Textprobe:
Einleitung:
In Kapitel 3 wird eine Einführung in adversariales maschinelles Lernen gegeben. Dabei wird zuerst nur auf Angriffe eingangen, für welche eine von Battista Biggio und Fabio Roli (2018) entworfene Taxonomie vorgestellt wird. Die von Battista Biggio und Fabio Roli (2018) entworfene Klassifikation ist relativ genau, eine vereinfachte Version und Übersicht über die Entwicklung solcher Einordnungen ist in Vorobeychik und Kantarcioglu (2018, Seite 124f) zu finden.
Bereits in Dalvi u. a. (2004) wurde adversariales maschinelles Lernen mit Spieltheorie verknüpft. Diese Ideen wurden über die Zeit weiterentwickelt. Hier wird ein spezielles Modell, das Stackelbergprädikationsspiel, betrachtet. Dabei wechseln sich ein Leader und ein Nachfolger mit der Auswahl einer geeignete Strategie zur Gewinnmaximierung ab. Im Kontext von Vermeidungsangriffen versucht der Angreifer der Klassifikation zu entgehen, während der Verteidiger gerade korrekte Klassifikation sicherstellen will.
Kapitel 4 behandelt Techniken für Angriffe genauer. Sie sind als Strategie des Angreifers im spieltheoretischen Modell zu betrachten und als Optimierungsproblem formuliert, wie in Abschnitt 2.1 eingeführt. Sie werden nach ihrer Ordnung gruppiert betrachtet.
Verfahren erster Ordnung sind als typische Angriffe mit Modellkenntnis aufzufassen, während ableitungsfreie Optimierung für Angriffe ohne Modellkenntnis geeignet sind.
Verfahren zweiter Ordnung sind aufgrund ihres besseren Konvergenzverhaltens durchaus in Nutzung, zum Beispiel in Szegedy u. a. (2013), werden hier jedoch nicht behandelt, da sie keine weitere Möglichkeiten adversariale Angriffe durchzuführen bieten.
Aufbauend auf Kapitel 4 werden in Kapitel 5 einige Anwendungsfälle von adversarialen Angriffen vorgestellt, um dem/der Lesenden die konkrete Problematik vor Augen zu führen. Zusätzlich wird dieses Kapitel genutzt, um die Einbettung verschiedener Daten in neuronale Netze zu besprechen.
Zum Abschluss wird in Kapitel 6 die Verteidigung adversarialer Angriffe, also die Strategie des Verteidigers im Spiel aus Abschnitt 3.2 betrachtet. Diese werden in Detekions-,Verhärtungs- und Vorverarbeitungstechniken eingeteilt. Zusätzlich gibt es Verifikations und Zertifikationstechniken, welche den Vorteil garantierter Korrektheit haben. Bevor konkrete Verteidigungstechniken beschrieben werden, wird eine Einführung in die Bestimmung theoretischer Grenzen adversarialer Robustheit anhand der globalen Lipschitzkonstante aus Szegedy u. a. (2013) gegeben.