人工智能(AI)技术的近期发展为许多传统人工智能应用带来了突破,比如计算机视觉、自然语言处理、机器人和数据挖掘。因此,最近也有许多工作将人工智能的新发展用于军事应用,如监视、侦察、威胁评估、水雷战、网络安全、情报分析、指控、教育和训练。然而,人工智能在有可能得到军事应用的同时,也存在许多挑战,比如:(1)军事行动的高风险意味着军事人工智能系统必须保证透明,以取得决策者的信任并便于进行风险分析,而许多人工智能技术都是缺乏足够透明性的黑盒;(2)军事人工智能系统必须鲁棒且可靠,而人工智能技术则可能易受难以察觉的输入数据操控攻击的影响,输入数据操控方甚至不需要了解所用的人工智能技术;(3)许多人工智能技术是基于机器学习的,需要大量训练数据,而军事应用中通常缺乏足够的数据。本文给出了一些正在开展项目的结果,试图阐明人工智能军事应用的可能性和所面临的挑战,以及如何解决这些挑战。
1 引 言
人工智能,特别是其分支领域机器学习(ML)和深度学习(DL),在十年内已经从研究机构和大学中的原型开发演变为实际应用。利用深度学习技术的现代人工智能已经让传统人工智能应用的性能发生了革命性变化,比如机器翻译、问答系统和语音识别。这一领域的众多进步也将很多奇思妙想变成了了不起的人工智能应用,能够实现图像描述、唇读、语音模仿、视频合成、连续控制等功能。这些结果表明,具有自我编程能力的机器有以下潜力:(1)提高软件和硬件研发费用的使用效率;(2)以超人类的水平执行特定任务;(3)为人类之前从未思考过的问题提供创造性解决方案;(4)在人类容易作出主观、偏颇和不公平决定的领域,提供客观公正的决策。
在军事环境中,人工智能的潜力展现在了战争的各个领域(陆、海、空、天和信息域)和各个层级(政治、战略、战役和战术级)。具体而言,例如在政治和战略级,可以利用人工智能制造和发布大量虚假信息,打乱对手阵脚。此时,人工智能很可能也是防御此类攻击的最佳手段。在战术级,人工智能能够提高无人系统中的部分自主控制能力,这样操作人员就能更有效操控无人系统,最终增强战场影响力。
然而也有几个关键挑战可能会延缓或限制现代人工智能的军事应用:
· 机器学习模型的透明性和可解释性不足。例如,使用深度学习对利用深度神经网络(DNN)的自动驾驶车辆控制问题建模时就需要几十万个参数。显然,如此复杂的程序很不容易解释。即使是在处理玩具问题时,用实现了模型可视化的其他机器学习算法生成的模型也很难解释。由此引发的一个相关亦或更加重要的挑战是人工智能系统不能向决策者或操作人员解释其推理过程。
· 使用机器学习开发的模型在面对对手攻击时十分脆弱。例如,通过操控输入信号,攻击者很容易欺骗基于深度学习的模型,即使他们并不了解这一模型。举例说明,利用精心设计的地面伪装模型就可能能够欺骗使用先进目标探测技术的无人机。
· 任何机器学习应用的主要要素都是数据,机器要利用数据进行学习并最终提供深入洞察能力。军事组织通常善于收集数据用于情报或复盘。然而这并不能保证相同的数据同样能够成功用于机器学习。因此,军事组织需要改变其数据收集过程,以便充分利用现代人工智能技术,如深度学习。
本文旨在阐明人工智能军事应用的可能性和面临的主要挑战。第二部分简要介绍了深度学习,这也是本文主要关注的人工智能技术。第三部分举例说明了几种人工智能军事应用。第四部分阐述了人工智能军事应用面临的主要挑战,以及一定程度上解决这些挑战的技术。第五部分为结语。
2 深度学习
深度学习是指包含多层非线性处理单元的机器学习模型。这类模型以人工神经网络为典型代表。在这里,一个神经元指一个单一的计算单元,计算单元的输出是已通过(非线性)激活函数(例如,只传导正信号的函数)的输入的加权和。深度神经网络(DNN)则指将大量并联神经元层级串联起来的系统。与之相对的是仅有一层并联神经元的浅层神经网络。
直到大约十年前,深度神经网络的训练还几乎不可能。首个成功的深度网络训练策略是基于一次训练一层。最后利用随机梯度方法对逐层训练深度网络参数进行精调,最大程度提高分类准确率。之后的许多研究进展使得直接训练DNN成为可能,不用再进行逐层训练。例如,网络权重初始化策略结合激活函数选择十分关键。甚至像训练阶段中的让神经元随机失效以及在信号到达激活函数之前进行归一化这样的技术对于利用深度神经网络达成良好结果也十分重要。
表示学习是实现深度神经网络高性能的主要原因之一。通过深度学习和深度神经网络,不再需要人工编制学习某个特定任务所需的特征。而是由深度神经网络在训练期间自动学习鉴别特征。
当前,支撑深度学习应用的技术和工具可用性更高了。通过廉价的计算资源、免费的机器学习框架、预先训练好的模型、开源数据和编码,仅仅利用有限的编程/脚本技术就能成功使用和定制先进的深度学习能力。
3 军事人工智能应用
本节介绍了几个利用人工智能增强军事能力的实例。
3.1 监视
海上监视可利用固定雷达站、巡逻机、船只完成,近年来还使用自动识别系统(AIS)对海上船只进行电子跟踪。这些信息源提供了大量船只运动信息,可能揭露非法、不安全、威胁性以及异常行为。然而,由于有关船只运动的信息量很大,人工检测此类行为十分困难,可利用机器学习方式根据船只运动数据生成正态模型。任何偏离该正态模型的船只运动都被视为异常行为,并呈现给操作人员进行人工检测。
早期的海上异常探测方式使用Fuzzy ARTMAP神经网络架构基于港口位置建立正常船只速度模型。另一种方式是使用运动模式联想学习来预测基于船只当前位置和航向的船只移动。还有其他方式使用基于高斯混合模型(GMM)和核密度估计(KED)的无监督聚类。以上模型能够检测出改变方向、跨越航线、向相反方向运动或高速航行的船只。较新一些的方式则使用贝叶斯网络探测虚假船只类型,以及不连贯、不可能和走走停停的船队运动。海上异常探测的未来发展也应当考虑周边船只以及多艘船只间的相互作用。
3.2 水雷战
水雷会对海上船只造成重大威胁,用于引航或阻止船只通过管制水域。因此,反水雷(MCM)对抗措施则是要定位并消除水雷威胁,实现舰艇自由航行。水雷搜寻任务越来越多地利用装备有合成孔径声呐(SAS)的自主潜航器(AUV)执行,提供海底厘米级分辨率声波成象。由于自主潜航器会收集大量的SAS图像,因而可采用自动目标分类方式区分潜在水雷与其他物体。水雷自动目标分类已经研究多时,而将高性能深度神经网络用于图像分类的研究热潮也让军方开始关注如何将此类方式用于自动水雷探测。
几项研究证明了深度神经网络用于水雷探测的潜力。例如,有研究进行了利用带SAS的自主潜航器探测海底的实验。结果证明,与传统目标分类器相比,采用深度神经网络方式检测到水雷形状的概率要高得多,虚警率则要低得多,因而性能更好。同样,还有研究阐述了如何生成柱状物体和各种海底地貌的合成SAS图像用于训练深度神经网络。未来研究可能探究如何从各类杂乱物体中区分出水雷,将探测与分类相结合,以及如何解决噪声、模糊性和遮挡问题。
3.3 网络安全
入侵检测是网络安全措施的重要组成,用于在恶意网络活动危及信息可用性、完整性或保密性之前将之检测出来。入侵检测通过区分网络业务是正常业务还是入侵行为的入侵检测系统(IDS)实现。然而,由于正常网络业务通常与实际攻击特征相似,网络空间安全分析人员需要分析所有入侵预警情境,判定是否存在真正的攻击。基于特征的入侵检测系统通常擅长检测已知攻击形式,无法检测以前没见过的攻击。再有,由于需要大量专业知识和技术,基于特征的检测开发通常缓慢且昂贵,降低了系统对快速变化的网络威胁的适应能力。许多研究使用机器学习和其他人工智能技术来提高对已知攻击的分类准确率,探测异常网络业务(因为这可能意味着偏离正常网络业务的新攻击类型),以及实现自动模型构建。然而,这些系统几乎没有运行使用。原因在于入侵监测带来的特定挑战,比如缺乏训练数据、网络业务中的巨大可变性、高差错成本,以及执行相关评估困难等。即使可采集大量网络业务数据,信息也通常是敏感的,且仅能部分实现匿名。使用仿真数据是另一种方法,但却通常真实性不足。然后必须标记数据,以实现监督学习,判定业务模式是正常活动还是入侵行为,或进行异常检测,保证可防范攻击的匿名探测,而这点通常很难实现。最后,模型需要透明,这样研究人员才能了解检测的局限性和特征的显著性。
另一种增强网络安全的方法是安全审计中的渗透测试,目的在于识别可能被利用的安全缺陷。基于网络的复杂性以及许多网络中主机数量庞大,渗透测试通常自动进行。一些研究研究了人工智能技术可能怎样用于使用网络逻辑模型而非实际网络的模拟渗透测试。网络通常用攻击图/树表示,攻击图/树描绘了对手如何利用网络脆弱性侵入某一系统。有文献则描述了不同模型在其表征方式上的不同:(1)攻击者不确定性,从抽象的成功和检测概率到网络状态的不确定性;(2)攻击者行为,从已知前置条件和后置条件到结果的一般感测和观测。另外,采用网络和主机形式模型,可以执行不同攻击减轻策略的模拟假设分析。未来渗透测试研究很可能使用攻击者和防御者之间相互作用的认知有效模型以及深度强化学习来研究可能发生攻击这一巨大问题空间。
4 挑 战
如上文所述,在开发和部署用于军事用途的人工智能应用之前,还有几项重大挑战未解决。本节将探讨人工智能军事应用面临的最主要挑战:(1)透明性;(2)脆弱性;(3)在训练数据有限条件下学习。其他重要但非关键性问题,本文不做讨论。
4.1 透明性
除需要高性能外,许多应用还有高透明性、高安全性以及用户信任或理解需求。这些需求包括安全关键系统、监视系统、自主智能体、医疗和其他相似应用中的典型需求。随着近期人工智能技术的突破,越来越多的研究也在关注透明性,以在此类人工智能应用中更好地支持终端用户。
(1)对透明性的期望
人工智能透明性需求取决于终端用户需要。可能与透明性相关的五类用户需求如下:
· 在用户难以质疑系统建议的态势下维持用户信任。然而,用户信任是否基于系统性能或是鲁棒性、与用户相关性能、亦或用户对系统建议的满意度,目前还不明确。
· 洞察可能用其他方式测试过的先前未知的因果关系。
· 了解系统性能局限性,局限性的原因在于,与用户能力相比,模型泛化能力有限。
· 关于系统建议的一些额外信息。
· 公平性,避免可能导致某些场合下不平等处理的系统偏差。例如,信用评估应用不应基于个人属性,比如性别或民族,虽然这些属性可以从总体统计学角度区分出不同人群。
原则上,人工智能系统透明化的方式有两种。第一种,一些模型可解释性比其他模型更好,比如线性模型、基于规则的系统或决策树。观察这些模型可以了解其组成和计算。第二种,系统也许能够解释其建议。这种解释可能是文本或图像方式。例如,通过指出图像的哪方面信息最有助于其分类。典型来说,人们依据其信念、愿望和意图解释其他行为者的行为。就人工智能系统而言,信念对应系统态势信息,愿望对应系统目标,意图对应中间状态。另外,解释还可能包括行动异常性、最大程度降低费用或风险的偏好、对规范或标准的偏离、新事件以及对行为的控制能力。主要结论包括:
· 解释关注的是为何给出这一特定建议而不是其他建议。
· 解释是有选择的,聚焦一种或两种可能原因,而不是给出特定建议的所有原因。
· 解释是为了传递知识而进行的社交对话和交互。
(2)可解释模型举例
贝叶斯规则表(BRL)是可解释模型的一个例子。BRL包括一系列if(条件)、then(结果)、else(备选)状态。条件是对影响突发风险的高维多变量特征空间的离散化处理,结果则描述了预测的突发风险。BRL与预测突发风险的其他机器学习方法性能相近,可解释性也与准确率不足的其他现有评分系统差不多。
另一个用于文本分类的可解释模型实例是基于词典的分类器。基于词典的分类器会用词频乘以每类中词出现的概率。选择得分最高的类作为预测类。词典模型的性能要优于其他机器学习模型,同时还兼备可解释性。
(3)特征可视化举例
尽管深度神经网络在许多应用中能提供高性能,但其亚符号化计算可能有几百万个参数,很难准确了解各输入特征对系统建议的影响。鉴于深度神经网络的高性能对于许多应用很重要,研究人员十分关注如何使其变得更具可解释性。许多解释深度神经网络的算法将深度神经网络处理转换到原始输入空间,以实现鉴别特征的可视化。典型来说,实现特征可视化、激活最大化和深度神经网络解释有两种一般性方法。
激活最大化计算哪些输入特征将最大化激活可能的系统建议。对于图像分类,指的就是能够显示各类的可识别鉴别特征的理想图像。然而,由于多个类也许会使用同一对象许多方面的信息,且图像中的语义信息经常会展开,因而图像经常看起来不自然。激活最大化的一些方法包括梯度上升,实现更好的正则化以提升泛化能力,以及合成优选图像。
深度神经网络解释会通过强调鉴别输入特征来解释系统建议。在图像分类中,这类可视化可能会高亮显示提供某一类支持或反对证据的区域,或仅仅显示包含鉴别特征的区域。计算鉴别特征的方法之一是运用局部梯度或其他变量测量进行敏感度分析。然而,敏感度分析的一个问题在于它可能显示出输入中未呈现的鉴别特征。例如,在图像分类中,敏感度分析可能指向某一物体的被遮挡部分而非可见部分。而分层相关传播则可通过同时考虑特征存在和模型反应避免这一问题。
(4)应用具体解释举例
与分类不同,人工智能规划是基于域动态模型的。鉴于公平性对于许多人工智能应用都很重要,可以采用模型蒸馏检测黑盒模型中的偏差。模型蒸馏能够在没有显著准确率损失的前提下,简化更大更复杂的模型。对于透明性,可以使用基于影子树的广义相加模型,模拟每个参数以及两个参数间的相互作用。基于来自黑盒模型和一个基于实际结果的透明模型的系统建议训练一个透明模型。对两个模型建议的差异性假设测试表明,黑盒测试引入了某一偏差的情境,偏差随后可能通过对比两个透明模型而被诊断出来。
4.2 脆弱性
本节讨论深度神经网络两个不同方面的脆弱性:(1)输入被操控;(2)模型被操控。首先探讨输入信号被操控。
(1)恶意编造输入
使用深度神经网络时,很容易调整输入信号,从而导致分类系统彻底失效。当输入信号的维度很大时(典型如图像),对输入中每个元素(即,像素)的细微调整就足以欺骗系统。使用与训练深度神经网络相同的技术,典型的是随机梯度法,可通过观察梯度符号很容易发现每个元素的修改方向,进而导致分类器错误挑选目标类或误分类。仅仅通过几行代码,就可以欺骗最好的图像识别系统,让它相信一辆车的图片显示的是一条狗。
以上方法假设的是有深度神经网络的完全访问权,即所谓白盒攻击。研究发现,甚至可能实现黑盒攻击(仅了解系统输入和输出的类型)。有人曾使用从其想要攻击的黑盒系统获得的稀疏样本数据训练一个替代网络。给定了替代网络,就可以使用白盒攻击方式编造恶意输入。有人还给出了学习替代网络的一个备选方案,即利用遗传算法来创造导致系统错误分类的攻击矢量。甚至证明了仅修改图像中的一个像素(即使通常会被察觉)就足以成功实现攻击。
(2)利用预先训练深度神经网络的隐藏后门
在设计深度神经网络时,除要访问少量训练数据外,通常还要使用预先训练的模型来实现良好性能。这一概念称为迁移学习,常用程序是采用基于大量数据训练的模型,针对具体问题替换定制网络中的最后几层,然后使用可用训练数据对最后阶段(有时甚至是整个系统)的参数进行微调。互联网上已经有大量预先训练模型可以下载。但这样就出现一个问题——无法保证那些上传模型的人没有恶意。有人曾研究了这种脆弱性,在一个模型中插入后门,用来识别美国交通标志。例如,用在停止标志上粘贴贴纸的方式进行训练,以便分入与停止标志不同的类。随后实验显示,如果使用后门(例如,在交通标志上放置一个粘贴标签),用一个基于美国交通标志网络的系统识别瑞典交通标志时效果极差(极大削减了瑞典交通标志系统的分类准确率)。
(3)防御方法
减小深度神经网络输入信号操控漏洞的一个方法是在模型训练过程中明确包含被操控/对抗实例。也就是说,除了原始训练数据外,也在模型训练中生成并使用对抗实例。
另一种防御方法是利用一种所谓防御蒸馏概念。简单来说,这种方法试图减少需求,输出信号仅仅指出真正类别,并迫使其他类概率为零。这一方法可通过两个步骤实现。第一步是深度神经网络常规训练。第二步,将首个神经元网络的输出(类概率)用作新类标签,新系统(架构相同)使用新(软)类标签进行训练。经验证,这种方法能够减少脆弱性,因为没有让深度神经网络过于贴近训练数据,且保留了合理的类间相互关系。
其他防御措施还有特征压缩技术,比如平均数或中位数过滤,或非线性像素表示,例如独热或温度计编码。
不幸的是,以上所述方法都没有完全解决脆弱性问题,尤其是当攻击者完全了解模型和防御方式时。
4.3 数据
在军事环境中开发基于机器学习的应用很有挑战性,因为军事组织、训练设施、平台、传感器网络、武器等中的数据收集程序最初并不是为机器学习设计的。因此,在这一领域中通常很难发现真实、高质量且足够大的数据集用于学习和获取知识。本节将探讨能够用于建立机器学习应用(即使在有限训练数据条件下)的技术。
(1)迁移学习
迁移学习是一种一般在数据集小且计算资源有限时使用的技术。其理念是在开发瞄准其他相似任务的新模型之时,重用预先训练模型的参数,典型代表是深度神经网络。用于深度学习应用中迁移学习的方式至少有以下两种:
· 重学输出层:通过这种方式,预先训练模型的最后一层将由匹配新任务预期输出的新输出层替代。在训练中,只更新新输出层的权值,其他保持不变。
· 微调整个模型:与第一种方式相似,但在这种方式中,可能会更新整个深度神经网络的权值。这种方式一般需要更多训练数据。
有研究证明迁移学习还可能增强模型的泛化能力。然而,迁移学习的正面效果会随着源任务和目标任务之间距离的增加而减弱。
(2)生成式对抗网络
生成式对抗网络(GAN)是一种可用于半监督学习的生成模型,将一个小的标签数据集和一个更大的无标签数据集相结合以增进模型性能。基本GAN实现包含两个深度神经网络,一个表示生成器,一个表示鉴别器。生成器接受训练,产生虚假数据,鉴别器则接受训练,将数据分类为真实或虚假。当两个网络同时接受训练时,一个网络的改进也会引发另一网络的改进,直到最终达到均衡。在半监督学习中,生成器的主要目标是产生能够用于改进最终模型总体性能的无标签数据,除了半监督学习外,GAN也被用于:
· 重建:填补部分被遮挡的图像或对象的空白。
· 超分辨率:将图像由低分辨率转换到高分辨率。
· 图像到图像转换:将图像由冬天转换为夏天,白天转换为黑夜等等。这一技术的军事应用是可以将夜视图像转换为日间图像。
(3)建模和仿真
军队中已将建模和仿真广泛应用于训练、决策支持、研究等等。因此,长期以来已经开发出了许多经验证的模型,这些模型也可潜在用于为机器学习应用生成合成数据。例如,飞行模拟器可以用来生成置于不同环境中飞机的合成图像。在此情景中,标签是自动添加的,因为飞机类型在生成合成图像前就已知。然而,当将此模型用于真实图像时,使用合成图像可能导致性能变差。当前正在研究的一种方式是通过GAN增强合成图像,使图像更加真实。
5 结 语
近期人工智能技术的突破已逐渐使其能够用于军事应用中。本文阐述了在监视、水雷战和网络安全中使用人工智能的一些可能性。其他潜在应用包括使用部分自主车辆和传感器系统进行侦察,具有高时间需求的防空系统的威胁评估,新兴模式的情报分析,指控系统,以及教育和训练。然而,人工智能的军事应用还需思考以下几方面的挑战:
· 透明性,保证模型性能与军事需求一致。
· 脆弱性,可能大幅降低系统性能。
· 机器学习所需的训练数据不足。
研究人员在关于人工智能透明性、可理解性以及可解释性问题上已取得了许多进展。许多研究成果很可能也能用于军事人工智能应用中。然而,要理解如何使用这些研究成果,还需进行更加全面的需求分析。军事需求在风险、数据质量、合法需求等方面可能有很大差别,某些类型的透明性也许甚至不适用。另外,还需进一步研究如何利用社科研究成果提升人工智能的可解释性。同时,研究还应包含如何使用在视觉分析研究领域所研发的大量可视化技术。
由于目前没有解决人工智能脆弱性的万能方案,密切关注这一研究领域并不断寻求有前景的解决方案就显得十分重要。然而,在这类解决方案出现之前,有必要尽量减少外部对各种模型和防御技术的访问。否则对手就有可能利用这些脆弱性。
最后,迁移学习使得将预先训练模型应用于军事应用中成为可能,但军事应用中的训练数据和计算资源均有限。GAN是另一项很有前景的技术,通过标签和无标签数据(半监督学习)实现学习。GAN还可结合仿真使用,以增强合成生成训练数据的真实性。(阮贝娜 编译)
声明:本文来自电科小氙,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
