对抗防御,防御性攻击

对抗防御,防御性攻击

目前，对抗性攻击防御主要有三个方向：1）修改训练处理器或在学习过程中修改输入样本。 2）修改网络，例如添加更多层/子网络、更改损失/激活函数等。 3）在对未见过的样本进行分类时，使用外部模型作为附录[26]提出了防御性蒸馏，即使用蒸馏算法[27]将复杂网络的知识转移到简单网络，使攻击者无法直接接触原始模型。 为了进攻，防御蒸馏可以有效地防御一些对抗性的例子。 用于防御性蒸馏，卡林尼塔尔。

03.基于因果效应的对抗性防御3.1对抗性样本检测在对对抗性样本的因果效应进行一定程度的分析后，我们不难在此基础上提出处理对抗性样本的方法。 我们不需要知道day17：常见专业术语：对抗性防御、对抗性攻击和对抗性防御概念介绍，请参考上期。 启发式防御1.对抗性训练2.随机化3.去噪可证明防御稀疏权重基于DNNKNN的防御基于贝叶斯模型的防御

基于防御模型的防御对抗训练对抗训练就是将对抗样本添加到训练集中，以提高模型的鲁棒性。 对抗训练也可以分为两种。一般对抗训练[1]添加的对抗样本是通过攻击自己的模型来生成的。本文还讨论了两种特征压缩方法：减少每个像素的颜色位深度和空间平滑。 。 这些简单的策略比其他防御方法便宜（训练时间等），并且可以用其他防御进行补充，以达到良好的对抗性防御效果。

例如，第一行表示使用inception-v3生成的头部对抗样本来攻击各种模型。正确识别的图片越多，防御能力越强，干扰越少。 雷中标记的对角线是白盒攻击。 注意到adv-incv3考虑到攻击者通常无法访问训练环境，作者提出了一种贪婪攻击算法，试图在不与环境交互的情况下最小化策略的预期回报；此外，作者还提出了一种使用最大最小博弈的防御算法

2.3对抗性防御算法介绍1.对抗性训练如图所示。其基本原理是通用的对抗性样本生成算法已知，训练数据集也已知，因此可以使用一些通用的对抗性样本工具箱，例如，防御分为：1重新识别防御；2对抗性检测器1.重新识别防御：完整防御3方向：1.训练/输入修改包括对抗训练和输入预处理11,14,30,49,35,522.包含防御蒸馏和反向交叉熵损失