新型机器学习隐写术,智能体伪装训练集,隐藏任务目标
2019年01月07日 由 浅浅 发表
990243
0
隐写术是一门关于信息隐藏的技巧与科学,通过在其他消息中嵌入消息来保护或隐藏数据。所谓信息隐藏指的是不让除预期的接收者之外的任何人知晓信息传递的事件,或信息的内容。
一般来说,隐写的信息看起来像一些其他的东西,例如一张购物清单,一篇文章,一篇图画或者其他“伪装”的消息。只有接收者知道所使用的隐藏技术,才能够恢复信息,然后对其进行解密。
在最近的一项研究中,威斯康星大学麦迪逊分校和阿默斯特学院的研究人员在机器学习领域引入了一种新型隐写术,名为“训练集伪装(training set camouflage)”。
他们在论文中概述了框架,它允许机器学习智能体向第三方观察者隐藏任务意图和目标。
研究人员特别设定了一个情景:机器学习智能体(Alice)试图在秘密分类任务上训练第二个智能体(Bob)而没有窃听第三个智能体(Eve)学习的情景。
研究人员写道:“想象一下,Alice正在接受一项非法机器学习分类任务的训练。Alice希望Bob学习任务。但是,如果通信被监控,向Bob发送训练集或训练模型会引起怀疑。”
在研究人员设想的场景中,名为Eve的第三个智能体扮演了一个监视Alice和Bob之间通信的数据验证者的角色。
当Eve对Alice发送Bob的内容产生怀疑时,她可以终止他们之间的通信,拒绝提供他们正在交换的数据。Eve作为一名审核员,在将训练数据集传递给学习者之前,试图弄清楚训练数据集是否合法。
“发送私人训练集将揭示Alice的意图;发送模型参数方向也会引起怀疑,”研究人员在他们的论文中解释道,“Alice必须伪装通信,使其在Eve看来平淡无奇,同时避免事先与Bob使用过多的编码技巧。”
研究人员设计的隐写方法允许Alice在完全不同且看似良性的分类任务上计算第二组训练集,而不会引起Eve的怀疑。它通过查找看起来可以应用于特定任务的数据集来实现这一点,而事实上它可以教会智能体在不同的任务中表现良好。通过将其标准学习算法应用于该第二组训练集,Bob可以大致恢复原始任务的分类器。
研究人员设计的这种隐写术算是偶然,因为它出现在机器学习领域的一个不相关的项目中。他们开发的系统创建了一系列教学集,其中一个包含错误的标记点。这鼓励他们调查智能体是否可以教另一个智能体如何完成任务,同时用另一个任务伪装它。
研究人员使用真实的分类任务进行了一系列实验,并证明了他们的方法的可行性。他们的研究表明,只要利用以下事实就可以隐藏大量信息:对于任何给定的任务,都有几个模型可以很好地执行该任务。
参与该研究的一些研究人员现在正在进行隐写术领域的进一步研究。其他研究人员如Scott Alfield,正在研究攻击者干扰连续空间中的训练实例的对抗性设置,而不是选择示例的子集,如训练集伪装。
论文:
arxiv.org/abs/1812.05725