L’Ecole doctorale : Ecole Doctorale de l’Institut Polytechnique de Paris
et le Laboratoire de recherche SAMOVAR – Services rĂ©partis, Architectures, ModĂ©lisation, Validation, Administration des RĂ©seaux
présentent
lâAVIS DE SOUTENANCE de Monsieur Carl DE SOUSA TRIAS
AutorisĂ© Ă prĂ©senter ses travaux en vue de lâobtention du Doctorat de l’Institut Polytechnique de Paris, prĂ©parĂ© Ă TĂ©lĂ©com SudParis en :
Informatique
« Tatouage Robuste pour les Réseaux de Neurones dans les Applications Multimédias »
le MERCREDI 11 JUIN 2025 Ă 14h30
Ă
Amphithéùtre 2
Télécom SudParis, 19 Place Marguerite Perey, 91120 Palaiseau
https://telecom-paris.zoom.us/j/98578578906?pwd=BGRr0jBb7hNZ1pn7kijxKIiAlNwseg.1
Membres du jury :
M. Mihai MITREA, Professeur, TĂ©lĂ©com SudParis, FRANCE – Directeur de these
M. Stefano TUBARO, Professeur, Polytechnic University of Milan, ITALIE – Rapporteur
M. Azzedine BEGHDADI, Professeur des universitĂ©s, Sorbonne Paris North University, FRANCE – Rapporteur
M. Michel KIEFFER, Professeur, Paris-Saclay University, FRANCE – Examinateur
Mme Rossella CANCELLIERE, MaĂźtre de confĂ©rences, University of Turin, ITALIE – Examinateur
Mme Benedetta TONDI, MaĂźtre de confĂ©rences, University of Siena, ITALIE – Examinateur
Mme Vicky KALOGEITON, MaĂźtre de confĂ©rences, Ecole Polytechnique, FRANCE – Examinateur
« Tatouage Robuste pour les Réseaux de Neurones dans les Applications Multimédias »
présenté par Monsieur Carl DE SOUSA TRIAS
Résumé :
La thĂšse traite du suivi et de l’authentification des rĂ©seaux de neurones (NN) par le tatouage (watermarking) robuste pour des tĂąches applicatives liĂ©es au traitement multimĂ©dia (classification, segmentation, dĂ©tection dâobjet et compression pour les images et la vidĂ©o). Elle explore Ă©galement la possibilitĂ© d’Ă©tablir les bases communes permettant la spĂ©cification des normes ouvertes pour le tatouage des NN. Ainsi, une analyse approfondie de lâĂ©tat de lâart est rĂ©alisĂ©e, aboutissant Ă des nouvelles taxonomies complĂ©mentaires et Ă un environnement de test de rĂ©fĂ©rence. Puis, lâĂ©tat de lâart du tatouage de rĂ©seaux de neurones est Ă©tendu par quatre contributions mĂ©thodologique. Dâabord, la nature des attaques (et contre-attaques) gĂ©omĂ©triques est formalisĂ©e. Puis, des synergies mĂ©thodologiques et complĂ©mentaire avec des outils dâoptimisation de l’entraĂźnement des NN (e.g. SAM â Sharpness Aware Minimization) sont Ă©tablies. Le rĂ©sultat principal est une mĂ©thode de white-box watermarking (dĂ©tection avec accĂšs au modĂšle tatouĂ©) et montre comment la complexitĂ© de calcul peut ĂȘtre rĂ©duite tout en prĂ©servant les propriĂ©tĂ©s de la mĂ©thode de tatouage. Finalement, la relation Ă©troite entre lâentrainement sur la tĂąche et lâinsertion de la marque est Ă©tudiĂ©e par deux mĂ©thodes complĂ©mentaires. Dâun cĂŽtĂ©, une mĂ©thode de black-box watermarking (avec accĂšs seulement aux infĂ©rences du modĂšle tatouĂ©) est dĂ©finie. Reposant uniquement sur un terme de rĂ©gularisation durant lâapprentissage du modĂšle, cette mĂ©thode permet dâĂ©viter les limitations actuelles liĂ©es Ă l’utilisation de jeux de donnĂ©es additionnels ou Ă la nĂ©cessitĂ© de modĂšles NN supplĂ©mentaires conçus pour le tatouage. Dâun autre cĂŽtĂ©, une nouvelle mĂ©thode de white-box watermarking dĂ©montre la possibilitĂ© de dĂ©coupler, de maniĂšre mĂ©thodologique et computationnelle, lâentrainement et lâinsertion de la marque. ParallĂšlement, afin d’assurer une Ă©valuation objective des rĂ©sultats dans le domaine du tatouage des NN et de favoriser les Ă©changes entre les mondes acadĂ©mique et industriel, la thĂšse a contribuĂ© activement aux travaux de normalisation relatifs au Neural Network Watermarking, aboutissant Ă deux standards MPAI et IEEE.
Abstract :
The present thesis deals with neural network (NN) tracking and authentication by means of robust and imperceptible watermarking. It focuses on application tasks related to multimedia processing (image/video classification, segmentation, object detection, and compression), and investigates the possibility of building a common ground for the NN watermarking. To this end, a thorough analysis of the state-of-the-art studies is first carried out, thus bringing to light new taxonomies and providing open-source reference testbeds for NN watermarking assessment. Then, the state-of-the-art watermarking landscape is extended by four types of methodological contributions. First, the nature of geometric attacks is stated and the corresponding counterattack is formalized. Then, methodological synergies and complementarities with tools in NN training optimization (e.g. SAM â Sharpness Aware Minimization) are established. The main result is represented by a white-box watermarking method and shows how computational complexity can be traded for optimization solutions while preserving the watermarking properties. Finally, the inner relationship between the task-oriented learning and the mark insertion is investigated by two complementary approaches. On the one hand, the methodological grounds for black-box watermarking insertion solely based on a regularization term considered during the task-oriented training of the initial NN model are established; this way, current-day limitations related to the usage of modified datasets or to the need of additional NN models specifically designed for watermarking purposes are avoided. On the other hand, the possibility of logically and computationally decoupling the watermark insertion from the task-oriented learning process is demonstrated. In parallel, in order to jointly ensure an objective evaluation of the results in the field and to accelerate the academia-industry exchanges, the thesis contributed to intensive standardization activities related to Neural Network Watermarking, resulting in two MPAI and IEEE standards.
Cette thÚse a été dirigée par Prof. M. Mitrea, Prof. M. Cagnazzo, MdC A. Fiandrotti et co-encadré avec MdC S. Chaudhuri et MdC E. Tartaglione.