Por favor, use este identificador para citar o enlazar este ítem: http://cicese.repositorioinstitucional.mx/jspui/handle/1007/3673
Ataques adversarios a sistemas de visión
Adversarial attacks to vision system
Angello Jahir Hoyos Ibarra
Edgar Leonel Chávez González
UBALDO RUIZ LOPEZ
Acceso Abierto
Atribución
ataques adversarios, defensa adversaria, códigos de Hadamard, clasificación de imágenes
: adversarial examples, adversarial defense, Hadamard codes, image classification
Las redes neuronales profundas (DNN) pueden aprender a clasificar, sintetizar y, en general, inferir correlaciones en extensas colecciones de datos. Se han convertido en soluciones de caja negra para innumerables tareas cotidianas. Sin embargo, las DDNs son susceptibles a ataques adversarios, que consisten en ejemplos que contienen modificaciones imperceptibles para un observador humano los cuales están diseñados para que las DNNs cometan errores al realizar una predicción. Se observó que todas las arquitecturas basadas en DNN utilizan una codificación one-hot después de una capa softmax. La distancia de Hamming entre pares de códigos one-hot es dos, independientemente del número de clases, y se deduce que esto es fundamental para un ataque exitoso. El atacante solo requiere generar una perturbación capaz de cambiar un par de bits de información para clasificar incorrectamente una imagen. Algo similar a la transmisión de información a través de un canal ruidoso. Con la observación anterior en mente, en esta tesis se postula que el uso de códigos de corrección de errores puede mejorar la resistencia de las DNN frente a ataques adversarios. Se utilizan los códigos de Hadamard para ese fin. Los códigos Hadamard de orden n, para las clases O(n), tienen una distancia de Hamming de n/2. Por lo tanto, un ataque adversario necesitaría cambiar una mayor cantidad de bits para clasificar incorrectamente una imagen. Se probó esta hipótesis contra seis tipos de ataques de caja blanca y uno de caja negra. Los modelos con códigos Hadamard presentaron mayor resistencia que superó por mucho a las alternativas en el estado del arte. En particular, superamos a los modelos destilados, considerados como la mejor defensa adversaria en la literatura relacionada.
Deep neural networks (DNNs) can learn to classify, synthesize, and generally infer correlations across extensive data collections. They have become black box solutions for countless everyday tasks. However, DDNs are susceptible to adversarial attacks, which consist of instances that contain modifications imperceptible to a human observer, which are designed so that DNNs make mistakes when making a prediction. It was noted that all DNN-based architectures use one-hot encoding after a softmax layer. The Hamming distance between pairs of one-hot codes is two, independent of the number of classes, and it follows that this is essential for a successful attack. The attacker only requires generating a disturbance capable of changing a couple of bits of information to classify an image incorrectly. Somewhat similar to the transmission of information through a noisy channel. With the previous observation in mind, in this thesis, it is postulated that error-correcting codes can improve the resistance of DNNs against adversary attacks. Hadamard codes are used for this purpose. Hadamard codes of order n, for classes O(n), have a Hamming distance of n/2. Therefore, an adversary attack would need to change a more significant number of bits to misclassify an image. This hypothesis was tested against six types of white-box attacks and one black-box attack. The models with Hadamard codes presented more resistance that far exceeded the alternatives in the SOTA. In particular, we outperform distilled models, considered the best adversarial defense in the related literature.
CICESE
2022
Tesis de doctorado
Español
Hoyos Ibarra, A.J. 2022. Ataques adversarios a sistemas de visión. Tesis de Doctorado en Ciencias. Centro de Investigación Científica y de Educación Superior de Ensenada, Baja California. 70 pp.
ORDENADORES DIGITALES
Aparece en las colecciones: Tesis - Ciencias de la Computación

Cargar archivos:


Fichero Descripción Tamaño Formato  
tesis_Angello Jahir Hoyos Ibarra_16 feb 2022.pdfVersión completa de la tesis14.43 MBAdobe PDFVisualizar/Abrir