Défense Adversaire en Restreignant l'Espace Caché des Réseaux Neuronaux Profonds

Les réseaux neuronaux profonds sont vulnérables aux attaques adversariales, qui peuvent les tromper en ajoutant des perturbations minuscules aux images d'entrée. La robustesse des défenses existantes est grandement compromise dans les configurations d'attaques en boîte blanche, où l'adversaire dispose d'une connaissance complète du réseau et peut itérer plusieurs fois pour trouver des perturbations puissantes. Nous constatons que la principale raison de l'existence de telles perturbations est la proximité étroite des échantillons de différentes classes dans l'espace des caractéristiques apprises. Cela permet à la décision du modèle d'être totalement modifiée par l'ajout d'une perturbation imperceptible aux entrées. Pour contrer cela, nous proposons de désentrelacer les représentations intermédiaires des caractéristiques des réseaux profonds selon les classes. Plus précisément, nous forçons les caractéristiques de chaque classe à se situer à l'intérieur d'un polytope convexe qui est séparé au maximum des polytopes des autres classes. De cette façon, le réseau est contraint d'apprendre des régions de décision distinctes et éloignées pour chaque classe. Nous observons que cette simple contrainte sur les caractéristiques améliore considérablement la robustesse des modèles appris, même face aux attaques en boîte blanche les plus puissantes, sans dégrader les performances de classification sur les images propres. Nous rapportons une évaluation extensive dans les scénarios d'attaques en boîte noire et en boîte blanche, montrant des gains significatifs par rapport aux défenses de pointe actuelles.