Luận án: Đảm bảo tính chắc chắn mô hình học sâu và phòng thủ tấn công đối kháng

Tính chắc chắn của mô hình học sâu là khả năng duy trì hiệu suất dưới các nhiễu nhỏ. Đặc biệt là nhiễu đối kháng. Tấn công đối kháng tạo ra các mẫu đối kháng. Các mẫu này gần giống dữ liệu gốc nhưng khiến mô hình dự đoán sai. Thách thức lớn nằm ở việc bảo mật học sâu. Đảm bảo độ tin cậy mô hình AI trong các ứng dụng quan trọng là cần thiết. Phát triển phương pháp phòng thủ đối kháng là mục tiêu chính. Nó nhằm tăng cường tính bền vững mô hình học sâu.

Mô hình học sâu gồm các mạng nơ-ron truyền thẳng và mạng tích chập. Mạng tích chập đặc biệt hiệu quả trong phân loại ảnh. Tuy nhiên, chúng dễ bị tổn thương bởi mẫu đối kháng. Mẫu đối kháng chứa nhiễu nhỏ, khó nhận biết bằng mắt thường. Nhiễu này được thiết kế để đánh lừa mô hình. Có hai loại tấn công đối kháng phổ biến. Chúng gồm tấn công không định hướng và có định hướng. Nắm vững kiến thức nền tảng về các loại mạng và tính chất nhiễu là quan trọng. Đây là cơ sở để phát triển chiến lược phòng thủ đối kháng hiệu quả.

Tấn công đối kháng chia thành hai loại chính. Tấn công không định hướng chỉ muốn làm mô hình dự đoán sai. Không quan tâm đến nhãn sai cụ thể. Tấn công có định hướng ép mô hình dự đoán thành một nhãn sai mong muốn. Nhiều phương pháp khác nhau tạo ra mẫu đối kháng. Các phương pháp này tận dụng điểm yếu của mô hình. Chúng làm giảm tính bền vững mô hình học sâu. Hiểu rõ sự phân loại này hỗ trợ phát triển phòng thủ đối kháng.

Một phương pháp tấn công không định hướng sử dụng bộ giải phỏng đoán. Phương pháp HA4FNN áp dụng cho mạng nơ-ron truyền thẳng. Nó sinh mã nguồn từ mô hình. Sau đó chèn câu lệnh đánh dấu. Thực thi tượng trưng được sử dụng. Bộ giải phỏng đoán tìm kiếm nhiễu tối thiểu. Nhiễu này thay đổi dự đoán của mô hình. Phương pháp này làm giảm tính chắc chắn mô hình học sâu một cách hiệu quả. Nó cho thấy lỗ hổng của các mô hình này và khả năng ước lượng độ không chắc chắn.

Mạng mã hóa tự động được dùng trong tấn công có định hướng. Phương pháp PatternAttack áp dụng cho mạng tích chập. Nó sử dụng kiến trúc ATN khái quát. ATN giúp sinh ảnh đối kháng chất lượng. Tấn công này không chỉ thay đổi dự đoán. Nó còn hướng mô hình đến một kết quả cụ thể. Việc này làm phức tạp thêm việc phòng thủ đối kháng. Nghiên cứu cải thiện chất lượng ảnh đối kháng giúp tấn công mạnh mẽ hơn, đòi hỏi các chiến lược bảo mật học sâu tiên tiến.

Mạng mã hóa tự động là công cụ mạnh mẽ trong phòng thủ đối kháng. Các phương pháp như PuVAE, MagNet, và Defense-VAE đã được đề xuất. Chúng hoạt động bằng cách phát hiện hoặc loại bỏ nhiễu đối kháng. PuVAE sử dụng không gian ẩn để tái tạo ảnh sạch. MagNet phát hiện mẫu đối kháng dựa trên độ lệch tái tạo. Defense-VAE kết hợp mã hóa tự động với đào tạo đối kháng. Các phương pháp này giúp tăng cường an toàn học máy. Chúng là đóng góp quan trọng cho bảo mật học sâu, góp phần vào tính bền vững mô hình học sâu.

Phương pháp SCADefender là một chiến lược phòng thủ đối kháng tiên tiến. Nó tập trung vào việc cải thiện tính chắc chắn của mô hình tích chập. SCADefender sinh ra một tập ảnh đối kháng. Sau đó, nó xây dựng một mô hình mã hóa tự động để học cách loại bỏ nhiễu. Mô hình này giúp lọc bỏ các thành phần đối kháng trong dữ liệu đầu vào. Việc này làm tăng đáng kể độ bền vững mô hình học sâu. SCADefender góp phần củng cố niềm tin vào độ tin cậy mô hình AI. Nó là một bước tiến quan trọng trong phòng thủ đối kháng.

Ảnh đối kháng có chất lượng cao thường chứa nhiễu tinh vi. Nhiễu này ít bị người dùng nhận ra. Nhưng nó đủ để thay đổi kết quả của mô hình. Các tấn công mạnh mẽ yêu cầu mẫu đối kháng có độ tinh khiết cao. Việc tạo ra chúng là thách thức. Cải thiện chất lượng này giúp ước lượng độ không chắc chắn. Nó cũng ảnh hưởng trực tiếp đến hiệu quả của tấn công. Từ đó, nó định hướng cho việc tăng cường an toàn học máy và tính bền vững mô hình học sâu.

Phương pháp QI4AE được phát triển để nâng cao chất lượng ảnh đối kháng. Nó kết hợp mạng mã hóa tự động với thuật toán tham lam. Quá trình này gồm hai pha: pha xây dựng và pha cải thiện. Pha xây dựng tạo ra ảnh đối kháng ban đầu. Pha cải thiện sử dụng thuật toán tham lam. Nó loại bỏ nhiễu không cần thiết. Mục tiêu là giảm lượng nhiễu mà vẫn duy trì khả năng tấn công. Phương pháp này giúp tạo ra mẫu đối kháng hiệu quả hơn. Nó cũng giúp nghiên cứu phòng thủ đối kháng tập trung hơn vào các mối đe dọa thực tế, cải thiện bảo mật học sâu.

Việc đánh giá tính chắc chắn bao gồm nhiều tiêu chí. Tỉ lệ phát hiện mẫu đối kháng là một chỉ số quan trọng. Nó đánh giá khả năng phòng thủ nhận diện mối đe dọa. Tỉ lệ thành công của tấn công cũng được xem xét. Nó cho biết mức độ dễ bị tổn thương của mô hình. Các bộ dữ liệu thực nghiệm chuẩn được sử dụng. Mục đích là để kiểm tra hiệu năng. Các chỉ số này giúp ước lượng độ không chắc chắn của mô hình. Chúng là cơ sở để cải thiện an toàn học máy và bảo mật học sâu.

Các phương pháp đề xuất đã đạt được kết quả quan trọng. Chúng bao gồm việc phát triển các phương pháp tấn công và phòng thủ mới. Các phương pháp này cải thiện khả năng chống chịu của mô hình. Hướng phát triển tiếp theo tập trung vào việc nghiên cứu mạng nơ-ron đối kháng. Mục tiêu là tạo ra các mô hình bền vững hơn. Việc này cũng bao gồm việc khám phá các kỹ thuật đào tạo đối kháng tiên tiến. Đảm bảo bảo mật học sâu là mục tiêu dài hạn. Các đóng góp này củng cố tính bền vững mô hình học sâu.