Разработка комплексной системы оценки устойчивости моделей машинного обучения по отношению к состязательным атакам
Проект № 22-71-10124
Руководитель — Парфёнов Д.И.
Сети передачи данных нового поколения, такие как 5G и 6G, используют в составе технических средств обеспечения работы ядра сети виртуальные сетевые функции, а некоторые решения пошли дальше, и началось применение машинного обучения для оптимизации множества функций, в том числе и на физическом уровне. Проект направлен на решение научной проблемы обработки больших массивов данных сервисов и приложений в сетях последнего поколения для обнаружения инцидентов кибербезопасности и построения устойчивых систем защиты на основе состязательного машинного обучения. Интеллектуальные модели, задействованные при машинном обучении, в данное время подвержены состязательным атакам, идея которых заключается во внесении незначительных изменений во входные данные таким образом, что результат работы модели может кардинально измениться на противоположный ожидаемому.
На втором этапе выполнения НИР в 2023–2024 году решен ряд задач, затрагивающих разработку моделей, методов, алгоритмов и программных прототипов для анализа и защиты систем ИИ от состязательных атак.
По результатам всестороннего обзора текущего состояния исследований в данной области предложены подходы, сформированные на стыке глубокого обучения и граничных вычислений. При использовании машинного обучения в радиотракте для формирования направленного луча в системах ультрамассивного MIMO, реконфигурируемых интеллектуальных поверхностей и других технологий, применяющихся в сетях последних поколений, получить данные с физического уровня бывает непросто, как и обработать их впоследствии из-за большого объема. В рамках выполнения НИР исследованы направления использования интеллектуальных методов в приложениях формирования луча с использованием фазированных решеток и интеллектуальных реконфигурируемых поверхностей, исследованы технологии машинного обучения и искусственного интеллекта, которые могут использоваться для обучения таких систем и управления параметрами радиосистем, влияющих на MIMO-распределение, пространственное кодирование и формирование кодовых слов.
В результате моделирования атак в системе DeepMimo использованы параметры мощности передачи 10dB, количество элементов антенны — 64, количество приемников — 50, данные усредняются для 10 000 различных каналов. Получены следующие результаты по направлениям атак. При атаке на матрицу CSI (на фазовую составляющую) при использовании уровня значимости 0.01 для порога вероятности ложноотрицательного срабатывания 0.1 алгоритм показал необходимость как минимум 120 измерений, при этом вероятность детектирования атаки составляла 0.49. Для порога вероятности ложноотрицательного срабатывания 0.2 алгоритм показал необходимость как минимум 75 измерений, при этом вероятность детектирования атаки составляла 0.3.
Рассмотрены основные направления работ, связанных с работой систем в миллиметровом и субтерагерцевом диапазонах, также проведен обзор атак этих диапазонов для влияния на формирование сверхузких лучей в условиях использования нейронных сетей и методов машинного обучения с целью реализации технологий massive-MIMO и ultramassive-MIMO совместно с новыми методами кодирования и модуляции.
Создана система симуляции на базе OMNeT++ и Simu5G, в модель добавлены модули для снятия данных физического уровня, добавлены внешние приложения для определения параметров радиотракта при формировании луча, изучены возможности влияния на радиотракт.
В рамках исследуемых сценариев эмулятора DeepMIMO выполнены состязательные атаки отравления данных на регрессионные модели машинного обучения. Выполнено экспериментальное сравнение бинарных классификаторов для обнаружения отравленных данных. Выполнен анализ динамики изменения метрик качества регрессионной модели в различных сценариях. Выполнение состязательной атаки FGSM с максимизацией знака градиента и подобранными оптимальными параметрами показателя окрестности ε и доли атакуемых данных увеличивает значение метрики MSE в среднем на 33% и снижает значение метрики R2 в среднем на 10%. Бинарный классификатор LightGBM с точностью в 98% успешно обнаруживает записи с состязательными аномалиями в табличных данных, изоляция которых позволяет восстановить метрики регрессионной модели до исходных значений.
В результате реализации НИР опубликовано 4 печатные работы, включая 2 статьи в изданиях, индексируемых в Scopus и WoS, а также 2 статьи в рецензируемом журнале, входящем в перечень ВАК.
Посмотреть отчет за 2022 год
Последнее обновление: 15.05.2024
Ответственный за информацию:
Болдырев Петр Алексеевич, управление научной и инновационной деятельности, начальник управления
(тел.91-21-38)
