21. Juli 2021 | Magazin:

KI gegen Pixelfälscher verteidigen Wettbewerb für Studierende: Das Deep Learning Lab 2021

Damit Maschinen Bilder erkennen können, kategorisieren sie jeden Pixel einzeln. Dies geschieht heutzutage durch den Einsatz von Methoden der künstlichen Intelligenz. Doch was passiert, wenn eine Cyberattacke Pixel für Pixel im Eingabebild verfälscht? Im Institut für Nachrichtentechnik der TU Braunschweig lernen die Studierenden nicht nur, was theoretisch dagegen hilft. Zum vierten Mal gibt es im Deep Learning Lab eine praktische Challenge zu maschinellem Lernen. Dieses Jahr ging es den sogenannten Rauschmustern an den Kragen.

Das Bild zeigt viermal die gleiche Straßenverkehrsszene in einer Stadt. Oben links ist das mit einem Rauschmuster attackierte Bild. Oben rechts zeigt, wie die Künstliche Intelligenz ohne Rauschmuster die Pixel farblich kategorisieren würde. Autos in blau, Menschen in rot, Straßenbegrenzungen in pink. Unten links ist dagegen das durchs Rauschmuster verfälschte Ergebnis der semantischen Segmentierung. Unten rechts zeigt schließlich, wie die Gewinner des Deep Learning Labs das Rauschen reduzierten und sich wieder dem Optimum von oben rechts annäherten.

Die diesjährige Challenge in einem Bild: Oben links ist das mit einem Rauschmuster attackierte Bild. Oben rechts zeigt, wie die Künstliche Intelligenz ohne Rauschmuster die Pixel farblich kategorisieren würde. Unten links ist dagegen das durchs Rauschmuster verfälschte Ergebnis der semantischen Segmentierung. Unten rechts zeigt schließlich, wie die Gewinner des Deep Learning Labs das Rauschen reduzierten und sich wieder dem Optimum von oben rechts annäherten. Bildnachweis: Cityscapes Dataset, IfN/TU Braunschweig

 

Semantische Segmentierung“ heißt der Prozess, aus dem der bunte Titelbild-Teil „Pseudo-Labels“ entstand. Eine künstliche Intelligenz bewertet dabei jeden Pixel eines eingehenden Bildes und markiert sie mit einem Farbcode: Fahrzeuge in blau, zu Fuß Gehende in rot und Grünflächen in grün. Die automatische Bilderkennung muss bei Anwendungen im automatisierten Straßenverkehr oder in der medizinischen Bildgebung unbedingt zuverlässig sein. Entsprechend soll auch bei Nebel oder Kamerarauschen alles korrekt erkannt werden. Im Extremfall muss die Software sogar gegen von außen eingebrachte Rauschmuster arbeiten. Die Verteidigung gegen solche Rauschmuster ist sowohl Gegenstand in der Forschung, als auch gefragtes Knowhow in der Industrie.

„Im diesjährigen Deep Learning Lab wollten wir diesen Aspekt des maschinellen Lernens vertiefen“, sagt Professor Tim Fingscheidt. „Als praktische Vertiefung nach den Theorievorlesungen haben wir dabei unser Programm in drei Praxisphasen eingeteilt: Zuerst gibt es eine Einführung in die Programmiersprache Python. Danach stellen wir den Teilnehmer*innen schrittweise komplexere Aufgaben zu Themen aus der Vorlesung. Dabei erlernen sie etwa, wie man mit Rechenclustern umgeht und maschinelles Lernen optimiert. Als drittes kommt schließlich die eigentliche Challenge, in der die Studierenden selbstständig eine anspruchsvolle Aufgabe lösen müssen. Dieses Jahr haben neun Dreier-Teams diese Abschlussübung gemeistert.“

Mit dem Ernstfall trainieren

Besonders herausfordernd sind gezielt eingebrachte Rauschmuster. Diese Attacken berechnen, wie man die künstliche Intelligenz optimal austricksen kann. Für das menschliche Auge sind sie unauffällig. Lediglich ein paar Farbpixel zeigen sich auf dem Bild („Attacked“ im Titelbild). Für die Maschine ist das Ursprungsbild jedoch völlig verfremdet (Baseline im Titelbild). Ein automatisiertes Fahrzeug würde also beispielsweise andere Verkehrsteilnehmer*innen nicht mehr sehen.

Die neun studentischen Teams im Deep Learning Lab sollten ihre Netzwerke vor den schädlichen Effekten solcher Rauschmuster schützen. Dafür probierten sie mehrere Lösungsansätze aus. Gute Ergebnisse lieferte etwa das „Adversarial Training“, bei dem das Netzwerk bereits im Training auf Rauschmuster trifft. Besonders erfolgreich waren darin Alexandre Castadere, Yufeng Du und Tim Kayser (Titelbild-Teil „Winner Team“). Sie verbesserten ihr Netzwerk über mehrere Trainings-Abschnitte, wobei das Netzwerk aus dem vorherigen Abschnitt jeweils die Angriffe für den folgenden Abschnitt trainierte. So stieg kontinuierlich die Robustheit des Netzwerks gegenüber Rauschmustern. Im Deep Learning Lab erreichte das Team damit den ersten Platz, dotiert mit 450 Euro. Platz zwei (300 Euro) sicherten sich Aziz Hakiri, Nils Hartmann und Jonas Koll

Alle Beteiligten des Deep Learning Labs bei der Siegerehrung. Bildnachweis: Institut für Nachrichtentechnik/TU Braunschweig

Mit wenig Ressourcen zum Ziel

Julian Bartels, Timo Prescher und Jannik von der Heide erreichten mit ihrem Team gleich zwei Preise. Einerseits erreichte ihr Netzwerk insgesamt das drittbeste Ergebnis (150 Euro Preisgeld). Andererseits benötigten sie dabei gerade mal 880 Stunden GPU-Rechenzeit und erhielten damit den Umweltpreis (50 Euro Preisgeld). Denn das Training von künstlicher Intelligenz braucht große Mengen an Rechenleistung und damit Energie. Zum Vergleich: die Zweitplatzierten brauchten fast das Vierfache an Rechenzeit.

Mehrere Unternehmen unterstützten das Deep Learning Lab und stifteten die Preisgelder. Zur Preisverleihung gehörten für die Studierenden auch einige Networking-Angebote. Denn die praktisch ausgebildeten Absolvent*innen der Challenge sind begehrte Spezialist*innen im Bereich des maschinellen Lernens.