Nghiên cứu và đề xuất phương pháp phòng thủ trước một số phương pháp tấn công mô hình học máy trong không gian mạng

Trong thời đại số hiện nay, sự phát triển không ngừng của các thuật toán học máy đã được áp dụng rộng rãi trong nhiều lĩnh vực khác nhau. Cũng chính vì thế việc các quyết định được đưa ra dựa trên dữ liệu ngày càng được ưa chuộng bởi sự vượt trội về tốc độ và sự chính xác so với con người. Và một mô hình học máy được cấu thành từ hai yếu tố chính gồm kiến trúc mô hình và dữ liệu. Những kẻ tấn công có thể thông qua không gian mạng kết hợp vào hai yếu tố đã nói trên để tiến hành khai thác, sửa đổi và lây nhiễm độc hại làm cho việc đưa ra quyết định của một mô hình trở nên thiếu chính xác.

TRƯỜNG ĐẠI HỌC SƯ PHẠM TPHCM

KHOA CÔNG NGHỆ THÔNG TIN

HUỲNH ĐỨC CƯỜNG

NGHIÊN CỨU VÀ ĐỀ XUẤT PHƯƠNG PHÁP PHÒNG THỦ TRƯỚC MỘT SỐ PHƯƠNG PHÁP TẤN CÔNG MÔ HÌNH HỌC MÁY TRONG

KHÔNG GIAN MẠNG

KHÓA LUẬN TỐT NGHIỆP

TP.HỒ CHÍ MINH - NĂM 2022

TRƯỜNG ĐẠI HỌC SƯ PHẠM TPHCM

KHOA CÔNG NGHỆ THÔNG TIN

HUỲNH ĐỨC CƯỜNG

NGHIÊN CỨU VÀ ĐỀ XUẤT PHƯƠNG PHÁP PHÒNG THỦ TRƯỚC MỘT SỐ PHƯƠNG PHÁP TẤN CÔNG MÔ HÌNH HỌC MÁY

TRONG KHÔNG GIAN MẠNG

CHUYÊN NGÀNH: KHOA HỌC MÁY TÍNH

KHÓA LUẬN TỐT NGHIỆP

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS ĐẶNG QUANG VINH

TP.HCM – NĂM 2022

Mục lục

Một số kí hiệu viết tắt 4 Danh sách hình vẽ 5

1 Tổng quan đề tài 8

1.1 Khái quát về sự tấn công mô hình học máy 8

1.2 Mục tiêu hướng đến: 9

1.3 Hướng tiếp cận và phương pháp nghiên cứu 10

2 Cơ sở lý thuyết và các nghiên cứu liên quan 12 2.1 Cơ sở lý thuyết: 12

2.1.1 Mô hình học máy Support Vector Machine: 12

2.1.2 Khái niệm lý thuyết trò chơi: 18

2.1.3 Khái niệm học đối thủ (Adversarial learning): 20

2.1.4 Các mô hình tấn công của đối thủ: 21

2.2 Một số kiến thức về các bài toán tối ưu: 27

2.2.1 Bài toán song tuyến rời rạc: 27

2.2.2 Bài toán đối ngẫu bất đối xứng: 28

2.3 Các tiêu chuẩn đánh giá: 29

2.4 Các phương pháp đánh giá: 30

2.4.1 Accuracy: 30

2.4.2 MSE: 31

2.4.3 RMSE: 31

2.5 Các nghiên cứu liên quan: 32

3 Phương pháp đề xuất 34 3.1 Ý tưởng chính của phương pháp: 34

3.2 Áp dụng phương pháp học máy đối thủ: 35

3.2.1 Mô hình AD-SVM chống lại mô hình tấn công ngụy trang tự do (Free-range): 35

3.2.2 Mô hình AD-SVM chống lại mô hình tấn công ngụy trang hạn chế (Restrained:) 38

4 Thực nghiệm 41 4.1 Dữ liệu huấn luyện: 41

4.1.1 Tập dữ liệu email spam: 42

4.1.2 Tập dữ liệu gian lận tín dụng: 42

4.2 Môi trường thực nghiệm: 43

4.3 Quá trình thực nghiệm: 43

4.4 Kết quả thực nghiệm: 46

4.4.1 Với tập dữ liệu email spam: 46

4.4.2 Với tập dữ liệu gian lận tín dụng: 51

5 Kết luận và hướng phát triển 55 5.1 Kết luận: 55

5.2 Hướng phát triển: 55

Tài liệu tham khảo 57

Lời cảm ơn

Sau thời gian học tập và rèn luyện tại Trường Đại học Sư Phạm TP Hồ ChíMinh, bằng sự biết ơn và kính trọng, em xin gửi lời cảm ơn chân thành đến BanGiám hiệu, các phòng, khoa Công nghệ Thông tin thuộc Trường Đại học SưPhạm TP Hồ Chí Minh và các thầy đã nhiệt tình hướng dẫn, giảng dạy và tạomọi điều kiện thuận lợi giúp đỡ em trong suốt quá trình học tập, nghiên cứu vàhoàn thiện đề tài nghiên cứu khoa học này

Đặc biệt, em xin bày tỏ lòng biết ơn sâu sắc tới Thầy Đặng Quang Vinh, ngườithầy đã trực tiếp hướng dẫn, giúp đỡ em trong quá trình thực hiện đề tài.Xin chân thành cảm ơn gia đình, bạn bè đã tạo điều kiện, nghiên cứu để hoànthành đề tài này Tuy nhiên điều kiện về năng lực bản thân còn hạn chế, chuyên

đề nghiên luận văn chắc chắn không tránh khỏi những thiếu sót Kính mongnhận được sự đóng góp ý kiến của các thầy cô giáo, bạn bè và đồng nghiệp đểbài nghiên cứu của em được hoàn thiện hơn

Danh mục viết tắt

AV Anti virus

AD-SVM Adversarial Support Vector Machine.SVM Support Vector Machine

MSE Mean Squared Error

RMSE Root Mean Squared Error

Danh sách hình vẽ

2.1 Mô tả mô hình SVM 132.2 Mô tả các siêu phẳng SVM 142.3 Hinge loss (màu xanh) và Zero-One loss (màu đen) 172.4 Mô tả điểm dữ liệu được phân chia tuyến tính (a) và các điểm dữliệu xen lẫn nhau (b) 25

Danh sách bảng

4.1 Kết quả mô hình AD-SVM với Free-range Attack của tập dữ liệuemail spam 464.2 Kết quả mô hình AD-SVM với Restrained Attack của tập dữ liệuemail spam với Cξ = 0.1 474.3 Kết quả mô hình AD-SVM với Restrained Attack của tập dữ liệuemail spam với Cξ = 0.3 484.4 Kết quả mô hình AD-SVM với Restrained Attack của tập dữ liệuemail spam với Cξ = 0.5 484.5 Kết quả mô hình AD-SVM với Restrained Attack của tập dữ liệuemail spam với Cξ = 0.7 494.6 Kết quả mô hình AD-SVM với Restrained Attack của tập dữ liệuemail spam với Cξ = 1.0 494.7 Kết quả mô hình AD-SVM với Free-range Attack của tập dữ liệugian lận tín dụng 514.8 Kết quả mô hình AD-SVM Restrained của tập dữ liệu gian lận tíndụng với Cξ = 0.1 524.9 Kết quả mô hình AD-SVM Restrained của tập dữ liệu gian lận tíndụng với Cξ = 0.3 524.10 Kết quả mô hình AD-SVM Restrained của tập dữ liệu gian lận tíndụng với Cξ = 0.5 53

4.11 Kết quả mô hình AD-SVM Restrained của tập dữ liệu gian lận tíndụng với Cξ = 0.7 534.12 Kết quả mô hình AD-SVM Restrained của tập dữ liệu gian lận tíndụng với Cξ = 1.0 54

Chương 1

Tổng quan đề tài

Tại chương này tôi sẽ tiến hành khảo sát những vấn đề cơ bản liên quan đến đềtài mà tôi đang hướng đến

Trong thời đại số hiện nay, sự phát triển không ngừng của các thuật toán họcmáy đã được áp dụng rộng rãi trong nhiều lĩnh vực khác nhau Cũng chính vìthế việc các quyết định được đưa ra dựa trên dữ liệu ngày càng được ưa chuộngbởi sự vượt trội về tốc độ và sự chính xác so với con người Và một mô hình họcmáy được cấu thành từ hai yếu tố chính gồm kiến trúc mô hình và dữ liệu.Những kẻ tấn công có thể thông qua không gian mạng kết hợp vào hai yếu tố

đã nói trên để tiến hành khai thác, sửa đổi và lây nhiễm độc hại làm cho việcđưa ra quyết định của một mô hình trở nên thiếu chính xác

Ví dụ như một phần mềm phát hiện và diệt vi rút (AV) Hệ thống phần mềmchống vi-rút dựa trên công nghệ máy học vẫn liên tục bị thách thức bởi nhiềuphần mềm độc hại được cố ý phát triển bởi những kẻ tấn công để tránh bị phầnmềm AV phát hiện Cả hệ thống phòng thủ và phần mềm độc hại đều đượctrang bị các kỹ thuật tiên tiến, hiện đại nhất để phục vụ lợi ích đối lập của mỗi

AV bằng cách sử dụng chiến lược chuyển đổi mã độc sang mã có vẻ lành tính.

Hệ thống AV không phát hiện được mã độc đã biến đổi vì giả định cơ bản màthuật toán học máy: dữ liệu độc hại luôn theo cùng một phân phối với dữ liệuđộc hại được sử dụng để đào tạo Các thuật toán học máy trở nên dễ bị tấn cônghơn nếu đối thủ có quyền kiểm soát dữ liệu đào tạo hay nói cách khác đối thủbiết được các giá trị có thể có trong dữ liệu đào tạo đó, can thiệp vào và làmsai quy trình đào tạo thậm chí ngay từ đầu để tạo ra một bộ phân loại sai Một

ví dụ khác trong vấn đề an ninh mạng là vấn đề thư rác email Những kẻ gửithư rác phải vượt mặt các bộ lọc thư rác dựa trên máy học để kiếm lợi nhuận dễdàng Khi các bộ lọc thư rác ngày càng phát triển và trở nên tinh vi hơn, những

kẻ gửi thư rác cũng sẽ trở nên có kỹ năng cao hơn và áp dụng các chiến lược tấncông hiệu quả hơn để vượt qua các bộ lọc thư rác

Sự tấn công các mô hình học máy này sẽ để lại hậu quả hết sức nghiêm trọng.Việc tìm phương pháp để có thể đối phó với sự tấn công đến các mô hình họcmáy sẽ giúp tăng thêm sự an toàn, độ chính xác của mô hình khi đối mặt vớicác kẻ tấn công sử dụng nhiều phương pháp khác nhau

Sự đối đầu giữa hệ thống học máy và kẻ tấn công luôn diễn ra liên tục, ta

có thể xem sự đối đầu này như là một trò chơi Hệ thống học máy sẽ cố gắngphòng thủ trước những sự tấn công của đối thủ bằng cách sử dụng các chiếnlược tốt nhất với sự kết hợp lý thuyết trò chơi vào quá trình học tập Mọi kháiniệm lý thuyết trò chơi, các mô hình học máy và sự đối đầu giữa mô hình và kẻtấn công sẽ được trình bày rõ trong chương tiếp theo

– Bài toán áp dụng với dữ liệu đầu ở dạng bảng với mỗi hàng là 1 điểm

dữ liệu với nhiều đặc trưng

– Bài toán được áp dụng vào mô hình học máy SVM

– Nguồn dữ liệu được thu nhập từ các cuộc thi đã từng diễn ra

– Việc thực nghiệm sẽ đưa ra một vài kết quả so sánh

• Yêu cầu bài toán:

– Nghiên cứu, đề xuất phương pháp để đối mặt với sự tấn công của đốithủ vào mô hình học máy

– Phân tích, làm rõ phương pháp sẽ áp dụng

– Điều chỉnh các tham số để kết quả đạt được là tốt nhất

• Dự kiến kết quả:

– Phương pháp đề xuất có thể áp dụng được trong các bài toán phân loại

– Độ chính xác của việc phân loại sau khi áp dụng thử nghiệm phươngpháp ở mức chấp nhận được

Với tập dữ liệu thì tôi sẽ áp dụng một số kỹ thuật phân tích và tiến hành tiền

xử lý dữ liệu nhằm loại bỏ các điểm dữ liệu nhiễu hoặc các đặc trưng khôngcần thiết tránh việc ảnh hưởng đến kết quả thực nghiệm Đối với phương pháp

đề xuất, tôi tiến hành khảo sát các phương pháp, các bài toán có sự liên quan

đã được sử dụng để áp dụng vào bài toán phân loại đã được đề cập đến Thôngqua đó để có một cơ sở đánh giá, so sánh các phương pháp để lựa chọn hướngtiếp cận thích hợp nhất Và cuối cùng là lựa chọn phương pháp có khả năngnhất trong việc tính toán và tiến hành thực nghiệm

Tiến hành thực nghiệm cài đặt thử nghiệm phương pháp đã đề xuất với môhình đã chọn Trong quá trình thực nghiệm sẽ tiến hành chạy qua nhiều tham

số, với nhiều lần lấy mẫu dữ liệu khác nhau để tiến hành huấn luyện mô hìnhnhằm nâng cao kết quả phân loại Nhận xét, đánh giá phương pháp dựa vàocác tiêu chí như độ chính các, hàm lỗi,

Tóm gọn lại, ở chương này ta đã có một cái nhìn toàn diện về bài toán giữa kẻtấn công và mô hình học máy Với những thành tựu hiện tại của ngành khoa họcmáy tính và an ninh mạng, người ta đã có thể kết hợp giữa hai lĩnh vực này vớinhau để nghiên cứu ra những phương pháp có thể áp dụng trong nhiều trườnghợp khác nhau khi đối mặt với các kẻ tấn công khác nhau Phương pháp được

áp dụng phù hợp với khả năng tính toán của các hệ thống máy tính hiện tại.Trong các phần tiếp theo ta sẽ tiến hành tìm hiểu, nghiên cứu sâu hơn về nhữngcác kỹ thuật và đề xuất phương pháp phù hợp nhất để giải quyết bài toán

Support Vector Machine (SVM) là một thuật toán thuộc phương pháp họcmáy có giám sát, nghĩa là tập dữ liệu huấn luyện sẽ có nhãn kèm theo, nó có thể

sử dụng cho cả các bài toán phân lớp lẫn đệ quy Tuy nhiên nó được ứng dụngnhiều hơn cho bài toán phân lớp, phân loại Thuật toán học máy này dựa trên lýthuyết học thống kê, chiều VC (viết tắt của chiều Vapnik - Chervonenkis) do hainhà khoa học Vapnik (1999), Chervonenkis (1974) đề xuất, được biết đến như

ưu bằng việc tìm một đường phân chia tất cả các đối tượng thành hai phần saocho các đối tượng ở cùng một lớp người dùng đang quan tâm nằm về một phíacủa siêu phẳng, các đối tượng khác nằm ở phía còn lại Để có thể hiểu được mộtsiêu phẳng là gì ta bắt đầu xét từ một tập hợp ở không gian 2 chiều Giả sử ta

có 2 điểm nằm trên một không gian 2 chiều, ta có thể vẽ được một đường thẳngtuyến tính chia không gian thành 2 vùng tách biệt chứa các điểm này

Nếu xét ở không gian 3 chiều thì thay vì đường thẳng, ta sẽ có một mặt phẳng

để phân chia các vùng không gian Và tương tự như thế ta có một siêu phẳngphân chia các vùng đối tượng với không gian n chiều

Ngoài ra ta cần hiểu thêm một khái niệm biên, hay lề (margin) Biên là khoảngcách từ phần tử trong một lớp ở gần siêu phẳng nhất tới siêu phẳng đó Trong

Hình 2.2: Mô tả các siêu phẳng SVM

một không gian đa chiều, có thể xuất hiện nhiều siêu phẳng phân chia tập dữliệu thành 2 vùng riêng biệt Nhưng siêu phẳng được gọi là tối ưu khi phân tập

dữ liệu thành hai lớp riêng biệt với vùng biên lớn đạt giá trị lớn nhất

Ở hình bên trên ta có thể thấy 3 siêu phẳng thỏa mãn điều kiện phân tập dữliệu thành 2 vùng tách biệt Nhưng siêu phẳng wxT + b = 1 nằm rất gần lớp +1

và siêu phẳng wxT+b = −1 nằm rất gần lớp – 1 Trong khi siêu phẳng wxT+b = 0lại nằm cách đều cả 2 vùng, nên có có biên lớn nhất, từ đó ta suy ra wxT+ b = 0chính là siêu phẳng tối ưu nhất

Thuật toán SVM được thực hiện như sau:

Xét một tập dữ liệu dùng để huấn luyện có n phần tử được biểu diễn nhưsau{(x1, y1), (x2, y2), , (x3, y3)} Trong đó, xilà một vector đầu vào được biểu diễn

trong không gian X ⊆ Rn, yi là nhãn của phần tử xi, vì ta chỉ quan tâm phần tửbất kỳ có thuộc lớp đang xét hay không nên yi ∈ {−1, +1} Nhiệm vụ của ta làtìm siêu phẳng H0(viết tắt cho hyperplane) và hai siêu phẳng H+, H−

nằm ở haiphía, gần với các phẩn tử của các lớp nhất, song song với H0 và có cùng khoảngcách với H0 như hình trên

H0 : w · x+ b = 0 Với điều kiện không có phần tử nào của tập mẫu nằm giữa H+

và H−, ta có :

(w, b) = arg max

w ,b

{ 1kwk2minn yn(w · xn+ b)} (2.1)

Ta có thể giả sử: yn(w · xn+ b) = 1 Như vậy, với mọi n ta có:

Từ đó giải để tìm được các giá trị tối ưu cho w, b và α Về sau, việc phân lớpmột đối tượng mới chỉ là việc kiểm tra hàm dấu sign(w · x − b).

Lời giải tìm siêu phẳng tối ưu trên có thể mở rộng trong trường hợp dữ liệukhông thể tách rời tuyến tính bằng cách ánh xạ dữ liệu vào một không gian có

số chiều lớn hơn bằng cách sử dụng một hàm nhân K (Kernel) Có thể nhắc đếnmột số hàm nhân thường dùng sử dụng như:

• Hàm nhân tuyến tính (Linear Kernel): K(x, y) = x ∗ y

• Hàm nhân đa thức (Polynomial Kernel): K(x, y) = (x ∗ y + 1)d

• Hàm Gaussian (Radial Basis Function Kernel): K(x, y) = exp(−|x−y| 2

Ở đây hàm mất mát Zero-One là hàm đếm các điểm bị phân loại sai HàmHinge trong hình trên được mô tả như sau f (ys) = max(0, 1 − ys) với s đại diệncho đầu ra tính được w · xn+ b Những điểm ở phía phải của trục tung ứng vớinhững điểm được phân loại đúng, tức s tìm được cùng dấu với y Những điểm

ở phía trái của trục tung ứng với các điểm bị phân loại sai Ta có các nhận xét:

• Với hàm mất mát Zero-One, các điểm có s ngược dấu với đầu ra mongmuốn y sẽ gây ra mất mát như nhau (bằng 1), bất kể chúng ở gần hay xađường phân chia (trục tung)

Hình 2.3: Hinge loss (màu xanh) và Zero-One loss (màu đen)

• Với hàm mất mát Hinge, những điểm nằm trong vùng an toàn, ứng với

ys ≥ 1, sẽ không gây ra mất mát gì Những điểm nằm giữa margin của classtương ứng và đường phân chia tương ứng với 0 < ys < 1, những điểm nàygây ra một sự mất mát nhỏ Những điểm bị phân loại sai, nghĩa là ys < 0

sẽ gây ra sự mất mát lớn hơn, vì vậy, khi tối thiểu hàm mất mát, ta sẽ tránhđược những điểm bị phân loại sai và lấn sang phần lớp còn lại quá nhiều.Đây chính là một ưu điểm của hàm mất mát Hinge

Trong bài toán phân lớp, phân loại SVM đóng vai trò như một hệ hỗ trợ raquyết định để xác định phân lớp của một đối tượng mới, trong hình trên đó làgiai đoạn “Kiểm tra phân lớp, phân loại” SVM sử dụng kết quả từ tập thôngtin đặc trưng của dữ liệu đã được xử lý bằng các phương pháp rút để tiến hànhphân lớp, phân loại Việc trích chọn đặc trưng là một bước quan trọng có ảnhhưởng lớn đến bài toán phân lớp với SVM Tùy theo loại dữ liệu và tính chất của

dữ liệu, các nhà nghiên cứu phải có cái nhìn khái quát về dữ liệu đó để chọn racác đặc trưng thích hợp cho bài toán phân loại đó Việc này tuy cần thiết nhưngcũng là điểm bất lợi của một hệ thống phân lớp sử dụng SVM Ta có thể thấy

ở hình trên việc trích chọn đặc trưng ảnh hưởng đến cả quá trình huấn luyện

Nếu như chọn đặc trưng không phù hợp thì việc huấn luyện sẽ cho ra mô hìnhsau huấn luyện sử dụng để phân lớp không chính xác Từ đó dẫn đến kết quảkhông đạt được như mong muốn.

Lý thuyết trò chơi là một lĩnh vực nghiên cứu các mô hình toán học về sựđối đầu hoặc hợp tác giữa những đối tượng có các hành động ra các quyết địnhthông minh (Myerson 1991) Với cái tên như vậy có thể khiến nhiều người hiểulầm là lý thuyết về các trò chơi giải trí thông thường Tuy nhiên, thật chất lýthuyết trò chơi cung cấp một mô hình thiết yếu cho các hệ thống mang tínhphức tạp tương đối cao với nhiều tác nhân hoặc người chơi Đặc biệt, đối vớilĩnh vực kinh tế học, sự tác động của nó là hết sức sâu sắc, đã có nhiều ngườidựa trên lý thuyết trò chơi đã đạt được các thành tựu to lớn như giải thưởngNobel kinh tế học cho các công hiến của họ Bên cạnh đó, lý thuyết trò chơi cũng

có thể áp dụng vào xã hội học, tâm lý học, sinh học,

Có 3 yếu tố cơ bản cấu thành một trò chơi: tập các người chơi, tập các hànhđộng mà các người chơi có thể chọn, và phần thưởng mà họ có thể đạt được khithực hiện các hành động Dĩ nhiên sẽ có thể có nhiều dạng trò chơi khác nhaudựa trên 3 yếu tố này Một dạng trò chơi điển hình đó chính là trò chơi đồngthời Những người trong trò chơi đồng thời sẽ chọn và thực hiện các chiến lượccủa mình một cách đồng thời và họ không biết rằng những người chơi khác sẽthực hiện chiến lược gì Trò chơi sẽ kết thúc ngay lập tức Trong trường hợp haingười chơi thực hiện hành động của mình không cùng lúc, nghĩa là có ngườithực hiện trước và người thực hiện sau, nhưng người thực hiện sau lại khôngbiết gì về hành động của người người thực hiện trước thì vẫn được xem là mộttrò chơi đồng thời Ta sẽ đi qua 2 dạng trò chơi cơ bản là trò chơi tổng bằngkhông và trò chơi cân bằng

sẽ mất đi một phần nào đó Đối với dạng trò chơi này thì một chiến lược phổbiến thường được dùng đó chính là chiến lược minimax mà ở đây mô hình họctrong vai trò người phòng thủ sẽ cố gắng tối thiếu hóa hàm mất mát trong khigiả định rằng đối thủ sẽ thực hiện các chiến lược tối ưu nhằm vào việc tấn công.

2.1.2.2 Trò chơi cân bằng Nash:

Tong trò chơi đồng thời các người chơi sẽ không biết rằng đối thủ của họ sẽ

sử dụng chiến thuật như thế nào Ở đây ta tiến hành giả định một trò chơi gồm

N người chơi Gọi Si là tập các chiến thuật hành động cũng những người chơi

i= {1, , N} Với trò chơi cân bằng Nash thì chiến lược của một người chơi đượcđưa là phản ứng tốt nhất của họ đối với người chơi khác Và phản ứng tốt nhất

Richo người chơi thứ i được ký kiệu theo công thức sau:

Ri(s−i) = arg max

si∈SiYi

Trong đó, Q

i chính là phần thưởng của người chơi thứ i khi mà người chơikhác thực hiện chiến lược s−i Từ đây, ta có thể thấy trong một trò chơi có Nngười chơi thì một giải pháp cân bằng Nash ở đây là s= (s1, , sN) với si ∈ Ri(s−i)

Có một điều thú vị ở đây là khi mà các người chơi đều chơi theo chiến lược cân

bằng Nash thì sẽ không có bất kì người chơi nào đi lệch khỏi chiến thuật này

cả vì việc này cũng không mang lại lợi ích gì cho họ Đôi khi các trò chơi sẽ

có nhiều phương áp cân bằng Nash thay vì chỉ có một cho các người chơi khácnhau

Ta có một tập không gian đầu vào X ∈ Rd, với d ở đây là số lượng thuộc tínhcủa tập đầu vào Một mô hình học máy được huấn luyện dựa trên dữ liệu đãđược tiền xử lý sẽ nhận đầu vào là một điểm dữ liệu x ∈ X và đầu ra sẽ là nhãncủa điểm dữ liệu đó gồm+1, −1 Và ở đây sẽ tồn tại một kẻ tấn công hay còn gọi

là đối thủ sẽ tấn công vào 1 điểm dữ liệu bằng một lượngδ khiến cho một điểm

dữ liệu được phân loại là độc hại trở thành một điểm thuộc lớp không độc hạihay còn gọi là lành tính và ta có f (x) , f (x + δ) Khi đó điểm mấu chốt của họcmáy đối thủ là ta cần tìm một hàm f sao cho:

P[ f (x) , f (x + δ)] < ( > 0) (2.9)

Ở đây, với vấn đề học đối thủ này ta có thể hiểu một cách đơn giản là một tròchơi giữa kẻ tấn công và mô hình học máy Nếu chúng ta giả định một cách lạcquan rằng sẽ có một người chơi đạt được phần thưởng và người còn lại thì sẽ bịmất một cái gì đó thì một chiến lược quen thuộc đó chính là chiến lược minimax

đã được đề cập ở lý thuyết trò chơi mục trước Mô hình học sẽ được huấn luyệnmột cách tốt nhất nhằm chống lại sự tấn công cũng được xem là tốt nhất của đốithủ nhằm khiến cho mô hình phân loại sai nhiều hơn:

• ω∗

: Tham số tối ưu của mô hình

• δ∗

: Lượng dữ liệu độc hại mà kẻ tấn công có thể dùng

Ta không đưa ra bất kỳ giả định cụ thể nào về kiến thức của đối thủ về môhình học tập Thay vào đó, ta chỉ đơn giản giả định rằng có sự đánh đổi hoặc

bỏ ra chi phí thay đổi dữ liệu độc hại Ví dụ, đối thủ thường sử dụng một chiếnlược đơn giản là di chuyển điểm dữ liệu độc hại trong không gian đặc trưngcàng gần nơi dữ liệu vô hại thường xuyên được quan sát càng tốt Tuy nhiên,đối thủ chỉ có thể thay đổi một điểm dữ liệu độc hại đến mức tính độc hại của

nó không bị mất hoàn toàn Nếu đối thủ di chuyển một điểm dữ liệu quá xa sovới lớp của chính nó trong không gian đặc trưng, đối thủ có thể phải chịu hysinh nhiều tính độc hại của điểm dữ liệu gốc Ví dụ: trong việc phát hiện gianlận thẻ tín dụng, đối thủ có thể chọn số tiền một cách phù hợp cho việc chi tiêubằng thẻ tín dụng bị đánh cắp nhằm bắt chước một giao dịch mua được xem làhợp pháp Khi làm như vậy, đối thủ cũng sẽ mất một phần lợi ích tiềm năng

Vài mô hình tấn công đối thủ khá phổ biến trong miền an ninh mạng

2.1.4.1 Ngụy trang dữ liệu:

Gồm hai mô hình tấn công ngụy trang gồm tự do (Free-range) và hạn chế(Restrained), mỗi mô hình đưa ra một giả định đơn giản và thực tế về mức độ

mà đối thủ biết được Các mô hình khác nhau về ý nghĩa của chúng đối với kiếnthức của đối thủ về dữ liệu vô hại và mất tính do thay đổi dữ liệu độc hại Môhình tấn công phạm vi tự do giả định đối thủ có quyền tự do di chuyển dữ liệuđến bất kỳ đâu trong không gian đặc trưng Mô hình tấn công hạn chế là một

mô hình tấn công bảo thủ hơn Mô hình được xây dựng theo trực giác rằng đốithủ sẽ không muốn để một điểm dữ liệu di chuyển ra xa vị trí ban đầu của nó

trong không gian đặc trưng Lý do là sự dịch chuyển lớn hơn thường dẫn đếnviệc tính độc hại bị mất đi.

• Mô hình ngụy trang tự do:

Ở mô hình tấn công này đối thủ chỉ cần biết được các khoảng giá trị củamỗi thuộc tính thuộc tập dữ liệu không gian đầu vào Ta có thể quy ước đốivới thuộc tính jth của điểm dữ liệu xi, ta có:

– xmaxj : giá trị giới hạn trên

– xminj : giá trị giới hạn dưới

Ví dụ, đối với phân bố Gaussian, chúng có thể được đặt thành các lượng tử0,01 và 0,99 Phạm vi kết quả sẽ bao gồm hầu hết các điểm dữ liệu và loại

bỏ một vài giá trị có thể ngoại biên Một cuộc tấn công sau đó được giới hạn

ở dạng sau:

Cf(xminj − xi j) ≤δi j ≤ Cf(xmaxj − xi j), ∀j ∈ [1, d] (2.11)Với Cf ∈ [0, 1] điểu khiển mức độ tấn công vào một điểm dữ liệu:

– Cf = 0: Không có sự tấn công nào ở đây

– Cf = 1: Lượng δ thêm vào điểm dữ liệu là lớn nhất

Một ưu điểm của mô hình tấn công này là sự tổng quát để bao quát tất cảcác tình huống tấn công có thể xảy ra khi có liên quan đến việc sửa đổi dữliệu Khi kết hợp với một mô hình học tập, sự kết hợp sẽ tạo ra hiệu suấttốt trước các cuộc tấn công nghiêm trọng nhất Tuy nhiên, khi có các cuộctấn công nhẹ, mô hình học tập trở nên quá "hoang tưởng" - sự hoang tưởngnày mang ý nghĩa rằng đối với cuộc tấn công nhẹ thì vẫn sẽ có sự nghi ngờrằng liệu rằng điểm dữ liệu đó có bị thay đổi hay chưa và hiệu suất của nó

bị ảnh hưởng theo Tiếp theo, ta sẽ đi đến một mô hình thực tế hơn cho các

cuộc tấn công mà việc thay đổi dữ liệu đáng kể sẽ phải chịu tổn thất nhấtđịnh.

• Mô hình ngụy trang hạn chế:

Hãy coi xi là một điểm dữ liệu độc hại mà đối thủ mong muốn sửa đổi

Trong các tình huống thực tế, đối thủ có thể không thể thay đổi xi trựctiếp thành xti như mong muốn vì xi có thể mất quá nhiều tính độc hại của

nó Ví dụ như một bức thư spam nếu ta thêm quá nhiều “từ tốt” thì nộidung mang tính spam của chúng sẽ mất hẳn hoàn toàn

Do đó, đối với mỗi thuộc tính j trong không gian d-chiều, ta giả sử đốithủ thêmδi j vào xi j trong đó:

Với Cδ∈ [0, 1] kiếm soát sự mất mát tính độc hại của điểm dữ liệu xi jkhithêm lượngδi j Mô hình tấn công này chỉ định mức độ mà đối thủ có thể ép

biểu hiện phần trăm của xt

i j − xi j mà lượng δi j cho phép tối đa Ở đây vớitham số Cδcố định, điểm xi jcàng gần xt

i j thì khả năng chuyển dịch lại cànglớn Nếu như 2 điểm trên quá xa nhau thì lượngδi jcàng nhỏ

Mô hình này cân bằng giữa nhu cầu che giấu tính độc hại của dữ liệu vàgiữ lại tính độc hại của nó trong thời gian trung bình Cδliên quan đến việcmất tính độc hại sau khi dữ liệu đã được sửa đổi Cδ đặt ra bao nhiêu tínhđộc hại mà đối thủ sẵn sàng hy sinh để vượt qua ranh giới quyết định Cδlớn hơn có nghĩa là mất tính độc hại ít hơn, trong khi mô hình Cδ nhỏ hơnmất tính độc hại nhiều hơn Do đó, Cδlớn hơn dẫn đến các cuộc tấn công ítnghiêm trọng hơn trong khi Cδ nhỏ hơn dẫn đến các cuộc tấn công nghiêmtrọng hơn

Với dữ liệu được chia một cách tuyến tính thì mô hình hoạt động hiệuquả Ngược lại, đối với dữ liệu không được phân chia một cách tuyến tínhhay nói cách khác có sự đan xen lẫn nhau thì việc thay đổi dữ liệu dù chỉ ítthì cũng đẩy điểm dữ liệu qua lớp bên kia Trong trường hợp này, ngay cảkhi Cδđược đặt thành 1, cuộc tấn công từ mô hình trên vẫn sẽ quá mạnh sovới những gì cần thiết Ta có thể cho phép Cδ > 1 để giảm sự nghiêm trọngcủa các cuộc tấn công, tuy nhiên, để đơn giản và dễ kiểm soát hơn, ta thayvào đó áp dụng hệ số chiết khấu Cξ cho |xt

i j − xi j|để trực tiếp mô hình hóamức độ nghiêm trọng của các cuộc tấn công:

0 ≤ (xti j− xi j)δi j ≤ Cξ(1 −

|xti j− xi j|

|xti j|+ |xi j|)(xti j− xi j)2 (2.14)Với Cξ ∈ [0, 1]:

– C lớn làm tăng lượng di chuyển dữ liệu

(a) (b)

Hình 2.4: Mô tả điểm dữ liệu được phân chia tuyến tính (a) và các điểm dữ liệuxen lẫn nhau (b)

– Cξ nhỏ đặt ra giới hạn hẹp hơn đối với di chuyển dữ liệu

Cuối cùng kết hợp hai trường hợp này, mô hình giới hạn được đưa ranhư sau:

mô hình, từ đó dữ liệu đã bị nhiễm độc Ở đây có 4 mất độ nguy hiểm từ caoxuống thấp

tế hơn đằng sau nó Hãy nghĩ về một tình huống trong đó một sản phẩm

AV (chống vi-rút) nằm trên nhiều điểm cuối và liên tục thu thập dữ liệu đểđào tạo lại trong tương lai Đối thủ có thể dễ dàng chèn bất kỳ tệp nào họthích - nhưng họ không có quyền kiểm soát quá trình gắn nhãn, quá trìnhnày được thực hiện tự động hoặc thủ công bởi một người ở đầu dây bênkia Vì vậy, nếu họ có thể chèn các tệp độc hại trông lành tính, họ vừa càiđặt một cửa sau

• Data injection:

Đưa vào dữ liệu tương tự như điều chỉnh dữ liệu, ngoại trừ, giống nhưtên cho thấy, nó bị giới hạn ở việc bổ sung Nếu đối thủ có thể đưa dữ liệumới vào nhóm đào tạo vẫn khiến chúng trở thành đối thủ rất mạnh Ví dụ,Perdisci đã ngăn chặn Polygraph, một công cụ tạo chữ ký sâu, học các chữ

ký có ý nghĩa bằng cách chèn nhiễu vào luồng lưu lượng truy cập sâu

• Trainsfer learning:

Đây là mức độ yếu nhất do trải qua nhiều mô hình thì dần tính độc hại bịgiảm đi đáng kể có thể nói là bị loãng đi một cách rõ ràng

2.1.4.3 Đánh cắp mô hình (Model stealing):

Việc tấn công này nhằm mục đích thăm dò và trích xuất các thông tin của môhình nhằm tái tạo lại mô hình hoặc trích xuất các dữ liệu mà mô hình đã huấnluyện Kiểu tấn công này có mức nghiêm trọng rất cao vì đôi khi dữ liệu đểhuấn luyện là một bí mật có tính nhạy cảm cao Ví dụ như trong một mô hìnhgiao dịch cổ phiểu độc quyền thì đối thủ có thể trích xuất các thông tin từ môhình này và tiến hành các lợi ích tài chính của cá nhân đối thủ

Trên đây tôi đã trình bày qua một vài mô hình tấn công và cũng sẽ có nhiềuphương pháp để có thể phòng thủ trước các sự tấn công này Cũng như tôi đã

đề cập ở phần trước do thời gian khóa luận có hạn nên tôi cũng chỉ tiến hànhphòng thủ trước một mô hình tấn công đó là mô hình tấn công ngụy trang dữliệu độc hại với mô hình học máy SVM Chi tiết phương pháp sẽ được trình bày

rõ trong chương tiếp theo của khóa luận này

Tôi sẽ trình bày cơ bản một số kiến thức về 2 bài toán tối ưu gồm:

Trong một bài toán tối ưu hóa song tuyến rời rạc, các biến tối ưu hóa có thểđược phân chia thành hai vectơ, chẳng hạn x và y, nằm trong hai tập lồi rời rạc

Xvà Y, tương ứng Sự tương tác giữa x và y được ghi lại thông qua một hàmmục tiêu song tuyến, nghĩa là, hàm mục tiêu là tuyến tính theo x với mọi y ∈ Y

và tuyến tính theo y với mọi x ∈ X Một bài toán tối ưu hóa song tuyến rời rạcchung có thể được xây dựng như sau:

min

X ⊆ Rnx

Y ⊆ Rny

Q ∈ Rnx ×nyNếu một trong các tập khả thi X hoặc Y chỉ có ít điểm cực trị, ví dụ: Y là tậpđơn giản, thì giải pháp tối ưu của bài toán có thể được tìm thấy một cách hiệuquả bằng cách liệt kê tất cả các đỉnh Hơn thế nữa, nếu Q>

x ∈ Rny nằm trongmột góc phần tư cụ thể với mọi x ∈ X, và Y là một siêu hộp, thì y tối ưu cóthể được xác định một cách dễ dàng, có thể được sử dụng để tính x tối ưu Tuynhiên, các bài toán song tuyến rời rạc thường rất phức tạp nên việc tìm một đáp

án không dễ dàng chút nào

Trước hết, ta định nghĩa bài toán tuyến tính dạng chuẩn: Tìm một vectơ x ∈ Rnvới biểu thức sau: