Security of Event-Based Spiking Neural Networks: Attacks and Defense Methodologies

Le reti neurali Spiking (SNN) sono la terza generazione di reti neurali e stanno diventando sempre più popolari nella comunità scientifica. Ispirate al funzionamento di reti neurali naturali, come il cervello, sono efficienti dal punto di vista energetico e biologicamente plausibili, grazie al loro metodo di computazione basato su eventi. Tuttavia, sono vulnerabili ad alcune minacce alla sicurezza, come gli Adversarial Attack ( impercettibili perturbazioni aggiunte agli input, il cui scopo è ridurre la precisione delle SNN). Lo scopo di questa tesi è appunto quello di indagare gli effetti degli Adversarial Attack sulle SNN e le loro contromisure difensive. Nel nostro studio, ci siamo concentrati sulle SNN utilizzate per il riconoscimento di immagini e azioni. Tali SNN vengono solitamente alimentate tramite i Dynamic Vision Sensor (DVS), che sono versioni neuromorfiche delle tradizionali fotocamere basate su fotogrammi. I DVS si ispirano alla retina umana e offrono diversi vantaggi in termini di prestazioni rispetto alle fotocamere tradizionlai. Inoltre, sono facili da accoppiare con SNN implementate su sistemi neuromorfici, perché anch’essi sono basati su eventi. Abbiamo quindi analizzato quali sono le principali sorgenti di rumore che interessano questo tipo di sensori e quali sono i filtri più comuni utilizzati contro di esse. Tra i numerosi esempi che abbiamo trovato in letteratura, ci siamo concentrati su due in particolare: il Background Activity Filter (BAF) e il Mask Filter (MF). Abbiamo dunque voluto analizzare se l'utilizzo di tali filtri, diffusi comunemente in questi sistemi e sviluppati non con l'obiettivo di contrastare attacchi di questo tipo, ma solo per ridurre il rumore, sia anche in grado di ridurre l'efficacia dell'attacco e di riportare la precisione delle SNN ai livelli originari. A tale scopo abbiamo sviluppato una serie di Adversarial Attack furtivi, in grado di ridurre drasticamente la precisione delle SNN in applicazioni di classificazione, e abbiamo analizzato in dettaglio gli effetti dei filtri, testandoli su due differenti dataset neuromorfici: l’ IBM DVS128 Gesture e il NMNIST. I nostri esperimenti dimostrano che, a seconda dell'attacco, in molti casi i filtri sono in grado di ripristinare le prestazioni che le SNN ottengono sui campioni puliti, ovvero la loro precisione ai livelli precedenti l’attacco. Non tutti i filtri tuttavia riescono nello scopo con ogni attacco e alcuni funzionano meglio di altri. Ad esempio, lo sviluppo di un attacco consapevole della presenza dei filtri, ha portato a una riduzione dell'accuratezza delle SNN di oltre il 20% per il dataset IBM DVS128 Gesture, e superiore al 65% con il dataset NMNIST, dimostrando ancora una volta l'importanza di sviluppare sistemi di difesa efficaci.