Tên đề tài luận án: Các phương pháp đảm bảo tính chắc chắn cho một số mô hình học sâu

1. Họ và tên nghiên cứu sinh: Nguyễn Đức Anh…………       2. Giới tính: Nam…………………..

3. Ngày sinh: 19/10/1993………………………………………….. 4. Nơi sinh: Nam Định…………..

5. Quyết định công nhận nghiên cứu sinh số:1344/QĐ-CTSV ngày 25/11/2019 của Hiệu trưởng Trường Đại học Công nghệ

6. Các thay đổi trong quá trình đào tạo:

Quyết định số 375/QĐ-ĐT ngày 19/05/2021 về điều chỉnh cán bộ hướng dẫn cho NCS như sau:

Thông tin cán bộ hướng dẫn cũ: PGS. TS. Phạm Ngọc Hùng, Trường Đại học Công nghệ

Thông tin cán bộ hướng dẫn mới:

+ Hướng dẫn chính: PGS. TS. Phạm Ngọc Hùng, Trường Đại học Công nghệ

+ Hướng dẫn phụ: GS. TS. Nguyễn Lê Minh, Viện Khoa học và Công nghệ Tiên tiến Nhật Bản

7. Tên đề tài luận án:Các phương pháp đảm bảo tính chắc chắn cho một số mô hình học sâu

8. Chuyên ngành: Kỹ thuật phần mềm……………………….. 9. Mã số:9480103.01…………….

10. Cán bộ hướng dẫn khoa học:

Hướng dẫn chính: PGS. TS. Phạm Ngọc Hùng, Trường Đại học Công nghệ

Hướng dẫn phụ: GS. TS. Nguyễn Lê Minh, Viện Khoa học và Công nghệ Tiên tiến Nhật Bản

Thông tin luận án Tiến sĩ của NCS Nguyễn Đức Anh (tiếng Anh)

11. Tóm tắt các kết quả mới của luận án:

Để đảm bảo chất lượng của mạng học sâu phân loại ảnh, nhiều độ đo đã được đề xuất. Tuy nhiên, dù mạng được kiểm thử kĩ càng bởi các độ đo này, nhiều nghiên cứu gần đây cho thấy mạng có thể dễ dàng bị tấn công đối kháng. Tính chắc chắn của mạng học sâu là khả năng mạng nhận diện được chính xác nhãn của ảnh đầu vào khi ảnh này được thêm nhiễu đối kháng. Do đó, cải thiện tính chắc chắn được coi là một trong những giải pháp quan trọng để nâng cao chất lượng của cho mạng học sâu. Cụ thể, luận án đã đạt được bốn kết quả chính như sau.

Thứ nhất, luận án đề xuất phương pháp HA4FNN để cải thiện tỉ lệ thành công và hiệu năng thấp của DeepCheck khi kiểm thử mạng nơ-ron truyền thẳng. HA4FNN sử dụng bộ giải phỏng đoán và loại bỏ việc duy trì trạng thái kích hoạt nơ-ron. Thực nghiệm cho thấy đối với trường hợp thêm nhiễu đối kháng vào một điểm ảnh, tỉ lệ thành công trung bình của DeepCheck là 0.7%. Ngược lại, tỉ lệ thành công trung bình của HA4FNN là 54.3%. Ngoài ra, khi thêm nhiễu đối kháng vào một số ảnh dự đoán đúng, DeepCheck có thể cần tới hàng chục phút, trong khi đó HA4FNN chỉ cần tối đa vài giây.

Thứ hai, luận án đề xuất phương pháp PatternAttack để cải thiện tính đa dạng và chất lượng ảnh đối kháng sinh bởi ATN. PatternAttack đề xuất ATN khái quát để thêm nhiễu đối kháng vào ảnh đầu vào theo các mẫu thêm nhiễu khác nhau, sau đó sử dụng thuật toán tham lam để loại bỏ nhiễu dư thừa. Thực nghiệm cho thấy PatternAttack có thể sinh ảnh đối kháng thỏa mãn nhiều mẫu thêm nhiễu khác nhau. Đặc biệt đối với mẫu sửa mọi điểm ảnh, hầu hết các tấn công thường đạt tới trên 99% tỉ lệ thành công trung bình. Về chất lượng ảnh đối kháng, theo tiêu chí L₀, PatternAttack có thể loại bỏ hàng trăm điểm ảnh có nhiễu dư thừa về một điểm ảnh có nhiễu dư thừa.

Thứ ba, luận án đề xuất phương pháp QI4AE để nâng cao chất lượng ảnh đối kháng sinh bởi mọi phương pháp tấn công đối kháng. Ý tưởng chính của QI4AE là kết hợp thuật toán tham lam với mạng mã hóa tự động. Thực nghiệm cho thấy tỉ lệ giảm nhiễu của L₀ giảm tới 82% – 95% và của L2 giảm tới 56% – 81%. Ngoài ra, QI4AE có thể cải thiện chất lượng ảnh đối kháng với chi phí tính toán thấp. Thực nghiệm cho thấy chỉ mất khoảng vài giây để cải thiện chất lượng của 1,000 ảnh đối kháng.

Cuối cùng, để nâng cao tính chắc chắn của mạng học sâu, luận án đề xuất phương pháp SCADefender để loại bỏ nhiễu đối kháng khỏi ảnh đối kháng. Một phần dữ liệu học của SCADefender là tập ảnh đối kháng sinh bởi nhiều phương pháp tấn công đối kháng khác nhau. Thực nghiệm cho thấy SCADefender có thể tỉ lệ phát hiện ảnh đối kháng trung bình là 97.78% cho MNIST, 90.43% cho Fashion-MNIST và 80.64% cho CIFAR-10. Nếu không sử dụng mạng mã hóa tự động phòng thủ, tỉ lệ phát hiện của mạng kiểm thử đối với tập ảnh đối kháng này là 0%.

12. Khả năng ứng dụng trong thực tiễn:

Các nghiên cứu được trình bày trong luận án không những có ý nghĩa về mặt lý thuyết mà còn góp phần làm phương pháp kiểm thử tính chắc chắn cho mạng học sâu dễ dàng được áp dụng hơn trong thực tiễn. Điều này đặc biệt có ý nghĩa với những mạng học sâu có yêu cầu cao về khả năng chống lại tấn công từ bên ngoài, trong đó có tấn công đối kháng. Ngoài ra, các công cụ của luận án đã được triển khai sử dụng tại TSDV và nhận được phản hồi tích cực.

13. Những hướng nghiên cứu tiếp theo:

Mặc dù các kết quả nghiên cứu đã có những đóng góp cụ thể như đã trình bày nêu trên, các kết quả này còn có những hạn chế cần khắc phục. Nghiên cứu tiếp theo của luận án hướng đến giải quyết các hạn chế này. Cụ thể, các hạn chế và hướng nghiên cứu tiếp theo của luận án như sau.

Trong nghiên cứu thứ nhất, HA4FNN có hai hạn chế. Hạn chế thứ nhất là HA4FNN chưa hỗ trợ tấn công đối kháng có định hướng cho mạng nơ-ron truyền thẳng. Trong HA4FNN, bộ giải phỏng đoán sẽ thêm nhiễu đối kháng vào ảnh dự đoán đúng để mạng kiểm thử nhận diện sai. Một hạn chế của bộ giải phỏng đoán là chưa thêm nhiễu đối kháng được ảnh dự đoán đúng để sinh ảnh đối kháng được phân loại là một nhãn cụ thể. Hạn chế thứ hai là HA4FNN chưa hỗ trợ tấn công mạng tích chập. Mặc dù PatternAttack được đề xuất để tấn công mạng tích chập và coi là một giải pháp tốt hơn HA4FNN, cách tiếp cận hai phương pháp này khác nhau. Phương pháp PatternAttack định nghĩa một hàm mục tiêu và tối thiểu hóa hàm mục tiêu này bằng cách sử dụng đạo hàm để tìm ảnh đối kháng. Ngược lại, HA4FNN xây dựng chương trình C từ mạng kiểm thử và áp dụng các kĩ thuật phân tích chương trình, thực thi tượng trưng và bộ giải để tìm ảnh đối kháng. Bởi vì mạng tích chập có tính phức tạp cao về kiến trúc, việc chuyển đổi mạng thành mã nguồn chưa thực sự hiệu quả. Ngoài ra, việc sử dụng thực thi tượng trưng trên mã nguồn ứng với mạng tích chập khá tốn chi phí do số lượng câu lệnh có thể khá lớn. Trong tương lai, luận án sẽ tiếp tục cải tiến HA4FNN để giải quyết các hạn chế này.

Trong nghiên cứu thứ hai, tuy PatternAttack có thể sinh ảnh đối kháng với chất lượng tốt và có tính đa dạng, phương pháp này có ba hạn chế sau đây. Thứ nhất, PatternAttack chưa được thực nghiệm trên ảnh có kích thước lớn như ImageNet. Hiện tại, PatternAttack mới thực nghiệm trên ảnh có kích thước nhỏ như 28 × 28 × 1 hoặc 28 × 28 × 3. Thứ hai, việc lựa chọn kiến trúc mạng mã hóa tự động phù hợp trong Công thức 4.1 là một thách thức. Kiến trúc mạng mã hóa tự động quyết định khả năng mạng liệu có thêm nhiễu đối kháng vào ảnh dự đoán đúng một cách phù hợp. Thứ ba, việc lựa chọn trọng số giữa các thành phần trong Công thức 4.1 có ảnh hưởng đến tốc độ hội tụ của quá trình học mạng mã hóa tự động. Nếu trọng số được chọn phù hợp, quá trình học mạng mã hóa tự động sẽ tránh việc tập trung tối tiểu hóa một thành phần và coi nhẹ thành phần còn lại. Tổng kết lại, luận án sẽ tiếp tục nghiên cứu về các kiến trúc mạng mã hóa tự động khác nhau, kĩ thuật tự điều chỉnh trọng sốvà thực nghiệm trên bộ dữ liệu có kích thước ảnh lớn hơn.

Trong nghiên cứu thứ bốn, tuy SCADefender có thể loại bỏ được nhiều nhiễu đối kháng của ảnh đối kháng, phương pháp này có hai hạn chế. Thứ nhất, SCADefender có thể biến ảnh đầu vào đang nhận diện đúng thành sai. Nguyên nhân bởi vì khi triển khai trong thực tế, SCADefender chưa phân biệt được ảnh thực sự có nhiễu đối kháng. Thay vào đó, mọi ảnh đến mạng kiểm thử đều phải đi qua mạng mã hóa tự động phòng thủ trước. Thứ hai, ảnh hưởng của kiến trúc mạng mã hóa tự động chưa được khảo sát triệt để trong thực nghiệm. Thứ ba, bộ dữ liệu để học mạng mã hóa tự động có thể khá lớn nếu sử dụng ảnh đối kháng sinh bởi nhiều tấn công đối kháng không định hướng, từ đó khiến cho quá trình học càng ngày càng phức tạp khi ngày càng nhiều tấn công đối kháng mới được đề xuất. Do đó, tổng quát hóa đặc trưng của nhiễu đối kháng là quan trọng. Tổng kết lại, luận án sẽ nghiên cứu giải pháp để giảm thiểu khả năng sửa ảnh từ nhận diện đúng và sai, nghiên cứu thêm các loại kiến trúc mạng mã hóa tự động khác nhau và tìm hiểu sâu hơn bản chất của nhiễu đối kháng.

14. Các công trình đã công bố có liên quan đến luận án:

• Duc-Anh Nguyen, Kha Do Minh, Ngoc Nguyen Nhu, Pham Ngoc Hung (2023). SCADefender: An Autoencoder-based Defense for CNN-based Image Classifiers. In International Journal of Pattern Recognition and Artificial Intelligence (Q3)
• Duc-Anh Nguyen, Kha Do Minh, Khoi Nguyen Le, Minh Nguyen Le, Pham Ngoc Hung (2022). Improving Diversity and Quality of Adversarial Examples in Adversarial Transformation Network. In Soft Computing (Q2)
• Duc-Anh Nguyen, Kha Do Minh, Pham Ngoc Hung, Nguyen Le Minh (2022). A Symbolic Execution-based Method to Perform Untargeted Attack on Feed-forward Neural Networks. In Automated Software Engineering (Q2)
• Duc-Anh Nguyen, Kha Do Minh, Duc-Anh Pham, Pham Ngoc Hung (2022). Method for Improving Quality of Adversarial Examples. In the 14th International Conference on Agents and Artificial Intelligence (ICAART – rank B)
• Duc-Anh Nguyen, Do Minh Kha, Pham Thi To Nga, Pham Ngoc Hung (2021). An Autoencoder-based Method for Targeted Attack on Deep Neural Network Models. In the 15th IEEE-RIVF International Conference on Computing and Communication Technologies (RIVF – The best paper award)