Adversarial machine learning: differenze tra le versioni

Nel caso specifico del [[clustering]], lo scopo di un attacco adversarial è quello di massimizzare la [[Distanza (matematica)|distanza]] (definita tramite una qualche appropriata [[Misura (matematica)|misura]]) fra i cluster che si otterrebbero partizionando un dataset <math display="inline">D </math> mediante un determinato algoritmo di clustering e quelli che invece verrebbero prodotti eseguendo lo stesso algoritmo su un dataset <math>D' </math>, ottenuto dall'[[Unione (insiemistica)|unione]] fra <math>D </math> e <math display="inline">A </math>, dove <math>A </math> è l'insieme degli input malevoli inseriti dall'attaccante. Pertanto, l'obiettivo è quello di risolvere il seguente problema di ottimizzazione:

 

 

dove <math display="inline">d_C</math> è la misura della distanza inter-cluster adottata, <math display="inline">C</math> è l'insieme dei cluster ottenuto sul [[dataset]] originale <math display="inline">D</math> ed <math>f_D </math> è definito come <math display="inline">\pi_D \circ f </math>, dove <math display="inline">f </math> è la funzione di clustering scelta e alla quale viene applicata la [[Proiezione (geometria)|proiezione]] <math display="inline">\pi_D </math>, la quale restringe l'output del clustering ai soli campioni originali appartenenti a <math display="inline">D </math>. La proiezione è richiesta in quanto lo scopo dell'attacco è quello di ''peggiorare'' il clustering per gli input leciti<ref name=":1" />.

L'obiettivo di un attacco di tipo ''obfuscation'' (anche detto di ''evasion'') è quello di violare l'integrità di un modello di apprendimento automatico. Durante un attacco di tipo obfuscation, l'attaccante modifica un determinato campione con l'obiettivo di ottenere come output dal classificatore una classe che è diversa dalla sua reale classe di appartenenza; in alternativa, l'attacco potrebbe più semplicemente tentare di diminuire la [[Intervallo di confidenza|confidenza]] del modello per quel campione<ref name=":3">{{Cita pubblicazione|nome=Nicolas|cognome=Papernot|nome2=Patrick|cognome2=McDaniel|nome3=Somesh|cognome3=Jha|data=23 novembre 2015|titolo=The Limitations of Deep Learning in Adversarial Settings|rivista=arXiv:1511.07528 [cs, stat]|accesso=15 giugno 2021|url=http://arxiv.org/abs/1511.07528}}</ref>. Più formalmente, possiamo descrivere un attacco di tipo obfuscation come il seguente problema di ottimizzazione:

 

 

dove <math display="inline">\delta_X</math> è un vettore contenente la perturbazione da aggiungere al campione <math display="inline">X</math>, <math>F</math> è la funzione approssimata dall'algoritmo e <math>Y^*</math>è la classe obiettivo che l'attaccante vuole ottenere per <math display="inline">X</math>.