Despite their success, convolutional neural networks (CNNs) are susceptible to adversarial examples, mostly imperceptible, carefully crafted perturbations, which can fool CNN classifiers. This robustness issue constitutes a fundamental issue of deep learning motivating various research studies on the robustness of CNNs. Since the robustness of CNNs is still not fully understood, it poses a threat for humans and machines in applications leveraging the predictive power of CNNs. This thesis aims to broaden our knowledge about CNN robustness and proposes to investigate CNN robustness along multiple aspects. First, we investigate class-discriminative robustness. This part mainly discusses the robustness properties of universal adversarial perturbations (UAPs), where a single perturbation can fool a classifier for most images. Most UAPs crafted by previous methods are designed to attack samples from all classes, which can raise suspicion. To this end, we propose class-discriminative attacks, which provide a flexible choice of the classes to attack, for a more stealthy universal attack technique. We propose an untargeted and targeted variant of class-discriminative universal attacks, showing that it is possible to achieve class discrimination with a single adversarial perturbation. We further investigate the robustness of Deep Classifiers against universal adversarial examples. Specifically, we propose Universal Adversarial Training with Class-Wise Perturbations, showing performance improvements over the previous universal adversarial training technique, successfully increasing the security of a model against UAPs. Second, we discuss fairness-oriented robustness. While previous robustness evaluations mainly focus on a single metric, we investigate a more fine-grained evaluation via the class-wise accuracy or class-wise robustness. We first identify the class-wise robustness issue, showing that CNNs are not only vulnerable to external influences but do also exhibit an internal robustness imbalance, where certain classes are more robust than others. After an in-depth study of this phenomenon, we explore solutions to mitigate the class-wise robustness issue. Borrowing from the field of long-tail distributions we propose a re-weighting strategy as a fair adversarial training strategy. Finally, we investigate the influence of batch normalization (BN) on model robustness, starting with the influence of BN on model robustness to natural occurring corruptions. By simply adapting the BN statistics we can mitigate the vulnerability to naturally occurring corruptions. However, this technique has limited influence when applied for adversarial examples. Hence, we investigate the influence of BN on adversarial robustness. We observe that a model with BN exhibits a higher adversarial vulnerability, despite a higher standard accuracy. We link the increased adversarial vulnerability to an increased utilization of non-robust features for models with BN.

컨볼루션 신경 네트워크 (convolution neural networks, CNNs)의 성공에도 불구하고, CNNs은 감지할 수 없고 주의 깊게 조작된 섭동인 적대적인 공격들에 매우 약하기 때문에, 이러한 요인으로 CNN 성능이 쉽게 저하될 수 있습니다. CNN의 강건성을 유지하고자 하는 목표는 CNNs 연구에서 많은 관심을 받고 있는 이슈 중 하나입니다. CNN의 강건성을 아직 완전히 확보하지 못했기 때문에, CNN의 예측 능력을 활용하는 어플리케이션은 인간과 기계에게 위협이 될 수 있습니다. 따라서 본 논문은 CNN 강건성에 대한 지식을 넓히는 것을 목표로 하며, 여러 가지 측면에서 CNN 강건성에 대해 조사합니다. 첫째, 객체 클래스에 특화된 강건성에 대해 조사합니다. 이 부분에서는 주로 단일 왜곡이 대부분의 이미지에 대한 분류자를 속일 수 있는 보편적 적대 왜곡 (UAP)의 강건성 특성에 대해 논의합니다. 이전 방법으로 만들어진 대부분의 UAP는 모든 클래스의 샘플을 공격하도록 설계되어 성능적 의심이 들 수 있습니다. 보다 은밀한 범용적 공격 기술을 위해서, 유연하게 공격할 수 있는 객체 클래스에 특화된 공격을 제안합니다. 우리는 클래스에 특화된 하나의 적대적인 왜곡을 만들 수 있다는 것을 보여주면서 계층 차별적 보편적 공격의 표적화 및 표적화 변형을 제안합니다. 또한 우리는 보편적인 적대적 공격에 대항하여 딥러닝 분류기의 강건성에 대해 조사합니다. 구체적으로, 우리는 클래스에 특화된 왜곡을 이용한 범용 적대 훈련을 제안하며 이전의 범용 적대 훈련 기술들보다 향상된 성능을 확보함으로써 UAP에 대한 모델의 보안 능력을 성공적으로 강화할 수 있습니다. 둘째, 공정성 중심의 강건성에 대해 논의합니다. 우리는 이전의 강건성 평가는 주로 단일 평가 지표에 초점을 맞추고 있지만, 클래스에 특화된 정확도 또는 강건성을 분석함으로써 보다 세분화된 평가를 수행합니다. 먼저 CNN이 외부 영향에 취약할 뿐만 아니라 특정 클래스가 다른 클래스보다 더 강력한 내부 강건성을 가지는 불균형을 가진다는 것을 보여주는 클래스 차원의 강건성 문제를 분석합니다. 이 현상에 대한 심층적인 연구를 수행한 후, 우리는 클래스에 따른 강건성 불균형 문제를 완화하기 위한 해결책을 모색합니다. 데이터 및 클래스 불균형 연구분야에서 차용한, 가중치 재조정 전략을 공정한 적대 훈련 전략으로서 제안합니다. 마지막으로 배치 정규화(BN)이 자연발생적 왜곡에 대한 모델 강건성에 미치는 영향부터 시작하여, BN이 모델 건전성에 미치는 영향에 대해 조사합니다. BN 통계를 간단히 조정함으로써 우리는 자연적으로 발생하는 왜곡에 대한 취약성을 완화할 수 있습니다. 하지만 이 기법을 적대적인 공격에 단순히 적용할 경우, 제한된 효과만을 얻을 수 있습니다. 따라서, 우리는 BN이 적대적인 강건성에 미치는 영향에 대해 보다 자세히 조사합니다. BN을 사용하는 모델이 더 높은 정확도를 가짐에도 불구하고 더 높은 적대적인 취약성을 보이는 것을 관찰하고, BN이 있는 모델의 비강건한 특성의 활용성과 적대적인 취약점을 서로 연계하여 분석합니다.