Llegamos a ustedes gracias a:



Noticias

Presentan 'vacuna' para los modelos de aprendizaje automático

[21/06/2019] Los investigadores de Data61 de CSIRO han formalizado una técnica para `vacunar' los modelos de aprendizaje automático contra los ataques adversarios y hacerlos más robustos.

La técnica funciona haciendo ligeras modificaciones en los datos de entrenamiento, para que sea más difícil para los modelos aprender de ellos. Habiendo aprendido de este conjunto de datos más difícil, los modelos resultan más robustos.

El líder del grupo de aprendizaje de máquinas de Data61, el doctor Richard Nock, utilizó el ejemplo de un clasificador de imágenes entrenado para distinguir entre imágenes de manzanas e imágenes de peras. "Estas imágenes se toman en el mundo real -lo que la máquina hace es tomar esta muestra y hacer que las imágenes sean más difíciles de clasificar. Así que se distorsionaban un poco las manzanas para que se parecieran un poco más a las peras", señaló Nock.

"Cuando entrenas desde este set, que ha sido modificado un poco, los clasificadores que obtienes son más robustos", añadió.

Modificar los datos de entrenamiento para que sea más difícil aprender de ellos, es como crear una "versión débil de un adversario", indicó Nock, de ahí la analogía de la vacuna.

Aunque el método es un tanto intuitivo, no se había formalizado hasta la publicación del artículo del investigador que se presentó en la Conferencia Internacional sobre Aprendizaje Automático en California la semana pasada.

"Partió de una intuición. Tuvimos que descifrar la intuición y hacerla más formal. Luego tuvimos que pensar en lo que debíamos poner en la jeringa", anotó Nock.

En términos de aprendizaje automático, las diferencias entre una manzana y una pera tienen funciones numéricas. Gran parte del trabajo se centró en encontrar qué funciones modificar para hacer el trabajo de la manera más eficiente. "Se podrían utilizar muchas funciones diferentes, pero no todas serían tan eficientes como la mejor posible", indicó Nock.

Los resultados de los investigadores son bastante generales, y fueron demostrados con el ejemplo del reconocimiento de dígitos escritos a mano, una máquina común de aprendizaje de banco de datos que les permitía "comprobar el sistema".

La técnica podría aplicarse a cualquier conjunto de datos utilizado para entrenar modelos, y tiene un valor inmediato en el mundo real.

"Podría aplicarse a las señales de tráfico de los coches autónomos, si se quiere hacer más robusto el reconocimiento de las señales, lo que creo que es realmente importante", indicó Nock.

"Podría aplicarse al reconocimiento de terroristas en un aeropuerto, si la gente intenta ponerse bigotes falsos y cambiar un poco su apariencia -no demasiado porque parecería sospechoso, por supuesto-, pero el sistema podría ser más robusto para apoyar estos cambios", añadió.

Sabio para engañar

Además de hacer que los modelos sean más robustos en general, también proporciona una defensa frente a los ataques contradictorios. Lograr y defenderse contra tales ataques se ha convertido en un área de interés para los investigadores en los últimos años.

En el 2017, un grupo demostró cómo engañar a los clasificadores de imágenes haciendo alteraciones en las señales de 'Alto' en el mundo real. Mediante el uso de algunas pegatinas en blanco y negro -diseñadas para imitar el graffiti, y así "esconderse en la psique humana"- los investigadores fueron capaces de hacer que un clasificador basado en una red neural profunda viera una señal de stop como una señal de límite de velocidad, el 100% del tiempo.

Otros han demostrado cómo un pequeño parche cuadrado e impreso puede utilizarse como "dispositivo de ocultación", para ocultar a las personas de los detectores de objetos de IA.

"Los ataques adversarios han demostrado ser capaces de engañar a un modelo de aprendizaje de máquina para que etiquete incorrectamente una señal de parada de tráfico como señal de velocidad, lo que podría tener efectos desastrosos en el mundo real", anotó Nock.

"Cómo hacer más robustas las decisiones y predicciones de las máquinas es un problema crucialmente importante", añadió.

El equipo de Nock espera poner a prueba su técnica en conjuntos de datos mucho más grandes, y está observando los conjuntos de datos de las imágenes de carretera y las imágenes que posee Tesla.

"Quiero escalar esto", indicó Nock.

Otro esfuerzo futuro será formalizar el fenómeno de que los modelos que son entrenados en imágenes "vacunadas" modificadas, clasifiquen mucho mejor las imágenes no modificadas que otros modelos.

"Es intuitivo, pero hay que ponerlo en ecuaciones", dijo Nock, "Necesitamos explicar la diferencia, porque la diferencia es significativa".