Финансовые рынки под ударом: новые методы манипулирования прогнозами

от

Автор: Денис Аветисян

Исследователи продемонстрировали, как злоумышленники могут использовать специально разработанные атаки для искажения прогнозов финансовых временных рядов.

"Покупай на слухах, продавай на новостях". А потом сиди с акциями никому не известной биотех-компании. Здесь мы про скучный, но рабочий фундаментал.

Бесплатный Телеграм канал
Анализ демонстрирует, что атаки на основе изменения наклона (C&W slope attacks), примененные к стоковым данным ABDE в течение первых 300 дней записи, позволяют выявить уязвимости в системе.
Анализ демонстрирует, что атаки на основе изменения наклона (C&W slope attacks), примененные к стоковым данным ABDE в течение первых 300 дней записи, позволяют выявить уязвимости в системе.

В статье представлены атаки на основе изменения наклона временных рядов и метод защиты, основанный на генеративно-состязательных сетях (GAN), подчеркивающий необходимость комплексной защиты конвейера машинного обучения.

Несмотря на значительные успехи в области машинного обучения, системы прогнозирования финансовых временных рядов остаются уязвимыми к целенаправленным манипуляциям. В работе ‘Targeted Manipulation: Slope-Based Attacks on Financial Time-Series Data’ предложены новые методы атак, основанные на изменении наклона прогнозируемых трендов, способные обходить стандартные механизмы защиты и существенно снижать точность моделей, таких как N-HiTS. Авторы демонстрируют, что предложенные атаки, в том числе реализованные в архитектуре GAN, позволяют не только исказить прогнозы, но и внедрить вредоносный код в библиотеки машинного обучения. Не является ли обеспечение безопасности всей цепочки обработки данных, а не только самой модели, ключевым условием для надежного применения машинного обучения в финансовой сфере?

Уязвимости в Прогнозировании Финансовых Рынков

В современном финансовом мире прогнозирование временных рядов играет ключевую роль в принятии инвестиционных решений и управлении рисками. Всё больше финансовых институтов переходят к использованию моделей машинного обучения для анализа и предсказания динамики рынков. Эта тенденция обусловлена способностью этих моделей выявлять сложные закономерности и зависимости в больших объемах данных, что позволяет повысить точность прогнозов по сравнению с традиционными статистическими методами. Алгоритмы, такие как рекуррентные нейронные сети и модели на основе деревьев решений, всё активнее применяются для прогнозирования цен акций, валютных курсов и других финансовых показателей. Однако, растущая зависимость от машинного обучения также влечёт за собой новые риски, связанные с уязвимостью этих моделей к различным видам атак и манипуляций.

Модели машинного обучения, активно применяемые в финансовом прогнозировании, оказываются уязвимыми к так называемым «атакам противника». Эти атаки заключаются в намеренном внесении незначительных, практически незаметных изменений в исходные данные временных рядов, что приводит к существенным искажениям в прогнозах и, как следствие, к потенциальным финансовым потерям. В отличие от атак на системы распознавания изображений, манипуляции с финансовыми данными могут быть особенно коварными, поскольку незначительное изменение в прогнозе курса акций или процентной ставки может привести к многомиллионным убыткам. Исследования показывают, что даже минимальные возмущения, тщательно замаскированные под естественные колебания рынка, способны обмануть сложные алгоритмы и привести к ошибочным инвестиционным решениям, что подчеркивает критическую необходимость разработки новых методов защиты от подобных угроз.

Традиционные методы обеспечения безопасности, разработанные для статических данных, зачастую оказываются неэффективными применительно к финансовым временным рядам. Особенность заключается в том, что манипуляции с данными, влияющие на прогноз, могут быть едва заметными для стандартных систем обнаружения аномалий. Небольшие, намеренные изменения в прошлых значениях, кажущиеся незначительными статистическими отклонениями, способны существенно исказить предсказания моделей машинного обучения, используемых для прогнозирования цен акций или оценки рисков. Эти манипуляции, основанные на понимании внутренних алгоритмов моделей и особенностей временных рядов, представляют собой серьезную угрозу для финансовой стабильности, поскольку могут приводить к ошибочным инвестиционным решениям и значительным финансовым потерям. В отличие от атак на статические данные, здесь требуется учитывать временную зависимость и автокорреляцию, что усложняет задачу защиты.

Предложенная архитектура целевого состязательного генеративно-состязательного алгоритма (GAN) демонстрирует высокоуровневую схему её построения.
Предложенная архитектура целевого состязательного генеративно-состязательного алгоритма (GAN) демонстрирует высокоуровневую схему её построения.

Атакующие Действия на Данные Временных Рядов

Атакующие действия, такие как метод быстрого градиентного знака (Fast Gradient Sign Method, FGSM) и его итеративные вариации, например, базовый итеративный метод (Basic Iterative Method, BIM), заключаются в намеренном внесении небольших, тщательно выверенных возмущений во входные данные временных рядов. Эти возмущения рассчитываются на основе градиента функции потерь модели, что позволяет максимально эффективно повлиять на ее предсказания. В отличие от случайного шума, возмущения конструируются таким образом, чтобы гарантированно привести к неверной классификации или прогнозу, оставаясь при этом незаметными для человеческого глаза или стандартных методов обнаружения аномалий. Итеративные методы, такие как BIM, улучшают FGSM путем применения небольших возмущений несколько раз, что позволяет обойти некоторые ограничения одношаговых атак и повысить их эффективность.

Атаки, основанные на изменении наклона (Slope-Based Attacks), представляют собой специализированный класс атак, направленных на манипулирование трендами во временных рядах финансовых данных. В отличие от атак, изменяющих отдельные точки данных, эти атаки стремятся исказить общую тенденцию, что может привести к ошибочным прогнозам. Согласно результатам исследований, такие атаки способны удваивать наклон прогнозов, генерируемых моделью N-HiTS, по сравнению с нормальными прогнозами, что значительно увеличивает вероятность неверных инвестиционных решений или ошибочной оценки рисков. Эффективность этих атак обусловлена чувствительностью финансовых моделей к изменениям в трендах и способностью злоумышленников использовать незначительные возмущения для достижения значительного влияния на результат прогнозирования.

Итеративные методы скрытых атак представляют повышенную опасность, поскольку они сохраняют временную целостность данных временных рядов. В отличие от атак, вносящих резкие изменения, эти методы вносят небольшие, кумулятивные возмущения, которые не нарушают общую структуру временного ряда. Это затрудняет обнаружение атак с помощью стандартных методов контроля качества или визуального анализа, поскольку изменения могут быть незначительными и неотличимыми от естественных колебаний данных. Сохранение временной структуры делает эти атаки особенно эффективными в финансовых приложениях, где даже небольшие манипуляции с трендами могут привести к значительным последствиям.

На протяжении первых 300 дней записи для акции APOAPO наблюдались атаки на основе наклона, отраженные в изменениях ее скорректированной цены (adjprc).
На протяжении первых 300 дней записи для акции APOAPO наблюдались атаки на основе наклона, отраженные в изменениях ее скорректированной цены (adjprc).

Усиление Защиты: Состязательное Обучение и Надежные Модели

Адверсарная тренировка представляет собой проактивный метод защиты, заключающийся в расширении обучающего набора данных специально созданными примерами, называемыми адверсарными примерами. Эти примеры намеренно модифицированы таким образом, чтобы вызвать ошибку в работе модели, но при этом оставаться практически неразличимыми для человека. Добавление таких примеров в процесс обучения заставляет модель не только запоминать обучающие данные, но и выявлять более устойчивые и обобщенные признаки, что повышает ее устойчивость к преднамеренным атакам и улучшает способность к правильной классификации данных, даже если они подверглись незначительным изменениям или шуму. Это позволяет модели меньше полагаться на поверхностные или хрупкие признаки и больше — на семантически значимые характеристики объектов.

Генеративно-состязательные сети (GAN), в частности Wasserstein GAN, играют ключевую роль в создании реалистичных и эффективных примеров, используемых для состязательного обучения. GAN состоят из двух нейронных сетей: генератора, который создает синтетические примеры, и дискриминатора, который пытается отличить реальные данные от сгенерированных. В процессе обучения генератор стремится обмануть дискриминатор, создавая примеры, все более похожие на реальные, в то время как дискриминатор учится лучше их различать. Именно этот состязательный процесс позволяет GAN создавать примеры, которые эффективно обманывают целевую модель машинного обучения, выявляя её уязвимости и позволяя обучить более устойчивую модель, способную противостоять таким атакам. Использование Wasserstein GAN обеспечивает более стабильное обучение и генерацию более разнообразных и реалистичных примеров по сравнению с классическими GAN.

Методы градиентного штрафа (Gradient Penalty) и отсечения градиента (Gradient Clipping) применяются для стабилизации процесса обучения генеративно-состязательных сетей (GAN), используемых для генерации атак, предназначенных для обучения устойчивых моделей. Градиентный штраф, например, добавляет регуляризирующий член к функции потерь, ограничивая норму градиента дискриминатора по случайным точкам между реальными и сгенерированными данными, что предотвращает исчезновение или взрыв градиентов. Отсечение градиента, в свою очередь, ограничивает максимальное значение градиента, также предотвращая нестабильность обучения. В результате применения этих техник повышается качество и разнообразие генерируемых атак, что, в свою очередь, позволяет обучать модели, более устойчивые к различным типам adversarial примеров и, следовательно, повышает общую надежность системы.

Пример сгенерированного A-GAN изображения, полученного из случайного интервала.
Пример сгенерированного A-GAN изображения, полученного из случайного интервала.

За Пределами Устойчивости: Системные Угрозы Безопасности

Несмотря на то, что обучение с использованием состязательных примеров повышает устойчивость моделей машинного обучения, оно не решает всех проблем безопасности. Системы остаются уязвимыми к прямому компрометации посредством внедрения вредоносного программного обеспечения. В то время как состязательные атаки нацелены на обман моделей, внедрение вредоносного кода позволяет злоумышленникам получить прямой контроль над системой, игнорируя защитные механизмы, основанные на манипуляции входными данными. Это представляет собой более серьезную угрозу, поскольку позволяет не просто вызвать неправильную классификацию, но и украсть данные, нарушить работу системы или использовать ее ресурсы в злонамеренных целях. Таким образом, даже самые устойчивые к состязательным атакам модели остаются беззащитными перед прямым внедрением вредоносного кода, подчеркивая необходимость комплексного подхода к обеспечению безопасности, включающего как защиту моделей, так и защиту всей системы.

Успешные атаки на финансовые системы, использующие технологии машинного обучения, способны повлечь за собой последствия, выходящие далеко за рамки прямых финансовых потерь. Помимо непосредственного ущерба, вызванного неправомерным присвоением средств или манипуляциями с транзакциями, подобные инциденты способны серьезно подорвать доверие к финансовым институтам и всей финансовой системе в целом. Эрозия доверия, в свою очередь, может привести к панике на рынках, массовому изъятию средств и, как следствие, к дестабилизации экономики. Потеря веры в надежность финансовых инструментов и институтов способна оказать долгосрочное негативное влияние на инвестиционную активность и экономический рост, создавая риски для финансовой стабильности в масштабах страны и даже мира.

Исследования показали, что даже после применения методов состязательного обучения, стандартные механизмы безопасности демонстрируют значительное снижение производительности при атаках, направленных на системы глубокого обучения. В частности, зафиксировано уменьшение специфичности свёрточных нейронных сетей (CNN) на 28% и снижение общей точности на 57%. Данные показатели свидетельствуют о критической необходимости разработки и внедрения более совершенных методов защиты, способных эффективно противостоять сложным и адаптирующимся угрозам, направленным на компрометацию целостности и надёжности систем искусственного интеллекта. Несмотря на прогресс в области устойчивости моделей, существующие решения не обеспечивают достаточного уровня безопасности в реальных сценариях применения.

Модель N-HiTS успешно прогнозирует динамику акций ADPStock.
Модель N-HiTS успешно прогнозирует динамику акций ADPStock.

Исследование демонстрирует уязвимость систем прогнозирования финансовых временных рядов к целенаправленным манипуляциям, основанным на изменении наклона графиков. Данный подход, использующий генеративно-состязательные сети (GAN), позволяет создавать едва заметные, но эффективные атаки, способные исказить прогнозы. Как однажды заметил Джон Маккарти: «Всякий интеллект должен уметь делать то, что еще не было сделано.» Эта фраза отражает суть представленной работы: атаки, разработанные в статье, выходят за рамки традиционных методов, требуя новых подходов к обеспечению безопасности машинного обучения. Акцент делается не только на защите самой модели, но и на безопасности всего конвейера обработки данных, что является ключевым аспектом в контексте финансовых приложений.

Что Дальше?

Представленная работа, манипулируя уклонами временных рядов, выявляет уязвимость, которая, вероятно, не является аномалией. Пусть N стремится к бесконечности — что останется устойчивым? Подобные атаки не ограничиваются конкретной моделью или даже классом моделей. Они затрагивают фундаментальную предпосылку — стабильность и предсказуемость временных рядов как таковых. Успешность атак, основанных на незначительных, но целенаправленных изменениях, ставит под вопрос саму концепцию «шума» в финансовых данных — возможно, то, что мы считаем случайным, на самом деле является результатом скрытых, целенаправленных воздействий.

Дальнейшие исследования должны быть сосредоточены не только на разработке более устойчивых моделей прогнозирования, но и на создании систем обнаружения подобных аномалий. Необходимо исследовать возможности использования принципов причинности и контрфактического анализа для выявления целенаправленных манипуляций. Более того, акцент следует сместить с защиты модели как таковой на защиту всего конвейера машинного обучения — от сбора данных до развертывания и мониторинга.

Ирония заключается в том, что попытки «улучшить» точность прогнозирования, добавляя все больше и больше сложных алгоритмов, могут, напротив, сделать системы более уязвимыми к подобным атакам. Простота и прозрачность — возможно, более надежный путь, хотя и менее привлекательный с точки зрения технологического прогресса.

Оригинал статьи: https://arxiv.org/pdf/2511.19330.pdf

Связаться с автором: https://www.linkedin.com/in/avetisyan/

Смотрите также:

2025-11-25 17:21