機器學習的應用非常廣泛，對各種工業和軍事目標都很有用，但目前的方法是否魯棒（穩健）？魯棒性要求的不僅僅是在理想條件下的準確性；它意味著系統能夠抵抗數據中的擾動，包括自然和對抗性原因的擾動。這項研究的目的是分析用于電網故障分類的神經網絡的魯棒性。我們專注于經典的9總線模型模擬產生的數據；然而，這些方法和結果可以擴展到更復雜的微電網，如海軍艦艇、潛艇和基地上的微電網。首先，我們測量隨機和對抗性噪聲對測試數據的影響，并比較三種網絡類型。然后，我們通過改變節點和層的數量來測試不同的結構。最后，我們測試了在訓練數據中加入噪聲是否能提高魯棒性。在潛艇上采用機器學習方法之前，我們必須首先了解其弱點和潛在的錯誤。這項研究為如何測試魯棒性，神經網絡在哪些地方有隨機或對抗性噪聲的風險，以及如何修改網絡以提高其魯棒性提供了基礎。

網絡空間是支持戰場物聯網（IoBT）的數字通信網絡，是以防御為中心的傳感器、計算機、執行器和人類以數字方式連接的模式。一個安全的IoBT基礎設施有助于在分布式子系統中實時實施觀察、定位、決定、行動（OODA）循環。網絡犯罪分子和戰略對手的成功黑客行為表明，像IoBT這樣的網絡系統并不安全。三條工作路線展示了一條通往更強大的IoBT的道路。首先，收集了企業網絡流量的基線數據集，并通過生成方法對其進行建模，允許生成真實的、合成的網絡數據。接下來，通過算法制作了網絡數據包的對抗性例子，以欺騙網絡入侵檢測系統，同時保持數據包的功能。最后，提出了一個框架，使用元學習來結合各種薄弱模型的預測能力。這導致了一個元模型在數據包的整體準確性和對抗性實例檢測率方面優于所有基線分類器。國防戰略強調網絡安全是保衛國土和在信息時代保持軍事優勢的必要條件。這項研究提供了學術觀點和應用技術，以推進美國防部在信息時代的網絡安全態勢。

圖 22. 對抗性樣本的生成和測試的4個步驟

圖23. 元學習框架通過智能地結合每個基礎模型的預測能力來加強對對抗性攻擊。對抗性訓練的分類器是通過5.3所述的增強數據集進行訓練。

論文引言

1.1 動機

美國國防部（DoD）預計，未來的戰爭將主要在網絡領域進行，對手包括戰略競爭對手和非國家行為者。由于美國從未打過一場全面的網絡戰爭，因此對 "路線規則"并不十分了解[6]。敵人有可能通過已知和未知的威脅載體來攻擊美國的利益。這些攻擊的影響可能是非動能性的，即對信息系統的未獲許可的訪問或控制，或者是動能性的，即攻擊導致物理資產的破壞、基礎設施的損害或死亡。許多遺留的網絡物理系統在建造時沒有預見到網絡漏洞[7]。隨著戰場物聯網的發展，包括更多的這些系統，潛在的網絡威脅暴露也在增加。想象一下，當士兵的可穿戴設備在戰斗中因網絡攻擊而發生故障時，會出現怎樣的混亂。至關重要的是，我們要在對手利用這些缺點之前，用新技術解決我們軍隊的網絡安全問題。生成式機器學習和元學習是新興領域，可能為網絡安全研究中一些長期存在的障礙提供解決方案。

入侵檢測系統（IDS）是一種阻止和防御網絡攻擊的方法[7]。不幸的是，IDS需要大量的數據集進行訓練[2]。有機的網絡攻擊數據，帶有標記的條目，是出了名的稀缺。NSL-KDD[8]試圖糾正被廣泛引用的KDD-CUP基準數據集的問題，然而，即使是改進的版本也是過時的，而且范圍有限。

生成式機器學習是人工智能的一個領域，有可能以新的方式解決未解決的問題。諸如馬爾科夫鏈蒙特卡洛、自動編碼器和生成對抗網絡（GANS）和自動編碼器的方法被用來估計未知的概率分布函數。對多樣化和現實的生成數據的應用是很迫切的，特別是對網絡。生成方法提供了一個分析和綜合網絡數據的途徑，而生成方法與元學習的結合提供了一個防止某些網絡攻擊的機會。

本章的其余部分介紹了三個促進美國網絡系統安全的研究課題。第2章提供了一個相關主題的總體文獻回顧，以及一個精心挑選的可能對讀者特別有價值的來源的快速參考表。第3至5章提供了與貢獻1、2和3相對應的已完成的研究手稿。以前發表的研究是第六章，最后總結了研究的主要發現以及它們對現代防御的影響。附錄提供了不適合于主文件的額外信息。附錄A是元學習NIDS的相關研究，不適合于所述貢獻。附錄B是一個參考的AFIT論文表。附錄C包括支持貢獻1的數據表格。

1.2 研究貢獻

本論文提出了三個研究課題以支持軍隊安全態勢的現代化。雖然每個課題都可以獨立進行，但本論文采取了連續的方法，早期研究的結果增強了后來的工作。本論文的總體目標是證明在建立一個對對抗性攻擊具有強大抵抗力的入侵檢測系統方面取得了重大進展。

貢獻1：生成真實的合成網絡數據。

第一個研究目標是對現代網絡數據的概率分布進行建模，并從基線分布中生成額外的、現實的數據。預定的生成模型可以是明確的，以概率分布函數的形式，或隱含的，如GAN。生成方法將在第2.2節討論。無論怎樣，模型生成的現實數據必須證明與基線數據的分布相匹配。與第4.2節中NSL-KDD[8]、KDD-CUP[9]、UNSW-NB15[10]等其他基準數據集不同，生成的數據必須能夠代表現代政府系統中的網絡流量，包括授權和惡意行為者的例子，而且比例適當。惡意流量必須是現代網絡攻擊的代表，并反映原始分布中未觀察到的例子。一個可能的策略是通過在敵對環境中收集的真實網絡數據或在現實的高保真模擬中收集的數據來訓練一個生成模型。然后，基線數據可以用來訓練一個生成模型，能夠從與基線相同的分布中創建新的、現實的例子。

特別是，生成模型應該強調對模式崩潰的復原力，并且應該對變量之間的宏觀層面的關聯性進行建模。如果成功，現實生成的網絡數據將被用作創建對抗性例子的起點。擴大的、生成的數據集比小的真實數據集更受歡迎，因為它展示了生成方法的可行性，以克服新型網絡攻擊中的數據不足。隨著網絡日志數據中新現象的發現，它們將被復制到更大的數量，有利于創建對抗性例子和強大的IDS。如果生成方法不能產生現實的數據，那么目標二可以使用數量更多的基線數據來實現，而這些數據的獲取是昂貴和費力的。為了支持貢獻1，已經提交并接受了兩篇存檔的同行評審論文。《網絡領域生成方法的挑戰和機遇》已被《2021年冬季模擬會議論文集》接受，《為訓練和評估網絡入侵檢測系統的機器學習分類器生成現實的網絡數據》已提交給《應用專家系統》。這兩項工作都是由Marc Chal′e（主要作者）撰寫的，委員會成員為支持學位論文研究做出了貢獻。支持貢獻1的工作在第三章和附錄C中介紹。

貢獻2：生成對抗性樣本。

第2個研究目標是產生能夠躲避現代IDS的對抗性樣本。對抗性樣本必須使用新的技術來創建，包括適用的生成方法。對抗性樣本必須超越諸如[11]的工作，強制執行網絡數據的不可變方面[12]，并實現端到端的攻擊。解決這一挑戰可能會增加最先進的網絡攻擊對當前IDS的有效性，但一旦這些技術被確定，它們就可以在強大的IDS中得到解決。盡管最近在計算機視覺領域創造對抗性攻擊方面取得了進展，但在網絡領域產生對抗性攻擊是特別具有挑戰性的[12]。為了使被擾亂的互聯網協議（IP）數據包能夠促進端到端的網絡攻擊，數據包必須保持其專門的數據結構以及執行時的原始功能。雖然圖像可以不受限制地被擾動，并產生一個有效的圖像文件，但在互聯網上傳輸的IP數據包在擾動過程中會被破壞，導致無效的端到端攻擊。盡管最初對網絡領域的對抗性攻擊的研究[11] [13] [14]集中在擾亂網絡數據的特征向量上，但更困難的任務是擾亂網絡數據包的實際有效載荷，同時保持其原始功能[13] [15] [12]。或者，可以生成一個對抗性的特征向量，然后反向設計成一個能躲避IDS的功能性IP數據包。在努力實現端到端黑盒攻擊的過程中，我們必須證明對抗性例子可以被限制在網絡領域的標準內。這一目標在提交給《計算機與工業工程》的期刊文章《基于約束優化的網絡入侵檢測系統轉移攻擊的對抗性實例生成》中實現。 這項工作是由Marc Chal′e（主要作者）撰寫的，委員會成員為支持論文研究做出了貢獻。支持貢獻2的工作在第四章和附錄D中介紹。

貢獻3：展示一個強大的入侵檢測系統。

入侵檢測系統在保護網絡系統數據的保密性、完整性和可用性方面發揮著重要作用，但它們存在根本性的缺陷。幾種流行的基于規則的IDS對惡意軟件的檢測率在實踐中是驚人的低。一項研究發現，Zeek使用其基于規則的警報系統只檢測到52%的惡意軟件攻擊[16]。這種乏善可陳的表現可能促使了機器學習入侵檢測系統的最新發展。雖然近年來IDS的能力有所提高，但對手也在不斷創新他們的方法。此外，自2005年以來，美國報告的入侵事件的比率一直在增加。大多數IDS漏洞被認為是規避攻擊的結果，其中IP數據包被修改為看似無害，但實際上是有害的[17]。在現代，諸如[11]這樣的規避攻擊使用啟發式方法來擾亂IP數據包的特征，騙過IDS。

因此，最終的研究目標是利用GML和元學習等技術，提高基于機器學習的IDS的分類性能和魯棒性，如[2]。通過分類性能，我們特別指出了召回率（檢測率）和準確率的指標。穩健性是指算法對來自于與訓練所用的例子不同的分布的例子有很好的概括傾向[18]；它是當今網絡環境中模型的一個越來越重要的特征。

雖然貢獻2暴露了基于ML的IDS的安全漏洞，但貢獻3提供了一個解決方案。這一研究目標在MADFACTS中實現。MADFACTS: Meta-learning Augmented Defense For Adversarial Cyber Techniques是一篇已完成的長篇文章，正等待提交給《計算機與安全》、《未來互聯網》或《優化通訊》等刊物。這項工作是由Marc Chal′e（主要作者）撰寫的，委員會成員為支持論文研究做出了貢獻。支持貢獻3的工作將在第四章介紹。

影響。

上述研究目標對物聯網的網絡防御和整個國家安全有協同的影響。貢獻1旨在解決網絡領域長期缺乏標記的高質量訓練數據的問題。貢獻2提供了一個技術優勢，以對抗那些希望開發針對物聯網的新型對抗性攻擊的網絡犯罪分子和對手。貢獻1和貢獻2的成功加強了貢獻3的工作，其中一個強大的IDS擊敗了對手的例子。這些成就符合軍事戰略的更大愿景，即在所有領域（包括網絡、空間、陸地、空中和海上）實現機動性自由。加強整個IoBT的網絡安全對于指揮官在現代跨域戰爭中造成預期的影響是必不可少的，因為指揮、控制、情報和識別是決策的骨干，而且越來越數字化了。這項研究提供了一條有希望的途徑，以提高對抗不斷變化的攻擊威脅的穩健性。

摘要

研究人員通常會增加訓練數據來提高神經網絡的預測能力，但當數據或計算資源有限時，這種方法是不可行的。本文擴展了以前的研究，即使用長短期記憶-完全卷積網絡從公開的廣播式自動相關監視（ADS-B）數據中識別飛機發動機類型。這項研究設計了兩個實驗，改變訓練數據樣本和輸入特征的數量，以確定對ADS-B分類模型的預測能力的影響。第一個實驗從有限的特征集中改變了訓練數據觀察的數量，結果是83.9%的準確率（與以前只用25%的數據的實驗相比，準確率在10%以內）。實驗結果表明，與數據數量相比，特征選擇和數據質量導致了更高的分類精度。第二次實驗接受了所有ADS-B特征組合，并確定空速、氣壓和垂直速度對飛機發動機類型預測的影響最大。

關鍵詞：多變量長短期記憶-完全卷積網絡，廣播式自動相關監視，公開信息，開源數據，分類，機器學習

1 引言

在過去的三十年里，互聯網上的存儲量從1993年的15.8 exabytes增加到2020年的6.8 zettabytes[1]，增幅超過40000%。雖然很難確定確切的數字，但截至2022年2月，互聯網的規模估計約為21 zettabytes，并且每兩年翻一番[2]。如果我們假設普通的個人電腦（PC）有一個一兆字節的硬盤，21兆字節就相當于210億臺PC，基本上世界上每個人都有三臺PC。雖然這些數據中有很多是個人數據，但其中很大一部分被認為是公開可用的信息（PAI），可以被任何互聯網用戶或組織利用。

可用數據的增加導致了對識別趨勢的研究（即數據分析），在社會的多個方面，包括商業和政府，變得越來越普遍。研究人員和大公司已經考慮了多種方法來最好地利用這種被恰當地稱為 "大數據 "的巨大資源。一些已經顯示出前景的領域包括物聯網（IoT）分析[3-5]、trafc建模[6]、戰斗和海上運動[7-11]、圖像識別[12]、搜索引擎[12]和自然語言處理[12]。

對PAI和數據分析的日益關注，得到了負責做出合理防御決策的軍事防御戰略家的認可。通過將PAI與他們所掌握的大量傳感器數據相結合，如來自情報、監視和偵察平臺的數據，有可能提高這些資源的預測能力。美國空軍和太空部隊對數據分析的需求是顯而易見的，因為多領域行動是其防御戰略的組成部分。事實上，22財年的態勢聲明呼吁指揮和控制部門需要翻譯和共享數據，以提供 "實時傳播可操作的信息"，從而提供 "以比我們的競爭對手更快的速度在所有領域進行聯合作戰"[13]。如果沒有最近的技術、人工智能和機器學習的進步，這個目標幾乎是不可能的。幸運的是，新技術可以用來清除大數據中的噪音，其速度遠遠超過人類的速度，以快速做出對軍事決策者來說很重要的推斷。

為了幫助軍事領導人分析他們所掌握的巨大數據，我們試圖通過為大數據的一個主要用戶提供增強的能力來改善軍事行動：情報分析員。對情報分析員來說，一個重要的重點領域是生命模式（POL）的建模。一些研究人員試圖通過機器學習來改善POL建模[14-18]。最近的研究興趣表明，用深度學習分析地面和機載飛機傳感器，以預測飛機的特性。

POL建模的一個研究方向是利用廣播式自動相關監視（ADS-B）數據來對飛機進行預測[6, 8, 11, 19]。某些空域內的飛機被要求通過機載轉發器廣播ADS-B輸出。使用ADS-B數據進行分類問題的好處是，它是公開的，在美國和歐洲飛行的飛機被要求在大多數空域等級中廣播它[20, 21]。ADS-B數據從世界各地的不同地點收集，業余愛好者和研究人員在這些地點維護一個接收器來收集數據。ADS-B收集者將他們的數據提交給集中的存儲庫，如ADS-B交易所[22]，這些存儲庫將數據匯總起來供公眾使用。在這些存儲庫中，關于廣播飛機的統計和運動學信息都是可用的。

1.1 問題描述/目標

生命模式(POL)建模是一個擁有許多技術和最佳實踐的研究領域[14-18]。軍事和國防人員對POL建模的興趣，不僅僅包括對人類日常活動的建模。例如，來自飛機傳感器的未歸屬數據，如從空中交通管制（ATC）的主雷達收集的數據，可以通過一些分析對發射的飛機做出推斷。ATC的主雷達收集運動信息，如位置和空速，但如果沒有飛機通過其應答器提供，則無法獲得飛機的識別信息。有了這些基本的飛機運動學數據，模型可以預測諸如飛機型號或發動機類型等信息，而不需要在原始數據集中直接說明。ADS-B數據的好處是，這些特征存在于數據集中，可以作為真實數據，為沒有真實數據的數據集建立模型。

由于這種類型的處理可能是資源密集型的，在處理有限的計算資源時，訓練一個深度學習模型可能是困難的，或者在某些情況下是不可能的。訓練一個模型所需的計算資源量在很大程度上受訓練數據的大小影響。出于這個原因，了解如何通過最小化用于訓練模型的數據來最好地利用可用資源是很重要的。有兩種方法可以最小化數據：限制特征的數量或減少訓練樣本的數量。在這項研究中，利用飛機運動學數據，我們研究了預測發動機類型時改變這些因素的影響。由于減少訓練數據將不可避免地降低所得模型的準確度，在本文中，我們將可接受的模型定義為預測準確度在先前89.2%的基線研究成果的10%以內[23]。因此，能達到至少79.2%準確率的模型將被認為是 "可接受的"。

1.2 研究貢獻

本文的研究貢獻可以歸納為以下幾點：

• 由于深度學習分類問題的最小數據集大小沒有明確的指導原則，本研究旨在確定飛機預測模型的基線。

• 本文確定了用運動學數據識別飛機的基線特征。速度、氣壓和垂直速度

• 本文分析并重申了選擇適當特征的重要性。該數據集內的 "噪音 "特征嚴重限制了網絡的分類能力。

1.3 組織結構

本文的其余部分組織如下。第二節提供了關于ADS-B的詳盡的文獻回顧和背景信息。在第三部分，討論了用于開發和評估每個模型的方法和過程。第四部分介紹了結果。第四部分提供了結論。

目標姿態估計和目標點選擇在直接能量武器系統中至關重要，因為它使系統能夠指向目標的特定和戰略區域。然而，這是一項具有挑戰性的任務，因為需要一個專門的姿態傳感器。在新出現的深度學習能力的激勵下，本工作提出了一個深度學習模型，以歐拉角的方式估計目標航天器的姿態。深度學習模型的數據是通過實驗從三維無人機模型中產生的，其中包括大氣背景和湍流等效應。目標姿態來自于二維關鍵點的訓練、驗證和預測。有了關鍵點檢測模型，就有可能檢測到圖像中的興趣點，這使我們能夠估計有關目標的姿勢、角度和尺寸。利用弱透視直接線性變換算法，可以從三維到二維的對應關系中確定三維物體相對于攝像機的姿勢。此外，從這種對應關系中，可以確定目標上的瞄準點，模仿激光跟蹤。這項工作評估了這些方法及其在模擬真實世界環境中實驗產生的數據的準確性。

第1章 概述

1.1 引言

本論文提出的問題是："我們能否設計出既有效又高效的審計策略來防御現代信息系統中的數據濫用？"。

幾十年來，計算和存儲技術的不斷進步一直激勵著人類和我們日常生活的數字化。這種現象深刻地改變了信息交流、決策、以及人們思考和創新的方式。由于對提高信息交流效率和保證信息準確性和完整性的卓越能力的共同信念，許多現代信息系統已經出現，通過收集、存儲和處理人類產生的數據為人類社會提供關鍵服務。電子病歷（EHR）系統是這些重大創新之一（見圖1.1a的例子），它能帶來許多好處，包括臨床人員和病人之間的有效溝通[1, 2]，通過隨時訪問提高護理效率[3]，以及減少醫療錯誤[4, 5]。金融管理信息系統（見圖1.1b為例）是另一個顯著的模式，它能實現可靠的交易服務、高效的財富管理和持續的服務提供[6]。這些系統不僅加快了人類活動的步伐，而且還重塑了日常生活的性質。

(a) Epic EHR系統的一個示例界面，顯示一個假的病人。

(b) Mifos銀行系統的一個示例界面，顯示一個假的客戶。

圖1.1: 激發本論文研究的具體領域，也是直接影響本論文研究的具體領域。

同時，不幸的是，由于這些關鍵任務的信息系統在促進人類社會方面發揮的重要作用，以及它們所擁有的數據的巨大價值，攻擊從未缺席[7, 8, 9]。雖然攻擊會導致一系列的后果，從中斷信息系統的持續運行到破壞數據的完整性，但它們的最終目標往往匯聚到對個人隱私的侵犯。2015年，美國最大的醫療保險供應商之一Anthem的醫療數據泄露事件創造了美國歷史上數據泄露的新紀錄[10]，通過對其數據服務器的犯罪黑客攻擊，影響了超過7880萬人。2017年，在針對頂級信用報告機構Equifax的攻擊中，約1.45億美國人的個人身份數據被泄露[11]。盡管大量守護安全和隱私的人工和自動篩查策略（或組合）被不斷開發和部署，但針對信息系統及其所持有的敏感數據的成功攻擊不斷登上頭條。因此，人們普遍認識到，沒有一個系統是不受攻擊的，也沒有一個系統是不受損害的，尤其是面對那些不斷適應、不斷發展、不斷改進其方式以破壞保護措施和掩蓋其真實目的的攻擊。

一個廣泛使用的防御信息系統中數據濫用的解決方案是創建并分析系統審計日志[12, 13, 14, 15]。這個簡單的想法已經被實踐了很久，并被用來支持信息系統管理的多個目標[16, 17, 18, 19]，包括在系統安全和數據隱私方面的合規性和問責制[20, 21, 22, 23]。審計日志的結構可以是異質的，但是它們通常按照 "誰在什么時間點進行了什么活動，導致了什么系統狀態 "的思路來記錄系統的事件細節[20, 21, 24]。這種機制很有價值，因為它使管理員能夠對可疑事件進行回顧性調查，這樣，在被審計時，真正的攻擊可以在造成更大損失之前被識別和阻止。更進一步的是，為了審計方便，可疑事件通常根據其特征被映射到預定義的語義類型中，每個類型都對應著不同的惡意情況[25, 26]。這些語義類型可以有多種形式，并擅長于篩選不同的威脅。例如，基于規則的機制可以很容易地挑出存儲在系統中的非常重要的人（VIP）的記錄的訪問活動，而機器學習檢測模型可以準確地找出顯示出異常系統訪問模式的惡意賬戶。然后，檢測到的可疑事件及其相應的類型會作為警報提交給系統管理員（或審計師）進行審計，這為提前制定有效的審計策略增加了復雜性。

然而，由于審計師在現實世界領域中可能面臨的幾個明顯的挑戰，審計在實踐中是非同小可的。首先，通常的情況是，審計工作量大大超出了審計的可用資源（例如，安全管理員或隱私官員的時間）[27, 28, 29]。第二，由于缺乏精確定義惡意行為的能力，導致假陽性率很高，使得審計效率低下[30, 31, 32]。第三，人類攻擊者通常根據他們的知識和對系統運行的觀察采取戰略性的行動，以減少被審計師發現的概率，這使得固定的審計模式變得脆弱[33, 34, 35]。例如，攻擊者可以通過操縱他們的攻擊行為，輕易地繞過基于警報類型重要性的審計策略或訓練有素的機器學習異常點檢測工具。第四，與需要保護的目標固定為防御者和攻擊者的先驗知識的情況相比（如機場航站樓巡邏），數據濫用審計中需要調查的對象（即警報）在一個審計周期（如一天）開始之前是未知的。

從本質上講，數據濫用審計是一項尋求將有限的調查資源分配給對抗性環境中的大量警報的任務。不幸的是，幾乎所有以前的作品在推導其策略時都未能基于審計的這一基本特征進行開發。然而，本論文將審計師和攻擊者之間的互動建模為領導者-追隨者博弈，即審計師（防御者）首先承諾采取隨機審計策略，然后攻擊者根據其觀察結果以某種目標或類型的攻擊作為回應，同時試圖將被發現的可能性降到最低。事實上，這種建模架構下的審計方案通過戰略隨機化將不確定性納入空間，并沿著現實的激勵機制擴大參與者的利益最大化，與其他方案相比，表現出固有的優勢。沿著這個建模方向，在本論文中，我們探討了各種智能審計機制設計可以實現的潛力，以提高防御的效率，甚至對數據泄露的威懾。

1.2 貢獻總結

圖1.2總結了本論文的高層次目標和相關的具體博弈建模策略。基本上，本論文從兩個不同的角度考慮設計審計機制：離線優先和在線信號（或在線警告）。在這里，我們用離線和在線這兩個詞來表示在實時數據訪問過程中，審計人員和數據用戶之間是否通過任何審計機制進行互動。特別是，我們通過回答審計師和攻擊者之間的對抗性環境的兩個問題來展開調查。1）是否有可能以一種智能的方式對警報進行優先排序，從而使審計師能夠從這種隨機的順序中獲得最大的利益，以及2）審計機制能否以一種實時的方式運作，從而使正在發起攻擊的攻擊者在成功之前被阻止。第一個觀點源于這樣的觀察：在實踐中，系統管理員或隱私官員傾向于關注極少數符合他們最大利益的警報類型的調查（或者等同于，在他們的重要性排名中最重要的警報類型）。因此，由于預算的限制，其余的很少被觸及，這為攻擊者提供了免費的午餐。除了完全脫機進行審計外，第二個觀點是探索將參與者之間的信息交流實時化（例如，當用戶請求敏感數據時），以影響攻擊者的策略選擇，甚至阻止攻擊者。雖然我們的貢獻可以應用于一般的信息服務，但在這篇論文中，我們依靠一個有代表性的用例--EHR的濫用審計來使我們的調查有一個背景，即醫療機構（HCO）的雇員（或EHR用戶）可以通過非法訪問濫用病人的數據并侵犯病人的隱私。

更具體地說，為了回答第一個問題（對應于圖1.2中的目標1），我們通過同時考慮兩個維度，建立了一個新穎的博弈論審計框架原型。1）如何確定被觸發的警報的優先順序；2）為每個警報類型分配多少預算（例如，人力資本或貨幣預算）的上限是什么。在這個博弈中，審計師就警報類型的順序和確定的預算分配策略選擇一個隨機的審計政策，而潛在的攻擊者選擇他們的記錄（如EHR）來實施攻擊作為他們的回應。我們表明，即使是該問題的高度限制版本也是NP-Hard。盡管如此，我們提出了一系列解決這些問題的算法方法，這些方法利用線性編程和列生成的組合，計算出一個近乎最優的隨機策略，以確定警報類別的優先次序。使用一個合成的數據集，在這個數據集上得出精確的解決方案是可行的，我們首先證明了我們的方法在接近最優解決方案方面的有效性，并在效率上有了極大的提高。然后，我們用1）范德比爾特大學醫療中心（VUMC）超過1.5個月的審計日志來測試整個框架的有效性，這是美國一個主要的學術醫療中心，我們分配了一個可信的回報結構，明確表示攻擊者被抓或不被抓時玩家的收益和損失；2）一個公開的信用卡應用數據集。一組廣泛的實驗結果表明，我們的方法總是優于最先進的審計策略（忽略了博弈論），無論組織的預算如何。這項調查提供了強有力的證據，證明博弈論輔助的審計可以通過在對抗性環境中優化策略選擇而有利于審計師。這已經作為同行評議的會議論文[36]和期刊論文[37]發表。

圖1.2：本論文的三個主要部分的圖形總結。

第二個研究問題旨在將對抗性建模的好處擴展到實時。具體來說，我們開發了一個概念--在線信號，并將其納入審計博弈。在高層次上，在線信號的功能如下：每當一個可疑的事件開始時（例如，請求訪問病人的記錄，系統配置文件等），系統可以實時警告提出請求的用戶（例如，通過一個有一定概率優化的彈出窗口）"這個事件可能被審計"。然后，用戶可以選擇停止（如果他們是內部人員，從而被阻止）或繼續進行當前的行動。然后，在一段時間后，這些收到信號的事件的一個子集被審計。因此，通過信號傳遞實現威懾力的最大化將我們引向一個在線優化問題，我們必須確定：1）是否應該發出警告；2）該事件被審計的可能性。

作為本論文的第二個研究目標（如圖1.2所示），我們將這個審計問題原型化和形式化為信號審計博弈（SAG），作為初始步驟，我們對審計者和攻擊者之間的互動，以及被部署時的可用性成本（即阻止正常系統用戶的現象）進行建模。我們將審計師的最優方案稱為在線斯塔克伯格信號政策（OSSP），并在理論上證明，OSSP永遠不會比在沒有信號的博弈中取得的最優方案差。我們用來自VUMC的1000萬份EHR訪問事件--包含26000多份警報--進行了一系列實驗，以說明SAG的潛力和其與現有方法相比的優勢的一致性。這已作為同行評議的會議論文發表[38]。

雖然基于信號的在線審計利用了審計師的信息優勢，有可能勝過非信號策略，但由于幾個關鍵的缺陷，SAG在實踐中表現不佳。首先，SAG假設所有攻擊者都有相同的目標，因此他們對攻擊目標的偏好是相同的。他們的偏好由攻擊被抓住或沒有被抓住時雙方的獎勵和懲罰來表示。然而，在現實中，攻擊者破壞系統或敏感數據的動機有很大不同。例如，一個HCO的員工出于好奇偷看了一個VIP的EHR，可能比一個在黑市上出售相同記錄（然后實施身份盜竊）的員工更不需要擔心。第二，按照安全博弈建模的標準假設，SAG假設攻擊者總是以無誤的效用最大化的理性行事。然而，這是一個不合理的強勢假設，因為現實世界的攻擊者可能沒有時間、精力或知識來進行準確的效用計算來選擇策略。而且經驗表明，面對現實世界的攻擊者，博弈建模中的這種假設會給審計師帶來過大的損失[39]，因為審計師可以對那些他們認為攻擊者不可能攻擊的目標保護不足。

本論文的第三個目的（如圖1.2所示）是通過解決它們的上述缺陷使在線信令審計機制變得穩健。我們引入了一個新的審計框架，我們稱之為魯棒貝葉斯SAG。首先，我們通過對SAG進行貝葉斯式的擴展，在審計環境中對多個攻擊者類型進行建模，其中審計者在選擇其審計策略時考慮了參與者的回報和偏好的不確定性。然后，由此產生的問題可以通過一個緊湊的表述來解決。第二，為了模擬現實世界中攻擊者的不完全理性，我們探索了穩健優化中的兩種不同類型的方法。1）約束攻擊者的策略選擇與他們的最優策略的最壞情況下的偏差，以及2）約束攻擊者的偏差對審計師損失的影響。我們將每種類型的約束納入實時解決穩健貝葉斯SAG的算法中，并為每種約束建立了相應的解決概念。我們研究了這些解決方案的理論屬性以及它們之間的關系。令人驚訝的是，這兩種算法，雖然視角完全不同，但在某些情況下可以導致等價，并表現出魯棒性的一致性。為了評估穩健貝葉斯SAG的性能，我們構建了兩個環境。1）與VUMC超過1000萬次真實EHR訪問的審計日志相關的真實環境（與目標2中的評估數據集相同）；2）從真實數據中得到的模擬控制環境，這使我們能夠模擬攻擊者關于其理性程度的行為。我們特別評估了我們的解決方案和最先進的審計方法在不同條件下的預期效用，以證明新的審計解決方案的價值和其可擴展性。這已經提交給一個會議進行審查。

1.3 學位論文結構

本論文的其余部分組織如下。第二章調查了相關工作。之后，我們通過將相應的問題形式化為特定的博弈論模型，推導出它們的解決方案，然后使用真實和模擬的數據集進行評估，對上述每個目標進行擴展。具體來說，在第三章中，我們將預警優先級的博弈形式化，并推導出其解決算法，以改善離線數據濫用審計。在第四章中，我們介紹了在線信號的概念，以及由此產生的模型-SAG，然后是解決方案的理論屬性和性能評估。第五章提出了考慮到多種攻擊者類型和他們在選擇策略時的不完全理性的SAG的強大框架。在第六章中，我們總結了我們的貢獻并討論了未來的工作，從而結束了論文。

人工智能（AI）的進展，特別是深度強化學習（RL），已經產生了能夠達到或超過專業人類水平的系統。這項研究探索了RL訓練人工智能agent的能力，以實現小型戰術交戰中的最佳進攻行為。agent在一個簡單的、總體級別的軍事建設性模擬中接受了訓練，其行為得到了規模和經濟力量戰術原則的驗證。結果顯示，所應用的戰斗模型和RL算法對訓練性能的影響最大。此外，特定的超參數訓練也有助于行為的質量和類型。未來的工作將尋求在更大和更復雜的戰斗場景中驗證RL的性能。

美國海軍和國防部（DOD）正在優先考慮在各戰爭領域迅速采用人工智能（AI），以保持對美國有利的技術優勢。機器學習（ML）是最近人工智能發展的基礎，它存在著一個持續的、沒有得到充分解決的關鍵缺陷：對抗性樣本。自2013年發現以來，在深度神經網絡（DNN）分類器中出現了許多新形式的對抗性樣本攻擊，并提出了許多狹義和特殊的防御措施。這些防御措施都沒有經受住反測試。一些研究人員提出，這種易受攻擊性可能是不可避免的。到目前為止，還沒有發現有效的、可計算的、通用的方法，可以加固DNN，使其免受這種和相關的泛化問題的影響。我們的前提是，ML模型對所有對抗性樣本的魯棒性與抵抗力，可以通過將模型分類空間數據密集區之間的數據點稀疏的潛在空間，作為障礙隔離來改進。我們研究了兩種不同的方法來實現這種對基于對抗性樣本的攻擊防御，測試這些防御對最有效的攻擊，并將結果與現有的技術狀態的防御進行比較。

第一章 引言

人工智能（AI）已被提出來作為推進國防部能力的一個關鍵推動因素。人工智能國家安全委員會在其最終報告中寫道："如果我們的武裝部隊不加速采用人工智能，他們的軍事技術競爭優勢可能會在未來十年內喪失"，建議 "美國現在必須采取行動，將人工智能系統投入使用，并在人工智能創新方面投入大量資源，以保護其安全，促進其繁榮，并保障民主的未來" [1]。鑒于人工智能或更具體地說，深度神經網絡（DNN）中的機器學習（ML）最近在科學和工業領域取得了廣泛的突破，這種關注無疑是恰當的。然而，在國防應用中利用ML和其他現代 "深度學習 "方法并非沒有其固有的附加風險。

最近的人工智能主張已經近乎夸大其詞；當然，在與軍事和文職領導層的高層溝通中，也發生了一些夸大其詞的情況。作為這種夸張的例子，參考一下《2019年美國總統經濟報告》是如何向美國領導人介紹機器視覺方面的人工智能狀況的。在第343頁題為 "2010-17年人工智能和人類的圖像分類錯誤率 "的圖表中，它顯示了 "人類分類 "錯誤率與機器分類錯誤率將在2015年超過人類圖像分類能力。對這一說法仔細考慮并對參考研究甚至是當前最先進研究進行檢查，顯示這一特殊的發展仍然是一個遙遠的、尚未達到的里程碑。

1.1 深度學習的突破

即使ML仍然存在挑戰，近年來，機器學習在科學、工業和商業領域的成功應用也在急劇增加。深度神經網絡已經在自然語言處理、天文學、癌癥診斷、蛋白質折疊、語音識別和機器視覺等不同領域取得了巨大的進步[2]-[8]。因此，這類系統的潛在軍事應用同樣比比皆是：分析頻譜上下的聲學和電磁傳感器數據、機器視覺、尋找-修復-跟蹤和瞄準對手的飛機、地下、水面和陸地戰斗人員、人類語言處理、語音識別、自主空中/地面/地下/陸地車輛、信息戰、情報、監視和偵察（ISR）整合、機器人技術、網絡防御、網絡攻擊、戰術決策輔助，等等。

1.2 深度學習的脆弱性

盡管這項技術帶來了巨大進步，但目前的ML分類方法創建的模型在其核心上是有缺陷的，因為它們非常容易受到對抗性樣本攻擊和相關欺騙技術的影響[9]。廣義上講，文獻中定義的這類攻擊有三類：探索性攻擊、逃避性攻擊和中毒性攻擊。在本報告中，我們主要關注防御我們認為最關鍵的需求，即逃避攻擊。為了提供背景，我們簡要地概述了這三種攻擊。探索性攻擊，對手并不試圖實現錯誤分類，而是試圖通過精心設計輸入來獲得模型的知識，這些輸入的結果將提供關于模型內部狀態的信息，其目的是減少模型的不確定性，以支持未來的攻擊。中毒攻擊試圖在訓練期間修改模型，以偷偷地完成模型的一些未被發現的行為變化。最后，在逃避攻擊中，攻擊者不知不覺地修改了人工制定或模型的輸入，以產生分類的變化，從良性的或最初設定的類別到一些其他的、欺騙性的不真實的類別[10]。這最后一類是我們防御的重點，從這一點出發，我們把這些簡單地稱為對抗性樣本攻擊[11]。

自從2013年最初發現DNN分類器中的對抗性攻擊（逃避）以來，已經出現了許多種這樣的攻擊，并且至少提出了同樣多的狹義的特定防御措施作為回應。不幸的是，到目前為止，所提出的防御措施沒有一個能經受住反測試和適應性攻擊[12]。一些研究人員提出，這種易感性可能是空間中問題表述的一個不可避免的特征[13]。目前，還沒有發現一種有效的、計算上可接受的、通用的方法，可以支撐DNN對抗類似的相關的泛化問題[12], [14]。

1.3 國防部（DoD）的影響

在國防部的范圍內，大家都承認欺騙在戰爭中起著核心作用。因此，戰爭系統必須被設計成對欺騙有高度的適應性[15]。馬基雅弗利在“Prince”中寫道："......雖然在任何行動中使用欺騙都是可憎的，但在發動戰爭時，它是值得稱贊的，并能帶來名聲：用欺騙征服敵人與用武力征服敵人一樣受到稱贊。" 對孫子來說，這甚至是更重要的因素，"所有的戰爭都是基于欺騙"。在國防應用中，至關重要的是，不僅系統在戰斗開始時就如設計之處那樣工作，而且它們應該具備有彈性對狡猾的、有同樣資源和動機的對手的潛在計劃。

誠然，ML在民用和科學方面已經取得了巨大的成功。盡管民用工業技術領域與軍事技術需求有很大的內在交集，但應該注意到，后者并不是前者的完美子集。也就是說，戰爭的現實要求其技術必須為虛假信息和故意欺騙的行動、展示和通信做好準備。這兩個領域之間的這些不同假設意味著，在一個領域已經準備好的東西，在另一個領域可能還沒有準備好。在整個國防部，納入這些技術的系統正在被考慮、開發，在某些情況下已經被采用，目的是增強或取代我們一些最關鍵的國家安全能力。在軍事應用中，特別是武器系統和殺傷鏈內的系統，必須消除或至少減少對抗樣本，并對其進行補償，使故障呈現最小的風險。其余的風險必須被明確指出、發現并被作戰人員充分理解。不仔細和充分地解決這個問題是不可想象的，否則我們就有可能采用脆弱性技術，將災難性的漏洞引入我們關鍵戰爭系統。

1.4 增強防御措施

在防御基于機器學習技術的系統不受欺騙的潛在戰略背景下，我們介紹了一種防御措施。我們的前提是，ML模型對所有對抗性樣本的魯棒性與抵抗力，可以在模型分類器的分類空間數據密集區之間的數據點稀疏潛在空間中插入一個 "填充 "或 "屏障 "的方法來提高[13], [16]。我們相信，通過統計學插值或采用變分自動編碼器（VAE）[17]或生成對抗網絡（GAN）[18]來插值和投射到這個空間的模型可以創建人工填充類樣本來增加數據集，所產生的模型將能夠成功地區分合法數據點和對抗性樣本，同時保持與最先進分類方法相稱的準確性。

摘要

今天的軍事行動中使用的防御系統并沒有為現代技術所能發動的攻擊做好準備。使用無人機、電子戰和其他手段造成的破壞在最近的交戰中被證明是非常致命的，如敘利亞、亞美尼亞和烏克蘭。有現成的技術以及其他需要額外研究和開發的技術，可以幫助保護北約部隊免受這些威脅。為了做好現代戰場的準備，北約部隊必須改變他們的訓練和裝備，否則將面臨巨大的減員風險。本文將探討混合戰場的威脅，并就如何更新戰術以防范這些威脅提出建議。隨著我們的部隊重新將重點從反叛亂行動轉向同行競爭者，我們的訓練和行動也需要發展。僅僅塵封冷戰時期的野戰手冊和恢復訓練中心的高強度場景對于混合戰場是不夠的。建議的變革可以而且應該迅速實施，以擊敗這些現有和新出現的威脅。

引言

隨著新威脅的出現，現代戰場正在繼續演變，產生了被稱為 "混合戰爭"的情況。在諸如敘利亞、沙特阿拉伯、亞美尼亞和烏克蘭的沖突中，武器正在被引入或以新的方式使用。無人機正在集體或單獨進行攻擊，作為彈藥投送系統或飛行炸彈[1]-[3]。電子戰正經歷著信號干擾和定位系統（PLS）欺騙的重新崛起[4], [5]。隨著僵尸網絡傳播錯誤信息和針對關鍵基礎設施的網絡攻擊，信息戰正變得越來越突出[6]。鑒于這些威脅，北約部隊必須重新思考他們的防御措施，以保護他們的戰斗力并保持他們的機動自由。

目前的軍事實戰手冊充滿了為昨天的戰場設計的技術和戰術。偽裝設計主要是為了將部隊隱藏起來，不被人看到。戰術障礙物主要集中在對載人地面車輛和人員進行渠化、轉向或阻擋。信息傳播停留在傳單和擴音器廣播等舊媒體上。在這些舊戰術的基礎上，再加上二十年的戰場優勢，使得部隊對控制其電磁輻射不以為然。同行競爭者和等級較低的對手都準備使用往往具有不對稱優勢的技術，而且成本相對較低。如果我們不調整我們的防御措施以適應這些新的威脅，那么我們目前的軍事優勢就會消失殆盡。

為了保護我們的部隊，我們必須專注于最大的威脅。第一次世界大戰前，在頭頂上挖掘戰斗陣地的做法并不常見，因為大炮并不是后來的傷亡制造者。在這種情況下，戰術的演變是為了應對威脅。據報道，在烏克蘭和亞美尼亞-阿塞拜疆的戰斗編隊被無人機部隊迅速摧毀，這表明我們最大的威脅之一是瞄準系統。因此，偽裝戰術需要不斷發展，以對抗基于人工智能（AI）的瞄準系統。保護我們的部隊還可能涉及建立定位、導航和定時（PNT）防御系統，以逃避PNT制導的彈藥。工程方面的努力可能會轉移到建造側重于空中和地面無人機的障礙物上。需要作出新的努力來減少電磁輻射，以保護其不受測向資產和干擾系統的干擾。最后，信息戰將需要通過防止泄露情報和欺騙在線數據挖掘系統得出不正確的結論來關注行動安全和欺騙。在下面的章節中，我們將對各種技術進行研究，以提出保護我們部隊所需的潛在行動。

題目： Improving Deep Learning Training and Inference with Dynamic Hyperparameter Optimization

簡介：

在過去的十年中，深度學習證明了計算機視覺和自然語言處理所帶來的挑戰的最新準確性，從而使這些領域發生了革命性變化。深度學習模型現在是自動駕駛，醫學成像和神經機器翻譯等應用程序的基本構建塊。但是，在生產中部署這些模型時，仍然存在許多挑戰。研究人員和從業人員必須解決各種各樣的問題，包括如何有效地設計，培訓和部署資源密集型深度學習模型，以及如何在確保對變化條件的魯棒性的同時使這些方法自動化。本文提供并評估了提高深度學習訓練和推理效率以及底層系統對環境變化的魯棒性的新方法。我們通過關注為優化模型的準確性和資源使用而優化的許多超參數來解決這些問題。這些超參數包括模型架構的選擇，訓練數據集，優化算法，優化算法的超參數（例如學習率和動量）以及訓練時間預算。當前，在實踐中，幾乎所有超參數在訓練之前都進行了一次調整，此后保持不變，然而最佳的超參數值會隨時間變化（例如，隨著訓練的進行或替換用于推理的硬件時）。我們將動態調整應用于傳統上被認為是靜態的超參數。通過三個案例研究，我們表明，使用運行時信息來動態適應傳統上靜態的超參數可以提高機器學習訓練和推理的效率。 首先，我們提出并分析Selective-Backprop，這是一種新的重要采樣方法，它以在線方式對高損失示例進行優先排序。在Selective-Backprop中，被認為具有挑戰性的示例是可調超參數。通過優先處理這些具有挑戰性的示例，Selective-Backprop可以將給定的目標錯誤率訓練到比靜態方法快3.5倍的目標。接下來，我們探索AdaptSB，它是Selective-Backprop的變體，可以動態調整我們對具有挑戰性的示例進行優先級排序的方式。在“選擇性反向傳播”中，分配給難度不同示例的優先級保持不變。在AdaptSB中，我們將分配給不同類別示例的優先級視為可調超參數。通過對數據集和訓練階段動態地調整示例優先級，AdaptSB在出現標簽錯誤的數據集上表現優于Selective-Backprop。 最后，我們提出并分析了Mainstream，這是一種視頻分析系統，可讓并發應用共享共享邊緣資源，以最大程度地提高匯總結果質量。在Mainstream中，我們認為應用程序共享的程度是一個可調參數。 Mainstream在部署時使用更專業的DNN自動確定正確的權衡方案，以提高每幀的準確性并保留更多的非專業基礎模型。結果顯示，與靜態ap方法相比，Mainstream將平均事件檢測F1分數提高了多達87倍。

論文題目

基于標注有效的有監督深度學習方法在乳腺攝影和數字乳腺斷層攝影中的魯棒性乳腺癌檢測

論文摘要

乳腺癌仍然是一個全球性挑戰，2018年全球死亡人數超過100萬。為了盡早發現乳腺癌，全世界的衛生組織都建議進行乳腺x光篩查，據估計可將乳腺癌死亡率降低20-40%。然而，顯著的假陽性率和假陰性率，以及高昂的口譯費用，為提高質量和獲得服務留下了機會。為了解決這些局限性，最近人們對將深度學習應用于乳房X光攝影術產生了很大興趣；然而，獲取大量帶注釋的數據對為此目的訓練深度學習模型提出了挑戰，同時也確保了在訓練數據集中所代表的群體之外的泛化。在這里，我們提出了一種注釋有效的深度學習方法，1）在乳房X光分類方面達到最先進的性能，2）成功擴展到數字乳房X光合成（DBT；“3D乳房X光成像”），3）在癌癥患者的臨床陰性乳房X光片中檢測癌癥，4） 對于低篩查率的人群，5）通過平均提高14%的絕對靈敏度，其表現優于五分之五的全職乳腺成像專家。我們的研究結果表明，我們有望開發出一種軟件，能夠提高全世界乳腺X光檢查的準確性和可獲得性。

論文作者

William Lotter,Abdul Rahman Diab,Bryan Haslam,Jiye G. Kim,Giorgia Grisot,Eric Wu,Kevin Wu,Jorge Onieva Onieva,Jerrold L. Boxerman,Meiyun Wang,Mack Bandler,Gopal Vijayaraghavan,A. Gregory Sorensen。