Análise da robustez dun modelo de selección de características dinámico ante ataques adversarios

Abstract

[Resumo]: Un ataque adversario consiste en introducir perturbacións intencionais, normalmente imperceptibles, nas mostras de entrada co obxectivo de inducir erros nas predicións dun modelo de aprendizaxe automática. Neste contexto, o presente traballo presenta e avalía a selección dinámica de características (DFS) como mecanismo para adaptar as características seleccionadas dos datos de entrada en cada predición co obxectivo de incrementar a robustez dos clasificadores de imaxes. O estudo estruturouse en dúas liñas complementarias: por unha banda, realizouse unha revisión documental sobre adversarial learning e unha análise pormenorizada dos ataques máis representativos da literatura (entre eles Sparse L1, Carlini–Wagner, SPSA, PGD e FGSM); por outra banda, desenvolveuse e implementouse un pipeline experimental reproducible que inclúe a formalización e implementación da rede Dynamic Data Selection (DDS) e a execución dun conxunto de experimentos aplicados a distintas arquitecturas e conxuntos de datos. Os resultados indican que a selección dinámica de características pode funcionar como un filtro pasivo que mellora a robustez dos clasificadores en determinadas condicións. Non obstante, a súa efectividade depende da complexidade do problema e da configuración arquitectónica do modelo.

[Abstract]: An adversarial attack consists of introducing intentional, usually imperceptible, perturbations into input samples with the goal of inducing errors in the predictions of a machine learning model. In this context, the present work introduces and evaluates Dynamic Feature Selection (DFS) as a mechanism to adapt the selected features of the input data in each prediction, with the aim of increasing the robustness of image classifiers. The study was structured along two complementary lines: on the one hand, a literature review on adversarial learning was carried out, together with a detailed analysis of the most representative attacks in the field (including Sparse L1, Carlini–Wagner, SPSA, PGD, and FGSM); on the other hand, a reproducible experimental pipeline was developed and implemented, which includes the formalization and implementation of the Dynamic Data Selection (DDS) network and the execution of a set of experiments applied to different architectures and datasets.The results indicate that dynamic feature selection can function as a passive filter that improves classifier robustness under certain conditions. However, its effectiveness depends on the complexity of the problem and the architectural configuration of the model.