Évaluation de la robustesse adversariale pour la classification d'images

Les réseaux de neurones profonds sont vulnérables aux exemples adversariaux, ce qui devient l'un des problèmes de recherche les plus importants dans le développement de l'apprentissage profond. Alors que de nombreux efforts ont été réalisés ces dernières années, il est d'une grande importance de procéder à des évaluations correctes et complètes des algorithmes d'attaque et de défense adversariales. Dans cet article, nous établissons une référence complète, rigoureuse et cohérente pour évaluer la robustesse adversariale dans les tâches de classification d'images. Après avoir brièvement passé en revue de nombreuses méthodes d'attaque et de défense représentatives, nous effectuons des expériences à grande échelle avec deux courbes de robustesse comme critères d'évaluation impartiaux pour comprendre pleinement les performances de ces méthodes. Sur la base des résultats d'évaluation, nous tirons plusieurs conclusions importantes qui peuvent fournir des informations pour la recherche future, notamment : 1) La robustesse relative entre les modèles peut changer selon les différentes configurations d'attaque, il est donc conseillé d'adopter les courbes de robustesse pour évaluer la robustesse adversariale ; 2) En tant qu'une des techniques de défense les plus efficaces, l'apprentissage adversarial peut se généraliser à différents modèles de menace ; 3) Les défenses basées sur la randomisation sont plus robustes face aux attaques par boîte noire basées sur des requêtes.