的訓練、安全な集中/分散訓練
│
├─ 3. 訓練後(Post-training)
│     攻撃: バックドア化されたモデルの配布
│     防御: バックドア検出・除去、トリガー逆工学
│
├─ 4. デプロイ(Deployment)
│     攻撃: ビットフリップによる重み攻撃
│     防御: モデル強化、フィンガープリント検証
│
└─ 5. 推論(Inference)
      攻撃: 敵対的サンプル、バックドアトリガー入力
      防御: 入力変換・再構成、検出・拒否

各段階の防御の概要

段階防御タスク技術入力出力
訓練前敵対的サンプル対策ロバストなアーキテクチャ設計初期アーキテクチャロバストなアーキテクチャ
バックドア対策毒入れデータの検出訓練データクリーンなデータ
訓練敵対的サンプル対策敵対的訓練訓練データ+アーキテクチャロバストなモデル
バックドア対策(集中型)安全な訓練毒入れされた訓練データクリーンなモデル
バックドア対策(分散型)安全な連合学習FLフレームワーククリーンなグローバルモデル
訓練後バックドア対策検出・除去訓練済みモデルクリーンなモデル
デプロイ重み攻撃対策モデル強化 / 検証量子化モデル耐性強化モデル
推論バックドア対策毒入れ入力の検出・復旧クエリ修正された予測
敵対的サンプル対策検出・変換・再構成クエリロバストな予測

各段階の防御が単独では不十分な理由

重要な知見として、敵対的訓練はバックドア攻撃に対しては効果的でないことが指摘されている。これは、敵対的訓練が推論時の摂動(LpL_pノルム制約内の摂動)に対するロバスト性を高めるものであり、訓練時のデータ汚染とは異なる脅威モデルだからである。

そのため、MLシステム全体のセキュリティを確保するためには、各段階における防御を組み合わせた多層防御が不可欠である。