Kara Kutu Ses Saldırılarının Pratikliğini Konuşmacı Tanıma Modellerine Yönelik Zorlamak

Bağlantı Tablosu

Özet ve Giriş

Arka Plan ve Motivasyon

Papağan Eğitimi: Fizibilite ve Değerlendirme

PT-AE Üretimi: Ortak Aktarılabilirlik ve Algı Perspektifi

Optimize Edilmiş Kara Kutu PT-AE Saldırıları

Deneysel Değerlendirmeler

Alakalı iş

Sonuç ve Referanslar

Ek

Özet —Sesli rakip örnekler (AE'ler), gerçek dünyadaki konuşmacı tanıma sistemleri için önemli güvenlik sorunları oluşturmuştur. Çoğu kara kutu saldırısının etkili olabilmesi için hala konuşmacı tanıma modelinden alınan belirli bilgilere ihtiyaç vardır (örneğin, derinlemesine incelemenin sürdürülmesi ve benzerlik puanlarının bilinmesinin istenmesi). Bu çalışma, saldırganın hedef konuşmacı tanıma modeli hakkındaki bilgisini en aza indirerek kara kutu saldırılarının uygulanabilirliğini artırmayı amaçlamaktadır. Bir saldırganın tamamen sıfır bilgiyle başarılı olması mümkün olmasa da, saldırganın hedef konuşmacının yalnızca kısa (veya birkaç saniyelik) konuşma örneğini bildiğini varsayıyoruz. Hedef model hakkında daha fazla bilgi edinmek için herhangi bir araştırma yapmadan, hedef modele karşı AE'ler oluşturmak için papağan eğitimi adı verilen yeni bir mekanizma öneriyoruz. Ses dönüşümündeki (VC) son gelişmelerden ilham alarak, papağan konuşması adı verilen, hedef konuşmacıya benzeyen daha sentetik konuşma örnekleri oluşturmak için tek kısa cümle bilgisini kullanmayı öneriyoruz. Daha sonra, saldırgan için papağan eğitimli (PT) bir vekil modeli eğitmek amacıyla bu papağan konuşma örneklerini kullanırız. Ortak bir aktarılabilirlik ve algılama çerçevesi altında, PT-AE'lerin iyi insan algı kalitesine sahip bir kara kutu hedef modeline yüksek aktarılabilirlikle oluşturulabilmesini sağlamak için PT modelinde (PT-AE'ler olarak adlandırılır) AE'ler üretmenin farklı yollarını araştırıyoruz. Gerçek dünya deneyleri, sonuçta ortaya çıkan PT-AE'lerin, dijital hat senaryosunda açık kaynaklı modellere karşı %45,8 ila %80,8 ve Apple HomePod (Siri) dahil olmak üzere akıllı cihazlara karşı %47,9 ila %58,3 saldırı başarı oranlarına ulaştığını göstermektedir. , Amazon Echo ve Google Home, kablosuz senaryoda[1].

I.GİRİŞ

Konuşma tanımaya [28], [114], [72], [101], [105], [32], [43], [118] ve konuşmacı tanımaya [43], [29], [118] karşı çekişmeli konuşma saldırıları ] bilgisayar ses güvenliğinde makine öğreniminin en aktif araştırma alanlarından biri haline geldi. Bu saldırılar, beyaz kutu [28], [114], [72], [52] veya kara kutu ayarlarında [105], [32], [43] konuşma sınıflandırıcısını taklit edebilen ses rakip örnekleri (AE'ler) oluşturur. ], [118], [29], [74], [17]. Hedef ses sınıflandırma modelinin tam bilgisini gerektiren beyaz kutu saldırılarıyla karşılaştırıldığında, kara kutu saldırıları tam bilgiyi varsaymaz ve literatürde farklı saldırı senaryoları altında incelenmiştir [29], [118]. Kara kutu saldırılarının tasarlanmasındaki kayda değer ilerlemeye rağmen, saldırganın hâlâ hedef modelden bilgi alması gerektiği gerçek dünya senaryolarında başlatılması hala zor olabilir.

Genel olarak saldırgan, hedef modeli kademeli olarak tanımak için bir sorgulama (veya araştırma) sürecini kullanabilir: hedef modele tekrar tekrar bir konuşma sinyali göndermek, ardından güven düzeyini/tahmin puanını ölçmek [32], [43], [29] veya bir sınıflandırıcının nihai çıktı sonuçları [118], [113]. Araştırma süreci genellikle çok sayıda etkileşim gerektirir (örneğin, 1000'den fazla sorgu [113]), bu da önemli miktarda emek ve zamana mal olabilir. Bu, yerel makine öğrenimi modelleri (örneğin, Kaldi araç seti [93]) veya çevrimiçi ticari platformlar (örneğin, Microsoft Azure [12]) ile etkileşimde bulunmak gibi dijital hatta çalışabilir. Ancak, günümüzün akıllı cihazları (örneğin, Amazon Echo [2]) havadan insan konuşmasını kabul ettiğinden, fiziksel cihazları araştırmak mümkün olmasa bile daha zahmetli olabilir. Ayrıca, hedef modelin bazı içsel bilgilerinin hâlâ saldırgan tarafından bilindiği varsayılmalıdır (örneğin, hedef modelin benzerlik puanlarına erişim [29], [113]). Son zamanlarda yapılan iki çalışma ayrıca saldırganın bilgisini (i) [118] yalnızca hedef konuşmacının tek cümlelik konuşmasını bilmek [118] ve hedef modelin kesin etiketli (kabul veya reddetme) sonuçlarını (örneğin, 10.000'den fazla) elde etmek için araştırmayı gerektirecek şekilde sınırlandırmıştır. kez) ve (ii) [30] hedef modele kayıtlı her konuşmacı için yalnızca bir cümlelik konuşmayı bilmek.

Bu yazıda konuşmacı tanımaya yönelik kara kutu saldırılarına yönelik yeni ve daha pratik bir bakış açısı sunuyoruz. İlk olarak, en pratik saldırı varsayımının, saldırganın hedef model hakkında hiçbir şey bilmemesine izin vermek ve modeli asla araştırmamak olduğunu belirtelim. Ancak saldırgan için bu tür tamamen sıfır bilgi, etkili ses AE'lerine yol açmaz. Saldırı pratikliği açısından biraz bilgi sahibi olmalıyız ancak bunu minimum düzeyde tutmalıyız. Çalışmamız, saldırganın bilgisini, hedef model hakkında başka hiçbir bilgi bilmeden, hedef konuşmacının yalnızca bir cümlelik (veya birkaç saniyelik) konuşma örneğiyle sınırlandırıyor. Saldırganın hedef modelin iç yapısı hakkında ne bilgisi ne de erişimi vardır. Ayrıca, sınıflandırıcıyı incelemez ve sınıflandırma sonuçlarının (yumuşak veya sert etiketler) gözlemlenmesine ihtiyaç duymaz. Bildiğimiz kadarıyla, saldırganın bilgisine ilişkin varsayımımız önceki çalışmalarla (özellikle son iki saldırıyla [118], [30]) karşılaştırıldığında en kısıtlı olanıdır.

Hedef konuşmacının bu tek cümlelik bilgisi etrafında merkezlenen temel saldırı çerçevemiz, (i) papağan eğitimi adı verilen, hedef konuşmacının yeterli sayıda sentetik konuşma örneğini üreten ve bunları bir konuşma oluşturmak için kullanan yeni bir eğitim prosedürü önermek içindir. daha ileri bir aktarım saldırısı için papağan eğitimli (PT) modeli ve (ii) farklı AE oluşturma mekanizmalarının aktarılabilirliğini ve algısını sistematik olarak değerlendirin ve yüksek saldırı başarı oranlarına ve iyi ses kalitesine yönelik PT modeli tabanlı AE'ler (PT-AE'ler) oluşturun.

Papağan eğitiminin arkasındaki motivasyonumuz, ses dönüştürme (VC) alanındaki son gelişmelerin, tek seferlik konuşma yöntemlerinin [34], [77], [110], [31] anlamsal insan konuşmasından yararlanabildiğini göstermesidir. Farklı dilsel içeriklerde hedef konuşmacının sesine benzeyen konuşma örnekleri oluşturma özellikleri. Saldırganın tek cümlelik bilgisine dayanarak, hedef konuşmacısının farklı sentetik konuşma örneklerini oluşturabilmeli ve bunları konuşmacı tanıma için bir PT modeli oluşturmak amacıyla kullanabilmeliyiz. Fizibilite değerlendirmelerimiz, bir PT modelinin, hedef konuşmacının gerçek konuşma örneklerini kullanan temel gerçek eğitimli (GT) modele benzer şekilde performans gösterebileceğini göstermektedir.

PT ve GT modelleri arasındaki benzerlik, aktarılabilirlik konusunda yeni ve ilginç bir soru ortaya çıkarıyor: Bir PT modelinden bir PT-AE oluşturursak, GT modelinden (GT-AE) oluşturulan bir AE'ye benzer şekilde performans gösterebilir ve siyah bir modele aktarabilir mi? -box hedef GT modeli? Rekabetçi makine öğreniminde aktarılabilirlik zaten ilgi çekici bir kavramdır. Aktarılabilirliğin model mimarisi, model parametreleri, eğitim veri seti ve saldırı algoritmaları gibi birçok hususa bağlı olduğu gözlemlenmiştir [79], [76]. Mevcut AE değerlendirmeleri, sentetik veriler içermeksizin öncelikle GT modellerindeki GT-AE'lere odaklanmıştır. Sonuç olarak PT-AE'ler üzerinde üretim ve kalite açısından kapsamlı bir çalışma yürütüyoruz.

• Kalite: Öncelikle bir PT-AE'nin iyi olup olmadığını ölçmek için bir kalite ölçüsü tanımlamamız gerekir. PT-AE'lerin iki önemli faktörü vardır: (i) PT-AE'lerin kara kutu hedef modeline aktarılabilirliği. Aktarılabilirliği ölçmek için görüntü alanında [79] kapsamlı bir şekilde incelenen eşleşme oranını benimsiyoruz. Eşleşme oranı, kara kutu GT modelinde hala aynı hedef etiket olarak yanlış sınıflandırılabilen PT-AE'lerin yüzdesi olarak tanımlanır. (ii) Ses AE'lerinin algı kalitesi. Konuşma değerlendirme çalışmalarında yaygın olarak kullanılan 1'den (en kötü) 7'ye (en iyi) kadar birleşik bir algı puanı ölçeğinde, insan katılımcıların farklı türdeki taşıyıcılara sahip AE'lerin konuşma kalitesini derecelendirmesine olanak tanıyan bir insan çalışması yürütüyoruz [47], [47], [ 108], [23], [19], [91], [36] ve ardından insanların konuşma kalitesi puanlarını tahmin etmek için regresyon modelleri oluşturun. Bununla birlikte, bu iki faktör genel olarak çelişkilidir, çünkü yüksek düzeyde aktarılabilirlik muhtemelen algı kalitesinin düşük olmasına neden olur. Daha sonra, belirli bir taşıyıcı türü kullanılarak oluşturulan PT-AE'ler için aktarılabilirlik algı oranı (TPR) adı verilen yeni bir ölçüm tanımlıyoruz. Bu ölçüm, eşleşme oranına ve ortalama algı puanına dayanır ve bir taşıyıcı türünün, insan algısının birim puanını düşürmede elde edebileceği aktarılabilirlik düzeyini ölçer. Yüksek bir TPR, nispeten küçük bir algı bozulması maliyetiyle elde edilen yüksek aktarılabilirlik olarak yorumlanabilir.

TPR çerçevesi altında, kara kutu hedef modeline karşı havadan başlatılabilecek iki aşamalı bir PTAE saldırısı formüle ediyoruz. İlk aşamada, tam bir taşıyıcı kümesinden, saldırganın hedef konuşmacısı için yüksek TPR'ye sahip bir aday alt kümesine kadar daraltıyoruz. İkinci aşamada, ilk aşamadan en iyi taşıyıcı adaylarını seçen ve saldırı etkinliği ve insan algısının ortak kayıp hedefini en aza indirmek için işitsel özelliklerini manipüle eden topluluk öğrenmeye dayalı bir formülasyonu [76] benimsiyoruz. Gerçek dünya deneyleri, önerilen PT-AE saldırısının, dijital hat senaryosunda açık kaynaklı modellere karşı %45,8 ila %80,8 ve Apple HomePod (Siri) dahil olmak üzere akıllı cihazlara karşı %47,9 ila %58,3 başarı oranlarına ulaştığını göstermektedir. Kablosuz senaryoda Amazon Echo ve Google Home. Yeni iki saldırı stratejisi Smack [113] ve QFA2SR [30] ile karşılaştırıldığında, stratejimiz Smack'e göre %263,7 (saldırı başarısı) ve %10,7 (insan algı puanı) ve %95,9 (saldırı başarısı) ve %44,9 (insan) iyileştirmeler elde ediyor algı puanı) QFA2SR üzerinden. Tablo I, önerilen PT-AE saldırısı ile mevcut stratejiler arasındaki gerekli bilgilerin bir karşılaştırmasını sunmaktadır.

Başlıca katkılarımızı şu şekilde özetleyebiliriz. (i) Yeni bir PT modeli konsepti öneriyoruz ve hedef konuşmacının yalnızca bir cümlelik konuşmasını bilen bir saldırgan için yedek bir model oluşturmak amacıyla papağan konuşma örnekleri oluşturmak için en son teknolojiye sahip VC yöntemlerini araştırıyoruz. (ii) Farklı taşıyıcı türlerine sahip PT-AE nesillerinin aktarılabilirliğini ve algısal kalitesini ortaklaşa değerlendirmek için yeni bir TPR çerçevesi öneriyoruz. (iii) Saldırganın minimum düzeyde bilgisine ihtiyaç duyarken, mevcut saldırı stratejilerinden daha etkili olduğu kanıtlanmış iki aşamalı bir PT-AE saldırı stratejisi oluşturuyoruz.

[1] Saldırı demomuzu şu adreste bulabilirsiniz: https://sites.google.com/view/pt-attack-demo