其中, 监督学习的主要特点是要在训练模型时提供给学习系统训
练样本以及样本对应的类别标签, 因此其又称为有导师学习。典型的监督学习方法有决策树、 支持向量机 (support vector machine, SVM) 、 监督式神经网络等分类算法和线性回归等回归算法。无监督学习方法主要特点是训练时只提供给学习系统训练样本, 而没有样本对应的类别标签信息。典型的无监督学习方法有聚类学习和自组织神经网络学习。强化学习方法的特点是通过试错 (try-and-error) 来发现最优行为策略, 而不是带有标签的样本学习。
投毒攻击(poisoningattack)主要是对机器学习在训练模型时需要的训练数据进行投毒,是一种破坏模型可用性和完整性的诱发型攻击。。攻击者通过注入一些精心伪造的恶意数据样本 (带有错误的标签和攻击的性质) , 破坏原有的训练数据的概率分布, 从而使训练出的模型的分类或者聚类精度降低,达到破坏训练模型的目的。由于实际中应用机器学习算法的系统的原始训练数据大多是保密的, 一般不会被攻击者轻易修改, 但很多系统为了增强适应能力需要定期重新训练实现模型更新, 从而给了攻击者可趁之机。 自适应生物面部识别系统、恶意软件分类系统、 垃圾邮件检测系统等, 都需要定期重新训练。而对于实现投毒攻击的技术来说, 生成合适的对抗样本是投毒攻击能否成功实现的关键.
而一种比较常用的产生对抗样本的方法—— 梯度下降策略(gradient ascentstrategy), 通过对度量样本对抗性能的目标函数梯度的计算, 进而产生满足要求的最优对抗样本, 在对SVM、 LASSO算法以及PDF中的恶意程序检测系统的投毒攻击中均有使用最新的研究提出了一种更有效的产生对抗样本的方法, 它采用生成对抗网络 (generative adversarial network, GAN) 中生成模型generative model) 和判别模型 (discriminative model)的思想, 即先用生成模型产生候选的对抗样本, 再用判别模型筛选最优对抗样本。该方法与一般的直接梯度法 (direct gradient) 在 MNIST 和 CIFAR-10 两个数据集上的实验结果对比可知, GAN产生对抗样本的速度更快, 识别准确率 (accuracy) 更低, 损失值 (loss)更大。同时, GAN也可以产生针对恶意软件分类器的对抗样本.
除了训练过程, 在机器学习的测试/推理过程中也存在着很多安全性问题, 给系统造成很大的安全性威胁。测试/推理过程主要指通过训练出的模型来对新数据进行分类或者聚类的过程, 是机器学习模型发挥作用的阶段