UNITesi

Deep Learning (DL) has achieved outstanding results in numerous domains, yet its widespread adoption in safety- and security-critical applications remains limited due to its vulnerability to adversarial examples. These imperceptible perturbations can drastically alter the predictions of Convolutional Neural Networks (CNNs), raising serious concerns about their trustworthiness. This dissertation addresses the problem of adversarial robustness in CNNs from two complementary perspectives: the design of novel adversarial attacks and the evaluation of the effects of efficiency-oriented transformations on adversarial robustness. First, we propose two new adversarial strategies specifically designed to balance effectiveness and stealthiness. N-Pixels is a gray-box attack that leverages internal representations of CNNs to identify the most relevant image regions and applies minimal perturbations for successful misclassification. Incremental Pixels is a black-box score-based attack that progressively perturbs pixels, increasing both the number and magnitude of modifications only when necessary. Both methods achieve a favorable trade-off between query efficiency, imperceptibility, and attack success rate. Second, we investigate the interplay between adversarial robustness and efficiency-driven techniques, such as quantization and Approximate Computing. While these transformations are primarily adopted to reduce computational and energy costs, we show that they significantly influence adversarial behavior: in some cases mitigating the effect of specific attacks, in others introducing new weaknesses or reducing the reliability of defense mechanisms. Overall, this thesis highlights the limitations of existing approaches and provides new insights into the relationship between efficiency, error resiliency, and adversarial robustness. The results contribute to a deeper understanding of how to design CNN-based systems that remain both efficient and secure in real-world scenarios.

Il Deep Learning (DL) ha raggiunto risultati straordinari in numerosi domini, ma la sua diffusione in applicazioni sensibili alla sicurezza rimane limitata a causa della vulnerabilità agli esempi avversari. Queste perturbazioni impercettibili possono alterare drasticamente le predizioni delle Convolutional Neural Networks (CNN), sollevando gravi preoccupazioni sulla loro affidabilità. Questa tesi affronta il problema della robustezza avversaria nelle CNN da due prospettive complementari: la progettazione di nuovi attacchi avversari e la valutazione degli effetti delle trasformazioni orientate all’efficienza sulla robustezza avversaria. In primo luogo, proponiamo due nuove strategie di attacco progettate per bilanciare efficacia e invisibilità. N-Pixels è un attacco gray-box che sfrutta le rappresentazioni interne delle CNN per identificare le regioni più rilevanti di un’immagine e applicare perturbazioni minime per ottenere una classificazione errata. Incremental Pixels è un attacco black-box basato sui punteggi che perturba progressivamente i pixel, aumentando sia il numero sia l’intensità delle modifiche solo quando necessario. Entrambi i metodi raggiungono un compromesso favorevole tra efficienza in termini di query, impercettibilità e tasso di successo. In secondo luogo, indaghiamo l’interazione tra robustezza avversaria e tecniche di ottimizzazione orientate all’efficienza, come la quantizzazione e l’Approximate Computing. Sebbene queste trasformazioni siano adottate principalmente per ridurre i costi computazionali ed energetici, dimostriamo che esse influenzano significativamente il comportamento avversario: in alcuni casi attenuano l’effetto di specifici attacchi, in altri introducono nuove vulnerabilità o riducono l’affidabilità dei meccanismi di difesa. Complessivamente, questa tesi mette in luce i limiti degli approcci esistenti e fornisce nuove prospettive sulla relazione tra efficienza, resilienza agli errori e robustezza avversaria. I risultati contribuiscono a una comprensione più approfondita di come progettare sistemi basati su CNN che siano al tempo stesso efficienti e sicuri in scenari reali.

Secure and Efficient Deep Learning: From Adversarial Attacks to Robustness in Approximate Computing

DELLA TORCA, Salvatore
2026

Abstract

Deep Learning (DL) has achieved outstanding results in numerous domains, yet its widespread adoption in safety- and security-critical applications remains limited due to its vulnerability to adversarial examples. These imperceptible perturbations can drastically alter the predictions of Convolutional Neural Networks (CNNs), raising serious concerns about their trustworthiness. This dissertation addresses the problem of adversarial robustness in CNNs from two complementary perspectives: the design of novel adversarial attacks and the evaluation of the effects of efficiency-oriented transformations on adversarial robustness. First, we propose two new adversarial strategies specifically designed to balance effectiveness and stealthiness. N-Pixels is a gray-box attack that leverages internal representations of CNNs to identify the most relevant image regions and applies minimal perturbations for successful misclassification. Incremental Pixels is a black-box score-based attack that progressively perturbs pixels, increasing both the number and magnitude of modifications only when necessary. Both methods achieve a favorable trade-off between query efficiency, imperceptibility, and attack success rate. Second, we investigate the interplay between adversarial robustness and efficiency-driven techniques, such as quantization and Approximate Computing. While these transformations are primarily adopted to reduce computational and energy costs, we show that they significantly influence adversarial behavior: in some cases mitigating the effect of specific attacks, in others introducing new weaknesses or reducing the reliability of defense mechanisms. Overall, this thesis highlights the limitations of existing approaches and provides new insights into the relationship between efficiency, error resiliency, and adversarial robustness. The results contribute to a deeper understanding of how to design CNN-based systems that remain both efficient and secure in real-world scenarios.
6-mar-2026
Inglese
Il Deep Learning (DL) ha raggiunto risultati straordinari in numerosi domini, ma la sua diffusione in applicazioni sensibili alla sicurezza rimane limitata a causa della vulnerabilità agli esempi avversari. Queste perturbazioni impercettibili possono alterare drasticamente le predizioni delle Convolutional Neural Networks (CNN), sollevando gravi preoccupazioni sulla loro affidabilità. Questa tesi affronta il problema della robustezza avversaria nelle CNN da due prospettive complementari: la progettazione di nuovi attacchi avversari e la valutazione degli effetti delle trasformazioni orientate all’efficienza sulla robustezza avversaria. In primo luogo, proponiamo due nuove strategie di attacco progettate per bilanciare efficacia e invisibilità. N-Pixels è un attacco gray-box che sfrutta le rappresentazioni interne delle CNN per identificare le regioni più rilevanti di un’immagine e applicare perturbazioni minime per ottenere una classificazione errata. Incremental Pixels è un attacco black-box basato sui punteggi che perturba progressivamente i pixel, aumentando sia il numero sia l’intensità delle modifiche solo quando necessario. Entrambi i metodi raggiungono un compromesso favorevole tra efficienza in termini di query, impercettibilità e tasso di successo. In secondo luogo, indaghiamo l’interazione tra robustezza avversaria e tecniche di ottimizzazione orientate all’efficienza, come la quantizzazione e l’Approximate Computing. Sebbene queste trasformazioni siano adottate principalmente per ridurre i costi computazionali ed energetici, dimostriamo che esse influenzano significativamente il comportamento avversario: in alcuni casi attenuano l’effetto di specifici attacchi, in altri introducono nuove vulnerabilità o riducono l’affidabilità dei meccanismi di difesa. Complessivamente, questa tesi mette in luce i limiti degli approcci esistenti e fornisce nuove prospettive sulla relazione tra efficienza, resilienza agli errori e robustezza avversaria. I risultati contribuiscono a una comprensione più approfondita di come progettare sistemi basati su CNN che siano al tempo stesso efficienti e sicuri in scenari reali.
CASOLA, VALENTINA
Università degli studi di Bergamo
Università degli Studi di Bergamo
File in questo prodotto:
File Dimensione Formato  
PhD_Thesis.pdf

accesso aperto

Licenza: Tutti i diritti riservati
Dimensione 15.41 MB
Formato Adobe PDF
Visualizza/Apri
15.41 MB Adobe PDF Visualizza/Apri

I documenti in UNITESI sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.14242/362273
Il codice NBN di questa tesi è URN:NBN:IT:UNIBG-362273