Shapes are not enough: CONSERVAttack and its use for finding vulnerabilities and uncertainties in machine learning applications

Dit paper introduceert de CONSERVAttack, een nieuwe adversariële aanval die kwetsbaarheden in machine learning-modellen voor de deeltjesfysica blootlegt door systematische onzekerheden te benutten die door standaardvalidatie worden gemist, en stelt strategieën voor om deze kwetsbaarheden te mitigeren.

De kern

De Kernboodschap: "Het ziet er goed uit, maar is het wel echt?"

Stel je voor dat je een super-slimme robot hebt die moet leren onderscheid maken tussen echte en neppe diamanten. Om dit te leren, krijgt de robot duizenden foto's van echte diamanten (de "data") en duizenden foto's van neppe diamanten (de "simulatie").

In de wereld van de deeltjesfysica (waar dit onderzoek vandaan komt) doen wetenschappers precies hetzelfde. Ze gebruiken AI om te zoeken naar nieuwe deeltjes in enorme hoeveelheden data van deeltjesversnellers.

Het probleem? De robot is soms te slim voor zijn eigen bestwil. Hij kan "geblindeerd" worden door trucjes die voor een mens (of een standaard controle) onzichtbaar zijn.

Het Probleem: De "Verkeerde Spiegel"

Normaal gesproken controleren wetenschappers hun AI op twee manieren:

1. De vorm: Kijken de gemiddelde grootte en kleur van de diamanten in de foto's overeen? (Dit noemen ze marginal distributions).
2. De relatie: Als de diamanten groter zijn, zijn ze dan ook zwaarder? Kijken ze naar de lijnen tussen de eigenschappen? (Dit noemen ze correlaties).

De auteurs van dit paper zeggen: "Dat is niet genoeg!"

Stel je voor dat je een neppe diamant maakt die precies dezelfde vorm en hetzelfde gewicht heeft als een echte, maar die van een heel ander materiaal is gemaakt dat de robot niet herkent. Of stel je voor dat je de robot een bril opzet die de wereld net iets anders kleurt. De robot denkt dan dat hij een echte diamant ziet, terwijl het nep is.

In de wetenschap noemen ze dit een "Adversarial Attack" (een vijandelijke aanval). Het is alsof iemand een onzichtbare inkt gebruikt om de foto's van de neppe diamanten net zo te vervormen dat de robot erin trapt, terwijl de foto's er voor de mens nog steeds perfect "echt" uitzien.

De Oplossing: De "CONSERVAttack"

De auteurs hebben een nieuwe truc bedacht, de CONSERVAttack.

• Wat doet het? Het creëert neppe data die de AI laat falen (de robot denkt dat het een diamant is, terwijl het steen is), maar die perfect voldoet aan alle standaard controles (vorm en gewicht kloppen).
• De metafoor: Het is alsof je een vermomming maakt die zo goed is dat zelfs de politie (de standaard controles) denkt dat het een onschuldige burger is, terwijl het in feite een inbreker is die de robot (de AI) verward.

Dit is gevaarlijk omdat het laat zien dat onze AI misschien onzekerheden heeft die we niet zien. We denken dat we alles hebben gecontroleerd, maar er zit nog een gat in de muur.

Hoe kunnen we dit oplossen?

Het paper stelt twee manieren voor om de robot sterker te maken:

1. Adversarial Training (Oefenen met de vijand):
   Stel je voor dat je de robot niet alleen leert met echte diamanten, maar ook met de neppe, vermomde diamanten die de CONSERVAttack maakt. Je zegt tegen de robot: "Kijk, dit ziet eruit als een diamant, maar het is nep. Leer het verschil!"

   • Resultaat: De robot wordt veel slimmer en ziet de valstrikken sneller. Hij wordt "robuust".

2. De "Adversarial Detector" (De Politieagent):
   In plaats van de robot zelf te trainen, bouw je een tweede robot (een detector). Deze tweede robot is gespecialiseerd in het opsporen van de vermommingen.

   • Hoe werkt het? Elke keer als de eerste robot een analyse maakt, loopt de data eerst door de "Politie-agent". Als de agent ziet: "Hé, dit gedraagt zich verdacht, alsof het een neppe diamant is!", dan wordt die data weggegooid.
   • Resultaat: De fouten die de eerste robot zou maken, worden eruit gehaald voordat ze tot een verkeerde conclusie leiden.

Een leuk experiment: De "Donut"

Om dit uit te leggen, gebruiken de auteurs een simpel voorbeeld met een donut.

• De echte deeltjes (Signaal): Zie je als een cirkel in het midden.
• De neppe deeltjes (Achtergrond): Zie je als een donutvorm (een ring) eromheen.
• De aanval: De aanval duwt de neppe deeltjes (de donut) precies naar het midden, waar de echte deeltjes zitten. Voor de robot is het nu onmogelijk om ze te onderscheiden.
• De oplossing: De "Politie-agent" (de detector) leert dat hoewel de vorm hetzelfde is, de manier waarop de deeltjes erin zitten (de structuur) anders is. Hij kan ze toch onderscheiden.

Waarom is dit belangrijk voor ons allemaal?

De auteurs concluderen met een nieuwe manier van werken:

1. Test je AI op deze "onzichtbare" aanval.
2. Gebruik de "Politie-agent" om de fouten eruit te halen.
3. Kijk naar de rest: Als de AI na deze test nog steeds fouten maakt die groter zijn dan de fouten die we al kennen uit de natuurkunde, dan weten we dat er iets mis is met onze simulaties. We moeten dan extra voorzichtig zijn en zeggen: "Onze meting heeft een grotere onzekerheid dan we dachten."

Kort samengevat:
Wetenschappers hebben ontdekt dat hun slimme computers soms opgelicht kunnen worden door trucjes die voor standaard controles onzichtbaar zijn. Ze hebben een nieuwe test (CONSERVAttack) bedacht om deze zwakke plekken op te sporen, en twee methoden (oefenen met de aanval en een speciale controle-robot) om de computers sterker en veiliger te maken. Het is een waarschuwing: Vertrouw niet blind op de vorm; kijk ook naar de diepere structuur.

Technische samenvatting

Titel en Context

Titel: Shapes are not enough: CONSERVAttack and its use for finding vulnerabilities and uncertainties in machine learning applications.
Domein: High Energy Physics (HEP) en Deep Learning.
Auteur(s): Philip Bechtle et al. (Universiteit Bonn, RWTH Aachen, etc.).

---

1. Het Probleem

In de Hoge Energiefysica (HEP) worden deep learning-modellen steeds vaker gebruikt voor taken zoals detector-simulatie, gebeurtenisreconstructie en classificatie (bijv. het onderscheiden van Higgs-bosonen van achtergrondruis). Hoewel deze modellen succesvol zijn, zijn ze afhankelijk van nauwkeurige simulaties.

Het huidige validatieproces in HEP richt zich op het vergelijken van marginaal gedistributies (enkele variabelen) en lineaire correlaties tussen data en simulatie in specifieke "controlegebieden".

• De beperking: Deze methoden controleren niet de volledige complexiteit van de beslissingsgrenzen van neurale netwerken, die vaak berusten op hoge-dimensionale en niet-lineaire correlaties.
• Het risico: Er kunnen hypothetische afwijkingen tussen simulatie en data bestaan die onzichtbaar blijven voor standaardvalidatie (marginaal en lineair), maar die toch leiden tot ernstige misclassificaties door het model. Dit creëert een onbekende bron van systematische onzekerheid.

---

2. Methodologie: CONSERVAttack

De auteurs introduceren een nieuwe aanvalstechniek, de CONSERVAttack (Conservative Attack), die specifiek is ontworpen om deze "onzichtbare" kwetsbaarheden bloot te leggen.

Kernprincipes van de aanval:

• Doel: Het genereren van adversarial perturbaties (kleine wijzigingen in de invoer) die het model laten falen (misclassificatie), maar waarbij de statistische eigenschappen van het dataset onveranderd blijven volgens HEP-standaarden.
• Beperkingen: In tegenstelling tot traditionele aanvallen (zoals PGD of FGSM) die per voorbeeld werken, construeert CONSERVAttack perturbaties op dataset-niveau. De aanval moet garanderen dat:
  1. De marginal verdelingen van de invoerfeatures behouden blijven.
  2. De inter-feature correlaties (lineair) behouden blijven.
• Optimalisatie: De aanval lost een min-max probleem op. Het maximaliseert de verliesfunctie van het model (om misclassificatie te veroorzaken) terwijl het tegelijkertijd een aangepaste verliesfunctie minimaliseert die de afwijkingen in verdeling en correlatie straft.
  • Metriek voor verdeling: Jensen-Shannon Distance (JSD).
  • Metriek voor correlatie: Relatieve Frobenius-norm van het verschil in correlatiematrices ($\Delta_{FN}$).
• Grey-Box Aannames: De aanval gebruikt kennis van de architectuur en data, maar niet de exacte gewichten/gradiënten van het doelpuntmodel (realistischer voor simulatie-scenario's).

---

3. Belangrijkste Bijdragen

1. CONSERVAttack: Een nieuwe adversarial attack die specifiek is ontworpen om de beperkingen van huidige HEP-validatiemethoden te omzeilen.
2. Workflow voor Onzekerheid: Een voorgestelde procedure om de maximale kwetsbaarheid van een model te kwantificeren. Als de "fooling ratio" (aandeel misclassificaties) na correctie binnen de bekende fysische onzekerheden valt, hoeft er geen extra onzekerheid voor adversarial effecten worden toegevoegd.
3. Data Augmentation: Het tonen dat deze adversarial voorbeelden kunnen worden gebruikt om modellen te trainen in scenario's met weinig data, waardoor de generalisatie op schone data verbetert.
4. Adversarial Detector: De ontwikkeling van een secundair netwerk dat geschoold is om schone events te onderscheiden van adversarial events, wat de robuustheid van het systeem vergroot.
5. Extensie naar Niet-Lineaire Correlaties: Een variant van de aanval die Distance Correlation gebruikt in plaats van Pearson-correlatie om ook niet-lineaire afhankelijkheden te behouden, wat de aanval nog moeilijker maakt.

---

4. Resultaten

De auteurs testten de methode op twee HEP-taken:

1. Higgs Boson classificatie (Kaggle dataset).
2. Jet-tagging (onderscheid tussen Top-Quark jets en W-boson jets).

Kernresultaten:

• Hoog Succes: De aanval bereikte een Fooling Ratio (FR) van ongeveer 0,9 voor de Higgs-taak en 0,675 voor de Jet-tagging-taak. Dit betekent dat het model in bijna alle gevallen de verkeerde voorspelling deed.
• Onzichtbaarheid: Ondanks de hoge misclassificatie, bleven de JSD en $\Delta_{FN}$ waarden extreem laag (bijv. JSD < 0,02). De perturbaties waren ondetecteerbaar voor standaard HEP-validatiechecks.
• Data Augmentation: Bij het trainen met beperkte datasets leidde het toevoegen van adversarial voorbeelden tot een verbetering van de AUROC (Area Under the Curve) met ongeveer 1% op schone testdata.
• Defensie (Adversarial Training & Detector):
  • Adversarial Training: Verminderde de fooling ratio naar ~0,15-0,20.
  • Adversarial Detector: Een apart netwerk dat schone en adversarial events scheidde, verlaagde de fooling ratio tot 0,05 - 0,08.
• Real Data Generalisatie: De Adversarial Detector, getraind op simulatie, presteerde verrassend goed op echte CMS-data (Single Mu dataset), wat suggereert dat er geen grote "domain gap" is tussen simulatie en realiteit wat betreft deze specifieke kwetsbaarheden.
• Systematische Fouten: Analyse toonde aan dat een statistisch significant subset van schone events consistent door de detector als "adversariaal" wordt gemarkeerd, wat wijst op structurele eigenschappen die door het model worden misgebruikt.

---

5. Betekenis en Conclusie

Dit werk heeft fundamentele implicaties voor het gebruik van AI in de wetenschap:

• Nieuwe Onzekerheidsbron: Het bewijst dat standaard statistische checks (marginaal en lineair) onvoldoende zijn om de robuustheid van deep learning-modellen in de fysica te garanderen. Er bestaat een "onzichtbare" ruimte van systematische onzekerheid.
• Noodzaak van Robuustheid: Fysici moeten de gevoeligheid van hun modellen voor dergelijke aanvallen kwantificeren. Als een model kwetsbaar is voor ondetecteerbare perturbaties, moet dit worden meegenomen in de totale onzekerheidsbudgettering van een experiment.
• Praktische Toepassing: De voorgestelde workflow (trainen -> aanval genereren -> detector trainen -> correctie) biedt een concrete methode om de bovengrens van systematische onzekerheid te bepalen. Als de correctie na toepassing van de detector de onzekerheid binnen de fysische grenzen houdt, is het model betrouwbaar. Anders moet er gezocht worden naar onbekende oorzaken van afwijkingen tussen simulatie en data.
• Toekomst: De auteurs pleiten voor het gebruik van dergelijke aanvalstechnieken als diagnostisch instrument om fouten in simulatiepipelines (event generators) op te sporen en om modellen robuuster te maken.

Kortom: Vormen (shapes) en lineaire correlaties zijn niet genoeg. De fysica-gemeenschap moet rekening houden met complexe, niet-lineaire kwetsbaarheden die door standaardvalidatie worden gemist.