生物科學門戶網站
BIO1000.COM

保護音頻分類器免受對抗攻擊的方法

近年來,機器學習算法在各種任務(包括圖像和音頻文件的分類)中均取得了顯著成果。一類被證明特別有前途的算法是深度神經網絡(DNN),它可以通過分析大量數據自動學習解決特定問題。

DNN是數據驅動的技術,這意味著需要對它們進行大量數據的培訓,以學習最有效地對新信息進行分類。他們對訓練數據的依賴使得這種算法非常脆弱。實際上,即使對DNN進行了有效的訓練,也很容易誘使他們誤將數據分類。

過去的研究發現,網絡攻擊者可以通過巧妙地修改真實圖像或音頻文件并創建人工副本(稱為對抗圖像/音頻)來輕松欺騙DNN。然后,深度學習架構將錯誤地對這些對抗性數據進行分類,從而使惡意用戶可以訪問私有信息或破壞模型的整體功能。這種欺騙DNN的方法稱為對抗攻擊。

加拿大Écolede TechnologieSupérieure(ÉTS)的研究人員最近開發了一種方法,可以保護用于對環境聲音進行分類的模型,使其免受對抗性攻擊。這種方法在第45屆IEEE國際聲學,語音和信號處理國際會議(ICASSP)上提出,需要使用一種能夠測量合法和惡意聲音表示之間差異的檢測器,從而提高音頻分類器的可靠性。

“通常,分類器學習不同類別之間的決策邊界(非線性函數)以進行區分,”進行這項研究的研究人員之一穆罕默德·埃斯梅爾普爾(Mohammad Esmaeilpour)告訴TechXplore。“可以通過降低學習到的非線性函數對樣本正確類別的敏感度并增加錯誤分類的機會來修改此決策邊界,從而使樣本能夠越過樣本邊界。這可以通過針對受害DNN運行優化算法來實現,即被稱為對抗攻擊。”

在一個簡單的示例中,可以訓練DNN完成二進制分類任務,該任務涉及將數據分類為A和B等兩類。為進行對抗性攻擊,攻擊者在DNN上運行優化算法并生成可視化的樣本類似于A類,但該模型將錯誤地并自信地分類為B。

計算機科學的最新進展已使越來越先進的優化算法得以發展,這極大地促進了對抗性攻擊。盡管一些研究人員一直在嘗試提出保護分類器免受這些攻擊的技術,但是到目前為止,這些技術都沒有被證明是完全有效的。為了創建一種有效的工具來保護分類器免受對抗性攻擊,首先需要更好地了解這些攻擊及其特征。

Esmaeilpour解釋說:“不幸的是,實際上不可能在笛卡爾空間(我們的自然生活空間)中展示對抗性例子的子空間,并將其與真實樣本的子空間進行比較,因為它們有太多的重疊,”“因此,在我們的研究中,我們最終得到了Schur分解的單位空間來表征對抗性子空間。”

Esmaeilpour和他的同事使用和弦距離度量來區分非相鄰子空間中的樣本,并發現對抗性音頻表示在許多方面與真實和嘈雜的音頻樣本有所不同。這些差異最終使他們能夠在單一Schur向量空間中區分對抗性音頻文件和原始音頻文件。

隨后,研究人員根據此向量空間中表示的樣本的特征值設計了一種檢測器。發現該檢測器的性能優于先前開發的用于在絕大多數測試用例中檢測對抗數據的最新技術。

Esmaeilpour說:“我們最近在《IEEE信息取證和安全性事務》雜志上發表了一篇論文,在其中我們使用了與Schur類似的分解方法。”“我們實施了用于頻譜圖增強的奇異值分解。在采用這種方法時,我們注意到單一空間的壯觀特性。這引起了我個人的興趣,以了解更多有關這些空間的信息,最終,我想到了探索這些空間以進行光譜分析的想法。對抗性范例研究。”

廣義Schur分解(也稱為QZ分解)是一種數學方法,可以將給定的矩陣轉換為三個具有垂直跨度的后續偽正態矩陣(即特征向量和特征值)。該方法可以用作使用特征值系數提升的特征向量重構任何矩陣的基準。

在這種情況下,特征值保留給定樣本的結構成分,并可以基于多個維度來表示它們。最終,這可以幫助擺脫子空間重疊,突出顯示不同項目之間的差異。

Esmaeilpour和他的同事設計的技術使用Schur分解來區分原始音頻文件和對抗性音頻文件。檢測器處理測試樣本,提取其Schur特征值,然后使用預先訓練的回歸模型實時驗證它們是原始的還是對抗的。

該回歸模型運行時很快,也可以用作任何分類器的主動模塊。它特別適用于分析與短音頻信號相關的頻譜圖。頻譜圖是音頻和語音信號的2D表示形式,用于說明其頻率信息。

Esmaeilpour說:“我們最近的論文的主要貢獻是在非笛卡爾空間中研究對抗子空間和表征對抗性例子,其中大多數引入的探測器都不起作用。”“我們假設將通用對抗檢測器推廣到其他數據集或任務的困難是由于在非正交的笛卡爾空間中測量樣本相似性/分布。”

在一系列初步評估中,研究人員發現,他們的方法可以很好地區分向量空間中的任何對抗性音頻樣本和合法音頻樣本。有趣的是,它也可以編碼到幾乎任何分類器中,因此可以潛在地防止許多基于DNN的技術被對抗性攻擊所欺騙。

“在不缺乏普遍性的情況下,由于我們提出的檢測器主要是為頻譜圖而開發的(短時傅立葉變換,梅爾頻率倒譜系數,離散小波變換等),因此音頻和語音處理系統可以使用該指標來提高頻譜圖的魯棒性。他們的DNN可以針對有針對性/無針對性的白/黑匣子對抗攻擊。” Esmaeilpour說。

將來,所報道的技術可能會減少現有分類器或新開發的分類器遭受對抗性攻擊的脆弱性,這可能會對幾種應用產生影響。例如,檢測器可以提高基于DNN的生物識別工具的可靠性。

Esmaeilpour說:“專家檢測是一個開放的問題,開發健壯的多用途分類器的道路仍然很長,在我的下一個研究中,我想使用弦距編碼的增強版本來改進我們提出的檢測器。 ,我非常熱衷于探索其他向量空間,以更好地表征和可視化對抗流形。”

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。

南京麻将入门教程 今天股票指数 股票融资平台排名 河南快3开奖基本走势 贵州11选五开奖手机版 腾讯分分彩必中计划 模拟炒股游戏 爱配资网址导航 陕西体彩十一选五推荐号码 内蒙古体彩十一选五遗漏查询 好彩1怎么中奖