Si una pegatina en un plátano puede hacer que se vea como una tostadora, ¿cómo podría el vandalismo estratégico distorsionar la forma en que un vehículo autónomo percibe una señal de alto? Ahora, un sistema de defensa inspirado en el sistema inmunológico para redes neuronales puede evitar tales ataques, diseñado por ingenieros, biólogos y matemáticos de la Universidad de Michigan.
Las redes neuronales profundas son un subconjunto de algoritmos de aprendizaje automático que se utilizan para una amplia variedad de problemas de clasificación. Estos incluyen identificación de imágenes y visión artificial (utilizada por vehículos autónomos y otros robots), procesamiento de lenguaje natural, traducción de idiomas y detección de fraude. Sin embargo, es posible que una persona o grupo infame ajuste ligeramente la entrada y envíe el algoritmo por el tren de pensamiento equivocado, por así decirlo. Para proteger los algoritmos contra este tipo de ataques, el equipo de Michigan desarrolló el sistema de aprendizaje inspirado en el sistema inmunológico adversario robusto.
«RAILS representa el primer enfoque para el aprendizaje antagónico que sigue el modelo del sistema inmunitario adaptativo, que funciona de manera diferente al sistema inmunitario innato», dijo Alfred Hero, profesor distinguido de la Universidad John H. Holland, quien codirigió el trabajo publicado en Acceso IEEE.
Mientras que el sistema inmunitario innato monta un ataque general contra los patógenos, el sistema inmunitario de los mamíferos puede generar nuevas células diseñadas para defenderse de patógenos específicos. Resulta que las redes neuronales profundas, ya inspiradas en el sistema de procesamiento de información del cerebro, también pueden aprovechar este proceso biológico.
«El sistema inmunitario está diseñado para las sorpresas», dijo Indika Rajapakse, profesora asociada de medicina computacional y bioinformática y codirectora del estudio. «Tiene un diseño increíble y siempre encontrará una solución».
RAILS funciona imitando las defensas naturales del sistema inmunitario para identificar y, en última instancia, encargarse de las entradas sospechosas en la red neuronal. Para comenzar a desarrollarlo, el equipo biológico estudió cómo el sistema inmunológico adaptativo de los ratones respondía a un antígeno. El experimento utilizó tejidos de ratones genéticamente modificados que expresan marcadores fluorescentes en sus células B.
El equipo creó un modelo del sistema inmunitario mediante el cultivo de células del bazo junto con las de la médula ósea, lo que representa un cuartel general y una guarnición del sistema inmunitario. Este sistema permitió al equipo biológico rastrear el desarrollo de las células B, que comienza como un enfoque de prueba y error para diseñar un receptor que se une al antígeno. Una vez que las células B convergen en una solución, producen células B plasmáticas para capturar cualquier antígeno presente y células B de memoria en preparación para el próximo ataque.
Stephen Lindsly, estudiante de doctorado en bioinformática en ese momento, realizó análisis de datos sobre la información generada en el laboratorio de Rajapakse y actuó como traductor entre los biólogos e ingenieros. Luego, el equipo de Hero modeló ese proceso biológico en computadoras, mezclando mecanismos biológicos en el código. Probaron las defensas de RAILS con entradas adversarias. Luego compararon la curva de aprendizaje de las células B que aprenden a atacar antígenos con el algoritmo que aprende a excluir esas malas entradas.
«No estábamos seguros de haber captado realmente el proceso biológico hasta que comparamos las curvas de aprendizaje de RAILS con las extraídas de los experimentos», dijo Hero. «Eran exactamente iguales».
No solo fue un biomimético efectivo, RAILS superó dos de los procesos de aprendizaje automático más comunes utilizados para combatir ataques adversarios: Robust Deep k-Nearest Neighbor y redes neuronales convolucionales.
«Una parte muy prometedora de este trabajo es que nuestro marco general puede defenderse contra diferentes tipos de ataques», dijo Ren Wang, investigador en ingeniería eléctrica e informática, quien fue el principal responsable del desarrollo e implementación del software.
Los investigadores utilizaron la identificación de imágenes como caso de prueba, evaluando RAILS contra ocho tipos de ataques adversarios en varios conjuntos de datos. Mostró mejoras en todos los casos, incluida la protección contra el tipo de ataque adversario más dañino, conocido como ataque de descenso de gradiente proyectado. Además, RAILS mejoró la precisión general. Por ejemplo, ayudó a identificar correctamente una imagen de un pollo y un avestruz, percibidos ampliamente como un gato y un caballo, como dos pájaros.
«Este es un ejemplo sorprendente del uso de las matemáticas para comprender este hermoso sistema dinámico», dijo Rajapakse. «Es posible que podamos tomar lo que aprendimos de RAILS y ayudar a reprogramar el sistema inmunológico para que funcione más rápido».
Los esfuerzos futuros del equipo de Hero se centrarán en reducir el tiempo de respuesta de milisegundos a microsegundos.
Hero también es profesor de ingeniería R. Jamison y Betty Williams y profesor de ingeniería eléctrica y ciencias de la computación, ingeniería biomédica y estadística. Rajapakse también es profesor asociado de matemáticas y de ingeniería biomédica. Lindsly ahora está en MathWorks.
El proyecto fue financiado por el Departamento de Defensa, la Agencia de Proyectos de Investigación Avanzada de Defensa y la Oficina de Investigación del Ejército.