Перейти к содержимому
The Algotrading Book

Глава 229: Инверсия моделей в финансах

1. Введение

Атаки инверсии моделей представляют собой одну из наиболее коварных угроз для систем машинного обучения, развернутых на финансовых рынках. В отличие от традиционных кибератак, направленных на инфраструктуру или хранимые данные, инверсия модели действует на границе вывода: она восстанавливает приватные обучающие данные путем тщательного анализа выходных данных модели. В финансах, где проприетарные торговые признаки, альфа-сигналы и позиции портфеля составляют основную интеллектуальную собственность, последствия крайне серьезны.

Хедж-фонд, развертывающий предиктивную модель как сервис — или даже просто предоставляющий прогнозы через API — может непреднамеренно утечь именно те признаки, которые дают ему конкурентное преимущество. Противник, наблюдающий за выходными данными модели с течением времени, может систематически восстановить входные данные, которые произвели эти выходы, фактически похищая исследования фонда без прямого доступа к его базам данных.

В этой главе рассматриваются математические основы инверсии моделей, каталогизируется поверхность атаки, специфичная для финансовых ML-систем, и демонстрируются как атаки, так и защиты с использованием реализаций на Rust. Мы интегрируем реальные рыночные данные с биржи Bybit для обоснования наших примеров практическими торговыми сценариями.

2. Математические основы

2.1 Инверсия на основе оптимизации

Основная идея инверсии модели обманчиво проста. Имея обученную модель f и наблюдаемый выход y, найти вход x* такой, что:

x* = argmin_x || f(x) - y ||^2 + lambda * R(x)

где R(x) — член регуляризации, поощряющий правдоподобность восстановленного входа, а lambda управляет силой регуляризации. В сценарии белого ящика, когда противник имеет полный доступ к параметрам модели, оптимизация выполняется градиентным спуском в пространстве входов:

x_{t+1} = x_t - eta * grad_x [ || f(x_t) - y ||^2 + lambda * R(x_t) ]

Градиент grad_x f(x) вычисляется через обратное распространение, при этом параметры модели фиксированы, а вход является переменной. Для линейной модели f(x) = Wx + b градиент просто равен W^T (Wx + b - y), и инверсия имеет замкнутое решение, когда W обратима. Для нелинейных моделей требуется итеративная оптимизация.

Член регуляризации R(x) играет критическую роль. Без него оптимизация может сойтись к состязательным входам, которые производят правильный выход, но не имеют сходства с реальными обучающими данными. Распространенные варианты включают:

  • L2-регуляризация: R(x) = ||x||^2, поощряющая признаки малой величины
  • Полная вариация: R(x) = sum |x_{i+1} - x_i|, поощряющая гладкие последовательности признаков (полезно для временных рядов)
  • Согласование с априорным распределением: R(x) = -log p(x), где p(x) оценивается по общедоступным данным

2.2 Реконструкция на основе уверенности

Многие финансовые ML-модели выдают не только прогнозы, но и оценки уверенности. Эти значения уверенности утекают дополнительную информацию о входе. Для модели классификации с выходом softmax вектор уверенности p = softmax(z), где z = f(x), содержит информацию об относительных расстояниях входа до границы каждого класса.

Атака максимальной уверенности эксплуатирует это итеративно:

x* = argmax_x p_target(x)

где p_target — вероятность, присвоенная конкретному целевому классу. Максимизируя уверенность модели в конкретном прогнозе, противник восстанавливает прототипичный вход для этого класса — что в финансовом контексте раскрывает паттерны признаков, наиболее сильно связанные с сигналами покупки или продажи.

2.3 Инверсия на основе GAN

Генеративно-состязательные сети могут значительно улучшить качество инверсии. Вместо прямой оптимизации в пространстве входов противник обучает сеть-генератор G, отображающую латентное пространство z в пространство входов:

z* = argmin_z || f(G(z)) - y ||^2
x* = G(z*)

Генератор действует как обученный приор, ограничивая восстановленные входы многообразием правдоподобных финансовых данных. Этот подход особенно эффективен, когда противник имеет доступ к вспомогательным финансовым наборам данных (таким как публичные рыночные данные), разделяющим распределительные свойства с приватными обучающими данными целевой модели.

Подход на основе GAN предоставляет два преимущества: во-первых, он снижает размерность задачи оптимизации; во-вторых, он производит более реалистичные реконструкции, поскольку генератор изучил статистическую структуру финансовых признаков.

3. Риски приватности в финансовом ML

3.1 Восстановление проприетарных торговых признаков

Количественные торговые фирмы инвестируют миллионы в инженерию признаков — создание проприетарных индикаторов из сырых рыночных данных, альтернативных источников данных и межактивных сигналов. Модель, обученная на этих признаках, неявно кодирует их структуру. С помощью инверсии модели конкурент может восстановить:

  • Пользовательские технические индикаторы: комбинации скользящих средних, мер волатильности и сигналов моментума, разработанных фирмой
  • Трансформации альтернативных данных: как обрабатываются и комбинируются спутниковые снимки, данные настроений или информация о цепочке поставок
  • Межактивные взаимосвязи: какие инструменты и временные рамки фирма отслеживает для предиктивных сигналов

3.2 Обратная разработка альфа-сигналов

Альфа-сигналы — предиктивные факторы, генерирующие избыточную доходность — являются наиболее ценной интеллектуальной собственностью в количественных финансах. Инверсия модели может раскрыть эти сигналы, восстанавливая паттерны входов, которые модель ассоциирует с сильными направленными прогнозами. Даже частичная реконструкция может дать конкурентам достаточно информации для воспроизведения стратегии.

3.3 Раскрытие приватных позиций портфеля

Модели управления рисками, выдающие метрики уровня портфеля (Value at Risk, ожидаемый дефицит, маржинальные требования), могут непреднамеренно утечь информацию о позициях. Противник, знающий архитектуру модели и наблюдающий её выходы с течением времени, может вывести состав и размер позиций — информацию, которая может быть использована для фронт-раннинга или неблагоприятного отбора.

4. Методы атак

4.1 Инверсия белого ящика (на основе градиентов)

В атаке белого ящика противник имеет полный доступ к архитектуре и параметрам модели. Этот сценарий возникает когда:

  • Модели развернуты на клиентских устройствах или пограничных узлах
  • Файлы модели утекли через нарушения безопасности
  • Используются архитектуры моделей с открытым исходным кодом с известными распределениями весов

Атака начинается с инициализации случайного входа, вычисления градиента функции потерь по входу и итеративного обновления входа для минимизации потерь реконструкции. Ключевые гиперпараметры — скорость обучения, количество итераций и сила регуляризации.

Для финансовых моделей практическое улучшение заключается в ограничении восстановленных признаков правдоподобными диапазонами. Рыночные доходности редко превышают определенные границы, волатильности неотрицательны, а корреляционные матрицы должны быть положительно полуопределенными. Включение этих ограничений значительно улучшает качество реконструкции.

4.2 Инверсия черного ящика (на основе запросов)

Инверсия черного ящика более реалистична, но более сложна. Противник может только запрашивать модель и наблюдать выходы — градиентная информация недоступна. Атака оценивает градиенты через конечные разности:

grad_x f(x) ≈ [ f(x + epsilon * e_i) - f(x - epsilon * e_i) ] / (2 * epsilon)

где e_i — i-й вектор стандартного базиса, а epsilon — малое возмущение. Это требует 2d запросов на одну оценку градиента для d-мерного входа, что делает метод дорогостоящим для высокоразмерных пространств признаков. Однако техники оценки по случайным направлениям могут снизить количество запросов:

grad_x f(x) ≈ (d / epsilon) * [ f(x + epsilon * u) - f(x) ] * u

где u — случайный единичный вектор. Эта одно-запросная оценка шумная, но несмещенная, и усреднение по нескольким случайным направлениям дает точные градиенты с меньшим общим числом запросов, чем покоординатный подход.

4.3 Извлечение модели как предшественник

Мощная двухэтапная атака сначала извлекает (крадет) целевую модель через запросы, затем выполняет инверсию белого ящика на извлеченной копии. Извлечение модели создает суррогатную модель, аппроксимирующую поведение целевой, и градиенты, вычисленные на суррогате, эффективно переносятся на оригинальную модель. Этот гибридный подход сочетает реалистичность доступа черного ящика с эффективностью инверсии белого ящика.

5. Защиты

5.1 Дифференциальная приватность

Дифференциальная приватность предоставляет формальные гарантии того, что выходы модели не раскрывают информацию об отдельных обучающих примерах. Добавляя калиброванный шум во время обучения (DP-SGD) или во время вывода, чувствительность модели к любой отдельной точке данных ограничивается. Параметр бюджета приватности epsilon управляет компромиссом между приватностью и полезностью: меньший epsilon означает более сильную приватность, но более шумные прогнозы.

Для финансовых приложений ключевая проблема заключается в том, что даже небольшое количество шума может ухудшить торговую производительность. Модель, которая немного менее точна, может упустить прибыльные возможности или генерировать ложные сигналы. Практики должны тщательно калибровать уровень шума для поддержания приемлемого качества прогнозов.

5.2 Пертурбация выхода

Более простая защита добавляет шум непосредственно к прогнозам модели перед их возвратом пользователю:

y_perturbed = f(x) + N(0, sigma^2)

Дисперсия шума sigma^2 должна быть откалибрована к естественной дисперсии прогнозов модели. Если прогнозы обычно варьируются на 0.01, добавление шума с sigma = 0.005 обеспечивает значимую защиту приватности с ограниченным влиянием на полезность. Пертурбация выхода проста в реализации и не требует переобучения модели.

5.3 Ограничение уверенности прогнозов

Вместо возврата полных векторов вероятностей softmax модель может возвращать только топ-k прогнозов или ограничивать оценки уверенности максимальным значением. Это ограничивает информацию, доступную противнику:

  • Только топ-1: возврат только предсказанного класса, без оценки уверенности
  • Ограничение уверенности: замена любой уверенности выше tau на tau
  • Температурное масштабирование: применение температуры T > 1 к логитам перед softmax, выравнивающее распределение

5.4 Водяные знаки модели

Водяные знаки не предотвращают инверсию, но позволяют обнаружение и атрибуцию. Внедряя уникальные паттерны в поведение модели (конкретные пары вход-выход, служащие отпечатками), фирма может доказать, что модель конкурента была получена из их модели. Это создает юридическое сдерживание, даже когда техническая защита не срабатывает.

6. Пошаговое описание реализации

Наша реализация на Rust демонстрирует как атаки, так и защиты в финансовом контексте. Код организован в несколько компонентов:

Целевая модель: Многослойный перцептрон, обученный на приватных торговых признаках (моментум цены, коэффициенты волатильности, паттерны объема). Модель предсказывает направленные движения для BTC/USDT.

Инверсия белого ящика: Имея параметры модели, мы оптимизируем входной вектор градиентным спуском для соответствия целевому выходу. Градиент вычисляется аналитически для нашей архитектуры линейной модели.

Инверсия черного ящика: Используя только доступ по запросам, мы оцениваем градиенты через конечные разности и оптимизируем итеративно. Это медленнее и менее точно, чем инверсия белого ящика, но не требует знания внутренностей модели.

Метрики реконструкции: Мы измеряем качество инверсии с помощью среднеквадратичной ошибки (MSE) между восстановленными и оригинальными признаками и косинусного сходства для оценки направленной точности. Косинусное сходство выше 0.8 указывает на то, что противник восстановил существенную структуру приватных признаков.

Защиты: Пертурбация выхода добавляет гауссов шум к прогнозам. Ограничение уверенности ограничивает величину выходов модели. Оба метода ухудшают качество инверсии ценой точности прогнозов.

// Пример: измерение утечки приватности
let original_features = compute_private_features(&market_data);
let model_output = model.predict(&original_features);
let reconstructed = white_box_inversion(&model, model_output, 1000);
let leakage = cosine_similarity(&original_features, &reconstructed);
println!("Утечка приватности (косинусное сходство): {:.4}", leakage);

Реализация использует крейт ndarray для числовых операций и reqwest для получения рыночных данных с Bybit в реальном времени. Полную реализацию см. в rust/src/lib.rs и полную демонстрацию в rust/examples/trading_example.rs.

7. Интеграция с Bybit

Мы интегрируемся с REST API Bybit для получения реальных данных свечей BTC/USDT. Конечная точка API /v5/market/kline предоставляет данные OHLCV с настраиваемыми интервалами. Из этих сырых данных мы вычисляем приватные торговые признаки:

  • Доходности: логарифмические доходности на нескольких горизонтах (1 бар, 5 баров, 20 баров)
  • Коэффициент волатильности: краткосрочная vs. долгосрочная реализованная волатильность
  • Профиль объема: нормализованный объем относительно скользящего среднего
  • Моментум: индикаторы скорости изменения на нескольких временных масштабах

Эти признаки служат “приватными” данными, которые наши атаки инверсии моделей пытаются восстановить. В реальном сценарии они были бы дополнены проприетарными альтернативными данными, которые фирма не хочет раскрывать.

Интеграция с Bybit демонстрирует, что инверсия модели является практической угрозой даже с общедоступными рыночными данными в качестве основы — ценность заключается в конкретных трансформациях и комбинациях, составляющих интеллектуальную собственность фирмы.

8. Ключевые выводы

  1. Инверсия модели — реальная угроза для финансового ML: Любая модель, предоставляющая прогнозы, потенциально может утечь информацию о своих обучающих данных, включая проприетарные признаки и альфа-сигналы.

  2. Атаки белого ящика разрушительны: Когда параметры модели доступны, высококачественная реконструкция приватных признаков достижима при умеренных вычислительных затратах.

  3. Атаки черного ящика практичны: Даже без доступа к модели инверсия на основе запросов может восстановить значимую информацию о приватных признаках, особенно при достаточном бюджете запросов.

  4. Защиты предполагают компромиссы: Пертурбация выхода и ограничение уверенности защищают приватность, но ухудшают качество прогнозов. Оптимальный баланс зависит от модели угроз и ценности защищаемой информации.

  5. Необходима глубокоэшелонированная защита: Ни одна отдельная защита не является достаточной. Комбинация дифференциальной приватности, пертурбации выхода, ограничения уверенности и контроля доступа обеспечивает надежную защиту.

  6. Юридическое сдерживание дополняет технические защиты: Водяные знаки модели и мониторинг использования позволяют атрибуцию и юридические действия, когда технические защиты обойдены.

  7. Граница приватность-полезность специфична для приложения: Финансовые модели требуют тщательной калибровки, потому что даже небольшие потери точности приводят к значительному влиянию на P&L. Практики должны эмпирически измерять компромисс на своих конкретных стратегиях.

  8. Осведомленность определяет лучшие архитектурные решения: Понимание рисков инверсии модели влияет на решения о развертывании — предоставление прогнозов через API с ограничением частоты вместо распространения файлов модели, агрегация выходов перед предоставлением и минимизация информационного содержания возвращаемых прогнозов.