Backward error analysis of artificial neural networks with applications to floating-point computations and adversarial attacks - Thèses de Toulouse INP Access content directly
Theses Year : 2024

Backward error analysis of artificial neural networks with applications to floating-point computations and adversarial attacks

Analyse inverse des erreurs des réseaux de neurones artificiels avec applications aux calculs en virgule flottante et aux attaques adverses

Abstract

The use of artificial intelligence, whose implementations are often based on artificial neural networks, is now becoming widespread across a wide variety of tasks. These deep learning models indeed yield much better results than many specialized algorithms previously used and are therefore being deployed on a large scale.It is in this context of very rapid development that issues related to the storage of these models emerge, since they are sometimes very deep and therefore comprise up to billions of parameters, as well as issues related to their computational performance, both in terms of accuracy and time- and energy-related costs. For all these reasons, the use of reduced precision is increasingly being considered.On the other hand, it has been noted that neural networks suffer from a lack of interpretability, given that they are often very deep models trained on vast amounts of data. Consequently, they are highly sensitive to small perturbations in the data they process. Adversarial attacks are an example of this; since these are perturbations often imperceptible to the human eye, constructed to deceive a neural network, causing it to fail in processing the so-called adversarial example.The aim of this thesis is therefore to provide tools to better understand, explain, and predict the sensitivity of artificial neural networks to various types of perturbations.To this end, we first extended to artificial neural networks some well-known concepts from numerical linear algebra, such as condition number and backward error. These quantities allow to better understand the impact of perturbations on a mathematical function or system, depending on which variables are perturbed or not.We then use this backward error analysis to demonstrate how to extend the principle of adversarial attacks to the case where not only the data processed by the networks is perturbed but also their own parameters. This provides a new perspective on neural networks' robustness and allows, for example, to better control quantization to reduce the precision of their storage. We then improved this approach, obtained through backward error analysis, to develop attacks on network input comparable to state-of-the-art methods.Finally, we extended approaches of round-off error analysis, which until now had been approached from a practical standpoint or verified by software, in neural networks by providing a theoretical analysis based on existing work in numerical linear algebra.This analysis allows for obtaining bounds on forward and backward errors when using floating-point arithmetic. These bounds both ensure the proper functioning of neural networks once trained, and provide recommendations on architectures and training methods to enhance the robustness of neural networks.
L'utilisation d'intelligences artificielles, dont les implémentations reposent souvent sur des réseaux de neurones artificiels, se démocratise maintenant dans une grande variété de tâches. En effet, ces modèles d'apprentissage profond produisent des résultats bien meilleurs que de nombreux algorithmes spécialisés précédemment utilisés et sont donc amenés à être déployés à grande échelle.C'est dans ce contexte de développement très rapide que des problématiques liées au stockage de ces modèles émergent, car ils sont parfois très profonds et comprennent donc jusqu'à des milliards de paramètres, ainsi que des problématiques liées à leurs performances en termes de calcul tant d'un point de vue de précision que de coût en temps et en énergie. Pour toutes ces raisons, l'utilisation de précision réduite est de plus en plus indispensable.D'autre part, il a été noté que les réseaux de neurones souffrent d'un manque d'interprétabilité, étant donné qu'ils sont souvent des modèles très profonds, entraînés sur de vastes quantités de données. Par conséquent, ils sont très sensibles aux perturbations qui peuvent toucher les données qu'ils traitent. Les attaques adverses en sont un exemple ; ces perturbations, souvent imperceptibles à l'œil humain, sont conçues pour tromper un réseau de neurones, le faisant échouer dans le traitement de ce qu'on appelle un exemple adverse. Le but de cette thèse est donc de fournir des outils pour mieux comprendre, expliquer et prédire la sensibilité des réseaux de neurones artificiels à divers types de perturbations. À cette fin, nous avons d'abord étendu à des réseaux de neurones artificiels certains concepts bien connus de l'algèbre linéaire numérique, tels que le conditionnement et l'erreur inverse. Nous avons donc établi des formules explicites permettant de calculer ces quantités et trouvé des moyens de les calculer lorsque nous ne pouvions pas obtenir de formule. Ces quantités permettent de mieux comprendre l'impact des perturbations sur une fonction mathématique ou un système, selon les variables qui sont perturbées ou non.Nous avons ensuite utilisé cette analyse d'erreur inverse pour démontrer comment étendre le principe des attaques adverses au cas où, non seulement les données traitées par les réseaux sont perturbées, mais également leurs propres paramètres. Cela offre une nouvelle perspective sur la robustesse des réseaux neuronaux et permet, par exemple, de mieux contrôler la quantification des paramètres pour ensuite réduire la précision arithmétique utilisée et donc faciliter leur stockage. Nous avons ensuite amélioré cette approche, obtenue par l'analyse d'erreur inverse, pour développer des attaques sur les données des réseaux comparables à l'état de l'art. Enfin, nous avons étendu les approches d'analyse d'erreurs d'arrondi, qui jusqu'à présent avaient été abordées d'un point de vue pratique ou vérifiées par des logiciels, dans les réseaux de neurones en fournissant une analyse théorique basée sur des travaux existants en algèbre linéaire numérique. Cette analyse permet d'obtenir des bornes sur les erreurs directes et inverses lors de l'utilisation d'arithmétiques flottantes. Ces bornes permettent à la fois d'assurer le bon fonctionnement des réseaux de neurones une fois entraînés, mais également de formuler des recommandations concernant les architectures et les méthodes d'entraînement afin d'améliorer la robustesse des réseaux de neurones.
Fichier principal
Vignette du fichier
BEUZEVILLE_Theo2024.pdf (3.55 Mo) Télécharger le fichier
Origin Version validated by the jury (STAR)

Dates and versions

tel-04622129 , version 1 (24-06-2024)

Identifiers

  • HAL Id : tel-04622129 , version 1

Cite

Theo Beuzeville. Backward error analysis of artificial neural networks with applications to floating-point computations and adversarial attacks. Computer Science [cs]. Université de Toulouse, 2024. English. ⟨NNT : 2024TLSEP054⟩. ⟨tel-04622129⟩
203 View
38 Download

Share

Gmail Mastodon Facebook X LinkedIn More