Väitös tietotekniikan alalta, DI Buse Gül Atli Tekgül
Milloin
Missä
Tapahtuman kieli
Viime vuosikymmenen aikana monet järjestelmät ovat käyttäneet laajalti koneoppimisratkaisuja (ML) niiden huomattavan suorituskyvyn vuoksi eri aloilla. ML:n nopea kehitys saa kuitenkin aikaan uusia hyökkäyksiä, jotka vaarantavat ML-ohjattujen järjestelmien luottamuksellisuuden, eheyden ja käytettävyyden. Esimerkiksi ML-malleja tarkoituksella huijaavat “kiertohyökkäykset” (eng. evasion) ovat muodostuneet merkittäväksi uhkaksi turvallisuuskriittisille järjestelmille. Vastustajat ovat myös motivoituneita varastamaan ML-malleja ja ottamaan ne laittomasti käyttöönsä louhintahyökkäyksiä (eng. model extraction) käyttämällä. Molemmat yllä mainitut hyökkäykset aiheuttavat vakavia uhkia, vaikka ML-malli olisikin käytössä sovellusohjelman käyttöliittymän takana, niin ettei siitä paljastu loppukäyttäjille mitään tietoja itse mallista.
Tässä opinnäytetyössä tarkastellaan mallien kierto- ja louhinta hyökkäysten aiheuttamia realistisia turvallisuusuhkia ML-järjestelmille. Tämä opinnäytetyö sisältää kolme osaa. Ensimmäisessä osassa kehitämme kiertohyökkäyksiä, jotka saavuttavat samanaikaisesti korkean tehokkuuden (eng. efficiency), ja vaikuttavuuden (eng. effectiveness) kuvanluokittelijoilla ja syvä vahvistus oppimistoimijoilla. Molemmissa sovelluksissa keskitymme toimimaan realististen vastustajamallien puitteissa. Toisessa osassa esitämme uuden omistajuuden todentamismenetelmän, joka integroi ML-mallin vesileimaratkaisut yhdistetty oppimiseen (eng. federated learning) prosessiin . Osoitamme myös, että tietojoukkojen vesileimausmenetelmät voivat luotettavasti osoittaa suurten tietojoukkojen omistajuuden vain rajoitetuissa vastakkainasetteluissa. Viimeisessä osassa osoitamme, että mallinpoimintahyökkäysten tehokkuus riippuu vastustajan kyvyistä tai tiedosta. Kehitämme myös vaihtoehtoisia mallin omistajuuden todentamismenetelmiä, jotka selviävät mallinpoimintahyökkäyksistä. Tämän väitöskirjan havainnot auttavat ML-mallien omistajia arvioimaan mahdollisia haavoittuvuuksia ja korjauskeinoja mallien kierto- ja louhintahyökkäyksiä vastaan ottaen huomioon erilaiset turvallisuusvaatimukset ja realistiset vastustajamallit.
Vastaväittäjä: professori Simin Nadjm-Tehrani, Linköpings universitet, Ruotsi
Kustos: professori N Asokan, Aalto-yliopiston perustieteiden korkeakoulu, Tietotekniikan laitos
Väittelijän yhteystiedot: [email protected]
Väitöstilaisuus järjestetään kampuksella (Maarintie 8, sali AS1).
Väitöskirja on julkisesti nähtävillä 10 päivää ennen väitöstä Aalto-yliopiston julkaisuarkiston verkkoriiputussivulla.