Deep Neural networks (DNNs) are widely known to be vulnerable to adversarial examples, i.e. images perturbed by imperceptible perturbations. This work studies adversarial perturbations mainly with a focus on their two intriguing universal and transferable properties. Regarding the universal property, this work makes the following contributions: (a) proposing a simple yet effective algorithm for crafting data-free targeted UAP with the proxy dataset based on a new perspective that UAPs have independent features while images behave like noise; (b) investigating strictly data-free UAP as well as applying UAP to solve the challenging practical no-box attack; (c) extending the concept of universal perturbation to data hiding for achieving universal deep hiding (UDH) by demonstrating its success in steganography, watermarking, and light field messaging; (d) providing a unified Fourier perspective towards understanding UAP and UDH, revealing that their success can be, at least partly, attributed to DNNs being sensitive to high-frequency input content. Regarding the transferable property, our work makes the following contributions: (e) demonstrating that transferability is not at odds with attack strength and proposing a simple loss function that achieves state-of-the-art attack strength and/or transferability; (f) identifying that the widely used momentum iterative method improves the transferability at the cost of higher visibility, as well as proposing a novel momentum-free iterative method; (g) identifying over-fitting as the core issue for hindering transferability and proposing simple yet effective techniques to alleviate the over-fitting issue; (h) identifying surrogate model robustness as a major factor that influences the transferability and demonstrating that early stop and adversarial training yield better surrogate models for transferable attacks. Overall, this dissertation attempts to provide a new understanding of adversarial robustness by revisiting their universal and transferable properties. Exploiting these two properties, this work focuses on simple yet effective techniques for more practical adversarial attacks.

딥 뉴럴 네트워크 (DNN)는 감지할 수 없는 노이즈에 의해 교란되는 이미지, 즉 적대적인 예에 취약한 것으로 널리 알려져 있다. 본 연구는 주로 두 가지 흥미로운 universal 및 transferable 속성에 초점을 맞춰 적대적 교란를 연구한다. universal 속성과 관련하여, 본 연구는 다음과 같은 기여를 한다. (a) 영상이 노이즈처럼 동작하는 반면 UAP는 독립적인 특징을 가지고 있다는 새로운 관점에 기초한 프록시 데이터 세트를 사용하여 데이터가 없는 targeted UAP를 만들기 위한 단순하지만 효과적인 알고리즘을 제안한다. (b) 엄격하게 데이터가 없는 UAP를조사하고 까다로운 실제 노박스 공격을 해결하기 위해 UAP를 적용한다. (c) 스테가노그래피, 워터마킹 및 라이트 필드 메시징의 성공을 입증함으로써 범용 딥히딩(UDH) 달성을 위한 데이터 은닉으로 범용 노이즈 개념을 확장한다. (d) UAP와 UDH를 이해하는 통합 푸리에 관점을 제공하여, UAP와 UDH의 성공이 적어도 부분적으로, 고주파 입력 콘텐츠에 민감한 DNN에 기인할 수 있음을 보여준다. transferable 속성에 관하여, 우리의 연구는 다음과 같은 기여를 한다. (e) 전이 가능성이 공격강도와 상충되지 않음을 입증하고 최첨단 공격 강도 및/또는 전이 가능성을 달성하는 단순한 손실함수를 제안한다. (f) 널리 사용되는 모멘텀 반복 방법이 높은 가시성을 희생하면서 전달성을 향상시킨다는 것을 확인하고, 모멘텀 없는 새로운 반복 방법을 제안한다. (g) 전이 가능성을 방해하기 위한 핵심 이슈로 과적합성을 식별하고 과적합 문제를 완화하기 위한 단순하지만 효과적인 기법을 제안해야 한다. (h) 전이 가능성에 영향을 미치는 주요 요소로서 대리 모델 건전성을 확인하고 조기 중지 및 적대 훈련이 전달 가능한 공격에 대해 더 나은 대리 모델을 제공한다는 것을 입증한다. 전반적으로 본 논문은 보편적이고 전이 가능한 속성을 재검토하여 적대적인 견고성에 대한 새로운 이해를 제공하고자 한다. 이 두 가지 특성을 활용하여 본 연구는 보다 실제적인 적대적 공격을 위한 단순하면서도 효과적인 기술에 초점을 맞춘다.