slider

Maschinelles Lernen - Prof. Dr. Norbert Pohlmann

Maschinelles Lernen

Maschinelles Lernen ist Wissen aus Daten

Was ist maschinelles Lernen?


Maschinelles Lernen ist die „künstliche“ Generierung von Wissen aus den Informationen in Daten mit der Hilfe von IT-Systemen. Mithilfe der Algorithmen des maschinellen Lernens werden mit vorhandenen Datenbeständen Muster und Gesetzmäßigkeiten erkannt und verallgemeinert, um damit neue Problemlösungen umzusetzen. In Lernphasen lernen entsprechende maschinelles Lernen Algorithmen, aus vielen diversen Beispielen simple Muster und Strukturen, hin zu komplexen Merkmalen und Gesetzmäßigkeiten zu erkennen. Daraus entstehende Regeln können auf neue Daten und ähnliche Situationen angewendet werden, in denen maschinelles Lernen beispielsweise entscheiden muss, ob es sich um einen Angriff oder eine legitime Nutzeraktion handelt.

Prinzip des Maschinellen Lernens

Die Algorithmen des maschinellen Lernens haben als Input Eingangsdaten mit Informationen, berechnen mit einem Algorithmus nach einem vorgegebenen Verfahren und liefern als Output die Ergebnisse. Die Anwendung entscheidet, wie die Verwendung der Ergebnisse stattfinden soll.

Maschinelles Lernen als Prinzip von Eingangsdaten, Algorithmus, Ergebnis und Verwendung
Abbildung: Workflow des Maschinellen Lernens – © Copyright-Vermerk

Eingangsdaten
Die Eingangsdaten können sehr vielfältig sein. Beispiele aus dem Cyber-Sicherheitsbereich:
• Smartphone: Lage- und Beschleunigungssensoren, GPS-Daten, Nutzereingaben, …
• Notebook, PC: Nutzereingaben, Log-Daten, …
• Netzwerke: Bandbreite, Verzögerung, …, Header- und Kommunikationsdaten, …
• IoT: Sensorik- und Aktorik-Daten
• allgemein IT-Systeme: CPU-Aktivitäten, RAM-Verbrauch, SW-Aufrufe, Kommunikation, …

Algorithmen des Maschinellen Lernens
• Support-Vector-Machine (SVM)
• k-Nearest-Neighbor (kNN)
• k-Means-Algorithmus
• hierarchische Clustering-Verfahren
• Convolutional Neural Network
• …

Ergebnisse
Ergebnisse aus der Verarbeitung der Eingangsdaten mit den Algorithmen können sein:
• Klassifizierung der Eingangsdaten, wie Erkennung von Angriffen
• numerische Werte, wie Hinweise zur Verbesserung eines Produkts
• binäre Werte, wie eine erfolgreiche biometrischer Authentifizierung

Verwendung
Die Anwendung entscheidet, wie die Ergebnisse verwendet werden.

Kategorien und Algorithmen des Maschinellen Lernens

1. Kategorie: Überwachtes Lernen
Beim überwachten Lernen wird ein Algorithmus mithilfe von Eingabedaten und Ergebnissen trainiert. Dadurch kann der Algorithmus lernen, ob das Ergebnis mit den Eingabedaten den Erwartungen entspricht. Zum Aufgabenfeld des überwachten Lernens gehört das Regressions- und Klassifizierungsproblem. Mit der Regressionsanalyse ist es möglich, Werte von abhängigen Variablen zu prognostizieren.
Aufgaben der Klassifikation befassen sich damit, Daten in verschiedene Klassen mit ähnlichen Ausprägungen einzuteilen.

Ziele des überwachten Lernens sind:
• Regression: Vorhersagen von numerischen Werten
• Klassifizierung: Einteilung von Eingabedaten in Klassen

Beispiele im Bereich der Cyber-Sicherheit sind:
• Erkennung von Spammails
Erkennen von Angriffen in Intrusion Dectection Systems (IDS)

Maschinelles Lernen Algorithmen aus dem Bereich des überwachten Lernens sind zum Beispiel:
• Support-Vector-Machine (SVM)
• k-Nearest-Neighbor (kNN)

Support-Vector-Machine (SVM)

Eine Support-Vector-Machine ist ein mathematisches Verfahren zur Klassifizierung von Eingabedaten (Objekte). Eine SVM arbeitet mit Trainingsdaten, für die bereits definiert ist, welcher Klasse sie zugehören. Jedes Eingabedatum wird dabei durch einen Vektor in einem n-dimensionalen Vektorraum repräsentiert. Für diesen Vektorraum versucht die SVM, eine optimale Hyperebenen zu berechnen, um damit die Daten in zwei Klassen zu unterteilen. Im Bild ist exemplarisch dargestellt, wie in einem zweidimensionalen Raum nach einer optimalen Hyperebene zu den gegebenen Eingabedaten gesucht wird. In einem n-dimensionalen Raum hat die Hyperebene die Dimension n − 1. Aus diesem Grund ist jede der betrachteten Hyperebenen in dem dargestellten Beispiel eine Linie.
Eine Hyperebene ist optimal, wenn der Abstand zu den sogenannten „Support-Vectors“ am höchsten ist. Ein „Support-Vector“ ist der nächste Vektor einer Klasse zu der betrachteten Hyperebene. In dem dargestellten Beispiel sind es jeweils die nächsten Punkte einer Klasse (rot oder blau) zu der betrachteten Linie.

Trainieren einer Support-Vector-Machine

Maschinelles Lernen trainieren einer Support-Vector-Machine
Abbildung: Trainieren einer Support-Vector-Machine – © Copyright-Vermerk

Eingabedaten: (1)
• Klassifizierte Objekte (Trainingsdaten, für die bereits definiert ist, welcher Klasse sie zugehören)
• Abstandsmaß der Objekte untereinander (durch Beschreibung als Vektor)

ML-Algorithmus: (2)
• Ermitteln von Geraden zur Trennung der klassifizierten Objekte
• Bewertung durch Abstand zu den Punkten
• Wahl der Geraden mit maximalem Abstand zu beiden Klassen

Ergebnis: (3)
• Gerade als Modell zur Klassifizierung
Danach klassifiziert das Modell mithilfe der Lage der Punkte der Eingabewerte in eine Klasse.

k-Nearest-Neighbor (kNN)

Der k-Nearest-Neighbor-Algorithmus ist ein Klassifikationsverfahren, bei dem eine Klassenzuordnung auf Basis seiner k nächsten Nachbarn durchgeführt wird.
Auch bei diesem Klassifikationsverfahren müssen bereits klassifizierte Objekte vorhanden sein. Die Klassifikation eines neuen Objektes erfolgt im einfachsten Fall durch Mehrheitsentscheidung. Für die Mehrheitsentscheidung werden die k nächsten bereits klassifizierten Objekte herangezogen. Als Maß für den Abstand der Objekte zueinander kann zum Beispiel die euklidische Distanz verwendet werden.

Maschinelles Lernen trainieren von k-Nearest-Neighbor (kNN)
Abbildung: Trainieren von k-Nearest-Neighbor (kNN) – © Copyright-Vermerk

Eingabedaten: (1)
• bereits klassifizierte Objekte
• Anzahl der zu betrachtenden Nachbarobjekte k
• unklassifiziertes Objekt, das klassifiziert werden soll

ML-Algorithmus: (2)
• Berechnung der Distanz zu allen anderen Objekten
• Betrachtung der k nächsten Nachbarobjekte
• Zuordnung zur am häufigsten vorkommenden Klasse

Ergebnis: (3)
• Klassifizierung des neuen Objekts durch Mehrheitsentscheidung


2. Kategorie: Unüberwachtes Lernen
Beim unüberwachten Lernen werden Muster und Gesetzmäßigkeiten in unklassifizierten Objekten gesucht.
Die Stärke im unüberwachten Ansatz liegt darin, nach Mustern auch in unklassifizierten Daten zu suchen, um sie nach vorheriger Aufbereitung besser beschreiben zu können. Mittels Clustering werden ähnliche Datengruppen miteinander in Verbindung gesetzt. Die Erwartungshaltung an diesen Ansatz liegt unter anderem darin, Dinge zu erkennen, die vorher anderweitig nicht sichtbar waren und ist im Weiteren auch gut geeignet, um unüberschaubare Datenmengen auf die wichtigsten Eigenschaften sowie Kriterien zu reduzieren. Da der Algorithmus selbstständig lernt, werden klassische Fehler in diesem Sinne nicht produziert.
Dies kann jedoch zu einem anderen Problem führen: Lernt der Algorithmus auch in die gewünschte Richtung? Zur Überprüfung des unüberwachten Lernens müssen folglich alle relevanten Gegebenheiten miteinander abgeglichen werden, um so Korrelationen zu finden. Clustering setzt ähnliche Datengruppen miteinander in Verbindung.

Maschinelles Lernen Algorithmen aus dem Bereich des unüberwachten Lernens sind zum Beispiel:
• k-Means-Algorithmus
• hierarchische Clustering-Verfahren

k-Means-Algorithmus

Der k-Means-Algorithmus ist ein Verfahren zur Clusteranalyse. Mit vorhandenen Eingangsdaten werden zufällig aus den gebildeten Mittelwerten für jeden Cluster ein Zentrum (Zentroid) ausgewählt. Die Elemente werden initial (zum Beispiel zufällig) zu den Clustern zugeordnet. Im nächsten Schritt werden die Abstände der einzelnen Punkte zum Beispiel mithilfe der euklidischen Distanz zu den Zentroiden neu berechnet. Dann werden die Elemente zu den am nächsten befindlichen Zentroid und seinem Cluster zugeordnet. Im nächsten Schritt werden die Zentroide erneut berechnet und die Elemente dementsprechend zugeordnet. Diese Schritte wiederholen sich iterativ so lange, bis kein Punkt mehr zu einem anderen Cluster zugeordnet werden kann. Der k-Means-Algorithmus ist einfach umzusetzen, er besteht im Prinzip nur aus Abstandsberechnungen und Neuzuordnungen und kommt iterativ zu einem stabilen und effektiven Cluster. Die Anzahl der gewünschten Cluster müssen als Eingabewert (k) bestimmt werden.

Maschinelles Lernen trainieren eines k-Means-Algorithmus
Abbildung: Trainieren eines k-Means-Algorithmus – © Copyright-Vermerk

Eingabedaten (1)
• beliebige Objekte
• Abstandsmaß
• Anzahl k Cluster
• initiale Zuordnung der Elemente zu Clustern (zum Beispiel zufällig)

ML-Algorithmus (2)
• Berechnung der Schwerpunkte (Zentroide)
• Zuordnung der Elemente zu Cluster mit dem nächsten Zentroid
• Neuberechnung der Zentroide und erneute Zuordnung

Ergebnis (3)
• Einteilung der Objekte in k Cluster

Hierarchische Clustering-Verfahren

Bei hierarchischen Cluster-Verfahren entstehen geschachtelte Cluster, die wiederum aus Clustern entstehen. Hierbei werden zu Anfang viele kleine Cluster gebildet, die im weiteren Verlauf zur größeren Clustern zusammengeführt werden.
Das Ergebnis wird in einem Dendrogramm dargestellt. Jedes Objekt der Eingabedaten ist zu Beginn ein eigenes Cluster. Durch das gewählte Ähnlichkeitsmaß werden ähnliche Cluster zu einem größeren Cluster zusammengeführt. Die zusammengeführten Cluster werden wiederum als Eingabedaten verwendet und weiter zusammengeführt. So entsteht nach jeder Iteration eine hierarchische Struktur.

Maschinelles Lernen trainieren eines hierarchischen Clustering-Verfahren 2
Abbildung: Trainieren eines hierarchischen Clustering-Verfahren – Teil 1 – © Copyright-Vermerk
Maschinelles Lernen trainieren eines hierarchischen Clustering-Verfahren 2
Abbildung: Trainieren eines hierarchischen Clustering-Verfahren – Teil 2 – © Copyright-Vermerk

Eingabedaten (1)
• beliebige Daten
• Ähnlichkeitsmaß

ML-Algorithmus (1) bis (5)
• jeder Datenpunkt ist ein eigenes Cluster
• ähnliche Cluster werden zuerst zusammengeführt
• entstandene Cluster werden erneut als Eingabedaten verwendet
• iteratives Zusammenführen der Cluster induziert eine hierarchische Struktur

Ergebnis (6)
• hierarchische Beziehungen zueinander in Form eines Binärbaums (Dendrogramm)

Wo kommt maschinelles Lernen im Anwendungsszenario Cyber-Sicherheit zum Einsatz?

Ausgewählte Anwendungsszenarien von Maschinellen Lernen (schwache KI) und Cyber-Sicherheit, um die Anwendungsvielfalt zu demonstrieren.


1.) Betrugsschutz im Online-Banking
Im Bereich des Online-Bankings kann zum Beispiel mithilfe von maschinellen Lernen (schwache KI)  ermittelt werden, ob eine erhöhte Bedrohungslage herrscht. Dazu werden verschiedene Datenquellen herangezogen und beispielsweise ermittelt, wie viele Banking-Trojaner aktuell aktiv sind, ob es aktuell bekannte Software-Schwachstellen im Umfeld von Online-Banking gibt, die für einen Angriff auf Bankkunden verwendet werden könnten oder ob derzeit vermehrt versucht wird, mit Phishing-Mails Zugangsdaten zu Online-Konten abzugreifen. Diese und andere Indikatoren, wie identifizierte Betrugs- oder Betrugsversuchsfälle der Bank, können dann verwendet werden, um mit verschiedensten Algorithmen aus dem Bereich des maschinellen Lernens ein Bedrohungslagebild zu erstellen und den Bankkunden bei hoher Bedrohung zu warnen und entsprechend aufzuklären, um die Schäden zu verhindern.

Maschinelles Lernen als Anwendungsszenarios eines Alert-Systems für Online-Banking
Abbildung: KI Alert-Systems für Online-Banking – © Copyright-Vermerk


2.) Erkennen von Angriffen über das Internet und Kommunikationslagebild
Durch die Analyse der Kommunikationsdaten können mit Hilfe von Maschinellen Lernen (schwache KI), Angriffe über das Internet erkannt werden. Dadurch können die Kommunikationsmöglichkeiten entsprechend reduziert werden, um den Angriff abzuwehren. Die Reduzierung kann sich zum Beispiel auf einen bestimmten Port oder die ganze Internet-Kommunikation beziehen. Ob ein IT-Sicherheitsexperte bei der Entscheidung eingebunden wird oder das Cyber-Sicherheitssystem dies automatisiert durchführt, ist ein wichtiger Aspekt für die Effektivität und Kosten des Systems. Die Ergebnisse können dann in ein Security Information and Event Management (SIEM)-System einfließen und zum besseren Management von Vorfällen führen. Zusätzlich kann auch ein Kommunikationslagebild erstellt werden, um Angriffe, Bedrohungen und Schwachstellen eines Netzwerks auszuwerten und Handlungsempfehlungen zu geben. Siehe auch: Cyber-Sicherheits-Frühwarn- und Lagebildsystem


3.) Authentifikationsverfahren
Passive, kontinuierliche Authentifizierung ist besonders bei der zunehmenden Verbreitung mobiler Endgeräte ein Zukunftsfeld für KI-Algorithmen / Maschinelles Lernen. Sensordaten aus Beschleunigungsmessgeräten oder Gyroskopen können während der Nutzung des Gerätes erhoben und ausgewertet werden. Die KI kann folglich unberechtigte Nutzer von der Gerätenutzung ausschließen. Solche Authentifizierungsverfahren sind ein weiterer Schritt zur Usability von robusten und sicheren Cyber-Sicherheitsmechanismen. Diese sind außerdem inklusiv, da sie keine zusätzliche Nutzerinteraktion erfordern und auch von Nutzern mit (bspw. kognitive) Einschränkungen genutzt werden können. Neben der Analyse von Sensordaten ist auch eine verbesserte Authentifizierung anhand von Bild- oder Spracherkennung möglich, da die Hardware zum Aufnehmen in den Endgeräten vorhanden und die Algorithmen zur Auswertung besser geworden sind.


4.) Malware-Erkennung
Die konventionelle Malware-Erkennung basiert zumeist auf signaturorientierten Detektoren, die bei einer Überprüfung die Signaturen von Dateien und Programmen mit bekannten Signaturen von Malware vergleicht. Wird Malware jedoch nur minimal verändert, kann die Signatur nicht mehr zur Erkennung genutzt werden. Heutige Malware verändert sich daher dynamisch. Dies hat zur Folge, dass immer neuere Varianten erscheinen und die Analyse und Aktualisierungen der Signatur-Datenbanken kaum noch effizient zu bewältigen ist. KI-basierte Detektoren können genutzt werden, um in Echtzeit verdächtige Aktivitäten zu erkennen. Anomalie-Erkennung oder Predictive Malware Analysis sind Verfahren, die durch den Einsatz von KI deutlich verbessert werden können.


5.) IT-Forensik
Im Bereich der IT-Forensik werden KI-Systeme ebenfalls ein relevanter Faktor. Durch die vermehrte Verlagerung von Lebensbereichen in die digitale Welt werden auch zunehmend Straftaten im digitalen Raum begangen, deren Spuren in den gewaltigen Datenmengen der alltäglichen Nutzung gefunden werden müssen. Dabei stoßen klassische Analysewerkzeuge immer schneller an ihre Grenzen, da IT-Systeme prinzipiell heterogener Natur sind. Verschiedenste IT-Geräte mit unterschiedlichen Betriebssystemen, Installationen und Konfigurationen können unzählige Fragmente aufweisen, die im Kontext von Ermittlungen vielfältige Relevanz besitzen. KI-Anwendungen können hier beispielsweise dabei helfen zu entscheiden, ob bestimmte „Adressen“ von einer verdächtigten Person kontaktiert wurden, oder ob es sich um Fragmente handelt, die von Software-Entwicklern standardmäßig in ihr Programm eingebunden wurden – wie es unter anderem bei Support-Adressen häufig der Fall ist.


Maschinelles Lernen: Weitere Anwendungsszenarien
Weitere Anwendungsszenarien sind, sichere Softwareentwicklung, erkennen von Fake-News, Bilderkennung von Ausweisen, VideoIdent, Biometrische Verfahren, wie Tippverhalten, Gestik-Erkennung, Seitenkanalanalyse, Kryptoanalyse, Advanced Persistent Threats & Cybercrime, Threat Intelligence, identifizieren von Spam-Mails, usw.


Manipulationen von Künstlicher Intelligenz / Maschinelles Lernen

In diesem Abschnitt wird diskutiert, wie und an welchen Stellen die Künstliche Intelligenz / maschinelles Lernen mit ihren Algorithmen manipuliert werden kann.

Maschinelles Lernen und Angriffspunkte
Abbildung: Angriffsziele eines KI-Systems – © Copyright-Vermerk

Eingabedaten:
Die Qualität der Eingabedaten bestimmt auch die Güte der Ergebnisse. Hierbei gilt es, einige Faktoren zu beachten. So ist es beispielsweise bei Verwendung der persönlichen Daten eines Nutzers wichtig, dass diese auch Eigenschaften und Interessen der jeweiligen Person beschreiben. Wenn beispielsweise diese Daten aus dem Surfverhalten eines Browsers auf einem Smartphone resultieren, werden die Ergebnisse nicht optimal sein können, da sich nicht garantieren lässt, dass die Recherche der Nutzer ausschließlich seinem Informationsbedarf entspricht und nicht zufällig auch dem von Freunden oder Kollegen. Über eine Parametrisierung des Algorithmus ist der Betreiber zudem in der Lage, durch die Festlegung etwa von Schwellenwerten oder Grenzwerten die Ergebnisse zu beeinflussen. Die Eingabedaten, die Wissen und Erfahrungen in einem bestimmten Bereich dokumentieren, haben ebenso Einfluss auf die Ergebnisse. Daher ist die Kenntnis darüber, was davon genutzt wird, für die Bewertung sehr relevant. Denn wenn in den Eingabedaten Vorurteile und diskriminierende Ansichten enthalten sind, werden die modernen neuronalen Netze auch entsprechende Ergebnisse erzeugen. Heute ist es schwierig, die Eingabedaten darauf hin zu überprüfen, weil dafür ein gewünschtes Abbild bezüglich definierter Werte einer Gesellschaft vorhanden sein müsste, das jedoch (noch) nicht existiert.

Außerdem müssen die folgenden Schutzziele beachtet und passende IT-Sicherheitsmaßnahmen umgesetzt werden:

  • Integrität
    Es müssen IT-Sicherheitsmaßnahmen zum Erkennen von Manipulation der Daten umgesetzt werden. Zum Beispiel durch die Berechnung von kryptographischen Prüfsummen, die von der Nutzung überprüft werden.
  • Vertraulichkeit
    Wenn in den Daten wie Trainingsdaten und Echtdaten Geschäftsgeheimnisse enthalten sind, muss deren Schutz gewährleistet werden. Zum Beispiel durch die Verschlüsselung der Daten während der Speicherung.
  • Datenschutz
    Wenn personenbezogene Daten enthalten sind, müssen auch diese nach dem Stand der Technik geschützt werden.
  • Verfügbarkeit
    Wenn zunehmend KI-Systeme in der Digitalisierung genutzt werden, wird die Verfügbarkeit immer wichtiger. Dazu müssen die Daten entsprechend redundant vorgehalten werden.

Manipulieren von Trainingsdaten (Poisoning Attack)

Poisoning Attack: Manipulieren der Trainingsdaten, um das Modell zu beeinflussen (z. B. Genauigkeit verschlechtern). Insbesondere Anwendungen der Cyber-Sicherheit sind dagegen anfällig, weil ein Angreifer Spam erstellt und somit die Trainingsdaten kontrolliert. Spam kann so erstellt werden, dass legitime Inhalte mit Spam assoziiert werden, sodass legitime Mails als Spam klassifiziert werden. Andersherum kann ein Angreifer legitime Mails versenden und bestimmte Inhalte einfügen, die er in einer speziellen Spam-E-Mail nutzen will, sodass diese Inhalte als legitim gelernt werden. Die Spam-E-Mail wird folglich nicht blockiert. Grundsätzliche Frage bei der Wahl von Trainingsdaten bei Spam: Ist der vorliegende Spam echter Spam (das, was gelernt werden soll) oder eine Poisoning Attack, die wie Spam aussieht, um das Modell zu manipulieren? Online Learning Systems lernen durchgehend und sind dadurch anpassbar an sich ständig verändernde Angriffe, dadurch aber auch anfällig für Poisoning (bzw. causative) Attacks.

Allgemein fügt bei einer Poisoning Attack ein Angreifer bösartige Samples in die Trainingsdaten ein, um die Entscheidungen der betroffenen KI-Systeme zu beeinflussen. Die Voraussetzung für diesen Angriff ist ein Zugriff auf die Trainingsdaten entweder mittelbar (z. B. Feedback-Loop) oder unmittelbar. Ziel des Angreifers ist es, das KI-Modell so zu verändern, dass es zu seinen Gunsten falsche Entscheidungen trifft.

Beispiel einer Poisoning Attack:

In diesem Beispiel werden bei der Support-Vector-Machine die klassifizierten Eingangsdaten so modifiziert, dass die Hyperebene zur Trennung der klassifizierten Objekte so verändert wird, dass dadurch gezielt unerkannte Angriffe möglich sind.

Maschinelles Lernen und ein Poisoning Attack
Abbildung: Beispiel einer Poisoning Attack – © Copyright-Vermerk

(1) Normale Klassifizierung eines neuen Inputs.
(neuer schwarzer Punkt gehört zur blauen Klasse)

(2) Beispiel: Manipulation von Trainingsdaten

Falsch klassifizierte Daten werden in den Trainingsprozess als Angriff einschleusen (zwei weitere blaue Punkte).

Dadurch wird die Gerade des Modells zur Klassifizierung manipuliert (Gerade wird flacher).

(3) Damit kann ein Angreifer für falsche Klassierungen sorgen.
(jetzt gehört der neue schwarze Punkt zur roten Klasse)

Manipulieren der Echtdaten (Evasion Attack)

Evasion Attack: Erstellung einer Eingabe, eines sogenannten Adversarial Examples, das eine falsche oder bestimmte Vorhersage/Klassifizierung verursachen soll. Oft dient eine natürliche Eingabe als Ausgangspunkt und wird gezielt modifiziert: Einfügen von speziellen Störungen/Rauschen (Perturbation/Distortion), die für einen Menschen nicht sichtbar sind. Adversarial Examples können aber auch in der Praxis vorkommen, zum Beispiel ein teilweise bemaltes oder beklebtes Verkehrsschild (es kommt auf die Sichtweise an, ob solche Fälle natürlichen oder bösartigen Ursprungs sind; da beklebte Schilder oft vorkommen, sollten sie eigentlich Teil der Trainingsdaten sein). Ein anderes Beispiel ist eine Brille, um sich gegenüber einer Gesichterkennung zu verstecken oder sich als eine bestimmte Person auszugeben (Backdoor Attack: ein spezieller Trigger wird mit einer bestimmten Klasse assoziiert, ansonsten soll das Modell nicht weiter verändert werden). In der Regel benötigt eine Evasion Attack Zugriff auf Eingabe-Ausgabe-Paare des Ziel-Modells (ein Prediction-Interface / Orakel), um zu testen welche Angriffsvektoren funktionieren und mit welcher Konfidenz (wenn das Modell Konfidenzwert zurückgibt). Oft geschieht dies in Kombination mit einer Model Extraction Attack, bei der ein ähnliches Modell nachgebaut wird und die gesammelten Eingabe-Ausgabe-Paare erlauben, die Ähnlichkeit des lokalen Modells zu dem Ziel-Modell einzuschätzen. Die Transferability Property beschreibt die Eigenschaft, dass ein Adversarial Example, das für ein Modell funktioniert, mit hoher Wahrscheinlichkeit auch für ein anderes Modell funktionieren wird, wenn beide Modelle für die gleiche Aufgabe trainiert wurden.

Generell erzeugt bei einer Evasion Attack ein Angreifer speziell gestaltete Eingaben, um eine falsche Entscheidung bei einem KI-Modell zu verursachen, um zum Beispiel einer Detektion zu entgehen. Diese Eingaben können so gestaltet sein, dass sie von Menschen als normal wahrgenommen werden, aber von KI-Algorithmen falsch klassifiziert werden.

Beispiel einer Evasion Attack:

Adversarial Examples sind von Angreifern absichtlich generierte einzelne Exemplare, durch die KI-Algorithmen getäuscht werden können. Bisherige Forschungen deuten darauf hin, dass eine minimale Änderung der Eingabedaten zu einer Fehlklassifizierung bei den KI-Algorithmen führen kann. Forscher von der Universität Michigan zeigten auch, wie sie ein in Autos eingebettetes Mustererkennungssystem täuschten, indem sie auf ein Stoppschild schwarze und weiße Sticker geklebt hatten. Obwohl Menschen dieses Stoppschild nicht für verdächtig halten würden, haben die getesteten Algorithmen in den Autos dieses Schild als „Speed Limit 45“ interpretiert.

Maschinelles Lernen manipuliertes Stoppschild
Abbildung: Ein Stoppschild, das von einem KI-System als „Speed Limit 45“ erkannt wurde – © Copyright-Vermerk


Algorithmus
Der Umgang mit maschinellem Lernen ist oftmals geprägt durch Ausprobieren und benötigt viel Erfahrung. Es lässt sich vorab nicht eindeutig bestimmen, welcher Ansatz der bestmögliche für eine bestimmte Aufgabenstellung ist. Gerade im unüberwachten Ansatz besteht die reale Möglichkeit, dass Korrelationen in den Input-Daten gefunden werden, die in die Irre führen können. Die Herausforderungen in diesem Bereich liegen darin, eine geeignete Skalierbarkeit der Dateninfrastruktur und eine passende Architektur sowie Algorithmen der automatisierten Entscheidungsfindung abzuleiten. Die Architekten (Zielsetzungsgeber) und Programmierer (Umsetzer) können somit im Prinzip die Ergebnisse durch die konkreten Methoden und deren Umsetzung beeinflussen. Aus diesem Grund wird es zunehmend essenzieller, dass die Richtigkeit der Nutzung von Algorithmen validiert werden kann.

Ergebnisse
Im Kontext eines Cyber-Sicherheitsmechanismus auf Basis einer Künstlichen Intelligenz könnten Cyber-Kriminelle die gelernten Ergebnisse verwenden, um beispielsweise den Erfolg von Angriffen im Vorfeld zu simulieren. Darauf aufbauend könnten von den Cyberkriminellen ggf. weitere Schutzvorkehrungen gegen eine Erkennung im Produktivumfeld implementiert werden.

Für derartige Angriffsszenarios könnten die Cyber-Kriminellen entweder direkt auf die gespeicherten Datenstrukturen einer Künstlichen Intelligenz zugreifen oder bereitgestellte Funktionen in der Anwendung einer Künstlichen Intelligenz verwenden (zum Beispiel API-Aufrufe), um anschließend die Ergebnisse zu rekonstruieren (Model Extraction Attack).

Exploratory Attack beschreibt das Herausfinden von Informationen über eine ML-Anwendung (Modell, Trainingsdaten, Aufgabe) und beinhaltet folgende Unterkategorien von Angriffen:

  • Model Extraction Attack: Kopieren des Zielmodells (z. B. um Adversarial Examples lokal testen zu können oder den Wettbewerbsvorteil eines Unternehmens zu zerstören).
  • Model Inversion Attack: Eingabe-Ausgabe-Paare des Zielmodells nutzen, um Trainingsdaten oder statistische Eigenschaften dieser zu erfahren.
  • Membership Inference Attack: Für eine gegebene Eingabe herausfinden, ob diese Eingabe Teil der Trainingsdaten eines Modells ist. Dazu werden Eingabe-Ausgabe-Paare des Zielmodells verwendet.

Verwendung
Bei Verwendung der Ergebnisse sind die Einflussmöglichkeiten am größten. So kommen etwa bei der Google-Suchmaschine basierend auf dem Algorithmus die relevantesten Einträge in einer entsprechenden Reihenfolge heraus. Bei der Auflistung von Suchergebnissen jeglicher Art setzt Google jedoch an die erste Stelle Werbung, was eine Manipulation der Resultate darstellt, wie beispielsweise über den Hinweis „Anzeige“ dokumentiert wird. Aufgrund dessen ist es leicht vorstellbar, dass jegliche Ergebnisse mithilfe eines weiteren Algorithmus gemäß der Zielsetzung von Google manipuliert werden können, und damit nicht mehr die „relevantesten Einträge“ des eigentlichen Algorithmus sind, sondern die von Google präferierten. Diese Art der Manipulation lässt sich bei jedem automatisierten Entscheidungssysteme anwenden – nachlesbar auch in.

Zusammenfassung Maschinelles Lernen

Maschinelles Lernen (schwache KI) im Bereich Cyber-Sicherheit wird helfen, Angriffe besser zu identifizieren, die wenigen Cyber-Sicherheitsexperten zu unterstützen und die Wirkung von Cyber-Sicherheitslösungen zu erhöhen.
Außerdem wird IT-Sicherheit benötigt, um den Schutz von Künstlicher Intelligenz und deren Ergebnissen zu gewährleisten.

Maschinelles Lernen ist Wissen aus Daten
Abbildung: Maschinelles Lernen ist Wissen aus Daten – © Copyright-Vermerk



Weitere Informationen zum Begriff “Maschinelles Lernen”:

Siehe auch Glossar-Eintrag: “Künstliche Intelligenz

Vorlesung: „Vorlesung: Künstliche Intelligenz und Cyber-Sicherheit“

Artikel:
„Sei gewarnt! Vorhersage von Angriffen im Online-Banking“

„Künstliche Intelligenz und Cybersicherheit“„Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“

„Ethik und künstliche Intelligenz – Wer macht die Spielregeln für die KI?“

Vorträge:
„Sicherheit und Vertrauenswürdigkeit von KI‐Systemen“

„Cyber-Sicherheit braucht Künstliche Intelligenz – keine Künstliche Intelligenz ohne Cyber-Sicherheit“

Studien:
“Künstliche Intelligenz – Potential und nachhaltige Veränderung der Wirtschaft in Deutschland 2019”

“Enquete‐Kommission Künstliche Intelligenz”


“Künstliche Intelligenz und Cybersicherheit – Diskussionsgrundlage für den Digitalgipfel 2018”

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Zurück zur Übersicht




Summary
Maschinelles Lernen
Article Name
Maschinelles Lernen
Description
Maschinelles Lernen ist die „künstliche“ Generierung von Wissen aus den Informationen in Daten mit der Hilfe von IT-Systemen. Mithilfe der Algorithmen des maschinellen Lernens werden mit vorhandenen Datenbeständen Muster und Gesetzmäßigkeiten erkannt und verallgemeinert, um damit neue Problemlösungen umzusetzen.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Maschinelles Lernen ist Wissen aus Daten
Maschinelles Lernen Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten