Neural networks security under realistic scenario (La sécurité des réseaux de neurones dans un contexte réaliste) Maho, Thibault - (2023-12-14) / Université de Rennes Neural networks security under realistic scenario
| |||
Langue : Anglais Directeur(s) de thèse: Furon, Teddy; Le Merrer, Erwan Discipline : Informatique Laboratoire : IRISA Ecole Doctorale : MATISSE Classification : Informatique Mots-clés : Réseaux de Neurones, Sécurité, Contexte Réaliste
| |||
Résumé : L'Intelligence Artificielle est aujourd'hui sur toutes les lèvres, porté par la révolution des réseaux de neurones qui ont fait leurs preuves dans diverses tâches. Ils ont notamment surpassé les capacités humaines en vision par ordinateur. Cette thèse se concentre ainsi sur les réseaux de neurones, en mettant l'accent sur les tâches de classification d'images. Cependant, ce succès remarquable s'accompagne de certaines failles. Les réseaux de neurones présentent des faiblesses en termes de confidentialité, d'intégrité et de disponibilité de leurs composants. Les données d'entraînement, le modèle et les données d'inférence sont exposés à des attaques. Même dans le scénario réaliste considéré dans cette thèse, où le modèle fonctionne dans un environnement boîte noire avec des limitations sur le nombre de requêtes, il est possible de voler et de reconstruire le modèle et les données d'entraînement, ainsi que de manipuler les données d'inférence. Cette thèse met l'accent sur la protection de la confidentialité du modèle compromise l'extraction de modèle et l'extraction de paramètres. Elle explore également le domaine des exemples adverses. Ces perturbations soigneusement conçues entraînent des erreurs de classification, menaçant l'intégrité du modèle à l'inférence. Par conséquent, une partie de cette thèse est dédiée à l'exploration de leurs origines, de leur création et des stratégies de défense contre eux. Cependant, ce succès remarquable s'accompagne de certaines failles. Les réseaux de neurones présentent des faiblesses en termes de confidentialité, d'intégrité et de disponibilité de leurs composants. Les données d'entraînement, le modèle et les données d'inférence sont exposés à des attaques. Même dans le scénario réaliste considéré dans cette thèse, où le modèle fonctionne dans un environnement boîte noire avec des limitations sur le nombre de requêtes, il est possible de voler et de reconstruire le modèle et les données d'entraînement, ainsi que de manipuler les données d'inférence. Cette thèse met l'accent sur la protection de la confidentialité du modèle compromise l'extraction de modèle et l'extraction de paramètres. Elle explore également le domaine des exemples adverses. Ces perturbations soigneusement conçues entraînent des erreurs de classification, menaçant l'intégrité du modèle à l'inférence. Par conséquent, une partie de cette thèse est dédiée à l'exploration de leurs origines, de leur création et des stratégies de défense contre eux. Abstract : Artificial Intelligence is a hot topic today, driven by the revolution of neural networks that have shown impressive performances across various tasks. Notably, in Computer Vision, they have even outperformed humans. This thesis centers on neural networks applied to image classification tasks. Yet, this remarkable success is not without its vulnerabilities. Neural networks exhibit weaknesses in terms of confidentiality, integrity, and availability of their components. The training data, the model, and the inference data, are susceptible to potential attacks. Even in the realistic scenario considered in this thesis where the model operates in a black-box setup with limitations on the number of queries, it remains possible for an attacker to steal and reconstruct the model and training data, as well as manipulate inference data. This thesis places a particular emphasis on safeguarding the confidentiality of the model, which can be compromised through techniques such as model extraction and parameter extraction. Additionally, it delves into the realm of adversarial examples, which pose threats to the integrity of model inference. The deliberate introduction of small, well-crafted perturbations can result in misclassifications. Consequently, a significant portion of this thesis is dedicated to exploring the origins of adversarial examples, their creation, and strategies for defending against them. |