2020CVPR对抗样本相关论文整理（有开源代码）

攻击

1. Towards Large yet Imperceptible Adversarial Image Perturbations withPerceptual Color Distance

• code链接
• 《朝向具有感知色差的大但不易察觉的对抗图像扰动》
  一般，用对抗效果和不可感知性来评估图像扰动的效果。其中，对于不可感知性的假设是，扰动要在RGB空间中达到严格的$L_p$范数边界。在本论文中，作者通过采用一种人类色彩感知的方法来突破这一假设，即相对于感知颜色距离去最小化扰动的大小。作者提出两种方法：方法一，感知色距C＆W(PerC-C＆W)，扩展了广泛使用的C＆W方法并产生更大的RGB扰动。 PerC-C＆W能够保持对抗能力，同时有助于提高感知能力；方法二，颜色距离交替损失(PerC-AL)，通过在更新扰动时在分类损失和感知色差之间进行交替可以更有效地实现相同效果。实验评估表明，PerC方法在鲁棒性和可传递性方面优于传统的$L_p$方法，并且还证明了PerC距离可以在基于现有结构的方法之上提供附加值，以创建图像扰动。

2. ColorFool: Semantic Adversarial Colorization

• code链接
• 《ColorFool：语义对抗着色》
  产生小的$L_p$范数扰动以误导分类器的对抗攻击，在黑盒情况下取得的成功有限。 这些攻击对于使用降噪过滤器或者对抗训练的防御不是很可靠。 相反，产生不受限制扰动的对抗性攻击更加有用。 然而，不受限制的扰动可能对人类来说很明显。
  本文提出了一种基于内容的黑盒对抗攻击，该攻击利用人类视觉系统特征，通过利用图像语义来选择性地修改人类认为自然的选定范围内的颜色，从而产生不受限制的干扰。 实验表明，所提出的方法ColorFool在成功率、防御框架的稳健性和可迁移性上，表现出色的攻击效果。

3. Transferable, Controllable, and Inconspicuous Adversarial Attacks on Person Re-identification With Deep Mis-Ranking

• code链接
• 《带有严重错误排列的，在人员重识别上的可转移、可控制和不敏感的对抗攻击》
  这一篇是对抗攻击在具体应用领域下的情况。

4. LG-GAN: Label Guided Adversarial Network for Flexible Targeted Attack of Point Cloud-based Deep Networks

• code链接
• 《LG-GAN：基于点云的深度网络进行灵活的针对性攻击的标签导向对抗网络》
  针对3D识别网络的攻击。本文提出了一种新颖的标签导向对抗网络（LG-GAN），用于实现灵活的目标点云攻击。 据作者所知，这是基于第一代的3D点云攻击方法。 通过将原始点云和目标攻击标签输入LG-GAN，它可以学习如何使点云变形以仅一次向前通过就将识别网络误导为特定标签。 详细而言，LGGAN首先利用一个多分支对抗网络提取输入点云的分层特征，然后使用标签编码器将指定的标签信息合并到多个中间特征中。 最后，编码后的特征将被馈送到坐标重建解码器中以生成目标对抗样本。

防御

1. One Man’s Trash is Another Man’s Treasure: Resisting Adversarial Examples by Adversarial Examples

• code链接
• 《通过对抗样本防御对抗样本》
  提出了一种对抗攻击的简单防御机制。在输入图像进行分类之前，通过在预先训练的外部模型上找到一个对抗样本，将其转换为有用的输入，以提高网络模型的鲁棒性。（作者称，该方法表面上类似于对抗训练，但本质上存在区别。即对抗训练中单个模型制作并演示，该方法两个模型？？？）
  实验评估得到，在CIFAR-10和Tiny ImageNet数据集上，该方法比最新方法强大，特别的是，与对抗训练相比，该方法需要更低的训练成本，达到更强的鲁棒性。

2. Adversarial Robustness: From Self-Supervised Pre-Training to Fine-Tuning

• code链接
• 《对抗鲁棒性：从自我监督的预训练到微调》
  这篇文章，在论文《Using self-supervised learning can improve model robustness and uncertainty》的基础上解决了一下问题。 在本文中，作者将对抗训练与自我监督相结合，以获得强大的预训练模型。该模型可以通过微调应用于下游任务。
  1、首次证明了强大的预训练模型可用于对抗微调，显著提高鲁棒性能；
  2、系统研究了预训练与对抗性微调之间的所有可能组合，结果表明，对抗性微调是鲁棒性改善的主要部分，而预训练主要是加快对抗性微调；
  3、实验表明，不同的自我监督任务产生的预训练模型具有多种对抗性漏洞，建议对自身进行监督任务预训练，以利用互补优势。
  实验证明，此方法在标准精度和鲁棒性方面都比最新的AT（Adversarial Training）强。此外，提出了几个有希望的方向，包括纳入更多的自我监督任务，扩展预训练数据集的大小以及扩展到高分辨率数据。

3. Efficient Adversarial Training with Transferable Adversarial Examples

• code链接
• 《具备可转移的对抗样本的高效对抗训练》
  对抗训练是针对对抗样本的有效防御方法。然而，该方法的局限性在于，由于在训练过程中生成强大的对抗样本的成本较高，因此可能需要多个数量级的额外训练时间。
  在本文中，作者首先证明在相同的训练过程中，相邻时期之间的模型之间具有高度可传递性，即，一个时期中的对抗样本在下个时期中仍具有对抗性。利用此性质，作者提出了一种新颖的方法，即带有可传递对抗样本的对抗性训练（ATTA），一种基于迭代攻击的对抗训练的新方法，可以显着加快训练时间并提高模型的鲁棒性。它通过累积历时的对抗性扰动来增强训练模型的鲁棒性，并大大提高训练效率。 与最新的对抗训练方法相比，ATTA在CIFAR10上的对抗精度提高了7.2％，并且在具有可比模型鲁棒性的MNIST和CIFAR10数据集上所需的训练时间减少了12到14倍。

4. Modeling Biological Immunity to Adversarial Examples

• code链接
• 《对对抗样本进行生物免疫建模》
  受到生物学的启发，建立了一个由人工视网膜处理数字图像的模型，从生物学视觉上对对抗样本进行了解释。该工作的目的不是要成为一种全面、新的防御手段，而是着重强调对生物学启发的视觉模型进行研究的好处和需求。

5. Towards Achieving Adversarial Robustness by Enforcing Feature Consistency Across Bit Planes

• code链接
• 《通过在位平面上增强特征一致性来实现对抗鲁棒性》
  人类固有地基于图像的主要特征来感知图像，从而忽略了低位平面中嵌入的噪声。作者提出了一种新颖的位平面特征一致性（BPFC）正则化器，它使用正常的训练机制提高了模型的对抗鲁棒性。该正则化器的效果明显优于现有的非对抗性训练方法，并且也与对抗性训练方法相当。 由于所提出的方法没有利用对抗样本，因此比对抗训练方法要快。 另外通过广泛的实验证明，实现的鲁棒性确实不是由于梯度掩蔽所导致的。 在人类视觉的推动下，提出的正则化程序可改善局部属性，从而带来更好的对抗鲁棒性。作者希望这项工作能促进非对抗性训练方法的进一步改进，以实现深度网络中的对抗鲁棒性。

6. A Self-supervised Approach for Adversarial Robustness

• code链接
• 《一种自我监督的对抗鲁棒性方法》
  目前防御方法有：通过修改目标模型的参数来增强鲁棒性的对抗训练&对输入样本进行处理，但这两种方法仍存在很多缺陷。本文结合了这两种方法的优势，提出了一种在输入空间中自我监督的对抗训练机制。此防御方法不需要大量的训练数据，并且与标签空间无关。 它对未知的最新攻击具有高度的通用性，并成功地防御了各种任务，包括分类，分段和对象检测。另外，该防御可消除将对抗图像恶意嵌入原始图像的结构化噪声模式。

7. When NAS Meets Robustness: In Search of Robust Architectures against Adversarial Attacks

• code链接
• 《当NAS遇到鲁棒性时：寻找针对对抗攻击的鲁棒性架构》
  作者提出了一个健壮的架构搜索框架，该框架利用一键式NAS来了解网络架构对对抗攻击的影响。根据观察结果，发现了强大的可抵抗攻击的强大体系结构——RobNets。

8. Enhancing Intrinsic Adversarial Robustness via Feature Pyramid Decoder

• code链接
• 《通过特征金字塔解码器增强内在的鲁棒性》
  对抗训练作为针对特定对抗样本的主要防御策略，综合能力有限，并且会导致时间过于复杂。 本文中提出了一种与攻击无关的防御框架，以增强神经网络的内在鲁棒性，并且不会损害干净样本的泛化能力。 所提出的特征金字塔解码器（FPD）框架适用于所有基于块的卷积神经网络（CNN）。它将去噪和图像恢复模块植入目标CNN中，并且还限制了分类层的$Lipschitz$常数。此外，作者还提出了一个两阶段策略来训练FPD增强的CNN，该策略利用$ϵ$领域噪声图像进行多任务和自我监督学习。 针对各种白盒和黑盒攻击进行了评估，证明了，FPD增强的CNN对MNIST，SVHN和CALTECH上的一般对抗样本具有足够的鲁棒性。 此外，进一步通过对抗训练，使得FPD增强型CNN的性能将优于非增强型CNN。

9. Robust Design of Deep Neural Networks against Adversarial Attacks based on Lyapunov Theory

• code链接
• 《基于Lyapunov理论的针对对抗攻击的DNN鲁棒设计》
  本文基于Lyapunov理论的稳定性和鲁棒性分析了前向、卷积和残差层对对抗攻击的鲁棒性。 提出了一种新的鲁棒训练方式，可以提高鲁棒性并允许每层独立选择正则化参数。

10. Old is Gold: Redefining the Adversarially Learned One-Class Classifier Training Paradigm

• code链接
• 《Old is Gold：重新定义对抗学习的一类分类器训练范式》
  本文提出了一个框架，该框架可以在广泛的训练中有效地产生稳定的结果，并允许同时使用对抗模型的生成器和判别器来进行有效而强大的异常检测。此方法将识别器的基本作用从识别真实数据和伪造数据转变为区分质量和不良质量重构。 为此，作者准备了使用电流生成器进行高质量重建的训练样本，而通过利用同一生成器的旧状态获得了质量较差的样本。 这样，判别器会检测通常在异常输入的重建中出现的细微失真。