Vous êtes ici : Accueil » Kiosque » Annonce

Identification

Identifiant: 
Mot de passe : 

Mot de passe oublié ?
Détails d'identification oubliés ?

Annonce

24 juillet 2019

Thèse Sécurité des réseaux de neurones profonds


Catégorie : Doctorant


De l'apport de la dissimulation d'information sur la sécurité des réseaux de neurones -- Application à la classification d'images --

 

Ce projet de recherche répond aux thématiques citées dans l'appel à projet de recherche ``Coopération Inria / DGA dans le domaine de l’IA - 2019'' :

- Fiabilité et qualification des méthodes à base de réseaux de neurones

- Résistance au leurrage

- Confidentialité des modules d'intelligence artificielle

L'application visée est la classification d'image où les réseaux de neurones profonds ont apporté un gain spectaculaire de performances. La tendance actuelle est l'étude de la sensibilité de ces réseaux à des modifications spécifiques des images pour leurrer la classification. Il s'agit d'un contexte hostile où un attaquant modifie les images avant de les soumettre à un réseau de neurones. Le but de l'attaque est atteint si le résultat de la classification n'est pas la classe de l'image originale (attaque non ciblée) ou une classe choisie par l'attaquant (attaque ciblée).

Le point de départ de ce projet de recherche est le parallèle entre le leurrage de de réseaux de neurones et la dissimulation d'information (Information hiding). La dissimulation d'information moderne regroupe le tatouage numérique et la stéganographie. Dans ces deux domaines, une image est modifiée de manière imperceptible pour véhiculer une marque cachée. Le parallèle avec les attaques sur les classifieurs d'images est évident : il s'agit de modifier une image de manière imperceptible pour la changer de classe. Il est surprenant que la communauté `réseaux de neurones profonds' ne cite absolument jamais des travaux en tatouage et stéganographie.

La thèse explorera les pistes suivantes :

Imperceptibilité

Au sens d'invisibilité à l'oeil nu

De très nombreux travaux en tatouage numérique portent sur l'imperceptibilité du marquage. Ici imperceptibilité signifie invisibilité à l'oeil nu. Le coeur d'une technique de tatouage d'image est le modèle de perception de l'oeil humain. Il est relativement facile d'appliquer ces modèles de perception aux attaques de leurrage de réseau de neurones. Cela rendra les attaques réellement imperceptibles. Aussi cela augmentera la probabilité de succès. Grâce aux modèles de perceptions, les perturbations auront une énergie plus grande tout en restant imperceptibles, ce qui augmentera les chances de leurrer le classifieur.

Au sens d'invisibilité statistique

En stéganographie, imperceptibilité est pris au sens invisibilité statistique. Cacher un message dans une image signifie modifier la valeur de certains pixels de plus ou moins un quantum. La stéganographie introduit des modifications extrêmement faibles. Pourtant, des outils de stéganalyse réussissent à détecter ces micro-changements. L'apport aux réseau de neurones est évident. Un outil de stéganalyse détecterait que l'image traitée a en fait été attaquée et le réseau refuserait de classer cette image douteuse. L'inverse est bien entendu envisagé. La stéganographie possède aussi des modèles d'insertion qui localisent dans l'image originale les pixels modifiables et non détectables. La question ici est de savoir si ces micro-changements indétectables sont suffisants pour modifier la classe de l'image prédite par le réseau de neurones.

Classification à clé secrète

La stéganographie et le tatouage numérique répondent au principe cryptographique de Kerckhoffs. Les algorithmes sont publics mais dépendent d'un paramètre choisi au hasard avec une grande entropie et appelé clé secrète. Ce principe est inconnu de la communauté réseaux de neurones. Il amènerait pourtant un grand avantage. La plupart des papiers considèrent un réseau de neurones en boîte blanche (white box) au sens où l'attaquant connaît tous les détails de son implémentation. Grâce à cette connaissance, il est capable de monter des attaques puissantes contre ce réseau notamment par propagation de gradient. Si maintenant, ce réseau est privé par une clé secrète, l'attaquant ne peut plus calculer la propagation de gradient.

Attaque par oracle

L'introduction d'une clé secrète empêche une attaque en boîte blanche, mais pas une attaque en boîte noire (black box). Peu de papiers adoptent le paradigme de la boîte noire. En tatouage numérique, on parle d'attaque par oracle. Le nombre d'appels à l'oracle et la complexité est bien plus faible. Cependant, il faut relancer l'attaque à partir de zéro à chaque image. Autre apport du tatouage, il existe des mécanismes qui détectent qu'une attaque par oracle est en train de se jouer. Le détecteur de tatouage se verrouille, retarde intentionnellement ses prises de décision pour ralentir l'attaque, ou encore retourne des réponses aléatoires.

 

Financement : DGA / Inria

Localisation : Inria Rennes

Direction de thèse : Teddy Furon (Inria Rennes) et Patrick Bas (CNRS, Lille)

Contact: teddy.furon@inria.fr

 

Dans cette rubrique

(c) GdR 720 ISIS - CNRS - 2011-2019.