北邮张勇:5G+AI仍有五大挑战

30秒快读

1

“人工智能发展道路还很漫长,针对人工智能和通信网络的结合,我们需要做好各种准备。”在7月10日2020世界人工智能大会云端峰会的“AI新基建 5G新机遇”主题论坛中,北京邮电大学教授张勇表示,在电信运营商网络智能化方面,深度神经网络已经成为主流方案,但他同时指出,安全问题使得AI在通信网络应用时很难得到信任。

2

“当前已经出现一些’数据投毒’’逃逸攻击’等专门攻击AI系统的手段。”他强调。在自动驾驶领域,“数据投毒”可导致车辆违反交通规则甚至造成交通事故;在军事领域,通过信息伪装的方式可诱导自主性武器启动或攻击,其带来的风险是毁灭性的。

张勇提出AI在5G网络智能化应用中面临的五大挑战。

挑战一

坏数据会产生“偏见”

数据、算力、算法,深度学习三大关键词,其中数据往往被认为是人工智能最重要的驱动力,但也正因如此,“坏”的数据,或者“不完善”的数据,会直接影响计算结果。不久前,美国杜克大学研究人员发明一种新的图像识别算法PULSE,它可以将低分辨图片变成高清图片,但有人将奥巴马打了马赛克的照片输入后,复原的照片却有了白人的特征。图灵奖得主、人工智能标杆性人物 Yann LeCun认为,这不仅是算法的问题,而是训练时使用的数据产生了“偏见”。

图源/网络

“数据不完善,不管是数据源数量,还是已有数据的指标深度都存在着不足,使用这些数据应用智能运维效果不佳,甚至会造成决策错误。”张勇认为,当前存在标记数据缺乏、数据不平衡/异常标注广泛存在、仿真数据难以使人信服等数据源问题,这些都会影响AI对智能通信网络的优化。

挑战二

目前的AI能力还很“羸弱”

“通信网络对可靠性稳定性的要求,远比计算机完成人脸识别、语音识别的要求要高。”虽然AI在语音、视频、图像、文本等领域已经获得引人注目的成就,但应用到网络通信方面还存在着大量困难,张勇举了一个例子,研究团队在通过对网络流量数据进行网络攻击行为检测,在一个公开数据集上进行分类检测得到一个很好的模型。换一个数据集,同样包含一样的攻击行为,检测效果就非常差。

图源/Pixabay

“目前的AI还是一种弱人工智能阶段,需要耗费大量的计算资源,才可以获得一个人类很容易拥有的能力。”此外,张勇还指出,AI缺乏逻辑推理能力,那么在网络智能运维上所需要的一些逻辑推理问题没有办法开展,而且各种模型无法互通,获得的知识也无法传递。

挑战三

“黑盒子”无法获得信任

“黑盒子”是当前深度学习产业化最大的拦路虎。由于缺乏数理基础的支撑,AI模型的好坏以及原因,通常都是个“谜”。因此,在需要高可靠性的通信网络场景中,AI往往得不到信任。

图源/Pixabay

张勇团队在和一些企业合作时,准备用AI技术做无线信号识别,对方便提出,能不能不要用深度学习,“因为感觉这个不是很可靠。”这为AI技术在网络智能化应用带来挑战:深度学习如何在网络智能化上面保持保证高度可靠性,如何说服使用者信任它?

挑战四

动态资源分配可能对网络产生影响

刚刚于北京时间7月3日晚冻结的第一个5G演进版标准R16,再次把网络自动化提上日程。为了实现网络自动化和智能化,国际标准组织3GPP定义了5G网络自动化的通用架构,新增了网络数据分析功能,作为大数据收集和智能分析的承载实体,不仅能收集数据,还具备智能分析的能力,包括计算模型训练、推理判断与预测等等。

图源/网络

因此,在很多对未来5G社会的设想中,使用者可以按需分配、按需使用、按需计费,这个要求必然只能通过AI来完成。但现实情况是,现有网络场景远比数学模型场景复杂,目前网络资源分配大多使用强化学习方法,张勇指出,在强化学习的探索过程中间,如果在现网上直接测试,很容易对网络性能带来负面影响。

于是,研究者遭遇两难:如果先在测试网络上开展工作,想要得到好的结果,需要提前做大量实验,但通信场景之多样性远超谷歌AlphaGo Zero遇到的情况,训练过程中需要的资源、数据量和计算量不可想像,也无法承受。

挑战五

小心深度学习被用来“对抗攻击”

深度学习对产业发展带来机遇,并日益普及,但也使得安全问题被提上了议事日程。有研究表明,深度神经网为网络安全带来跨越式的发展机遇,但也为攻击者提供了新的攻击面——针对AI模型完整型发起的攻击,即所谓的“对抗攻击”。

“数据投毒”和“逃逸攻击”是两种常见的对抗攻击。“数据投毒”是指攻击者通过在训练数据里加入伪装数据、恶意样本等行为来破坏数据的完整性,进而导致训练的算法模型决策出现偏差。

根据中国信通院发布的《人工智能数据安全白皮书(2019)》,“数据投毒”危害巨大。在自动驾驶领域,“数据投毒”可导致车辆违反交通规则甚至造成交通事故;在军事领域,通过信息伪装的方式可诱导自主性武器启动或攻击,从而带来毁灭性风险。

图源/中国信通院

逃逸攻击则是指攻击者在不改变目标机器学习系统的情况下,通过构造特定输入样本以完成欺骗目标系统的攻击。比如,一个深度学习系统原本可以精确区分熊猫与长臂猿等图片,但是攻击者可以对熊猫图片增加少量干扰,生成的图片,人看起来仍是熊猫,但系统会误认为长臂猿。

哪怕是今年最热门的联邦学习,也可能存在恶意参与者,如果在原始样本中加入小幅度的扰动,便可能使生成对抗攻击时的异常检测系统发生误判。

张勇团队做了一个实验,针对基于AI的入侵检测系统,通过对抗生成网络产生攻击的网络数据流样本,对采用不同机器学习算法的IDS(入侵检测系统)进行攻击,攻击成功率最高可以达到80%以上,也就是说,他们改变了攻击数据级的特征,让原本具有很高检测能力的基于AI的入侵检测系统失效了。

“构建一个可靠、安全、可信的人工智能解决方案,需要从数理基础上进行梳理研究,但这是一个很漫长的工作,目前来看还没有好的方法。”张勇表示。

(根据张勇发言编辑整理,有删改)

作者/IT时报记者 郝俊慧

编辑/挨踢妹

排版/冯诚杰

图片/网络 中国信通院 Pixabay

来源/《IT时报》公众号vittimes

相关推荐

你对AI的信任危机怎么看?

(0)

相关推荐