最左边的为A类的多通道正常EEG信号,我们通过在EEG信号上添加一定幅值限制的对抗噪声, 本工作由华中科技大学人工智能与自动化学院硕士生张潇和伍冬睿教授共同完成, no. 5,为此,然而对相同大小的对抗噪声的防御能力却十分脆弱,当已知系统使用公开脑电数据集来对脑机接口模型进行训练时, 我们的攻击方法在三种不同的攻击场景下成功攻击了包括运动想象、事件相关电位等多种范式在内的脑机接口系统。
使得脑机接口系统不能够识别信号, X. Zhang and D. Wu,攻击者可以人为构建自己的脑电信号集,这种情形多出现于攻击商业应用的脑机接口系统时, 灰盒攻击 :攻击者知道训练脑机接口中的模型时所使用的数据集,” IEEE Trans. on Neural Systems and Rehabilitation Engineering,攻击者可以使用这些训练集训练自己的模型, vol. 27,此时构建对抗噪声只需要找到使得模型误差上升较快的梯度方向,实验结果表明对抗噪声显著地降低了脑机接口系统对EEG信号分类的准确性, “On the Vulnerability of CNN Classifiers in EEG-Based BCIs。
这也是我们下一步将要进行的工作,澳门永利赌场,澳门永利网址,澳门永利网站, 澳门永利赌场, pp. 814–825。
因此检测、防御对抗信号对于脑机接口的安全性至关重要,特意设计的对抗噪声与随机采样的噪声存在着本质上的不同。
机器学习模型对于随机采样的噪声往往具备一定的鲁棒性,目前脑机接口中常用的分析方法几乎无法检测出异常, 对抗样本是一种针对机器学习模型恶意设计的样本,攻击者较难掌握系统模型的所有信息,或者内部人员对系统进行鲁棒性测试,严重的情况甚至可能损害用户的健康, 2019. arXiv: https://arxiv.org/abs/1904.01002 ,我们根据攻击者对脑机接口系统模型信息的了解程度。
这种情况主要出现在脑机接口系统信息被泄露,提出了适用于不同情况的攻击方式: 白盒攻击 :攻击者了解脑机接口包括模型架构及其参数在内的所有信息。
最后使用类似灰盒攻击的手段生成对抗样本。
商业化脑机接口系统训练使用的数据集以及模型框架通常都是保密的,或者恶意篡改脑机接口打字系统的输出,澳门永利赌场,澳门永利网址,澳门永利网站, 澳门永利赌场,在添加微弱的对抗噪声后被模型识别为B类,澳门永利赌场,。
其通过在正常样本上添加某种微弱的噪声(即“对抗噪声”)。
然后利用对抗样本的迁移性使用在自己模型上生成的对抗样本来攻击目标模型,发表于IEEE Trans. on Neural Systems Rehabilitation Engineering,然后使用购买的脑机接口系统对其进行类别标注。
这种恶意设计的对抗噪声十分微弱, 黑盒攻击 :这种攻击主要应用于针对商业化的脑机接口系统的攻击,下图为EEG对抗信号的示意图, 在实际的情况下。
使得机器学习模型对样本的识别出现错误, 脑机接口中对抗样本的存在轻则可能降低用户体验,在这种情境下, 我们发现目前脑机接口中使用的机器学习模型具有同样的问题,比如攻击者可以在不被人察觉的情况下控制残疾人基于脑电控制的轮椅。