RAILS是一种新的可以使字符识别算法更加强大的免疫启发算法。它比卷积神经网络和鲁棒的深度k-临近(本例五)等常见方法有明显提升。(图片来源:Ren Wang, Hero Group, University of Michigan)
如果在一个香蕉上贴上贴纸可以使它被认为是一个烤面包机,那么这种战略性的破坏行为会如何扭曲一辆自动驾驶车辆对停车标志的感知?现在,密歇根大学的工程师、生物学家和数学家们设计了一种神经网络免疫防御系统可以抵御这种攻击。
深度神经网络是机器学习算法的一个子集,它被广泛用于各种分类问题,包括图像识别、机器视觉(自动驾驶车辆和其他机器人所使用的)、自然语言处理、翻译和欺诈检测。然而,可能会有人或团体恶意的对输入进行微调,并将算法进行错误的训练。为了保护算法免受此类攻击,密歇根州的团队开发了鲁棒对抗免疫启发的学习系统(Robust Adversarial Immune-inspired Learning System)。
“RAILS是第一个以适应性免疫系统为模型的对抗性学习方法,它的运作方式与先天免疫系统是不同的。”John H.Holland大学特聘教授、此次项目共同负责人Alfred Hero说道,这项工作已发表在IEEE Access中。
虽然先天免疫系统已经可以对病原体进行全面的攻击,但哺乳动物的免疫系统可以生成用于防御特定病原体的新细胞。事实证明,受到大脑信息处理系统启发的深度神经网络同样可以实现这一生物过程。
“免疫系统的存在是令人惊喜的。”计算医学和生物信息学副教授、该研究的共同负责人Indika Rajapakse说,“免疫系统精妙的设计使得它总能找到一个解决方案。”RAILS的工作原理是模仿免疫系统的自然防御机制,用于识别并处理神经网络的可疑输入信息。为了研发这一模型,生物团队研究了小鼠的适应性免疫系统对抗原的反应。该实验使用了在B细胞上表达出荧光标记的转基因小鼠组织。
该团队通过将脾脏的细胞与骨髓的细胞一起培养,从而创建了一个免疫系统的模型,它们分别代表免疫系统的总部和驻军。这个系统使生物小组能够跟踪B细胞的发展情况,它开始是用试错的方法来设计一个能与抗原结合的受体。一旦B细胞聚集在一个溶液上,它们就会产生浆B细胞来捕获任何存在的抗原,并产生预备的记忆B细胞来抵御下一次攻击。
这个停车标志上的贴纸可能让一辆还没有做好准备的自动驾驶汽车产生偏差。另外,一个发现自动驾驶汽
车视觉系统弱点的罪犯可以通过在交通标志上粘贴贴纸的手段,故意造成交通事故。而新的免疫启发算法提供了一种防御这种类型攻击的方法。(图片来源:Michigan Engineering)
生物信息学的博士生Stephen Lindsly充当了生物学家和工程师之间的翻译,他对Rajapakse实验室输出的信息进行了数据分析。然后,Hero团队在计算机上对该生物过程进行建模,将生物机制融合到代码中。他们用对抗性输入测试RAILS的防御系统。然后他们比较了B细胞学习攻击抗原的学习曲线和学习排除这些恶意输入的算法的学习曲线。
“在我们将RAILS的学习曲线和从实验中提取的学习曲线对比之前,我们并不能确定是否真的捕捉到了这一生物过程。”Hero说道,“他们完全一样。”
RAILS不仅仅是一个有效的生物模拟,它的表现超过了两个用于抵制对抗性攻击的最常用的机器学习过程:鲁棒的深度k-临近和卷积神经网络。
(图片来源:Pixabay)
电气和计算机工程研究院的Ren Wang主要负责软件的开发与实现,他说:“这项工作的一个非常好的前景在于,我们的框架可以抵御不同类型的攻击。”
研究人员用图像识别作为测试案例以评估RAILS的成效,它在多个数据集、八种类型的对抗性攻击中都有所提高,这其中也包括了对最具破坏性的对抗性攻击——投影梯度下降攻击的保护。此外,RAILS也提高了整体准确性,比如说,它正确地识别了鸡和鸵鸟的图像,其他算法普遍地将它们认定为一只猫和一匹马,亦或是两种鸟。
“这是一个极佳的例子,它用数学的形式帮助我们理解这一精妙的动态系统。”Rajapakse说道,“我们或许可以从RAILS中汲取灵感,用以重新编写免疫系统,使得它可以更快地工作。”Hero团队下阶段的目标将集中于使该模型的响应时间从毫秒减少到微秒。
翻译:彭琛
审校:汪茹
引进来源:密歇根大学(University of Michigan)
京公网安备11010502039775号
