SAD : Défenses Basées sur la Saliences Contre les Exemples Adverses

Avec l'augmentation de la popularité des modèles d'apprentissage automatique et profond, il y a une attention croissante portée à leur vulnérabilité aux entrées malveillantes. Ces exemples adverses dévient les prédictions du modèle de l'intention originale du réseau et constituent une préoccupation croissante en matière de sécurité pratique. Pour combattre ces attaques, les réseaux neuronaux peuvent utiliser des approches traditionnelles de traitement d'image ou des modèles défensifs de pointe afin de réduire les perturbations dans les données. Les approches défensives qui adoptent une stratégie globale pour la réduction du bruit sont efficaces contre les attaques adverses, mais leur approche destructive distord souvent des données importantes dans l'image. Dans ce travail, nous proposons une approche basée sur la salience visuelle pour nettoyer les données affectées par une attaque adverse. Notre modèle utilise les régions salientes d'une image adverse afin de fournir une contre-mesure ciblée tout en réduisant comparativement la perte au sein des images nettoyées. Nous mesurons la précision de notre modèle en évaluant l'efficacité des méthodes de salience de pointe avant l'attaque, sous l'attaque, et après l'application des méthodes de nettoyage. Nous démontrons l'efficacité de notre approche proposée en comparaison avec les défenses connexes et face aux méthodes d'attaque adverse établies, sur deux jeux de données de salience. Notre approche ciblée montre des améliorations significatives dans un ensemble de métriques statistiques et de distance standard de salience, en comparaison avec les approches traditionnelles et celles de pointe.