深度神经网络是用于各种分类问题的机器学习算法的一个子集,包括图像识别和机器视觉(由自动驾驶汽车和其他机器人使用)、自然语言处理、语言翻译和欺诈检测。但心怀不轨的人可能会修改输入,并使得算法运行错误。据外媒报道,为保护算法免受此类攻击,密歇根大学(University of Michigan)的研究人员开发出强大的对抗性免疫启发学习系统(Robust Adversarial Immune-inspired Learning System,RAILS)。
图片来源:密歇根大学
John H. Holland杰出教授、研究员之一Alfred Hero表示:“RAILS是第一种以适应性免疫系统为模型的对抗性学习方法,该系统与先天免疫系统的运作方式不同。”
当先天免疫系统对病原体进行全面攻击时,哺乳动物的免疫系统可以产生新的细胞来抵御特定的病原体。事实证明,受到大脑信息处理系统启发的深度神经网络也可以利用这一生物过程。
计算医学和生物信息学副教授、该研究的共同负责人Indika Rajapakse说:“免疫系统设计令人惊叹,它总能找到解决方案。”
图片来源:密歇根大学
RAILS通过模仿免疫系统的自然防御来识别并最终处理神经网络的可疑输入。 起初为了开发,生物团队对小鼠的适应性免疫系统如何对抗原作出反应进行了研究。该实验使用了在B细胞上表达荧光标记的转基因小鼠的组织。
该团队通过将脾脏细胞与骨髓细胞一起培养,创建了一个免疫系统模型,代表了免疫系统的总部和要塞。该系统使生物团队能够跟踪B细胞的发育,这开始便是一种试错法来设计与抗原结合的受体。一旦B细胞聚集在一个解决方案上,它们就会产生浆B细胞以捕获存在的所有抗原,并产生记忆B细胞以准备下一次攻击。
当时的生物信息学博士生Stephen Lindsly对Rajapakse实验室产生的信息进行了数据分析,并担任生物学家和工程师之间的翻译。Hero的团队随后在计算机上模拟了该生物过程,将生物机制融入代码中。他们用对抗性输入测试了RAILS防御。然后,他们将B细胞学习攻击抗原的学习曲线与学习排除不良输入的算法进行了比较。
Hero表示:“在我们将RAILS的学习曲线与从实验中提取的曲线进行比较之前,我们不确定我们是否真的捕捉到了生物过程。”
RAILS不仅是一种有效的仿生学,而且优于用于对抗对抗性攻击的两种最常见的机器学习过程:稳健的深度k近邻(Deep k-Nearest Neighbor)和卷积神经网络。
图片来源:密歇根大学
主要负责软件开发和实施的电气和计算机工程研究员Ren Wang表示:“这项工作的重要部分是我们的通用框架可以防御不同类型的攻击。”
研究人员使用图像识别作为测试用例,针对多个数据集中的八种对抗性攻击评估 RAILS。它在所有情况下都显示出改进,包括防止最具破坏性的对抗性攻击类型:投影梯度下降(Projected Gradient Descent)攻击。此外,RAILS提高了整体精度。例如,它可以正确识别鸡和鸵鸟的图像,而此前其他系统会将这两种图像识别为猫和马。
未来,Hero团队将致力于把响应时间从毫秒级缩短到微秒级。