Data Poisoning Attack on Machine Learning based Classification Models

Abstract

이 논문은 여러 머신러닝 알고리즘을 사용한 분류 모델에 대해서 Data Poisoning 공격을 수행하고, 그 효과를 검증하는 연구에 대해서 수행한다. Data Poisoning 공격은 다양한 형태를 가질 수 있는데, 일반적으로 사용되는 방식인 이미지 기반 학습 모델에 대한 공격 대신 더 다양한 분야에서 사용되는 수치 기반 특징 정보를 사용하는 모델에 대해 공격을 수행한다. Python의 scikit-learn 모듈에서 제공하는 총 10가지의 머신러닝 알고리즘으로 구성된 분류 모델에 대해서 자주 사용되는 데이터셋인 iris, breast_cancer를 활용한 분류 정확도를 측정하고, 특징정보를 분석하여 결정한 공격 대상 특징정보에 대해 Data Poisoning 공격을 수행 후 변화하는 모델의 정확도에 대해 분석했다. 실험 결과 iris 데이터셋에 대해서는 한 가지 특징 정보를 조작한 Data Poisoning 공격이 Logistic Regression, Stochastic Gradient Descent를 사용한 분류 모델에 대해 약 10%의 정확도 감소를 일으켰으며, breast_cancer 데이터셋에 대해서는 대부분의 알고리즘이 Data Poisoning 공격 이후 분류 정확도가 감소했다. 또한 표준 편차를 기반으로 조작할 특징 정보를 지정한 경우 더욱 효과적임을 실험을 통해 증명했다. 따라서 인공지능 분류 모델이 이러한 data poisoning 공격에 대해 취약점을 가진다는 것이 확인되었다.; This paper conducts a Data Poisoning attack on a classification model using several machine learning algorithms and conducts a study to verify its effectiveness. Data Poisoning attacks can take various forms. Instead of attacking the image-based learning model, which is a commonly used method, the attack is performed on models that use numerical features used in more diverse fields. For a classification model consisting of a total of 10 machine learning algorithms provided by scikit-learn module, the accuracy of classification using iris and breast_cancer, which are frequently used datasets, is measured, and the characteristics of the attack target determined by analyzing the characteristics are analyzed. After performing the data poisoning attack, the accuracy of the model was analyzed. As a result of the experiment, a data poisoning attack that manipulated one feature information for the iris dataset showed a decrease in accuracy of about 10% for the classification model using Logistic Regression and Stochastic Gradient Descent. In the case of using the breast_cancer dataset, classification accuracy decreased after data poisoning attacks in most algorithms. In addition, it has been proved through experiments that when the features to be manipulated based on the standard deviation are specified, the accuracy decreases further. Therefore, it was confirmed that the machine learning classification model is vulnerable to this data poisoning attack.