Gelernte Klassifikationsverfahren sind nicht sicher, wenn Angreifer gezielte Veränderungen an der Eingabe vornehmen. Obwohl diese Änderungen für den Menschen kaum wahrnehmbar sind, ändert sich die Klassifikation. Um gelernte Modelle in sicherheitskritischen Bereichen anwenden zu können, ist es erforderlich, Methoden zu entwickeln, die Robustheit gegen adversariale Angriffe gewährleisten können. Hier wird eine Übersicht über verschiedene Anwendungsfälle, Angriffe, die daraus entstehenden Problemstellungen, Ansätze zur Verteidigung sowie Gefahren bei der Evaluation dieser gegeben und die Notwendigkeit korrekter Verfahren aufgezeigt.

Textprobe: Einleitung: In Kapitel 3 wird eine Einführung in adversariales maschinelles Lernen gegeben. Dabei wird zuerst nur auf Angriffe eingangen, für welche eine von Battista Biggio und Fabio Roli (2018) entworfene Taxonomie vorgestellt wird. Die von Battista Biggio und Fabio Roli (2018) entworfene Klassifikation ist relativ genau, eine vereinfachte Version und Übersicht über die Entwicklung solcher Einordnungen ist in Vorobeychik und Kantarcioglu (2018, Seite 124f) zu finden. Bereits in Dalvi u. a. (2004) wurde adversariales maschinelles Lernen mit Spieltheorie verknüpft. Diese Ideen wurden über die Zeit weiterentwickelt. Hier wird ein spezielles Modell, das Stackelbergprädikationsspiel, betrachtet. Dabei wechseln sich ein Leader und ein Nachfolger mit der Auswahl einer geeignete Strategie zur Gewinnmaximierung ab. Im Kontext von Vermeidungsangriffen versucht der Angreifer der Klassifikation zu entgehen, während der Verteidiger gerade korrekte Klassifikation sicherstellen will. Kapitel 4 behandelt Techniken für Angriffe genauer. Sie sind als Strategie des Angreifers im spieltheoretischen Modell zu betrachten und als Optimierungsproblem formuliert, wie in Abschnitt 2.1 eingeführt. Sie werden nach ihrer Ordnung gruppiert betrachtet. Verfahren erster Ordnung sind als typische Angriffe mit Modellkenntnis aufzufassen, während ableitungsfreie Optimierung für Angriffe ohne Modellkenntnis geeignet sind. Verfahren zweiter Ordnung sind aufgrund ihres besseren Konvergenzverhaltens durchaus in Nutzung, zum Beispiel in Szegedy u. a. (2013), werden hier jedoch nicht behandelt, da sie keine weitere Möglichkeiten adversariale Angriffe durchzuführen bieten. Aufbauend auf Kapitel 4 werden in Kapitel 5 einige Anwendungsfälle von adversarialen Angriffen vorgestellt, um dem/der Lesenden die konkrete Problematik vor Augen zu führen. Zusätzlich wird dieses Kapitel genutzt, um die Einbettung verschiedener Daten in neuronale Netze zu besprechen. Zum Abschluss wird in Kapitel 6 die Verteidigung adversarialer Angriffe, also die Strategie des Verteidigers im Spiel aus Abschnitt 3.2 betrachtet. Diese werden in Detekions-,Verhärtungs- und Vorverarbeitungstechniken eingeteilt. Zusätzlich gibt es Verifikations und Zertifikationstechniken, welche den Vorteil garantierter Korrektheit haben. Bevor konkrete Verteidigungstechniken beschrieben werden, wird eine Einführung in die Bestimmung theoretischer Grenzen adversarialer Robustheit anhand der globalen Lipschitzkonstante aus Szegedy u. a. (2013) gegeben.

• Neuronale Netze

• Maschinelles Lernen

• ZOO

• JSMA

• Spam

• Spamfilter