7.3工作周报
Anomaly detection of adversarial examples using class-conditional generative adversarial networks(Computers & Security 2023)
该文提出使用类别条件生成对抗网络来估计低级特征(或输入图像本身)的类别条件干净分布。给定一个测试图像,可以使用GAN的判别器输出和GAN的生成器图像重构误差作为检测统计量,其中判别器输出是样本来自训练分布的概率,较小的概率表示异常样本。图像重构误差是生成器重构图像与测试图像之间的最小平方误差,异常测试数据往往会产生比遵循训练分布的图像更高的生成器重构误差。
复现部分数据得到:模型可以训练,可以得到在minst下基于FGSM和CW攻击后的图片的detection_rate, false_alarm(分别是判别器和生成器生成的结果)
论文中的数据是pAUC-0.2result的结果,代码中没有给出应设置的阈值,无法复现
Two Coupled Rejection Metrics Can Tell Adversarial Examples Apart(CVPR 2022)
论文将一个拒绝模块与对抗训练的分类器结合起来,使模型能够拒绝异常输入
T-Con是通过矫正置信度得到的,可以用来区分错误分类和正确分类的输入。文中引入了一个辅助函数来构建矫正置信度(R-Con),并通过最小化T-Con和R-Con之间的二元交叉熵损失来训练拒绝模块。
代码复现:模型可以正常训练,epoch100,在epoch60左右显存不够(移动端4060)停止训练,完成训练后使用训练后的模型经过测试可以评估模型在PGD,CW,GAMA攻击下的效果,受制于显卡性能测试速度太慢,且模型训练epoch不够 放弃测试
Detecting adversarial examples from sensitivity inconsistency of spatial transform domain(AIII 2021)
该文设计一个具有转换决策边界的分类器(称为双重分类器),该分类器可以与原始分类器协同使用,通过敏感性不一致性检测对抗样本。
在高度弯曲区域,NE和AE对边界波动的敏感性存在不一致性。论文中设计一个具有转换决策边界的分类器,该分类器可以与原始分类器协同使用以检测AEs。设计的分类器在原始分类器的高度弯曲区域应具有不相似的结构,同时在其他区域保持类似的结构。
SID由三个部分组成:预训练的原始分类器F,双重分类器G和基于敏感性不一致特征训练的检测器。对于给定的F,双重分类器G是一个WAWT层和一个与F具有相同结构的DNN分类器的组合。F和G的输出预测置信度是通过将未知示例x0输入到F和G中进行预测得到的。然后,计算敏感性不一致特征S(x0)。SID的设计目标是根据敏感性不一致特征将NE和AE区分开来。
SID的工作流程如下:
- 原始分类器F和双重分类器G通过训练得到。
- 对于给定的未知示例x0,将其输入到F和G中进行预测,并计算敏感性不一致特征S(x0)。
- 使用经过预训练的检测器,该检测器使用具有敏感性不一致特征的样本进行训练。它可以是一个二元分类器,用于将样本分为NE和AE两类。
- 将敏感性不一致特征S(x0)输入到检测器中进行预测。
- 检测器输出NE或AE的预测结果,用于区分未知示例x0的类别。
代码复现:模型可以正常训练,但是显存不足,调小batch依旧不行,无法复现
6016
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
