Page 63 - bilgem-teknoloji-dergisi-10
P. 63
Bilgi Güvenliği
ile DUR (STOP) işaretini YOL VER
(YIELD) olarak sınıflandırması sağ-
x 2 -1 3 -2 2 2 1 -4 5 1 Girdi (Input) lanır ise ölümcül bir kazaya neden
w -1 -1 1 -1 1 -1 1 1 -1 1 Ağırlık (Weights) olunabilir. Örnek bir saldırı akışı Şe-
ˆ x 1.5 1.5 3.5 -2.5 2.5 1.5 1.5 -3.5 4.5 1.5 Saldırgan (Attacker) kil 1’de gösterilmiştir.
w x ˆ -1.5 -1.5 3.5 2.5 2.5 -1.5 1.5 -3.5 -4.5 1.5 Sonuç (Result): 2 Saldırı Araçları
T
Tablo 2: Saldırgan tarafından manipüle edilmemiş girdi örneğinin lojistik regresyon model sonucu Bu tip örneklerin oluşturulması ve
modellere saldırı gerçekleştirilebil-
mesi amacıyla açık kaynak kodlu
olursa, doğrusal bir denklem kullanarak sonucun çeşitli kütüphaneler bulunmaktadır.
0.5’ten büyük olması durumunda örneği pozitif, Makine öğrenme modellerine saldı-
0.5’ten az olması durumunda negatif olarak işa- rılar, bu araçlar kullanılarak oldukça
retlemektedir (saldırı örneği olarak ifade edilirse; kolay bir şekilde gerçekleştirilebil-
1
pozitif sonuç saldırı var, negatif sonuç ise normal mektedir. Cleverhans ve IBM Ad-
2
davranış şeklindedir). versarial Robustness Toobox bu
alanda en çok kullanılan araçlardır.
Örnek olarak, sahip olduğumuz ağ saldırısını tes- Bu araçların her ikisi de Tensorf-
pit edebilen lojistik regresyon sınıflandırma mo- low, Keras, PyTorch, Scikit-Learn
delinin ağırlıkları (w) ve sınıflandırma yapılacak gibi makine öğrenmesi alanında
olan girdi örneği (ağ paketi x) Tablo 1’de gösteril- çok kullanılan algoritma kütüpha-
mektedir. Son satırda ağırlık sonucu -3 çıkmak- Saldırgan girdi örnekleri, bir makine öğrenme nelerinin tamamına saldırı gerçekleştirebilmekte-
tadır. Lojistik regresyon denkleminde yerine ko- modelinin doğru şekilde sınıflandırdığı temiz bir dir. Github adreslerinde yer alan yeterli örnekleriyle
yulmasıyla elde edilen sonuç 0.0474, yani %4,74 görüntünün, makine öğrenme modeli tarafından saldırıların nasıl gerçekleştirilebileceği anlatılmak-
olasılıkla pozitif veya başka bir deyişle yaklaşık yanlış sınıflandırılmasına neden olacak küçük bir tadır. Saldırgan makine öğrenmesi (adversarial
%95 olasılıkla negatif etikete sahiptir. Girdi örne- bozulma eklenerek olusturulan yeni görüntülerdir. machine learning) alanında en çok kullanılan ve
ğimiz üzerinde bazı değişiklikler yaptığımız du- Bu saldırılar hedefli ve hedefsiz olmak üzere ikiye bu araçlarda da gerçekleştirimleri bulunan saldırı
rum Tablo 2’de gösterilmektedir. ayrılmaktadır. Hedefsiz bir saldırı ile modelin sınıf- algoritmaları şunlardır:
landırma performansını düşürmek amaçlanırken,
Bazı değişikliklerle elde edilen sonuç 2 olmakta- bir hedefli saldırıyla modelin sadece belirli sını- Fast-Gradient Sign Method Attack
dır. Denklemde yerine koyduğumuzda elde edi- fa ait sonuç üretmesi istenmektedir. Bu saldırıya Targeted-Fast Gradient
len sonuç 0.88, yani %88 olasılıkla pozitif, %12 örnek olarak, otonom bir araç üzerinde trafik işa- Sign Method Attack
olasılıkla negatif çıkmaktadır. Bu şekilde saldır- retlerini algılayan ve buna göre davranacak mo- Basic Iterative MethodAttack
gan, gerçek durumda yaklaşık %5 olan olasılığı deli verebiliriz. Eğer modele yapılacak olan saldırı DeepFool Attack
%88 oranına artırmayı başarmıştır. Jacobian-based Saliency Map Attack
Saldırgan Makine Öğrenmesi Yöntemleri
Siber güvenlikte yer alan CIA gizlilik, bütünlük,
erişilebilirlik (Confidentiality, Integrity, Avaliabi-
lity) bakış acısıyla saldırgan makine öğrenmesi
Tablo 3’te gösterilmiştir.
60 61
