Game Over Eva(sion):Sicheres Deep Learning mit Spieltheorie

Das Projekt Game Over Eva(sion):Sicheres Deep Learning mit Spieltheorie zielt darauf ab, Klassifizierer die auf sogenanntem Deep Learning basieren gegen gezielte Angriffe zu schützen. Diese Klassifizierer sind sowohl in der wissenschaftlichen Forschung als auch im praktischen Einsatz sehr weit verbreitet. Unter anderem nutzen selbstfahrende Autos, Smartphones und digitale persönliche Assistenten diese Art von Algorithmen. Leider hat die Forschung in letzter Zeit gezeigt, dass Deep Learning- Klassifizierer sehr anfällig für strategische Angriffe sind. Vor allem die sogenannten Evasion-Angriffe, bei denen ein Angreifer es schaffen kann, durch sehr kleine Änderungen ein Objekt völlig falsch klassifizieren zu lassen, stellen ein ungelöstes Problem für fast alle Deep Learning- Klassifizierer dar. Wir modellieren den Wettbewerb zwischen einem Angreifer welcher Evasion-Angriffe durchführt und einem Verteidiger, der einen robusten Deep Learning-Klassifizierer trainieren möchte mithilfe der Spieltheorie. Dazu werden wir in einem ersten Schritt erörtern welche Konzepte aus verwandten Disziplinen wie der Angreifer- antizipierenden Klassifikation auf den Bereich des Deep Learning angewandt werden können. Desweiteren werden wir ein spieltheoretisches Model entwickeln um die Abhängigkeiten von Angriffstaktik und Verteidigungstaktik erfassen zu können. Im Laufe des Projekts versprechen wir uns die ersten theoretisch fundierten Ergebnisse zur allgemein erreichbaren Sicherheit solcher Klassifizierer überhaupt. Zudem können wir bisherige, größtenteils heuristisch hergeleitete Verteidigungsmaßnahmen auf ihre Optimalität überprüfen. Letztendlich wollen wir die wesentlichen Eigenschaften unserer theoretischen Analysen in einer praktischen Implementierung eines solchen Klassifizierers umsetzen und diesen Klassifizierer mit anderen Klassifizierern auf dem neusten Stand der Technik vergleichen. Somit können wir validieren, inwieweit es unser Ansatz ermöglicht, Deep Learning-Klassifizierer vor gezielten Angriffen zu schützen. Die erwarteten Ergebnisse dieses Projekts werden erstmals Aussagen darüber zulassen, inwieweit Deep Learning-Klassifizierer dafür geeignet sind, großflächig auch in sicherheitskritischen Bereichen eingesetzt zu werden.

Im Forschungsprojekt "Game Over Eva(sion): Securing Deep Learning with Game Theory" widmeten wir uns der Thematik des maschinellen Lernens unter Berücksichtigung von Angreifer*innen (Adversarial Machine Learning) und seiner Bedeutung für die Sicherheit von Deep Learning-Systemen. Der Fokus lag auf der Entwicklung von Strategien und Methoden zur Verbesserung der Robustheit dieser Systeme gegen gezielte Angriffe. Das behandelte Forschungsfeld besteht seit dem Jahr 2004, angestoßen durch die Entdeckung, dass selbst komplexe Spamfilter durch minimale Änderungen an E-Mails getäuscht werden können. Diese Erkenntnis führte zu einer intensiven Beschäftigung mit der Sicherheit von Machine Learning-Modellen, insbesondere im Hinblick auf Deep Neural Networks (DNNs), die seit 2013 verstärkt in den Fokus gerückt sind. Im Zuge des Projekts widmeten wir uns zwei verschiedenen Arten von Angriffsbeispielen: Sensitivitätsbasierten und Invarianzbasierten Angriffsbeispielen. Sensitivitätsbasierte Beispiele beleuchten, wie geringfügige Modifikationen in den Eingabedaten die Vorhersagen eines Modells beeinflussen und gezielt täuschen können. Im Gegensatz dazu konzentrieren sich Invarianzbasierte Beispiele darauf, wie Änderungen in den Daten die Wahrnehmungen von Mensch und Maschine unterschiedlich beeinflussen. Zusammengefasst unterscheiden sich bei beiden Arten von Angriffsbeispielen die Entscheidung von Menschen und den Algorithmen des maschinellen Lernens. Ein zentrales Ergebnis des Projekts ist die Entwicklung des "Advanced Adversarial Classification Game", einem spieltheoretischen Modell, das die Wechselwirkungen zwischen Angreifer*innen (die sensitivitätsbasierte Angriffsbeispiele erstellen) und Verteidiger*innen (die versuchen, ihre Modelle gegen solche Angriffe zu schützen) darstellt. Dieser Ansatz ermöglicht es, die ökonomischen und strategischen Aspekte im Adversarial Machine Learning zu untersuchen und zu verstehen. Zudem wurden im Rahmen des Projekts experimentelle Untersuchungen durchgeführt, um die Auswirkungen von Invarianzbasierten Angriffsbeispielen auf die menschliche Wahrnehmung zu erforschen. Diese Forschung führte zur Entwicklung von Algorithmen zur Erzeugung solcher Beispiele, was wiederum tiefe Einblicke in die Unterschiede zwischen menschlicher und maschineller Wahrnehmung ermöglichte. Die Ergebnisse des Projekts "Game Over Eva(sion)" zeigt die Wichtigkeit der stetigen Weiterentwicklung und Anpassung von Sicherheitsstrategien im Bereich des Deep Learning auf. Vor allem, da Algorithmen des maschinellen Lernens mehr und mehr Bereiche des täglichen Lebens beeinflussen, wird die Sicherheit dieser Algorithmen zusehends wichtiger, sowohl für die akademische Welt, als auch für die praktische Anwendung in der Industrie.