因吉的博客

为了保证神经网络算法的安全性，不同类型的反制策略被相继提出：1）梯度屏蔽/混淆 (gradient asking/obfuscation)：相当一部分攻击者利用分类器的梯度信息进行攻击，因此屏蔽或者混淆梯度可以同样混淆攻击者；2）健壮性优化 (robust optimization)：重训练DNN分类器可以增强其健壮性，使得其可以正确地预测对抗样本；3）对抗样本检测 (adversarial examples detection)：学习原始数据的分布，从而检测到对抗样本并禁止其输入到分类器。

相较于其他领域，图像领域的对抗样本生成有以下优势：1）真实图像与虚假图像于观察者是直观的；2）图像数据与图像分类器的结构相对简单。本文以全连接网络和卷积神经网络为例，以MNIST、CIFAR10，以及ImageNet为基础样本，研究基于逃避对抗，包括白盒、黑盒、灰盒，以及物理攻击的图像对抗样本生成。