Cost-aware adversarial attacks and defences for tabular data

Adversarial examples are intentionally crafted inputs designed to deceive machine learning systems into producing incorrect outputs. While these examples have gathered significant attention in different areas such as image recognition, spam detection, and speech recognition, there has been limited research on their application in the context of tabular data. Given that tabular data is widely used in various high-risk domains, such as fin-tech and healthcare, it is crucial to study potential adversarial attacks and corresponding defensive measures in this area. This thesis explores the application of Adversarial Machine Learning on tabular data, proposing a new threat model and new types of attacks. Our threat model incorporates cost and profit considerations, focusing on more realistic attacker objectives and capabilities. To address this threat model, we develop two new attack algorithms, TabGen and TabPGD, specifically designed for the highly constrained domain of tabular data. We conduct exploratory experiments across various tabular datasets and machine learning models, assessing both the susceptibility of these models to our proposed attacks and the performance of our algorithms. Additionally, we investigate the efficiency of adversarial training as a defense mechanism against the proposed attacks, determining its potential as a viable countermeasure in the context of tabular data. Our findings highlight the importance of studying adversarial attacks on tabular data and emphasize the need for further research in this area.

Gli adversarial examples (esempi avversari) sono input intenzionalmente creati per ingannare i sistemi di machine learning (apprendimento automatico), inducendoli a produrre output errati. Sebbene questi attacchi abbiano ricevuto notevole attenzione in ambiti come il riconoscimento di immagini, il riconoscimento vocale e il rilevamento di spam, nel contesto dei dati tabulari le ricerche sulla loro applicazione sono state limitate. Poiché i dati tabulari sono ampiamente utilizzati in vari settori ad alto rischio, come la finanza e la sanità, è di fondamentale importanza studiarne i potenziali attacchi e le relative contromisure difensive. Questa tesi esamina l’applicazione dell’ Adversarial Machine Learning (Apprendimento Automatico Avversario) sui dati tabulari, proponendo un nuovo threat model (modello di minaccia) e nuovi tipi di attacchi. Il nostro threat model include considerazioni sul costo e sul profitto, concentrandosi su obiettivi e capacità più realistiche per gli attaccanti. Per affrontare questo threat model, sono stati sviluppati due nuovi algoritmi di attacco, TabGen e TabPGD, specificamente progettati per il dominio altamente vincolato dei dati tabulari. Sono stati condotti esperimenti esplorativi su vari dataset tabulari e modelli di machine learning, valutando sia la suscettibilità di questi modelli agli attacchi sia le prestazioni degli algoritmi. Inoltre, è stata esaminata l’efficienza dell’adversarial learning (addestramento avversario) come meccanismo di difesa contro gli attacchi proposti, determinandone il potenziale come valida contromisura. I nostri risultati evidenziano l’importanza di studiare questo tipo di attacchi specificatamente applicati ai dati tabulari, sottolineando la necessità di ulteriori ricerche in quest’area.