Dual Randomized Smoothing: Beyond Global Noise Variance

Ce papier propose un cadre de lissage aléatoire dual qui utilise des variances de bruit dépendantes de l'entrée pour surmonter les limitations des variances globales et améliorer simultanément la robustesse certifiée aux petites et grandes radii.

L'essentiel

🛡️ Le Problème : Le Dilemme du "Bouclier"

Imaginez que vous protégez un château (votre réseau de neurones) contre des assaillants (les attaques adverses). Pour vérifier si le château est solide, vous utilisez une technique appelée "Lissage Aléatoire".

L'idée est simple : vous jetez un peu de sable (du bruit) sur le château pour voir si les murs tiennent toujours debout.

• Le problème : La quantité de sable que vous jetez est cruciale.
  • Si vous jetez peu de sable (faible variance), vous voyez très bien les petits détails. C'est parfait pour détecter de très petites attaques, mais si l'assaillant est un peu plus fort, le château s'effondre.
  • Si vous jetez beaucoup de sable (forte variance), vous couvrez tout. C'est excellent pour résister aux grosses attaques, mais vous ne voyez plus rien des détails, et le château perd sa précision (il devient "flou").

Jusqu'à présent, les chercheurs étaient obligés de choisir une seule quantité de sable pour tout le château, pour toutes les pièces. C'est comme si vous deviez protéger une petite chambre et une grande salle de bal avec la même épaisseur de mur. Impossible de faire les deux parfaitement !

💡 La Solution : Le "Double Lissage" (Dual Randomized Smoothing)

Les auteurs de ce papier (de l'ETH Zurich) ont eu une idée géniale : pourquoi ne pas adapter la quantité de sable à chaque pièce du château ?

Ils proposent un système en deux étapes, qu'ils appellent le "Double Lissage" :

1. Le Gardien Intelligents (L'Estimateur de Variance) :
   Imaginez un gardien très rapide qui regarde l'attaquant qui arrive. Au lieu de dire "On va mettre 5 cm de sable partout", il dit : "Attends, cette pièce est petite et fragile, on va mettre 1 cm de sable. Cette autre pièce est grande et solide, on peut en mettre 10 cm."
   Ce gardien est lui-même protégé par un peu de sable pour être sûr de ne pas se tromper.

2. Le Protecteur Final (Le Classifieur) :
   Une fois que le gardien a décidé de la quantité de sable idéale pour cette pièce précise, le protecteur principal applique exactement cette quantité pour vérifier la solidité du mur.

🎯 Pourquoi c'est révolutionnaire ?

Dans le monde réel, certains objets sont faciles à protéger, d'autres sont très fragiles.

• Avant : On utilisait une taille de protection unique. Soit on était trop faible sur les gros problèmes, soit trop flou sur les petits.
• Avec cette méthode : On a le meilleur des deux mondes.
  • Pour les petites attaques, on utilise peu de bruit (précision maximale).
  • Pour les grosses attaques, on utilise beaucoup de bruit (robustesse maximale).

C'est comme si vous aviez une armure qui change de matériau selon l'endroit où vous êtes frappé : du kevlar léger pour les égratignures, et du blindage lourd pour les coups de marteau, le tout sur le même costume.

🚀 Les Résultats Concrets

Les chercheurs ont testé leur idée sur des images (comme des chats ou des voitures).

• Performance : Leur méthode bat tous les records précédents, surtout sur les attaques de taille moyenne (là où les anciennes méthodes échouaient).
• Coût : C'est un peu plus lent (environ 60 % de temps en plus), mais c'est un prix très raisonnable pour une sécurité bien supérieure.
• Flexibilité : Ils ont aussi montré que ce système peut servir de "routeur". Imaginez une équipe d'experts : un expert pour les petits problèmes, un autre pour les gros. Le gardien (l'estimateur) choisit instantanément quel expert appeler pour chaque situation.

🌍 En Résumé

Ce papier résout un vieux problème de l'intelligence artificielle : l'impossibilité d'être à la fois très précis et très robuste en même temps avec une seule règle fixe.

En introduisant un "double regard" qui adapte la protection à chaque situation spécifique, ils permettent aux IA d'être plus sûres, plus intelligentes et plus efficaces, sans avoir à tout sacrifier. C'est passer d'une stratégie "taille unique" à une stratégie "sur mesure" pour la sécurité des ordinateurs.

Résumé technique

1. Problématique

Le Lissage Aléatoire (Randomized Smoothing - RS) est une technique de référence pour certifier la robustesse des réseaux de neurones contre les perturbations adverses de norme $\ell_2$. Cependant, une limitation fondamentale persiste dans les formulations standards : l'utilisation d'une variance de bruit globale (identique pour toutes les entrées).

• Le compromis inévitable : Une petite variance de bruit est nécessaire pour obtenir une haute précision sur de petits rayons de certification (petites perturbations), tandis qu'une grande variance est requise pour garantir la robustesse sur de grands rayons.
• La conséquence : Il n'existe aucune variance globale unique capable d'offrir des performances optimales simultanément sur les petits et les grands rayons.
• Limites des travaux antérieurs : Les approches récentes tentant d'adapter la variance à l'entrée souffrent de défauts majeurs : mémorisation au moment du test (coûteuse et non généralisable), adaptabilité intrinsèquement restreinte, ou surestimation systématique de la variance optimale.

2. Méthodologie : Dual Randomized Smoothing (Dual RS)

Les auteurs proposent un cadre novateur appelé Dual RS, qui permet d'utiliser des variances de bruit dépendantes de l'entrée, tout en conservant des garanties de certification rigoureuses.

A. Fondement Théorique : Variance Localement Constante

La contribution théorique centrale est la preuve que la certification RS reste valide même si la variance de bruit $\sigma(x)$ dépend de l'entrée, à condition que cette variance soit localement constante dans la région certifiée autour de l'entrée.

• Théorème 4.1 & 4.2 : Ils démontrent que si $\sigma(x)$ est constant dans une boule $\ell_2$ autour de $x_0$, la classe prédite par le classifieur lissé reste inchangée dans cette région.
• Garantie Probabiliste : Pour gérer le fait que $\sigma(x)$ est prédit par un modèle (et non une fonction fixe), ils introduisent une pénalité de confiance ($\beta$) pour garantir que la prédiction de la variance est localement constante avec une probabilité élevée.

B. Architecture du Framework Dual RS

Le système se compose de deux modèles RS distincts fonctionnant en cascade :

1. Estimateur de Variance ($g_e$) : Un modèle RS (lissé avec une variance globale $\sigma_e$) qui prend une entrée $x$ et prédit la variance optimale $\sigma_c(x)$ pour cette entrée spécifique. Ce modèle est également certifié pour garantir que sa prédiction est stable localement.
2. Classifieur RS ($g_c$) : Un classifieur standard lissé avec la variance prédite $\sigma_c(x)$ pour effectuer la classification finale.

Processus d'inférence :

• Pour une entrée $x$, l'estimateur prédit $\sigma_c(x)$ et fournit un rayon certifié $R_\sigma$ pour cette estimation.
• Le classifieur utilise $\sigma_c(x)$ pour prédire la classe et fournit un rayon certifié $R_c$.
• Le rayon certifié final est $R_{final} = \min(R_\sigma, R_c)$.

C. Stratégies d'Entraînement

• Construction des données d'entraînement : Pour entraîner l'estimateur, on calcule le rayon certifié optimal pour chaque entrée en testant plusieurs variances candidates.
• Étiquettes Douces (Soft Labels) : Au lieu d'une classification dure (choisir la meilleure variance), l'entraînement utilise des étiquettes douces basées sur les rayons certifiés. Cela permet au modèle d'apprendre que des variances sous-optimales peuvent encore offrir une robustesse acceptable.
• Régularisation par Cohérence : Une perte de cohérence est ajoutée pour améliorer la robustesse de l'estimateur lui-même.
• Approche Alternée : On entraîne d'abord l'estimateur, puis on affine (fine-tune) le classifieur en utilisant les variances prédites par l'estimateur. Une seule itération suffit souvent.

D. Perspective de Routage

Le framework offre une vue alternative : l'estimateur de variance agit comme un routeur qui sélectionne le meilleur modèle expert (parmi une banque de modèles pré-entraînés avec différentes variances) pour chaque entrée, plutôt que d'entraîner un seul classifieur universel.

3. Résultats Expérimentaux

Les expériences ont été menées sur les ensembles de données CIFAR-10 et IMAGENET.

• Performance Globale : Dual RS surpasse systématiquement les méthodes à variance globale et les approches dépendantes de l'entrée précédentes (comme Multiscale de Jeong & Shin, 2024).
• Améliorations Clés (CIFAR-10) :
  • Gain relatif de 15,6 % à rayon 0,5.
  • Gain relatif de 20,0 % à rayon 0,75.
  • Gain relatif de 15,7 % à rayon 1,0.
• Performance sur IMAGENET :
  • Gains de 8,6 %, 17,1 % et 9,1 % aux rayons 0,5, 1,0 et 1,5 respectivement par rapport à l'état de l'art.
• Efficacité Computationnelle :
  • Le surcoût computationnel à l'inférence est d'environ 60 % par rapport au RS standard (22,58s vs 14,07s par entrée sur GPU RTX 4090), ce qui reste modeste compte tenu des gains de performance.
  • Contrairement à d'autres méthodes adaptatives, le temps de certification est fixe pour toutes les entrées (pas de boucles adaptatives complexes).

4. Contributions Clés

1. Généralisation Théorique : Preuve formelle que la certification RS est valide avec des variances dépendantes de l'entrée, sous réserve de constance locale.
2. Framework Dual RS : Une architecture pratique composant d'un estimateur de variance et d'un classifieur, entraînés de manière itérative.
3. Stratégies d'Optimisation : Introduction de pertes à étiquettes douces et de régularisation pour optimiser le compromis précision-robustesse.
4. Perspective de Routage : Démonstration que le framework permet d'utiliser des modèles experts spécialisés, améliorant encore les performances sans réentraînement massif.

5. Signification et Impact

Ce travail brise le compromis fondamental entre précision et robustesse imposé par les variances de bruit globales dans le lissage aléatoire. En permettant une adaptation dynamique de la variance à chaque entrée, Dual RS offre une flexibilité inédite, atteignant des niveaux de performance inaccessibles aux méthodes précédentes sur une large gamme de rayons de perturbation.

De plus, la perspective de routage introduite ouvre de nouvelles voies pour combiner des modèles experts hétérogènes au sein d'un cadre de certification unifié, rendant la robustesse certifiée plus évolutive et adaptable aux besoins spécifiques de différentes régions de l'espace d'entrée. Le code est disponible publiquement, favorisant la reproductibilité et l'adoption par la communauté.