Securing Machine Learning Algorithms
Les réseaux de neurones profonds ont connu des progressions significatives ces dernières années et sont aujourd’hui largement utilisés dans une variété d’applications. Lorsqu’il s’agit de systèmes critiques pour la sécurité, le développement de méthodes et d’outils pour rendre ces algorithmes fiable...
Gespeichert in:
| 1. Verfasser: | |
|---|---|
| Format: | Dissertation |
| Sprache: | eng |
| Schlagworte: | |
| Online-Zugang: | Volltext bestellen |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Zusammenfassung: | Les réseaux de neurones profonds ont connu des progressions significatives ces dernières années et sont aujourd’hui largement utilisés dans une variété d’applications. Lorsqu’il s’agit de systèmes critiques pour la sécurité, le développement de méthodes et d’outils pour rendre ces algorithmes fiables constitue un défi central, en particulier pour les non-spécialistes qui peuvent les traiter comme des "boîtes noires" sans autre vérification.L’objectif de cette thèse est d’étudier différentes méthodes qui peuvent permettre l’utilisation sécuritaire de ces technologies.D’abord, nous devons identifier si la prédiction d’un classificateur devrait (ou ne devrait pas) être fiable afin que il soit possible de l’accepter ou de la rejeter. A cet égard, nous proposons un nouveau détecteur qui approxime le discriminateur le plus puissant (Oracle) basé sur la probabilité d’erreur de classification calculée par rapport à la vraie probabilité postérieure du classificateur. Deux scénarios sont étudiés : Totally Black Box (TBB), où seules les soft-predictions sont disponibles et Partially Black Box (PBB) où la propagation du gradient est autorisée pour effectuer le input pre-processing. Le détecteur proposé peut être appliqué à n’importe quel modèle pre-trained, il ne nécessite pas d’informations préalables sur le dataset et est aussi simple que les méthodes les plus basiques disponibles dans la littérature.Nous poursuivons en abordant le problème de simultaneous adversarial example detection. Les méthodes de détection sont généralement validées en supposant une seule stratégie d’attaque implicitement connue, ce qui ne réalise pas nécessairement des menaces réelles. En effet, cela peut conduire à une évaluation trop optimiste des performances des détecteurs et peut induire un certain biais dans la comparaison des schémas de détection concurrents. Nous proposons un nouveau framework multi-armed pour évaluer les détecteurs sur la base de plusieurs stratégies d’attaques afin de surmonter cette limitation. Parmi celles-ci, nous utilisons trois nouvelles fonctions objectifs pour générer des attaques. La mesure de performance proposée est basée sur le scénario du worst case : la détection est réussie si et seulement si toutes les différentes attaques sont correctement reconnues. De plus, en suivant ce framework nous dérivons formellement une méthode simple mais efficace pour agréger les décisions de plusieurs détecteurs entraînés éventuellement fournis par une tierce partie. Alo |
|---|