Métricas para determinar la dificultad de sabotear una Rede Neuronal Convolucional

Abstract

[Resumen]En este trabajo fin de grado es un proyecto de Deep Learning, en concreto trata del estudio de una de las vulnerabilidades de hacer clasificación con redes neuronales convolucionales (CNN), los ataques adversos. Los ataques adversos cambian la imagen de entrada ligeramente de forma imperceptible para el ojo humano. Al pasar esta imagen modificada por el clasificador, la clasificación es errónea y con un porcentaje alto de confianza en la clase predicha. El problema está más cercano a un problema de “hacking”. Se pretende conocer la cantidad de modificaciones que hay que realizar en una imagen de entrada para que el clasificador cambie su predicción. A lo largo de la memoria se presenta un nuevo método, DENA, para mejorar la cuantificación de la robustez de las CNN. Con este trabajo se pretende dar a conocer estos ataques, reproducirlos y dar un valor numérico a estos cambios con el fin de poder medir la robustez de una red ante posibles ataques de este tipo.[Abstract]This final degree project is about Deep Learning, specifically about the study of one of the vulnerabilities of classifying with convolutional neural networks (CNN): the adversarial attacks. Adversarial attacks change the input image slightly imperceptibly to the human eye. When passing this modified image through the classifier, the classification is wrong and with a high percentage of confidence in the predicted class. The problem is closer to a “hacking” problem. It is try to know the amount of modifications that must be made in an input image for the classifier to change its prediction. Throughout the memory, a new method, DENA, is presented to improve the quantification of the robustness of CNNs. This work is intended to make these attacks known, reproduce them and give a numerical value to these changes in order to be able to measure the robustness of a network against possible attacks of this type.