Feedback

Adversarial Attacks auf radargestützte KI-Anwendungen

Affiliation/Institute
Institut für CMOS Design
Valtl, Jakob

In dieser Dissertation werden Datenverarbeitungsalgorithmen, die auf Methoden der Künstlichen Intelligenz (KI) basieren und die sich mit der Analyse von Radar-Signalen befassen, mittels Adversarial Attacks angegriffen. Neben den für die Radarsignale entwickelten Adversarial Attacks werden selbige an mehreren praktischen Versuchsaufbauten implementiert und deren Ergebnisse ausgewertet. Zudem werden Untersuchungen zur realen Gefahrenabschätzungen bezüglich der Übertragbarkeit von Angriffen auf unbekannte Systeme, sowie die Relevanz von natürlich auftretenden Interferenzen in Multi-Sensor-Umgebungen durchgeführt.
Adversarial Attacks sind nach wie vor ein den KI-Anwendungen immanentes, ungelöstes Problem, bei dem eine minimale Änderung des Eingangssignals eine maximale Änderung des Ausgangs des Neuronalen Netzes (NN) bewirkt.
Mehrere Adversarial-Attack-Methoden werden vorgestellt, die für eine Vielzahl von Strukturen Neuronaler Netzwerke sowie für die meist verbreitetsten Problemstellungen anwendbar sind. Dabei wird insbesondere darauf Rücksicht genommen, dass die entwickelten Angriffe gut auf Radardaten verarbeitende Neuronale Netze angepasst werden können.
Neben dem Generieren von samplespezifischen Angriffsmasken werden mehrere Methoden zur Berechnung von universellen Patches vorgestellt, die unabhängig vom anliegenden Eingangssignal die gewünschte Störung hervorrufen. Dabei werden sowohl analytische als auch Ansätze aus dem Bereich der KI, in Form von Variational Autoencodern (VAE), in Betracht gezogen.
Die Übertragbarkeit von Adversarial Attacks wird ebenfalls nachgewiesen, wodurch die Einschränkung auf Whitebox-Angriffe gerechtfertigt ist.
Um den praktischen Nachweis der theoretisch entwickelten Algorithmen führen zu können, werden mehrere Demonstratoren aufgebaut und mit den entwickelten Adversarial Attacks angegriffen. Die Ergebnisse demonstrieren die Effektivität der entwickelten Algorithmen und zeigen auf, welche Angriffsparameter in welcher Situation am effektivsten sind. 
Abschließend werden die Auswirkungen von Interferenzen genauer beleuchtet, um deren Eignung als mögliche Quelle für Adversarial Attacks zu. Die Ergebnisse zeigen, dass als reale Gefahr jedoch ausschließlich Target Simulatoren als Quelle für Adversarial Patches bei Eingriffen in die Funkstrecke berücksichtigt werden müssen.

In this dissertation, data processing algorithms based on artificial intelligence (AI) methods dealing with the analysis of radar signals are attacked by means of Adversarial Attacks. In addition to the Adversarial Attacks developed for the radar signals, the same are implemented on several real-world experimental setups and their results are evaluated. Furthermore, investigations on actual threat assessments regarding the transferability of attacks to unknown systems, as well as the relevance of naturally occurring interferences in multi-sensor environments are being conducted.
Adversarial Attacks remain an unsolved problem inherent to AI applications, where a minimal change in the input signal causes a maximal change in the neural networks (NN) output.
Several Adversarial Attack methods are presented that are applicable to a variety of neural network structures, as well as to the most common problems. Special consideration is given to the fact that the developed attacks can be well adapted to radar data processing neural networks.
In addition to generating sample-specific attack masks, several methods are presented for computing universal patches that provoke the desired perturbation regardless of the applied input signal. Both analytic approaches and approaches from the field of AI, in the form of Variational Autoencoders (VAE), are considered.
The transferability of Adversarial Attacks is also demonstrated, justifying the restriction to Whitebox Attacks.
In order to provide practical proof of the in theory developed algorithms, several demonstrators are built and attacked with the developed Adversarial Attacks. The results demonstrate the effectiveness of the developed algorithms and show which attack parameters are most effective in which situation. 
Finally, the effects of interference are examined in more detail to determine their suitability as a potential source of adversarial attacks. The results show that as a real threat, probably only target simulators may be considered as a source of Adversarial Patches when interfering with the radio link.

Cite

Citation style:
Could not load citation form.

Access Statistic

Total:
Downloads:
Abtractviews:
Last 12 Month:
Downloads:
Abtractviews:

Rights

Use and reproduction: