保护音频分类器免受对抗攻击的方法

资讯2020-08-31 21:14:12
导读近年来,机器学习算法在各种任务(包括图像和音频文件的分类)中均取得了显著成果。一类被证明特别有前途的算法是深度神经网络(DNN),它可以

近年来,机器学习算法在各种任务(包括图像和音频文件的分类)中均取得了显著成果。一类被证明特别有前途的算法是深度神经网络(DNN),它可以通过分析大量数据自动学习解决特定问题。

DNN是数据驱动的技术,这意味着需要对它们进行大量数据的培训,以学习最有效地对新信息进行分类。他们对训练数据的依赖使得这种算法非常脆弱。实际上,即使对DNN进行了有效的训练,也很容易诱使他们误将数据分类。

过去的研究发现,网络攻击者可以通过巧妙地修改真实图像或音频文件并创建人工副本(称为对抗图像/音频)来轻松欺骗DNN。然后,深度学习架构将错误地对这些对抗性数据进行分类,从而使恶意用户可以访问私有信息或破坏模型的整体功能。这种欺骗DNN的方法称为对抗攻击。

加拿大Écolede TechnologieSupérieure(ÉTS)的研究人员最近开发了一种方法,可以保护用于对环境声音进行分类的模型,使其免受对抗性攻击。这种方法在第45届IEEE国际声学,语音和信号处理国际会议(ICASSP)上提出,需要使用一种能够测量合法和恶意声音表示之间差异的检测器,从而提高音频分类器的可靠性。

“通常,分类器学习不同类别之间的决策边界(非线性函数)以进行区分,”进行这项研究的研究人员之一穆罕默德·埃斯梅尔普尔(Mohammad Esmaeilpour)告诉TechXplore。“可以通过降低学习到的非线性函数对样本正确类别的敏感度并增加错误分类的机会来修改此决策边界,从而使样本能够越过样本边界。这可以通过针对受害DNN运行优化算法来实现,即被称为对抗攻击。”

在一个简单的示例中,可以训练DNN完成二进制分类任务,该任务涉及将数据分类为A和B等两类。为进行对抗性攻击,攻击者在DNN上运行优化算法并生成可视化的样本类似于A类,但该模型将错误地并自信地分类为B。

计算机科学的最新进展已使越来越先进的优化算法得以发展,这极大地促进了对抗性攻击。尽管一些研究人员一直在尝试提出保护分类器免受这些攻击的技术,但是到目前为止,这些技术都没有被证明是完全有效的。为了创建一种有效的工具来保护分类器免受对抗性攻击,首先需要更好地了解这些攻击及其特征。

Esmaeilpour解释说:“不幸的是,实际上不可能在笛卡尔空间(我们的自然生活空间)中展示对抗性例子的子空间,并将其与真实样本的子空间进行比较,因为它们有太多的重叠,”“因此,在我们的研究中,我们最终得到了Schur分解的单位空间来表征对抗性子空间。”

Esmaeilpour和他的同事使用和弦距离度量来区分非相邻子空间中的样本,并发现对抗性音频表示在许多方面与真实和嘈杂的音频样本有所不同。这些差异最终使他们能够在单一Schur向量空间中区分对抗性音频文件和原始音频文件。

随后,研究人员根据此向量空间中表示的样本的特征值设计了一种检测器。发现该检测器的性能优于先前开发的用于在绝大多数测试用例中检测对抗数据的最新技术。

Esmaeilpour说:“我们最近在《IEEE信息取证和安全性事务》杂志上发表了一篇论文,在其中我们使用了与Schur类似的分解方法。”“我们实施了用于频谱图增强的奇异值分解。在采用这种方法时,我们注意到单一空间的壮观特性。这引起了我个人的兴趣,以了解更多有关这些空间的信息,最终,我想到了探索这些空间以进行光谱分析的想法。对抗性范例研究。”

广义Schur分解(也称为QZ分解)是一种数学方法,可以将给定的矩阵转换为三个具有垂直跨度的后续伪正态矩阵(即特征向量和特征值)。该方法可以用作使用特征值系数提升的特征向量重构任何矩阵的基准。

在这种情况下,特征值保留给定样本的结构成分,并可以基于多个维度来表示它们。最终,这可以帮助摆脱子空间重叠,突出显示不同项目之间的差异。

Esmaeilpour和他的同事设计的技术使用Schur分解来区分原始音频文件和对抗性音频文件。检测器处理测试样本,提取其Schur特征值,然后使用预先训练的回归模型实时验证它们是原始的还是对抗的。

该回归模型运行时很快,也可以用作任何分类器的主动模块。它特别适用于分析与短音频信号相关的频谱图。频谱图是音频和语音信号的2D表示形式,用于说明其频率信息。

Esmaeilpour说:“我们最近的论文的主要贡献是在非笛卡尔空间中研究对抗子空间和表征对抗性例子,其中大多数引入的探测器都不起作用。”“我们假设将通用对抗检测器推广到其他数据集或任务的困难是由于在非正交的笛卡尔空间中测量样本相似性/分布。”

在一系列初步评估中,研究人员发现,他们的方法可以很好地区分向量空间中的任何对抗性音频样本和合法音频样本。有趣的是,它也可以编码到几乎任何分类器中,因此可以潜在地防止许多基于DNN的技术被对抗性攻击所欺骗。

“在不缺乏普遍性的情况下,由于我们提出的检测器主要是为频谱图而开发的(短时傅立叶变换,梅尔频率倒谱系数,离散小波变换等),因此音频和语音处理系统可以使用该指标来提高频谱图的鲁棒性。他们的DNN可以针对有针对性/无针对性的白/黑匣子对抗攻击。” Esmaeilpour说。

将来,所报道的技术可能会减少现有分类器或新开发的分类器遭受对抗性攻击的脆弱性,这可能会对几种应用产生影响。例如,检测器可以提高基于DNN的生物识别工具的可靠性。

Esmaeilpour说:“专家检测是一个开放的问题,开发健壮的多用途分类器的道路仍然很长,在我的下一个研究中,我想使用弦距编码的增强版本来改进我们提出的检测器。 ,我非常热衷于探索其他向量空间,以更好地表征和可视化对抗流形。”

免责声明:本文由用户上传,如有侵权请联系删除!