人工智能(AI)的最新进展为许多经典的AI应用带来了突破,例如计算机视觉、自然语言处理、机器人和数据挖掘。因此,有很多人努力将这些进展应用于军事领域,如监视、侦察、威胁评估、水雷战、网络安全、情报分析、指挥和控制以及教育和培训。然而,尽管人工智能在军事应用上有很多可能性,但也有很多挑战需要考虑。例如,1)高风险意味着军事人工智能系统需要透明,以获得决策者的信任并能进行风险分析;这是一个挑战,因为许多人工智能技术具有黑盒性质,缺乏足够的透明度;2)军用 AI 系统需要稳健可靠;这是一个挑战,因为已经表明即使对所使用的 AI 技术没有任何了解,AI 技术也容易受到输入数据微小变动的影响,并且 3) 许多 AI 技术基于需要大量数据的机器学习训练;这是一个挑战,因为在军事应用中经常缺乏足够的数据。本文介绍了正在进行的项目成果,以说明军事应用中人工智能的可能性,以及如何应对这些挑战。
人工智能(AI),特别是机器学习(ML)和深度学习(DL),在十年内已经从研究机构和大学的原型设计转向工业和现实世界应用。使用DL技术的现代人工智能已经彻底改变了传统人工智能应用的性能,如机器翻译、问答系统和语音识别。这一领域的许多进展也将其优秀的想法变成了卓越的人工智能应用,能够进行图像说明、唇语阅读、语音模仿、视频合成、连续控制等。这些成果表明,一个能够自我编程的机器有潜力:1)提高软件和硬件开发的效率,2)以超越人类的水平完成特定的任务,3)为人类以前没有考虑过的问题提供创造性的解决方案,4)在人类已知的主观、偏见、不公平、腐败等方面提供客观和公平的决定。
在军事背景下,人工智能的潜力存在于所有维度的军事空间中(即陆地、海洋、空中、空间和信息)和所有级别的战争内(即政治、战略、作战和战术)。例如,在政治和战略层面,人工智能可以通过制作和发布大量的虚假信息来破坏对手的稳定状态。在这种情况下,人工智能很可能也是抵御这种攻击的最佳人选。在战术层面,人工智能可以改善无人系统的部分自主控制,以便人类操作员可以更有效地操作无人系统,最终扩大战场影响力,增强战场实力。
然而,正如我们将在这项工作中指出的那样,有几个关键挑战可能会减缓或限制现代人工智能在军事应用中的使用:
本文的目的是强调人工智能在军事应用中的可能性和主要挑战。第2节简要介绍了DL,它是本文关注的主要人工智能技术。第3节提供了几个人工智能在军事领域中应用的例子。第4节描述了与军事领域中人工智能的关键挑战,以及部分可用于解决这些挑战的技术。第5节提出了结论。
我们所说的DL是指由多个非线性处理单元层组成的机器学习模型。通常情况下,这些模型由人工神经网络表示。在这种情况下,神经元指的是一个单一的计算单元,其输出是通过一个(非线性)激活函数的输入的加权和(例如,一个只有在信号为正时才通过的函数)。DNN指的是具有大量串连神经元层(神经元层由神经元并联组成)的系统。与DNN相对的是浅层神经网络,它只有一层平行连接的神经元。
直到大约十年前,DNN的训练几乎是不可能的。第一个成功的深度网络的训练策略是基于一次训练一个层。逐层训练的深度网络的参数最终使用随机梯度方法进行微调(同时),以最大限度地提高分类精度。此后,许多研究进展使得直接训练DNN成为可能,而无需逐层训练。例如,人们发现,网络权重的初始化策略与激活函数的选择相结合是解决问题的关键。甚至一些技术,如在训练阶段随机停用神经元,以及在信号到达激活函数之前对其进行归一化处理,也已证明对于使用 DNN 获得良好结果非常重要。
表示学习是DNN高性能的主要原因之一。使用DL和DNN,不再需要手动制作学习特定任务所需的特征。相反,辨别特征是在 DNN 的训练过程中自动学习的。
支持 DL 应用的技术和工具如今比以往任何时候都更加好用。通过廉价的计算资源、免费的 ML 框架、预训练模型、开源数据和代码,仅使用有限的编程/脚本技能即可成功应用和定制高级 DL。
本节介绍了几个可以应用人工智能来提高军事能力的例子。
海上监视是利用固定雷达站、巡逻飞机、船舶,以及近年来使用自动识别系统(AIS)对海上船只进行的电子跟踪。这些信息源提供了大量的关于船只运动的信息,这些信息可能会揭示船舶非法的、不安全的、有威胁的和异常的行为。然而,大量的船舶运动信息使得手动检测此类行为变得困难。因此ML-方法被用来从船舶运动数据中生成常态模型。任何偏离常态模型的船舶运动都被认为是异常的,并提交给操作员进行人工检查。
一种早期的海事异常检测方法使用模糊 ARTMAP 神经网络架构根据港口位置对正常船舶速度进行建模。另一种方法是利用运动模式的关联学习来预测基于其当前位置和行驶方向的船舶运动。其他方法则使用基于高斯混合模型(GMM)和内核密度估计(KDE)的无监督聚类。这些模型能够检测出改变方向、穿越海路、向相反方向移动或高速行驶的船只。最近的方法是使用贝叶斯网络来检测错误的船舶类型,以及不连续的、不可能的和徘徊的船舶运动。海事异常检测的未来发展还应该考虑周围的船只和多艘船只之间的互动。
水雷对海上船只构成重大威胁,被用来限制船只行动或阻止船只通过受限水域。因此,反水雷措施(MCM)试图定位和消除水雷,以实现行动自由。越来越多地使用配备合成孔径声纳 (SAS) 的自主水下航行器 (AUV) 进行水雷搜索,该水下航行器能提供厘米分辨率的海底声学图像。由于AUV收集了大量的SAS图像,自动目标分类对于区分潜在的水雷与其他物体是很有用的。虽然对水雷的自动目标分类已经研究了很长时间,但DNN在图像分类方面的高性能表现使人们对如何将这种办法用于自动地雷探测产生了兴趣。
一些研究显示了DNN在水雷探测方面的潜力。例如,这些研究描述了如何将假水雷的形状、类似水雷的目标、人造物体和岩石放置在海底的各种地理图形位置上。然后用AUV和SAS对海底进行测量。结果显示,与传统的目标分类器相比,DNN的性能明显提高,对水雷形状的检测概率更高,误报率更低。同样,这些研究也描述了如何生成圆柱形物体和各种海底景观的协同SAS图像,并这些图像用来训练DNN。进一步的研究可能会探究如何从所有类型的杂波物体中分辨出水雷,结合检测和分类,以及对噪声、模糊和遮挡的鲁棒性等
入侵检测是网络安全的重要组成部分,可在恶意网络活动危及信息可用性、完整性或机密性之前对其进行检测。入侵检测是使用入侵检测系统(IDS)进行的,该系统将网络流量分类为正常或入侵。然而,由于正常的网络流量往往具有与实际攻击相似的特征,网络安全分析师对所有入侵警报的情况进行分析,以确定是否存在实际的攻击。虽然基于签名的IDS通常擅长检测已知的攻击模式,但它们不能检测以前未见过的攻击。此外,基于签名的检测的开发往往是缓慢和昂贵的,因为它需要大量的专业知识。这限制了系统对快速演变的网络威胁的适应性。
许多研究使用 ML 和其他 AI 技术来提高已知攻击的分类准确性、检测异常网络流量(因为这可能表明新的攻击模式偏离了正常网络流量)以及自动化模型构建。然而,这些系统很少被实际使用。其原因是,入侵检测给出了具体的挑战,如缺乏训练数据、网络流量变化大、错误成本高以及难以进行相关评估。虽然可以收集大量的网络流量,但这些信息往往是敏感的,只能部分匿名化处理。使用模拟数据是另一种选择,但它往往不够真实。然后,必须根据模式是正常还是入侵,或用于确保无攻击的异常检测来标记数据以进行监督学习,这通常很难做到。最后,模型需要是透明的,以便研究人员能够理解检测限制和特征的含义。
另一项提高网络安全的措施是在安全审计期间进行渗透测试,以确定潜在的可利用的安全弱点。由于许多网络的复杂性和其中的大量主机,渗透测试通常是自动化的。一些研究已经调查了如何使用网络的逻辑模型而不是实际的网络将 AI 技术用于模拟渗透测试。网络通常用攻击图或树来表示,描述对手如何利用漏洞闯入系统。描述了模型在表征方式方面的不同之处:1) 攻击者的不确定性,从抽象的成功和检测概率到网络状态的不确定性,以及 2) 从已知的前后条件到一般感知和观察的攻击者行为-结果的服务。此外,通过网络和主机的正式模型,可以对不同的缓解策略进行假设分析。未来对渗透测试的研究可能会使用攻击者和防御者之间交互的认知有效模型,例如,深度强化学习来探索可能攻击的大问题空间。
正如第3节中的案例所示,在为军事目的开发和部署的基于人工智能的应用之前,有一些尚未解决的挑战是很重要的。在本节中,我们将讨论我们认为对军事人工智能最关键的挑战:1)透明度,2)脆弱性,以及3)在有限的训练数据下的学习。其他重要的,但不太关键的,与优化、泛化、架构设计、超参数调整和生产级部署有关的挑战,在本节中没有进一步讨论。
许多应用除了需要高性能外,还需要高透明度、高安全性以及用户的信任或理解。这种要求在安全关键系统、监控系统、自主智能体、医学和其他类似的应用中很典型。随着最近人工智能技术的突破,人们对透明度的研究也越来越感兴趣,以支持最终用户在此类应用中的使用与透明度相关的成果。
人工智能所需的透明度取决于终端用户的需求。利普顿描述了透明度可能涉及五种类型的用户需求:
原则上,有两种方法可以使人工智能系统透明。首先,某些类型的模型被认为比其他的更容易解释,例如线性模型、基于规则的系统或决策树。检查这些模型可以理解它们的组成和计算。Lipton描述了可解释性取决于用户是否能够预测系统的建议,理解模型参数,以及理解训练算法。其次,系统可以解释其建议。这种解释可以是文字的,也可以是视觉的。例如,通过指出图像的哪些方面最有助于其分类。Miller 对社会科学研究中如何使用这些知识来设计 AI 系统的进行了的回顾。通常情况下,人们用他们感知到的信念、欲望和意图来解释其他智能体的行为。对于人工智能系统来说,信念对应于系统关于情况的信息,欲望对应于系统的目标,而意图对应于中间状态。此外,解释可能包括行动的异常性、使成本或风险最小化的偏好、对预期规范的偏离、事件的回顾性和行动的可控性。主要的发现是:
贝叶斯规则列表(BRL)是可解释模型的一个例子。BRL由一系列的if(条件)then(结果)else(替代)语句组成。Letham等人描述了如何为一个高度准确和可解释的模型生成BRL来估计中风的风险。条件离散化了影响中风风险的高维多变量特征空间,结果描述了预测的中风风险。BRL在预测中风风险方面具有与其他ML方法类似的性能,并且与其他现有评分系统一样具有可解释性,但其准确性较低。
基于词典的分类器是文本分类的另一个可解释模型的例子。基于词典的分类器将术语的频率与每个类别中出现的术语的概率相乘。得分最高的类别被选为预测对象。Clos等人使用一个门控递归网络对词典进行建模,该网络同时学习术语和修饰语,如副词和连词。受过训练的词典是关于论坛中的帖子是支持还是反对死刑以及对商业作品的看法。词典的表现比其他ML方法更好,同时也是可解释的。
尽管DNN在许多应用中提供了很高的性能,但它们的子符号计算可能有数百万个参数,这使得人们很难准确理解输入特征对系统推荐的贡献。由于DNN的高性能对许多应用来说是至关重要的,因此人们对如何使它们更容易解释产生了浓厚的兴趣(见一篇评论)。许多用于解释DNN的算法将DNN处理转化为原始输入空间,以便将辨别特征可视化。通常,有两种通用方法用于特征的可视化,即激活最大化和DNN解释。
激活最大化会计算哪些输入特征将最大限度地激活可能的系统建议。对于图像分类来说,这代表了理想的图像,它显示了每个类别的可区分和可识别的特征。然而,由于各类可能使用同一物体的许多方面,而且图像中的语义信息往往是分散的,所以图像往往看起来不自然。激活最大化的方法的一些例子是梯度上升法,更好的正则化方法以增加通用性,以及合成首选图像法。
DNN的解释是通过强调区分输入特征来解释系统建议。在图像分类中,这种可视化可能会突出显示支持或反对某个类别的区域,或者仅显示包含区分特征的区域。计算鉴别特征的一种方法是使用局部梯度或其他变化度量的敏感性分析。然而,敏感性分析的一个问题是,它可能显示输入中不存在的判别特征。例如,在图像分类中,敏感性分析可能会显示物体被遮挡的部分,而不是可见部分。逐层相关性传播通过考虑特征存在和模型反应来避免这个问题。
与分类不同的是,人工智能规划是基于动态的领域模型。Fox等人描述如何使用领域模型来解释为什么行动被执行或不执行,为什么一些行动不能被执行,使未来行动的因果关系,以及重新规划的需要。
由于公平性对许多人工智能应用来说非常重要,Tan等人描述了如何利用模型蒸馏来检测黑箱模型的偏差。模型蒸馏法将更大更复杂的模型进行简化,而没有明显的准确性损失。为了提高透明度,他们使用了基于浅层树的广义加性模型,对每个参数和两个参数之间的相互作用进行建模。他们根据黑盒模型的系统建议训练一个透明模型,并根据实际结果训练一个透明模型。对两个模型的推荐差异的假设检验体现了黑盒模型引入偏差的情况,然后可以通过比较两个透明模型来诊断偏差。该系统在犯罪风险、借贷风险和卷入枪击事件的个人风险方面进行了评估。结果显示,一个黑盒模型低估了年轻罪犯和白种人的犯罪风险,而高估了美国本土非洲裔犯罪的风险。
在本节中,我们讨论DNN在两个不同方面的脆弱性。1)对输入操纵的脆弱性和2)对模型操纵的脆弱性。我们首先看一下对输入信号的操纵:
在提供DNN的情况下,人们发现很容易调整输入信号,从而使分类系统完全失败。当输入信号的维度很大时,例如图片,通常只需对输入中的每个元素(即像素)进行不易察觉的微小调整,就足以欺骗系统。用同样的技术来训练DNN,通常是采用随机梯度法,通过观察梯度的符号,你可以很容易地找到每个元素应该朝哪个方向改变,以使分类器错误地选择目标类别或仅仅是错误分类。只需几行代码,最好的图像识别系统就会被欺骗,相信一张车辆的图片是一只狗。下面的图 1 显示了操作前后的图像以及操作前后类的可能性。
上述方法假设有对DNN的完全访问权,即所谓的白盒攻击。人们发现,即使是所谓的黑箱攻击,即你只观察到系统的输入和输出类型,也是可能的。在其中,作者采用从他们想要攻击的黑盒系统中稀疏采样所获得的数据来训练一个替代网络。鉴于替代网络,你可以使用上述的白盒攻击方法来制作对抗性输入。一个学习替代网络的替代方法被提出来,在这个方法中,遗传算法被用来创建导致系统错误分类的攻击向量。同一作者甚至表明,通常只需修改图像中的一个像素,尽管常常是可察觉的,就能实现成功的攻击。
图 1:从小型货车到西伯利亚雪橇犬。 原始图像和操纵(对抗性制作)图像之间的绝对差异(放大 20 倍)显示在右侧。 对抗性示例(中心)是使用 Kurakin 的基本迭代方法(BIM)生成的。
当设计一个DNN,但只能获得少量的训练数据时,通常会使用预训练的模型来达到良好的性能。这个概念被称为迁移学习,一个常见的应用是采用在大量数据上训练过的模型,根据具体问题替换和定制网络中的最后几层,然后在最后阶段(有时甚至是整个系统)利用可用的训练数据微调参数。目前已经有大量的预训练模型可以从互联网上下载。那么一个相关的问题是:"我们怎么知道那些上传模型的人没有坏心眼?"。作者在识别美国交通标志的模型中插入后门,就考虑了这种类型的漏洞。例如,一个贴纸被训练为属于停止标志以外的类别。然后他们表明,当使用后门(即在交通标志上放置一个贴纸)时,基于美国交通标志网络的识别瑞典交通标志的系统会有负面的反应(大大损害了瑞典交通标志系统的分类准确性)。
减少DNN对输入信号操纵的脆弱性的一种方法是在模型的训练过程中明确包括被操纵/对抗的例子。也就是说,除了原始训练数据外,还产生了对抗性例子,并用于模型的训练。
另一种方法是使用一个叫做防御蒸馏的概念。简而言之,该方法试图降低输出信号只指出真实类别的要求,并迫使其他类别的概率为零。这分两步完成。第一步是对DNN进行常规训练。在第二步,将第一个神经元网络的输出(类别概率)用作新的类别标签,并使用新的(软)类别标签训练一个新的系统(具有相同的架构)。这已被证明可以减少漏洞,因为你没有把DNN与训练数据贴得太紧,并保留了一些合理的类间关系。
其他防御方法,例如特征压缩技术,例如均值或中值滤波或非线性像素表示,例如单热或温度计编码。
不幸的是,所描述的方法都不能完全解决漏洞问题,尤其是如果攻击者对模型和防御方法有充分的了解的话。
在军事背景下开发基于ML的应用是具有挑战性的,因为军事组织、训练设施、平台、传感器网络、武器等的数据收集应用最初不是为ML目的设计的。因此,在这个领域,往往很难找到真实世界的、高质量的、足够大的数据集,可以用来学习和深入理解的。在本节中,我们将探讨即使在有限的训练数据中也可以用来建立ML应用的技术。
迁移学习(也在第4.2.2节中提到)是一种技术,通常在数据集较小和计算资源有限时使用。这个想法是在开发针对其他类似任务的新模型时,重复使用通常由 DNN 表示的预训练模型的参数。至少有两种方法可用于DL应用中的迁移学习:
事实证明,迁移学习也可以提高模型的泛化能力。然而,随着源任务和目标任务之间距离的增加,迁移学习的积极作用往往会减少。
生成性对抗网络(GANs)是由Goodfellow等人发明的,是一种生成模型,可用于半监督学习,其中将一小组标记的数据与一大组未标记的数据相结合以提高模型的性能。基本的GAN实现由两个DNN组成,分别代表一个生成器和一个判别器。生成器被训练成产生假数据,而判别器被训练成将数据分辨为真实或虚假。当这两个网络同时被训练时,一个网络的改进也会导致另一个网络的改进,直到最后达到一个平衡。在半监督学习中,生成器的主要目标是产生未标记的数据,用于提高最终模型的整体性能。除了半监督学习之外,GANs还被用于:
建模和仿真已被军队广泛用于培训、决策支持和研究等。因此,有很多经过长期验证的模型,也有可能被用于生成ML应用的合成数据。例如,飞行模拟器可以用来生成置于不同环境中飞机的合成图像。在这种情况下,标签是自动的,因为在生成合成图像之前,飞机的类型是已知的。然而,不足为奇的是,在将模型应用于真实世界的图像时,使用合成图像可能会导致性能不佳。目前正在探索的一种方法是采用GANs增强合成图像,使其具有照片般的真实性。这种方法已经得到成功的应用。
人工智能最近的突破正在逐渐达到可以用于军事应用的地步。 该论文描述了在监视、水下鱼雷战和网络安全中使用人工智能的一些可能性。 其他潜在应用包括使用半自动驾驶车辆和传感器系统进行侦察、在具有长时间要求的防空系统中进行威胁评估、新兴模式的情报分析、指挥和控制系统以及教育和培训。 然而,人工智能的军事应用需要考虑以下方面的挑战:
专注于人工智能的透明度、可解释性和可解释性问题的研究人员已经取得了许多进展。这些进展中的许多部分也都可能被用于军事人工智能应用中。然而,需要进行更彻底的需求分析以了解如何利用这些研究成果。军事需求在风险、数据质量、法律要求等方面与一般情况相比非常不同,有些类型的透明度甚至可能不适用。此外,还需要对如何利用社会科学研究来提高人工智能的可解释性进行更多研究。未来的研究还应该包括如何充分利用在视觉分析研究领域中开发地丰富的可视化技术。
由于目前还没有解决脆弱性问题的有效方案,因此在监测这一研究领域不断寻找有希望的解决方案非常重要。然而,在这种解决方案出现之前,有必要尽量减少外部对模型和防御技术的访问。否则,对手可能会试图利用这些漏洞来为自己谋利。
最后,迁移学习使其有可能将预先训练好的模型应用于训练数据和计算资源都有限的军事应用。GAN是另一种有很前途的技术,它能够采用标记的和未标记的数据进行学习(半监督学习)。GAN也可以与仿真结合使用,以提高合成的训练数据的真实性。