Dénombrement des Caractéristiques pour Améliorer la Robustesse Adversaire

Les attaques adverses sur les systèmes de classification d'images posent des défis aux réseaux convolutifs et offrent des opportunités pour mieux les comprendre. Cette étude suggère que les perturbations adverses sur les images entraînent un bruit dans les caractéristiques construites par ces réseaux. Inspirés par cette observation, nous développons de nouvelles architectures de réseau qui augmentent la robustesse aux attaques adverses en effectuant un débruitage des caractéristiques. Plus précisément, nos réseaux contiennent des blocs qui débruitent les caractéristiques en utilisant des moyennes non locales ou d'autres filtres ; l'ensemble des réseaux est formé de manière end-to-end. Lorsqu'ils sont combinés avec une formation adverse, nos réseaux à débruitage de caractéristiques améliorent considérablement l'état de l'art en termes de robustesse aux attaques adverses, tant dans le cadre d'attaques en boîte blanche que d'attaques en boîte noire. Sur ImageNet, sous des attaques PGD (Projected Gradient Descent) en boîte blanche à 10 itérations où l'état antérieur de l'art atteint une précision de 27,9%, notre méthode obtient 55,7% ; même sous des attaques PGD en boîte blanche extrêmes à 2000 itérations, notre méthode maintient une précision de 42,6%. Notre méthode a été classée première au Concours sur les Attaques et Défenses Adverses (CAAD) 2018 --- elle a atteint une précision de classification de 50,6% sur un jeu de données de test secret similaire à ImageNet contre 48 attaquants inconnus, surpassant l'approche du deuxième classé d'environ 10%. Le code est disponible à l'adresse suivante : https://github.com/facebookresearch/ImageNet-Adversarial-Training.