当前课程知识点:网络安全-应用技术与工程实践 > 第8章 信息系统新形态新应用安全技术 > 8.6 人工智能与网络安全 > 延时阅读思考:对抗样本攻击与人工智能
本来吧,这个教学素材是我为北京理工大学研究生上课准备的讨论题,我又添加了新的内容,放出来给大家看看吧。废话不多说了。准备好了吗?请听题:
1、人工智能及人工智能的安全问题核心是什么?人工智能安全和我们过去所认知的计算机网络安全有什么不同?由技术性缺陷导致的算法安全风险,包括哪些?在现实情境中,有哪些具体案例?
答:作为新一轮产业变革的核心驱动力和引领未来发展的战略技术,人工智能的发展前景广阔。作为信息社会的核心技术,人工智能在经历了数次低潮之后,目前又获得了极大的发展,对网络空间产生了不可估量的影响。1956年,美国达特茅斯会议首次提出人工智能(AI)的概念。其后,人工智能几经起落,经历了符号主义、数学建模、新一代人工智能三大主要阶段。简而言之,人工智能是利用计算机或其控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。以是否有自主意识来划分,又可以分为弱人工智能系统和强人工智能系统两大类。弱人工智能能够真正地推理和解决问题,但不具备自主意识;而强人工智能则拥有思维能力和自主意识。当前,人工智能尚处于弱人工智能阶段。
新一代人工智能技术是网络时代的高新技术,而人工智能系统则是网络空间的新型信息系统。与网络空间的其他信息技术和系统形态一样,人工智能也有其安全问题。这其中,既有信息系统的共性安全问题,也有人工智能自身的特殊安全问题。人工智能与网络安全关系密切,人工智能技术的蓬勃发展对于信息安全来说是一把双刃剑,它为网络安全带来的,不仅有机遇,也有挑战。人工智能的广泛应用带来了许多安全问题,而人工智能技术又成为驱动全球网络安全能力提升的新“引擎”,引领网络安全新时代。具体体现在三个层面:应用人工智能可能会带来安全问题,人工智能系统自身也存在安全问题,而且,人工智能在网络安全领域的应用日益广泛,运用人工智能赋能网络空间安全,主要体现在主动防御、威胁分析、策略生成、态势感知、攻防对抗等诸多方面。其中包括采用人工神经网络技术,来检测入侵行为、蠕虫病毒等安全风险源﹔采用专家系统技术,进行安全规划、安全运行中心管理等﹔此外人工智能方法还有助于网络空间安全环境的治理,比如打击网络诈骗。
现在人们特别关注的人工智能安全,通常是指人工智能系统被恶意数据(比如对抗样本数据)所欺骗,从而导致AI输出与预期不符乃至危害性的结果,属于功能安全(safety)问题。虽然传统的网络系统安全顽疾在AI时代必将更加集中的爆发,但AI的功能安全问题仍与传统的网络安全强调“保密性”“完整性”“可用性”等信息安全(security)问题,存在本质不同。由技术性缺陷导致的AI算法安全风险,包括:可导致AI系统被攻击者控制的信息安全问题;可导致AI系统输出结果被攻击者任意控制的功能安全问题。信息安全问题包括算法实现漏洞等,比如AI算法存在缓冲区漏洞,攻击者可以利用此漏洞实现缓冲区攻击,导致系统瘫痪或被控制。主流机器学习框架存在功能安全问题的例子很多,比如,在马路上粘贴“模仿”合并条带的对抗样本贴纸,从而误导自动驾驶汽车的视觉识别系统,令汽车驶入逆行车道;人胸前张贴对抗样本贴纸,欺骗视频监控设备,实现在监控系统中的“隐身”;配戴特征的脸部对抗样本贴纸或“特制眼镜”,让人脸识别系统误认其为机主,从而实现手机刷脸解锁或刷脸支付等。
2、人工智能AI病毒有哪些特点?对抗样本为何后来变成令人头疼的AI病毒?在现实世界,经过对抗训练的算法为何不能抵抗这些恶意攻击吗?这是为何?
答:针对人工智能系统实施对抗样本攻击的这类恶意代码,常被称为“AI病毒“。这类病毒的特点是攻击载荷为相对复杂和灵活的对抗样本数据,一旦作用于AI系统,误导系统产生与预期不符乃至危害性结果,而对抗样本数据本身并无恶意特征,普通的恶意代码检测软件通常对此无能为力。对抗样本(Adversarial examples)是指在数据集中通过故意添加细微的干扰所形成的输入样本,会导致模型以高置信度给出一个错误的输出。使用对抗样本,可以检测包括深度学习在内的许多训练学习类人工智能方法的分类有效性,当然也可以利用对抗样本来进行对抗训练,以提升人工智能系统的分类有效性。然而,很多实际应用的AI系统对此重视不够,使得攻击者可以利用对抗样本来实施针对AI系统的攻击和恶意侵扰,从而演变成令人头疼的“AI病毒“。在现实世界中,很多AI系统在对抗样本攻击面前不堪一击,一方面,这是由于AI重应用、轻安全的现象普遍存在,很多AI系统根本没有考虑对抗样本攻击问题;而另一方面,虽然有些AI系统经过了对抗训练,但由于对抗样本不完备、AI算法欠成熟等诸多缺陷,在对抗样本恶意攻击面前,也毫无招架之力。
3、2018年9月4日,百度研发了“百度人工智能安全平台”,2020年4月7日清华大学瑞莱智慧推出了RealSafe人工智能安全平台,这两者有何不同?
答:百度人工智能安全平台的核心是百度下一代人工智能安全技术栈(Baidu AI Security Stack, BASS),是一种面向智能物联的一体化安全解决方案,其高安全可验证系统架构旨在实现智能物联行业“云”、“管”、“端“的全方位覆盖,其七大开源技术已面向生态开源,为AI安全生态提供全方位技术保障。保障对象包括各类智能物联系统,具体包括智能物联终端、相关云服务、APP以及人工智能模型等的安全问题,覆盖系统层、协议栈、数据传输、应用、模型等多个层面,力求加固整个人工智能产业链。
清华大学AI研究院孵化企业RealAI(瑞莱智慧)推出的RealSafe人工智能安全平台,则是针对AI在极端和对抗环境下的算法安全性检测与加固的工具平台,包括模型安全测评、防御解决方案两大功能模块。平台内置AI对抗攻防算法,提供从安全测评到防御加固整体解决方案。模型安全评测主要提供AI模型安全性评测服务,用户只需接入所需测评模型的SDK或API并选择数据集,平台将自动生成对抗样本来模拟攻击,最终给出该模型的安全评分。防御解决方案则是在模型安全测评之后提供的后续安全性升级服务。
由此可以看出,百度人工智能安全平台旨在提供智能物联系统的一体化、全方位安全解决方案,志在培育和加固整个人工智能产业链,而瑞莱智慧RealSafe人工智能安全平台目前侧重于模型和算法安全性检测与加固,可以说是人工智能算法的“病毒查杀“工具。
4、预防人工智能“中毒”有哪些困难?“杀毒软件”行业将如何发展?
答:预防人工智能“中毒”,目前确实存在一定的困难。一是很多AI研发者和用户并没有意识到AI病毒的巨大风险和危害,重视并解决AI病毒问题根本无从谈起;二是由于AI正处于高速发展阶段,很多AI研发者和生产商“萝卜快了不洗泥”,根本无暇顾及安全问题,导致带有先天安全缺陷的AI系统大量涌入应用市场;三是部分AI研发者和供应商虽然意识到了AI病毒问题,但由于技术能力不足,针对该问题并无有效的解决办法。种种原因导致了AI病毒防范困难重重。当然,网络安全本来就是一个高度对抗、动态发展的领域,这也给杀毒软件领域开辟了一个蓝海市场,AI杀毒行业面临着重大的发展机遇。 “杀毒软件”行业首先应该具有防范AI病毒的意识,然后在软件技术和算法安全方面重视信息安全和功能安全问题,以现实需求为牵引,以高新技术来推动,将AI病毒查杀这个严峻挑战,转变为杀毒软件行业发展的重大发展契机。
-1.1 走进网络空间安全
-1.2 信息、信息系统与网络空间
-1.3 网络空间视角下的信息安全
-1.4 信息安全属性及信息安全定义
-1.5 有关网络空间安全的若干基本观点
-同学,你薅过拼多多等电商平台的羊毛吗?这跟网络黑产有何关联?
-2.1 网络安全技术体系概述
-2.2 网络安全风险及其技术防范
-2.3 网络安全系统科学思想与系统工程方法
-2.4 网络安全防御体系能力的形成
-2.5 网络安全法律法规及标准规范(上)
-2.5 网络安全法律法规及标准规范(下)
-扩展阅读:IEEE计算机协会预测2020年12大技术发展趋势,网络安全表现如何?
- IEEE计算机协会预测2020年12大技术发展趋势,其中哪些跟网络安全有关呢?你如何理解网络安全的这些发展趋势?
-从微盟删库事件,如何认识网络安全系统工程与防御体系能力的形成,请各抒己见,畅所欲言
-请试分析你所使用的信息系统面临的安全威胁。比如,智能手机、个人计算机、邮件系统、微信系统等。
-3.1 基础架构安全概述
-3.2 物理与环境安全
-3.3 网络与主机安全
-3.4 加密与认证技术(3.4.1 密码学基础知识)
-3.4 加密与认证技术(3.4.2 对称密码与非对称密码技术)
--3.4 加密与认证技术(3.4.2 对称密码与非对称密码技术)
-3.4 加密与认证技术(3.4.3 摘要算法与加密算法的认证应用)
--3.4 加密与认证技术(3.4.3 摘要算法与加密算法的认证应用)
-3.4 加密与认证技术(3.4.4 密码学领域的中国智慧和中国贡献)
--3.4 加密与认证技术(3.4.4 密码学领域的中国智慧和中国贡献)
-3.5 安全协议与协议安全
-3.6 应用软件(系统)安全实现(上)
-3.6 应用软件(系统)安全实现(下)
--思考与讨论:微服务架构与SOA架构、巨石架构在安全性方面的优劣。提示:请提前阅读扩展阅读之《微服务架构与SOA架构、巨石型架构的比较》
--拓展讨论:你了解CMM/CMMI吗?它对软件安全性有何意义
-3.7 备份与灾难恢复技术
-扩展阅读:中华人民共和国《密码法》,2020年1月1日实施
-延伸讨论:国家对密码管理是如何分类的呢?各自应用场景是什么?
-请分别说出两种以上的常用的对称加密算法、两种以上的常用的非对称加密算法、两种以上的常用的摘要算法。
-4.2 防火墙技术(上)
-4.2 防火墙技术(下)
-4.3 脆弱性与漏洞检测及防范技术(上,漏洞分类及检测分析)
--4.3 脆弱性与漏洞检测及防范技术(上,漏洞分类及检测分析)
-4.3 脆弱性与漏洞检测及防范技术(下,脆弱性攻击防范技术)
--4.3 脆弱性与漏洞检测及防范技术(下,脆弱性攻击防范技术)
-4.4 恶意代码检测及防范技术(上,概念、分类及特征)
-4.4 恶意代码检测及防范技术(下,分析检测与防范治理)
--4.4 恶意代码检测及防范技术(下,分析检测与防范治理)
--研究型学习材料:病毒导致手机爆炸,是确有可能,还是耸人听闻?
--研究型讨论:病毒导致手机爆炸,是确有可能,还是耸人听闻?
-4.5 入侵检测技术(上)
-4.5 入侵检测技术(中)
-4.5 入侵检测技术(下)
-“IPv4+NAT”方案 与 IPv6方案各自的优缺点是什么?
-思考与讨论:伪基站是个什么鬼?它对移动互联的安全威胁是什么?
-5.1 主动防御的概念及技术体系
-5.2 入侵防御与入侵容忍技术
-5.3 蜜罐与蜜网技术
-5.4 沙箱技术
--5.4 沙箱技术
-5.5 可信计算与可信平台(上)
-5.5 可信计算与可信平台(下)
-- 讨论:综合辅助材料和你的理解,你能给可信性来一个定义吗?如果我觉得你的定义更好,那下次开课我就有可能用你的定义,并以你的名字来命名哦!!!
-5.6 移动目标防御和拟态防御技术
-6.1 网络安全智能分析的概念与技术体系
-6.2 网络安全风险评估技术
-6.3 网络安全态势感知技术
-6.4 网络安全威胁情报技术
-6.5 网络安全攻击反制技术
-7.1 网络安全度量、分析与测评概述
-7.2 网络安全指标体系(上)
-7.2 网络安全指标体系(下)
-7.3 网络安全度量技术
-7.4 网络安全分析技术
-7.5 网络安全测评技术
-思考与讨论:开源模式的大量应用,对于信息系统安全有何影响?
-8.1 云计算安全技术
-8.2 移动互联安全技术
--研究型讨论:移动优先索引的大趋势对网页安全设计有何影响?
-8.3 物联网安全技术
-8.4 工业控制系统及工业互联网安全技术
-8.5 大数据安全技术(上)
-8.5 大数据安全技术(下)
-8.6 人工智能与网络安全
--思考与讨论:人类网络安全专家会被人工智能淘汰吗?各自优劣如何?
-8.7 量子通信安全技术
-8.8 区块链安全技术
-辅助性阅读材料中给出了信息物理融合系统的简要介绍。请按照本章网络空间信息系统新形态新应用安全技术的思路,来思考一下其安全性问题。