-
A study of the effect of JPG compression on adversarial images (ISBA2016)
这篇论文主要探讨了JPG压缩对classificatioin 的影响(FGS)。
结论:对于小的扰动,JPG压缩提升较多;对于大的扰动,效果较少。 -
Keeping the Bad Guys Out: Protecting and Vaccinating Deep Learning with JPEG Compression
An important component of JPEG compression is its ability to remove high frequency signal components, inside square blocks of an image.
JPG压缩之所以有效,是因为他对高频噪声有抑制作用。 -
No Bot Expects the DeepCAPTCHA! Introducing Immutable Adversarial Examples with Applications to CAPTCHA ( 攻击的方法不是防御)
两种常用的对抗样本的方法:一种是使用高维的非线性网络,一种是会在训练过程中加入对抗样本
提出了immutable adversarial noise
迭代进行FGSM直到滤波器不能讲添加的噪声过滤掉
论文中测试了很多滤波器,最终得到5x5的中值滤波对噪声的过滤作用最好 -
MagNet: a Two-Pronged Defense against Adversarial Examples
基于假设:存在一个分类器可以衡量对抗样本和干净样本的距离;存在一个重构器可以消除距离较小的对抗样本的噪声
距离度量:
(1)L0计算有多少像素值不同
(2)L2计算的是两个图像之间的距离
(3)L∞计算的是max difference for all pixels at corresponding position
现存的对抗方法:
(1) adversarial training: 在训练过程中加入对抗样本
(2) defensive distillation: 对抗蒸馏。隐藏了softmax之前和softmax之间的梯度
(3) detecting adversarial example: 分类前先判别一下加没加噪声
对于接着判别边界的对抗样本,通过reform进行修正;对于远离判别边界的样本直接拒绝
Detector:全部同nature image来训练,计算出无攻击图片重构的一般距离,然后在测试时与该距离进行比较,距离的计算方式(Jensen-Shannon divergence:):
Reform: Autoencoder-based reformer
在黑盒攻击时表现较好,但是白盒的时候较弱。提出的解决办法是提出多个auto-encoder,然后分类的时候随机选择。生成多个auto-encoder的方法是,对loss做手脚:
测试结果:在Carlini上出奇的好
参考文章:https://zhuanlan.zhihu.com/p/30934360 -
Pixel Defend: Leveraging Generate Models To Understand And Defend Againt Adversarial Exapmles(ICLR2018)
基于假设:虽然对抗样本和干净图像相比差别很小,但是对抗样本lower probability densities。因此,他们糊弄判别器主要是由于协变量转换(covariate shift)。
净化图片:依次按行,列,通道,迭代寻找能使概率分布更加均匀的图片
-
Mitigating Adversarial Effects Through Randomization(ICLR18) Github
(1) randomization layer(random resizing layer + random padding layer)
(2) randomization layers + adversrial training
-
Deflecting Adversarial Attacks with Pixel Deflection
观察到的现象:施加的噪声一般集中在物体部分,所以在对其进行defence的时候先生成一个robust activate map,重点关注物体区域.对与每个像素,借助其邻域像素计算进行更新.他之前还做了一个实验,对于nature image来说,如果改动的像素小于1%,那么对于结果的影响是十分微弱的
然后,他又做了一些方法来减少修改像素对于判别器的影响:像素域的变换;离散小波变换,并且还用了soft threshold BayesShrink.
-
Defence -GAN: Protecting Classifiers Against Adversarial Attacks Using Generative Models(ICLR2018) Github
提出了Defence-GAN用来对输入图片进行纠正
优点:可以被用在任何地方;如果生成器足够好,那么判别器就不需要被重新训练;可以抵御多种攻击,因为他训练的时候就只用nature image训练的,不用对抗样本;他是非线性的,所以由于GD loop的使用,白盒攻击很难生效
实验证明判别器用nature or adversary image结果是差不多的~
Image Defence(一): Input
最新推荐文章于 2023-10-29 00:49:59 发布