Description |
Mit dem Ziel die Sicherheit im Strassenverkehr zu erhöhen, entwickelt die Automobilindustrie immer intelligentere Fahrzeuge. Eine grössere Herausforderung ist es proaktiv gefährliche Situationen zu erkennen, um Unfälle zu vermeiden oder ihre Auswirkungen zu reduzieren. Durch die steigende Sensorausstattung von Fahrzeugen und hoch detailliertem Kartenmaterial können Algorithmen entwickelt werden, die die lokale Verkehrssituation für wenige Sekunden antizipieren. Im Bereich des Machine Learning haben Deep Learning Modelle für graphstrukturierte Daten für die Aufgabe der node-level Klassiffikation beeindruckende Ergebnisse erzielt. Durch die Modellierung von Verkehrsszenen als Graph mit interagierenden Verkehrsteilnehmern lassen sich Graph Neural Networks (GNN) für die Vorhersage von Trajektorien einsetzen. Trotz ihrer stetig wachsenden Anwendungsdomäne ist wenig über ihre Robustheit gegenüber adversarial attacks bekannt. Diese Arbeit repräsentiert eine empirische Studie von adversarial attacks auf attributierten Graphen, mit besonderem Fokus auf Modelle die Graph Convolutions und Attention-Mechanismen einsetzen. Die Arbeit stellt drei Graph Neural Networks vor, die auf der Architektur für Graph Attention so- wie Convolution aufbauen und dazu in der Lage sind konkurrenzfähige Vorhersagen für Trajektorien im urbanen Gelände zu berechnen. Mit Hilfe eines domainagnosti- schen Algorithmus für adversarial attacks auf dynamischen Graphen im transduktiven Lernverfahren wird die Verwundbarkeit von GNNs nachgewiesen. Die Angriffsszenarien umfassen direkte Angriffe auf den Knoten, dessen Trajektorie vorhergesagt werden soll sowie indirekte Angriffe auf adjazente Knoten. Die weitere Differenzierung von adversarial attacks zwischen den Attributen des Graphen und seiner Struktur deckt auf, dass modellspezifsche Angriffsvektoren existieren, die erfolgreich darin sind die Vorhersage zu täuschen. So konnte gezeigt werden, dass die Fehlklassiffikationsrate von Attention-basierten GNNs nach wenigen Perturbiereungen der Graphstruktur um mehr als 18% gesteigert wird. Die Ergebnisse leisten einen Beitrag dazu, die verwendeten Architekturtypen sowie ihre Anwendbarkeit in diversen Aufgabengebieten besser zu verstehen und Verfahren zu entwickeln, die sie gegen adversarial attacks härten.
|