Nghiên cứu và đề xuất phương pháp phòng thủ trước một số phương pháp tấn công mô hình học máy trong không gian mạng
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (449.68 KB, 61 trang )
TRƯỜNG ĐẠI HỌC SƯ PHẠM TPHCM
KHOA CÔNG NGHỆ THÔNG TIN
HUỲNH ĐỨC CƯỜNG
NGHIÊN CỨU VÀ ĐỀ XUẤT PHƯƠNG PHÁP
PHÒNG THỦ TRƯỚC MỘT SỐ PHƯƠNG PHÁP
TẤN CƠNG MƠ HÌNH HỌC MÁY TRONG
KHƠNG GIAN MẠNG
KHĨA LUẬN TỐT NGHIỆP
TP.HỒ CHÍ MINH - NĂM 2022
TRƯỜNG ĐẠI HỌC SƯ PHẠM TPHCM
KHOA CÔNG NGHỆ THÔNG TIN
HUỲNH ĐỨC CƯỜNG
NGHIÊN CỨU VÀ ĐỀ XUẤT PHƯƠNG PHÁP
PHÒNG THỦ TRƯỚC MỘT SỐ PHƯƠNG
PHÁP TẤN CƠNG MƠ HÌNH HỌC MÁY
TRONG KHƠNG GIAN MẠNG
CHUN NGÀNH: KHOA HỌC MÁY TÍNH
KHĨA LUẬN TỐT NGHIỆP
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. ĐẶNG QUANG VINH
TP.HCM – NĂM 2022
Mục lục
Lời cảm ơn
3
Một số kí hiệu viết tắt
4
Danh sách hình vẽ
5
Danh sách bảng
6
1
Tổng quan đề tài
8
1.1
Khái quát về sự tấn cơng mơ hình học máy . . . . . . . . . . . . .
8
1.2
Mục tiêu hướng đến: . . . . . . . . . . . . . . . . . . . . . . . . . .
9
1.3
Hướng tiếp cận và phương pháp nghiên cứu . . . . . . . . . . . .
10
2
Cơ sở lý thuyết và các nghiên cứu liên quan
12
2.1
Cơ sở lý thuyết: . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
2.1.1
Mơ hình học máy Support Vector Machine: . . . . . . . . .
12
2.1.2
Khái niệm lý thuyết trò chơi: . . . . . . . . . . . . . . . . .
18
2.1.3
Khái niệm học đối thủ (Adversarial learning): . . . . . . .
20
2.1.4
Các mơ hình tấn công của đối thủ: . . . . . . . . . . . . . .
21
Một số kiến thức về các bài toán tối ưu: . . . . . . . . . . . . . . .
27
2.2.1
Bài toán song tuyến rời rạc: . . . . . . . . . . . . . . . . . .
27
2.2.2
Bài toán đối ngẫu bất đối xứng: . . . . . . . . . . . . . . . .
28
Các tiêu chuẩn đánh giá: . . . . . . . . . . . . . . . . . . . . . . . .
29
2.2
2.3
2.4
2.5
3
Các phương pháp đánh giá: . . . . . . . . . . . . . . . . . . . . . .
30
2.4.1
Accuracy: . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
2.4.2
MSE: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
2.4.3
RMSE: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
Các nghiên cứu liên quan: . . . . . . . . . . . . . . . . . . . . . . .
32
Phương pháp đề xuất
34
3.1
Ý tưởng chính của phương pháp: . . . . . . . . . . . . . . . . . . .
34
3.2
Áp dụng phương pháp học máy đối thủ: . . . . . . . . . . . . . .
35
3.2.1
Mơ hình AD-SVM chống lại mơ hình tấn cơng ngụy trang
tự do (Free-range): . . . . . . . . . . . . . . . . . . . . . . .
3.2.2
Mơ hình AD-SVM chống lại mơ hình tấn cơng ngụy trang
hạn chế (Restrained:) . . . . . . . . . . . . . . . . . . . . . .
4
5
35
38
Thực nghiệm
41
4.1
Dữ liệu huấn luyện: . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
4.1.1
Tập dữ liệu email spam: . . . . . . . . . . . . . . . . . . . .
42
4.1.2
Tập dữ liệu gian lận tín dụng: . . . . . . . . . . . . . . . . .
42
4.2
Môi trường thực nghiệm: . . . . . . . . . . . . . . . . . . . . . . .
43
4.3
Quá trình thực nghiệm: . . . . . . . . . . . . . . . . . . . . . . . . .
43
4.4
Kết quả thực nghiệm: . . . . . . . . . . . . . . . . . . . . . . . . . .
46
4.4.1
Với tập dữ liệu email spam: . . . . . . . . . . . . . . . . . .
46
4.4.2
Với tập dữ liệu gian lận tín dụng: . . . . . . . . . . . . . . .
51
Kết luận và hướng phát triển
55
5.1
Kết luận: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
5.2
Hướng phát triển: . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
Tài liệu tham khảo
57
2
Lời cảm ơn
Sau thời gian học tập và rèn luyện tại Trường Đại học Sư Phạm TP. Hồ Chí
Minh, bằng sự biết ơn và kính trọng, em xin gửi lời cảm ơn chân thành đến Ban
Giám hiệu, các phòng, khoa Công nghệ Thông tin thuộc Trường Đại học Sư
Phạm TP. Hồ Chí Minh và các thầy đã nhiệt tình hướng dẫn, giảng dạy và tạo
mọi điều kiện thuận lợi giúp đỡ em trong suốt quá trình học tập, nghiên cứu và
hoàn thiện đề tài nghiên cứu khoa học này.
Đặc biệt, em xin bày tỏ lòng biết ơn sâu sắc tới Thầy Đặng Quang Vinh, người
thầy đã trực tiếp hướng dẫn, giúp đỡ em trong quá trình thực hiện đề tài.
Xin chân thành cảm ơn gia đình, bạn bè đã tạo điều kiện, nghiên cứu để hoàn
thành đề tài này. Tuy nhiên điều kiện về năng lực bản thân còn hạn chế, chuyên
đề nghiên luận văn chắc chắn không tránh khỏi những thiếu sót. Kính mong
nhận được sự đóng góp ý kiến của các thầy cô giáo, bạn bè và đồng nghiệp để
bài nghiên cứu của em được hoàn thiện hơn.
3
Danh mục viết tắt
AV
Anti virus.
AD-SVM Adversarial Support Vector Machine.
SVM
Support Vector Machine.
MSE
Mean Squared Error.
RMSE
Root Mean Squared Error .
4
Danh sách hình vẽ
2.1
Mơ tả mơ hình SVM . . . . . . . . . . . . . . . . . . . . . . . . . .
13
2.2
Mô tả các siêu phẳng SVM . . . . . . . . . . . . . . . . . . . . . . .
14
2.3
Hinge loss (màu xanh) và Zero-One loss (màu đen) . . . . . . . .
17
2.4
Mô tả điểm dữ liệu được phân chia tuyến tính (a) và các điểm dữ
liệu xen lẫn nhau (b) . . . . . . . . . . . . . . . . . . . . . . . . . .
5
25
Danh sách bảng
4.1
Kết quả mơ hình AD-SVM với Free-range Attack của tập dữ liệu
email spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2
Kết quả mơ hình AD-SVM với Restrained Attack của tập dữ liệu
email spam với Cξ = 0.1 . . . . . . . . . . . . . . . . . . . . . . . .
4.3
51
Kết quả mơ hình AD-SVM Restrained của tập dữ liệu gian lận tín
dụng với Cξ = 0.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.9
49
Kết quả mơ hình AD-SVM với Free-range Attack của tập dữ liệu
gian lận tín dụng . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.8
49
Kết quả mơ hình AD-SVM với Restrained Attack của tập dữ liệu
email spam với Cξ = 1.0 . . . . . . . . . . . . . . . . . . . . . . . .
4.7
48
Kết quả mơ hình AD-SVM với Restrained Attack của tập dữ liệu
email spam với Cξ = 0.7 . . . . . . . . . . . . . . . . . . . . . . . .
4.6
48
Kết quả mơ hình AD-SVM với Restrained Attack của tập dữ liệu
email spam với Cξ = 0.5 . . . . . . . . . . . . . . . . . . . . . . . .
4.5
47
Kết quả mơ hình AD-SVM với Restrained Attack của tập dữ liệu
email spam với Cξ = 0.3 . . . . . . . . . . . . . . . . . . . . . . . .
4.4
46
52
Kết quả mơ hình AD-SVM Restrained của tập dữ liệu gian lận tín
dụng với Cξ = 0.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
52
4.10 Kết quả mô hình AD-SVM Restrained của tập dữ liệu gian lận tín
dụng với Cξ = 0.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
53
4.11 Kết quả mơ hình AD-SVM Restrained của tập dữ liệu gian lận tín
dụng với Cξ = 0.7 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
4.12 Kết quả mơ hình AD-SVM Restrained của tập dữ liệu gian lận tín
dụng với Cξ = 1.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
54
Chương 1
Tổng quan đề tài
Tại chương này tôi sẽ tiến hành khảo sát những vấn đề cơ bản liên quan đến đề
tài mà tôi đang hướng đến.
1.1
Khái quát về sự tấn cơng mơ hình học máy
Trong thời đại số hiện nay, sự phát triển khơng ngừng của các thuật tốn học
máy đã được áp dụng rộng rãi trong nhiều lĩnh vực khác nhau. Cũng chính vì
thế việc các quyết định được đưa ra dựa trên dữ liệu ngày càng được ưa chuộng
bởi sự vượt trội về tốc độ và sự chính xác so với con người. Và một mơ hình học
máy được cấu thành từ hai yếu tố chính gồm kiến trúc mơ hình và dữ liệu.
Những kẻ tấn cơng có thể thơng qua khơng gian mạng kết hợp vào hai yếu tố
đã nói trên để tiến hành khai thác, sửa đổi và lây nhiễm độc hại làm cho việc
đưa ra quyết định của một mơ hình trở nên thiếu chính xác.
Ví dụ như một phần mềm phát hiện và diệt vi rút (AV). Hệ thống phần mềm
chống vi-rút dựa trên công nghệ máy học vẫn liên tục bị thách thức bởi nhiều
phần mềm độc hại được cố ý phát triển bởi những kẻ tấn công để tránh bị phần
mềm AV phát hiện. Cả hệ thống phòng thủ và phần mềm độc hại đều được
trang bị các kỹ thuật tiên tiến, hiện đại nhất để phục vụ lợi ích đối lập của mỗi
bên, mỗi bên đều cố gắng có thể đánh bại bên kia. Đối thủ tấn công hệ thống
8
AV bằng cách sử dụng chiến lược chuyển đổi mã độc sang mã có vẻ lành tính.
Hệ thống AV khơng phát hiện được mã độc đã biến đổi vì giả định cơ bản mà
thuật toán học máy: dữ liệu độc hại luôn theo cùng một phân phối với dữ liệu
độc hại được sử dụng để đào tạo. Các thuật toán học máy trở nên dễ bị tấn công
hơn nếu đối thủ có quyền kiểm sốt dữ liệu đào tạo hay nói cách khác đối thủ
biết được các giá trị có thể có trong dữ liệu đào tạo đó, can thiệp vào và làm
sai quy trình đào tạo thậm chí ngay từ đầu để tạo ra một bộ phân loại sai. Một
ví dụ khác trong vấn đề an ninh mạng là vấn đề thư rác email. Những kẻ gửi
thư rác phải vượt mặt các bộ lọc thư rác dựa trên máy học để kiếm lợi nhuận dễ
dàng. Khi các bộ lọc thư rác ngày càng phát triển và trở nên tinh vi hơn, những
kẻ gửi thư rác cũng sẽ trở nên có kỹ năng cao hơn và áp dụng các chiến lược tấn
công hiệu quả hơn để vượt qua các bộ lọc thư rác.
Sự tấn cơng các mơ hình học máy này sẽ để lại hậu quả hết sức nghiêm trọng.
Việc tìm phương pháp để có thể đối phó với sự tấn cơng đến các mơ hình học
máy sẽ giúp tăng thêm sự an tồn, độ chính xác của mơ hình khi đối mặt với
các kẻ tấn công sử dụng nhiều phương pháp khác nhau.
Sự đối đầu giữa hệ thống học máy và kẻ tấn công luôn diễn ra liên tục, ta
có thể xem sự đối đầu này như là một trò chơi. Hệ thống học máy sẽ cố gắng
phòng thủ trước những sự tấn công của đối thủ bằng cách sử dụng các chiến
lược tốt nhất với sự kết hợp lý thuyết trị chơi vào q trình học tập. Mọi khái
niệm lý thuyết trị chơi, các mơ hình học máy và sự đối đầu giữa mơ hình và kẻ
tấn cơng sẽ được trình bày rõ trong chương tiếp theo.
1.2
Mục tiêu hướng đến:
Với sự hạn chế về thời gian và hạn chế của luận văn, tôi sẽ không thực hiện
phương pháp đề xuất trên nhiều mơ hình học máy mà chỉ thực hiện trên một
mơ hình học máy duy nhất cho bài tốn hướng đến.
• Phạm vi bài tốn:
9
– Bài toán áp dụng với dữ liệu đầu ở dạng bảng với mỗi hàng là 1 điểm
dữ liệu với nhiều đặc trưng.
– Bài tốn được áp dụng vào mơ hình học máy SVM.
– Nguồn dữ liệu được thu nhập từ các cuộc thi đã từng diễn ra.
– Việc thực nghiệm sẽ đưa ra một vài kết quả so sánh.
• Yêu cầu bài toán:
– Nghiên cứu, đề xuất phương pháp để đối mặt với sự tấn công của đối
thủ vào mơ hình học máy.
– Phân tích, làm rõ phương pháp sẽ áp dụng.
– Điều chỉnh các tham số để kết quả đạt được là tốt nhất.
• Dự kiến kết quả:
– Phương pháp đề xuất có thể áp dụng được trong các bài tốn phân loại.
– Độ chính xác của việc phân loại sau khi áp dụng thử nghiệm phương
pháp ở mức chấp nhận được.
1.3
Hướng tiếp cận và phương pháp nghiên cứu
Với tập dữ liệu thì tơi sẽ áp dụng một số kỹ thuật phân tích và tiến hành tiền
xử lý dữ liệu nhằm loại bỏ các điểm dữ liệu nhiễu hoặc các đặc trưng không
cần thiết tránh việc ảnh hưởng đến kết quả thực nghiệm. Đối với phương pháp
đề xuất, tôi tiến hành khảo sát các phương pháp, các bài tốn có sự liên quan
đã được sử dụng để áp dụng vào bài toán phân loại đã được đề cập đến. Thơng
qua đó để có một cơ sở đánh giá, so sánh các phương pháp để lựa chọn hướng
tiếp cận thích hợp nhất. Và cuối cùng là lựa chọn phương pháp có khả năng
nhất trong việc tính tốn và tiến hành thực nghiệm.
10
Tiến hành thực nghiệm cài đặt thử nghiệm phương pháp đã đề xuất với mơ
hình đã chọn. Trong q trình thực nghiệm sẽ tiến hành chạy qua nhiều tham
số, với nhiều lần lấy mẫu dữ liệu khác nhau để tiến hành huấn luyện mơ hình
nhằm nâng cao kết quả phân loại. Nhận xét, đánh giá phương pháp dựa vào
các tiêu chí như độ chính các, hàm lỗi, . . .
Tóm gọn lại, ở chương này ta đã có một cái nhìn tồn diện về bài tốn giữa kẻ
tấn cơng và mơ hình học máy. Với những thành tựu hiện tại của ngành khoa học
máy tính và an ninh mạng, người ta đã có thể kết hợp giữa hai lĩnh vực này với
nhau để nghiên cứu ra những phương pháp có thể áp dụng trong nhiều trường
hợp khác nhau khi đối mặt với các kẻ tấn công khác nhau. Phương pháp được
áp dụng phù hợp với khả năng tính tốn của các hệ thống máy tính hiện tại.
Trong các phần tiếp theo ta sẽ tiến hành tìm hiểu, nghiên cứu sâu hơn về những
các kỹ thuật và đề xuất phương pháp phù hợp nhất để giải quyết bài toán.
11
Chương 2
Cơ sở lý thuyết và các nghiên
cứu liên quan
Trong chương này tôi sẽ tiến hành nêu các lý thuyết có liên quan đến mơ hình
học máy và phương pháp có liên quan. Hiểu được các khái niệm ta sẽ có thể áp
dụng các kỹ thuật phù hợp có liên quan vào bài toán, tiêu biểu nhất để học hỏi
những lợi thế của từng kỹ thuật mang lại và những mặt hạn chế của nó và tiến
hành thực nghiệm ở chương tiếp theo.
2.1
Cơ sở lý thuyết:
2.1.1
Mơ hình học máy Support Vector Machine:
Support Vector Machine (SVM) là một thuật toán thuộc phương pháp học
máy có giám sát, nghĩa là tập dữ liệu huấn luyện sẽ có nhãn kèm theo, nó có thể
sử dụng cho cả các bài toán phân lớp lẫn đệ quy. Tuy nhiên nó được ứng dụng
nhiều hơn cho bài toán phân lớp, phân loại. Thuật toán học máy này dựa trên lý
thuyết học thống kê, chiều VC (viết tắt của chiều Vapnik - Chervonenkis) do hai
nhà khoa học Vapnik (1999), Chervonenkis (1974) đề xuất, được biết đến như
một độ đo khả năng phân loại của các thuật toán học máy. Có thể nói một cách
12
Hình 2.1: Mơ tả mơ hình SVM
đơn giản, SVM là thuật toán phân loại dữ liệu thành hai lớp: lớp dương (+) và
ngược lại là lớp âm (-). Việc ý nghĩa của hai lớp này thì tùy thuộc vào bài toán
và dữ liệu mà ta quy định.
Thuật toán SVM được mô tả cụ thể như sau: Cho trước một tập dữ liệu X
trong không gian m chiều (tương ứng với số đặc trưng của dữ liệu). Nhãn của
các đối tượng có thể được đánh đối lập nhau như +1 với –1 hoặc 0 với 1, dùng
khi ta xét một đối tượng có thuộc vào một lớp nào đó hay khơng. Mục đích của
thuật tốn SVM là tìm một siêu phẳng (hyperplane) phân tách lớp một cách tối
ưu bằng việc tìm một đường phân chia tất cả các đối tượng thành hai phần sao
cho các đối tượng ở cùng một lớp người dùng đang quan tâm nằm về một phía
của siêu phẳng, các đối tượng khác nằm ở phía cịn lại. Để có thể hiểu được một
siêu phẳng là gì ta bắt đầu xét từ một tập hợp ở không gian 2 chiều. Giả sử ta
có 2 điểm nằm trên một khơng gian 2 chiều, ta có thể vẽ được một đường thẳng
tuyến tính chia khơng gian thành 2 vùng tách biệt chứa các điểm này.
Nếu xét ở không gian 3 chiều thì thay vì đường thẳng, ta sẽ có một mặt phẳng
để phân chia các vùng không gian. Và tương tự như thế ta có một siêu phẳng
phân chia các vùng đối tượng với khơng gian n chiều.
Ngồi ra ta cần hiểu thêm một khái niệm biên, hay lề (margin). Biên là khoảng
cách từ phần tử trong một lớp ở gần siêu phẳng nhất tới siêu phẳng đó. Trong
13
Hình 2.2: Mơ tả các siêu phẳng SVM
một khơng gian đa chiều, có thể xuất hiện nhiều siêu phẳng phân chia tập dữ
liệu thành 2 vùng riêng biệt. Nhưng siêu phẳng được gọi là tối ưu khi phân tập
dữ liệu thành hai lớp riêng biệt với vùng biên lớn đạt giá trị lớn nhất.
Ở hình bên trên ta có thể thấy 3 siêu phẳng thỏa mãn điều kiện phân tập dữ
liệu thành 2 vùng tách biệt. Nhưng siêu phẳng wxT + b = 1 nằm rất gần lớp +1
và siêu phẳng wxT +b = −1 nằm rất gần lớp – 1. Trong khi siêu phẳng wxT +b = 0
lại nằm cách đều cả 2 vùng, nên có có biên lớn nhất, từ đó ta suy ra wxT + b = 0
chính là siêu phẳng tối ưu nhất.
Thuật tốn SVM được thực hiện như sau:
Xét một tập dữ liệu dùng để huấn luyện có n phần tử được biểu diễn như
sau{(x1 , y1 ), (x2 , y2 ), ..., (x3 , y3 )}. Trong đó, xi là một vector đầu vào được biểu diễn
trong không gian X ⊆ Rn , yi là nhãn của phần tử xi , vì ta chỉ quan tâm phần tử
bất kỳ có thuộc lớp đang xét hay không nên yi ∈ {−1, +1}. Nhiệm vụ của ta là
tìm siêu phẳng H0 (viết tắt cho hyperplane) và hai siêu phẳng H+ , H− nằm ở hai
phía, gần với các phẩn tử của các lớp nhất, song song với H0 và có cùng khoảng
cách với H0 như hình trên.
H0 : w · x + b = 0 Với điều kiện khơng có phần tử nào của tập mẫu nằm giữa H+
và H− , ta có :
14
• H+ : w · x + b ≥ 0 với y = +1
• H− : w · x + b ≤ 0 với y = -1
Ta có thể tính khoảng cách từ một điểm đến siêu phẳng H0 bằng khoảng cách
Euclid là
yn (w·xn +b)=0
w 2
với w
2
=
n
2
i=1 wi
(L2 norm)
Khi đó biên được tính là khoảng cách gần nhất từ 1 điểm tới siêu phẳng H0
(cho mọi điểm trong hai lớp -1 và +1 ). Ta cần tìm w và b sao cho biên đạt giá trị
lớn nhất:
(w, b) = arg max{
w,b
1
min yn (w · xn + b)}
w 2 n
(2.1)
Ta có thể giả sử: yn (w · xn + b) = 1. Như vậy, với mọi n ta có:
yn (w · xn + b) ≥ 1
(2.2)
Khi đó, bài tốn tối ưu được viết lại cùng với ràng buộc sau:
(w, b) = arg max
w,b
1
w
(2.3)
2
Với: yn (w · xn + b) ≥ 1, ∀n = 1, 2, ..., N
Dùng một biến đổi đơn giản nhưng khơng làm thay đổi kết quả bài tốn ta
có:
(w, b) = arg max
w,b
1
w
2
2
(2.4)
Với: 1 − yn (w · xn + b) ≤ 0, ∀n = 1, 2, ..., N
Lời giải cho bài toán tối ưu này là cực tiểu hóa hàm Lagrange:
1
L(w, b, α) = w
2
n
2
2
αi [yi (w · xi − b) − 1]
−
(2.5)
i=1
Trong đó α là các hệ số Lagrange, α ≥ 0. Sau đó người ta chuyển thành bài
tốn đối ngẫu là cực đại hóa hàm W(α):
max W(α) = max(min L(w, b, α))
α
α
15
w,b
(2.6)
Từ đó giải để tìm được các giá trị tối ưu cho w, b và α. Về sau, việc phân lớp
một đối tượng mới chỉ là việc kiểm tra hàm dấu sign(w · x − b).
Lời giải tìm siêu phẳng tối ưu trên có thể mở rộng trong trường hợp dữ liệu
khơng thể tách rời tuyến tính bằng cách ánh xạ dữ liệu vào một khơng gian có
số chiều lớn hơn bằng cách sử dụng một hàm nhân K (Kernel). Có thể nhắc đến
một số hàm nhân thường dùng sử dụng như:
• Hàm nhân tuyến tính (Linear Kernel): K(x, y) = x ∗ y
• Hàm nhân đa thức (Polynomial Kernel): K(x, y) = (x ∗ y + 1)d
• Hàm Gaussian (Radial Basis Function Kernel): K(x, y) = exp(
−|x−y|2
)
2σ2
• Hàm tiếp tuyến hyperbol (Hyperpolic tangent Kernel): K(x, y) = tanh(axy −
b)
Kế đến ta sẽ chú ý đến hàm mất mát Hinge thường được dùng trong các bài
toán SVM:
Ln (w, b) = max(0, 1 − yn (w · xn + b))
(2.7)
Để có thể dễ dàng hình dung về hàm mất mát Hinge, ta sẽ sử dụng một hình
ảnh kết hợp với sự so sánh với hàm mất mát Zero-One. Tôi cũng sẽ giải thích về
hàm mất mát Zero-One trong sự so sánh giúp người đọc nắm được sơ lược.
Ở đây hàm mất mát Zero-One là hàm đếm các điểm bị phân loại sai. Hàm
Hinge trong hình trên được mơ tả như sau f (ys) = max(0, 1 − ys) với s đại diện
cho đầu ra tính được w · xn + b. Những điểm ở phía phải của trục tung ứng với
những điểm được phân loại đúng, tức s tìm được cùng dấu với y. Những điểm
ở phía trái của trục tung ứng với các điểm bị phân loại sai. Ta có các nhận xét:
• Với hàm mất mát Zero-One, các điểm có s ngược dấu với đầu ra mong
muốn y sẽ gây ra mất mát như nhau (bằng 1), bất kể chúng ở gần hay xa
đường phân chia (trục tung).
16
Hình 2.3: Hinge loss (màu xanh) và Zero-One loss (màu đen)
• Với hàm mất mát Hinge, những điểm nằm trong vùng an tồn, ứng với
ys ≥ 1, sẽ khơng gây ra mất mát gì. Những điểm nằm giữa margin của class
tương ứng và đường phân chia tương ứng với 0 < ys < 1, những điểm này
gây ra một sự mất mát nhỏ. Những điểm bị phân loại sai, nghĩa là ys < 0
sẽ gây ra sự mất mát lớn hơn, vì vậy, khi tối thiểu hàm mất mát, ta sẽ tránh
được những điểm bị phân loại sai và lấn sang phần lớp cịn lại q nhiều.
Đây chính là một ưu điểm của hàm mất mát Hinge.
Trong bài toán phân lớp, phân loại SVM đóng vai trị như một hệ hỗ trợ ra
quyết định để xác định phân lớp của một đối tượng mới, trong hình trên đó là
giai đoạn “Kiểm tra phân lớp, phân loại”. SVM sử dụng kết quả từ tập thông
tin đặc trưng của dữ liệu đã được xử lý bằng các phương pháp rút để tiến hành
phân lớp, phân loại. Việc trích chọn đặc trưng là một bước quan trọng có ảnh
hưởng lớn đến bài tốn phân lớp với SVM. Tùy theo loại dữ liệu và tính chất của
dữ liệu, các nhà nghiên cứu phải có cái nhìn khái qt về dữ liệu đó để chọn ra
các đặc trưng thích hợp cho bài tốn phân loại đó. Việc này tuy cần thiết nhưng
cũng là điểm bất lợi của một hệ thống phân lớp sử dụng SVM. Ta có thể thấy
ở hình trên việc trích chọn đặc trưng ảnh hưởng đến cả quá trình huấn luyện.
17
Nếu như chọn đặc trưng khơng phù hợp thì việc huấn luyện sẽ cho ra mơ hình
sau huấn luyện sử dụng để phân lớp khơng chính xác. Từ đó dẫn đến kết quả
không đạt được như mong muốn.
2.1.2
Khái niệm lý thuyết trò chơi:
Lý thuyết trò chơi là một lĩnh vực nghiên cứu các mơ hình tốn học về sự
đối đầu hoặc hợp tác giữa những đối tượng có các hành động ra các quyết định
thông minh (Myerson 1991). Với cái tên như vậy có thể khiến nhiều người hiểu
lầm là lý thuyết về các trị chơi giải trí thơng thường. Tuy nhiên, thật chất lý
thuyết trò chơi cung cấp một mơ hình thiết yếu cho các hệ thống mang tính
phức tạp tương đối cao với nhiều tác nhân hoặc người chơi. Đặc biệt, đối với
lĩnh vực kinh tế học, sự tác động của nó là hết sức sâu sắc, đã có nhiều người
dựa trên lý thuyết trị chơi đã đạt được các thành tựu to lớn như giải thưởng
Nobel kinh tế học cho các công hiến của họ. Bên cạnh đó, lý thuyết trị chơi cũng
có thể áp dụng vào xã hội học, tâm lý học, sinh học,. . . .
Có 3 yếu tố cơ bản cấu thành một trị chơi: tập các người chơi, tập các hành
động mà các người chơi có thể chọn, và phần thưởng mà họ có thể đạt được khi
thực hiện các hành động. Dĩ nhiên sẽ có thể có nhiều dạng trị chơi khác nhau
dựa trên 3 yếu tố này. Một dạng trò chơi điển hình đó chính là trị chơi đồng
thời. Những người trong trò chơi đồng thời sẽ chọn và thực hiện các chiến lược
của mình một cách đồng thời và họ không biết rằng những người chơi khác sẽ
thực hiện chiến lược gì. Trị chơi sẽ kết thúc ngay lập tức. Trong trường hợp hai
người chơi thực hiện hành động của mình khơng cùng lúc, nghĩa là có người
thực hiện trước và người thực hiện sau, nhưng người thực hiện sau lại khơng
biết gì về hành động của người người thực hiện trước thì vẫn được xem là một
trị chơi đồng thời. Ta sẽ đi qua 2 dạng trò chơi cơ bản là trị chơi tổng bằng
khơng và trị chơi cân bằng.
18
2.1.2.1
Trị chơi có tổng bằng khơng
Trong trị chơi này tổng phần thưởng mà hai người người đạt được sẽ bằng
không (hoặc có thể bằng một hằng số nào đó), nghĩa là sẽ có một người thắng
và một người sẽ thua. Trong nhiều trường hơp của trị chơi thay vì quan tâm
đến đối thủ sẽ thực hiện hành động gì thì người chơi sẽ cố gắng tối đa hóa phần
thưởng của họ bằng các thực hiện chiến lược tốt nhất của bản thân. Mơ hình trị
chơi này thường được sử dụng trong các vấn đề đến an ninh mạng. Như mục
tiêu hướng đến của đề tài thì các mơ hình học sẽ được giả định đối mặt với các
đối thủ trong kịch bản xấu nhất là đối thủ sẽ cố gắng tối đa hóa hàm mất mát
của mơ hình, và sẽ có một người chơi đạt được phần thưởng và một người chơi
sẽ mất đi một phần nào đó. Đối với dạng trị chơi này thì một chiến lược phổ
biến thường được dùng đó chính là chiến lược minimax mà ở đây mơ hình học
trong vai trị người phịng thủ sẽ cố gắng tối thiếu hóa hàm mất mát trong khi
giả định rằng đối thủ sẽ thực hiện các chiến lược tối ưu nhằm vào việc tấn cơng.
2.1.2.2
Trị chơi cân bằng Nash:
Tong trị chơi đồng thời các người chơi sẽ khơng biết rằng đối thủ của họ sẽ
sử dụng chiến thuật như thế nào. Ở đây ta tiến hành giả định một trò chơi gồm
N người chơi. Gọi Si là tập các chiến thuật hành động cũng những người chơi
i = {1, ..., N}. Với trị chơi cân bằng Nash thì chiến lược của một người chơi được
đưa là phản ứng tốt nhất của họ đối với người chơi khác. Và phản ứng tốt nhất
Ri cho người chơi thứ i được ký kiệu theo công thức sau:
Ri (s−i ) = arg max
si ∈Si
Trong đó,
i
(si , s−i )
(2.8)
i
chính là phần thưởng của người chơi thứ i khi mà người chơi
khác thực hiện chiến lược s−i . Từ đây, ta có thể thấy trong một trị chơi có N
người chơi thì một giải pháp cân bằng Nash ở đây là s = (s1 , ..., sN ) với si ∈ Ri (s−i ).
Có một điều thú vị ở đây là khi mà các người chơi đều chơi theo chiến lược cân
19
bằng Nash thì sẽ khơng có bất kì người chơi nào đi lệch khỏi chiến thuật này
cả vì việc này cũng khơng mang lại lợi ích gì cho họ. Đơi khi các trị chơi sẽ
có nhiều phương áp cân bằng Nash thay vì chỉ có một cho các người chơi khác
nhau.
2.1.3
Khái niệm học đối thủ (Adversarial learning):
Ta có một tập không gian đầu vào X ∈ Rd , với d ở đây là số lượng thuộc tính
của tập đầu vào. Một mơ hình học máy được huấn luyện dựa trên dữ liệu đã
được tiền xử lý sẽ nhận đầu vào là một điểm dữ liệu x ∈ X và đầu ra sẽ là nhãn
của điểm dữ liệu đó gồm +1, −1. Và ở đây sẽ tồn tại một kẻ tấn cơng hay cịn gọi
là đối thủ sẽ tấn cơng vào 1 điểm dữ liệu bằng một lượng δ khiến cho một điểm
dữ liệu được phân loại là độc hại trở thành một điểm thuộc lớp không độc hại
f (x + δ). Khi đó điểm mấu chốt của học
hay cịn gọi là lành tính và ta có f (x)
máy đối thủ là ta cần tìm một hàm f sao cho:
f (x + δ)] < ( > 0)
P[ f (x)
(2.9)
Ở đây, với vấn đề học đối thủ này ta có thể hiểu một cách đơn giản là một trò
chơi giữa kẻ tấn cơng và mơ hình học máy. Nếu chúng ta giả định một cách lạc
quan rằng sẽ có một người chơi đạt được phần thưởng và người cịn lại thì sẽ bị
mất một cái gì đó thì một chiến lược quen thuộc đó chính là chiến lược minimax
đã được đề cập ở lý thuyết trị chơi mục trước. Mơ hình học sẽ được huấn luyện
một cách tốt nhất nhằm chống lại sự tấn công cũng được xem là tốt nhất của đối
thủ nhằm khiến cho mơ hình phân loại sai nhiều hơn:
min
max
L( f, x, δ)
∗
∗
ω
δ
Với:
• L: Hàm mất mát của mơ hình.
20
(2.10)
• ω∗ : Tham số tối ưu của mơ hình.
• δ∗ : Lượng dữ liệu độc hại mà kẻ tấn cơng có thể dùng.
Ta khơng đưa ra bất kỳ giả định cụ thể nào về kiến thức của đối thủ về mơ
hình học tập. Thay vào đó, ta chỉ đơn giản giả định rằng có sự đánh đổi hoặc
bỏ ra chi phí thay đổi dữ liệu độc hại. Ví dụ, đối thủ thường sử dụng một chiến
lược đơn giản là di chuyển điểm dữ liệu độc hại trong không gian đặc trưng
càng gần nơi dữ liệu vô hại thường xuyên được quan sát càng tốt. Tuy nhiên,
đối thủ chỉ có thể thay đổi một điểm dữ liệu độc hại đến mức tính độc hại của
nó khơng bị mất hồn tồn. Nếu đối thủ di chuyển một điểm dữ liệu quá xa so
với lớp của chính nó trong khơng gian đặc trưng, đối thủ có thể phải chịu hy
sinh nhiều tính độc hại của điểm dữ liệu gốc. Ví dụ: trong việc phát hiện gian
lận thẻ tín dụng, đối thủ có thể chọn số tiền một cách phù hợp cho việc chi tiêu
bằng thẻ tín dụng bị đánh cắp nhằm bắt chước một giao dịch mua được xem là
hợp pháp. Khi làm như vậy, đối thủ cũng sẽ mất một phần lợi ích tiềm năng.
2.1.4
Các mơ hình tấn cơng của đối thủ:
Vài mơ hình tấn cơng đối thủ khá phổ biến trong miền an ninh mạng.
2.1.4.1
Ngụy trang dữ liệu:
Gồm hai mô hình tấn cơng ngụy trang gồm tự do (Free-range) và hạn chế
(Restrained), mỗi mơ hình đưa ra một giả định đơn giản và thực tế về mức độ
mà đối thủ biết được. Các mơ hình khác nhau về ý nghĩa của chúng đối với kiến
thức của đối thủ về dữ liệu vơ hại và mất tính do thay đổi dữ liệu độc hại. Mơ
hình tấn cơng phạm vi tự do giả định đối thủ có quyền tự do di chuyển dữ liệu
đến bất kỳ đâu trong không gian đặc trưng. Mơ hình tấn cơng hạn chế là một
mơ hình tấn cơng bảo thủ hơn. Mơ hình được xây dựng theo trực giác rằng đối
thủ sẽ không muốn để một điểm dữ liệu di chuyển ra xa vị trí ban đầu của nó
21
trong không gian đặc trưng. Lý do là sự dịch chuyển lớn hơn thường dẫn đến
việc tính độc hại bị mất đi.
• Mơ hình ngụy trang tự do:
Ở mơ hình tấn công này đối thủ chỉ cần biết được các khoảng giá trị của
mỗi thuộc tính thuộc tập dữ liệu khơng gian đầu vào. Ta có thể quy ước đối
với thuộc tính jth của điểm dữ liệu xi , ta có:
– xmax
: giá trị giới hạn trên.
j
– xmin
: giá trị giới hạn dưới.
j
Ví dụ, đối với phân bố Gaussian, chúng có thể được đặt thành các lượng tử
0,01 và 0,99. Phạm vi kết quả sẽ bao gồm hầu hết các điểm dữ liệu và loại
bỏ một vài giá trị có thể ngoại biên. Một cuộc tấn cơng sau đó được giới hạn
ở dạng sau:
C f (xmin
− xi j ) ≤ δi j ≤ C f (xmax
− xi j ), ∀j ∈ [1, d]
j
j
(2.11)
Với C f ∈ [0, 1] điểu khiển mức độ tấn công vào một điểm dữ liệu:
– C f = 0: Khơng có sự tấn cơng nào ở đây.
– C f = 1: Lượng δ thêm vào điểm dữ liệu là lớn nhất.
Một ưu điểm của mơ hình tấn công này là sự tổng quát để bao quát tất cả
các tình huống tấn cơng có thể xảy ra khi có liên quan đến việc sửa đổi dữ
liệu. Khi kết hợp với một mơ hình học tập, sự kết hợp sẽ tạo ra hiệu suất
tốt trước các cuộc tấn cơng nghiêm trọng nhất. Tuy nhiên, khi có các cuộc
tấn cơng nhẹ, mơ hình học tập trở nên q "hoang tưởng" - sự hoang tưởng
này mang ý nghĩa rằng đối với cuộc tấn cơng nhẹ thì vẫn sẽ có sự nghi ngờ
rằng liệu rằng điểm dữ liệu đó có bị thay đổi hay chưa và hiệu suất của nó
bị ảnh hưởng theo. Tiếp theo, ta sẽ đi đến một mô hình thực tế hơn cho các
22
cuộc tấn công mà việc thay đổi dữ liệu đáng kể sẽ phải chịu tổn thất nhất
định.
• Mơ hình ngụy trang hạn chế:
Hãy coi xi là một điểm dữ liệu độc hại mà đối thủ mong muốn sửa đổi
và xti là một mục tiêu tiềm năng mà đối thủ muốn biến đổi xi . Đối thủ chọn
xti theo ước tính của anh ta về phân phối dữ liệu vô hại. Lý tưởng nhất, đối
thủ sẽ tối ưu hóa xti cho mỗi xi để giảm thiểu chi phí thay đổi và tối đa hóa
mục tiêu mà nó có thể đạt được. Việc lựa chọn xti một cách tối ưu là mong
muốn, nhưng thường địi hỏi rất nhiều kiến thức về khơng gian đặc trưng
và đôi khi là hoạt động bên trong của một thuật tốn học. Thực tế hơn, đối
thủ có thể ước tính chọn xti là trung tâm của dữ liệu vô hại, một điểm dữ
liệu được lấy mẫu từ dữ liệu vô hại quan sát được hoặc một điểm dữ liệu
nhân tạo được tạo ra từ phân phối dữ liệu từ việc ước tính dữ liệu vơ hại.
Lưu ý rằng xti có thể là một phỏng đốn thơ nếu đối thủ có kiến thức rất
hạn chế về dữ liệu vơ hại hoặc rất chính xác nếu đối thủ biết chính xác cấu
thành dữ liệu huấn luyện.
Trong các tình huống thực tế, đối thủ có thể khơng thể thay đổi xi trực
tiếp thành xti như mong muốn vì xi có thể mất q nhiều tính độc hại của
nó. Ví dụ như một bức thư spam nếu ta thêm quá nhiều “từ tốt” thì nội
dung mang tính spam của chúng sẽ mất hẳn hồn tồn.
Do đó, đối với mỗi thuộc tính j trong không gian d-chiều, ta giả sử đối
thủ thêm δij vào xij trong đó:
|δi j | ≤ |xti j − xi j |, ∀j ∈ d
(2.12)
Và δij được giới hạn thêm như sau:
0≤
(xtij
− xi j )δi j ≤ (1 − Cδ
23
|xti j − xi j |
|xti j |
+ |xi j |
)(xti j − xi j )2
(2.13)
