Adversarial Machine Learning

Bachelor Studiengang IT Security

Evaluating Attacks on Neural Networks and possible Defenses

Kevin Dorner, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Sich während der Autofahrt gemütlich zurücklehnen, einen Kaffee trinken, ein kurzes Nickerchen einlegen, oder einfach nur aus dem Fenster schauen und die Seele baumeln lassen. Das Auto fährt von ganz alleine, die kürzeste Route wird je nach Verkehrslagen automatisch neu berechnet und die Musik ist perfekt auf den persönlichen Geschmack und die aktuelle Stimmung zugeschnitten.
Klingt utopisch?
 Viele dieser Technologien sind bereits im Einsatz und auch das vollständig autonom fahrende Auto ist wohl nur noch eine Frage der Zeit. 


Egal ob Cortana, Siri, Google Maps oder Spotify - all diese Anwendungen nutzen Maschinelles Lernen. Dabei finden vor allem neuronale Netzwerke, also durch komplexe Algorithmen lernfähige Programme, Einsatz, die speziell im Bereich der Bilderkennung und - klassifizierung bereits eine höhere Genauigkeit als Menschen erreichen. Durch dieses enorme Potenzial sind solche Netzwerke auch für sicherheitskritische Bereiche, wie selbstfahrende Autos oder das Überwachen von öffentlichen Räumen, interessant geworden.

Doch die Forschung hat gezeigt, dass es mittels spezieller Angriffe möglich ist, diese Systeme auszutricksen. Kleinste Manipulationen an einem zu bewertenden Bild, die für einen Menschen oft unsichtbar sind, sorgen dafür, dass das neuronale Netzwerk ein „STOP“- Schild plötzlich als Luftballon wahrnimmt.
Das wirft die Frage auf, wie sicher es ist, solche Technologien in sicherheitskritischen Bereichen einzusetzen.
In dieser Arbeit werden deshalb gängige Angriffe sowie Verteidigungsstrategien betrachtet.

Ziel

Das Ziel dieser Arbeit ist festzustellen, ob die Ergebnisse der bisherigen Forschung zu dieser Thematik rekonstruierbar sind. Dazu werden eine der effektivsten Angriffe unter originalgetreuen Laborbedingungen nachgestellt und die Ergebnisse miteinander verglichen.

Ergebnis

Im Zuge dieser Arbeit wurden verschiedene Angriffe auf neuronale Netzwerke vorgestellt und gängige Verteidigungsstrategien betrachtet. Des Weiteren wurde eine Attacke rekonstruiert und die dazu vorliegenden Forschungsergebnisse konnten bestätigt werden. Ebenso konnte gezeigt werden, dass „Defensive Distillation“ als Härtungsmaßnahme für neuronale Netzwerke nicht ausreichend ist. Letztlich wurde das Problem der Übertragbarkeit von manipulierten Bildern veranschaulicht und dadurch weitere Angriffsvektoren aufgezeigt.