Deep Learning in Adversarial Context

par Hanwei Zhang

Thèse de doctorat en Informatique

Sous la direction de Laurent Amsaleg, Yannis Avrithis et de Teddy Furon.

Soutenue le 17-06-2021

à Rennes, École normale supérieure , dans le cadre de École doctorale Mathématiques et sciences et technologies de l'information et de la communication (Rennes) , en partenariat avec Université de Rennes (laboratoire) , École normale supérieure - Rennes (laboratoire) , Institut de Recherche en Informatique et Systèmes Aléatoires (laboratoire) , Creating and exploiting explicit links between multimedia fragments (laboratoire) et de Inria Rennes – Bretagne Atlantique (laboratoire) .

Le président du jury était Patrice Quinton.

Le jury était composé de Changbo Wang, Yuan Xie, Aimin Zhou.

Les rapporteurs étaient Michel Crucianu, Cecilia Pasquini.

  • Titre traduit

    Apprentissage profond dans un contexte adversaire


  • Résumé

    Cette thèse porte sur les attaques adverses et les défenses en apprentissage profond. Nous proposons d’améliorer les performances des attaques adversariales en termes de vitesse, de magnitude de distorsion et d’invisibilité. Nous contribuons en définissant invisibilité avec lissage et en l’intégrant dans l’optimisation de la production d’exemples adverses. Nous parvenons à créer des perturbations contradictoires lisses avec une amplitude de distorsion moindre. Pour améliorer l’efficacité de la production d’exemples contradictoires, nous proposons un algorithme d’optimisation, i.e. BP attaque, basé sur la connaissance du problème contradictoire. BP attaque recherche contre le gradient du réseau pour conduire à une mauvaise classification lorsque la solution actuelle n’est pas contradictoire. Elle cherche le long de la frontière pour minimiser la distorsion lorsque la solution actuelle est contradictoire. BP réussissons à générer des exemples contradictoires avec une faible distorsion de manière efficace. De plus, nous étudions également les défenses. Nous appliquons le remplacement de patchs à la fois sur les images et les caractéristiques. Il supprime les effets adverses en remplaçant les patchs d’entrée par les patchs les plus similaires des données d’entraînement. Les expériences montrent que le remplacement de patch est bon marché et robuste contre les attaques adverses.


  • Résumé

    This thesis is about the adversarial attacks and defenses in deep learning. We propose to improve the performance of adversarial attacks in the aspect of speed, magnitude of distortion, and invisibility. We contribute by defining invisibility with smoothness and integrating it into the optimization of producing adversarial examples. We succeed in creating smooth adversarial perturbations with less magnitude of distortion. To improve the efficiency of producing adversarial examples, we propose an optimization algorithm, i.e. Boundary Projection (BP) attack, based on the knowledge of the adversarial problem. BP attack searches against the gradient of the network to lead to misclassification when the current solution is not adversarial. It searches along the boundary to minimize the distortion when the current solution is adversarial. BP succeeds to generate adversarial examples with low distortion efficiently. Moreover, we also study the defenses. We apply patch replacement on both images and features. It removes the adversarial effects by replacing the input patches with the most similar patches of training data. Experiments show patch replacement is cheap and robust against adversarial attacks.


Il est disponible au sein de la bibliothèque de l'établissement de soutenance.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse\u00a0?

  • Bibliothèque : École normale supérieure de Rennes (Bruz, Ille-et-Vilaine). Bibliothèque.
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.