Feature Squeezing 是一种新提出的防御方法,可通过将对应于原始空间中许多不同特征向量的样本合并为单个样本,从而减少对手可用的搜索空间。虽然已经证明特征压缩防御可以在联合检测框架中组合,以实现对最先进的攻击的高检测率,但我们证明,在 MNIST 和 CIFAR-10 数据集上,通过增加所述最先进的攻击方案的对手强度,可以使用最小的视觉扭曲来绕过检测框架的对抗性示例。这些结果表明,建议的防御措施需要针对更强的攻击配置进行验证。
Mar, 2018
简单的特征压缩技术可以显著提高深度学习模型抵抗当前已知最强的对抗攻击方法 ——Carlini/Wagner 攻击的能力。
May, 2017
本文提出了一种新的方法,利用协同示例来增强对抗性训练,从而在对抗性鲁棒性方面实现了新的最高水平。
May, 2022
该文章提出了一种直接部署到标准深度神经网络模型中的简单方法,通过引入两个经典图像处理技术,标量量化和平滑空间滤波,将图像中的扰动降低到最小,使用图像熵作为度量标准,可以有效地检测出对基于多种攻击技术的先进深度学习模型的 20,000 多个对抗样本,最终的实验结果表明,该检测方法可以取得 96.39%的高整体 F1 评分。
本研究提出一种新的 RNN 防御方法”sequence squeezing”,并实施了四种其他的防御方法,通过使用这些方法将黑客攻击的有效性从 99.9%降低到 15%。
Jan, 2019
基于高频信息增强策略,提出了一种针对对抗性样本的检测框架,可以在不修改现有检测模型的情况下,提高检测器的性能和降低部署成本。
May, 2023
本文介绍一种通过 JPEG 压缩技术的特征蒸馏方法来防御深度神经网络的对抗攻击,能够有效修正对抗样本,同时不影响正常图像分类准确性。实验结果表明,此方法在准确性、可用性和处理速度方面均有所提升。
针对深度神经网络易受对抗性攻击的问题,本文提出了一种基于特征重构的防御方法,具体来说,通过将每个类别的特征强制限制在一个凸多面体内,使得网络学习到的决策区域更加独特和远离各个类别的边界,提高了网络的鲁棒性,同时在干净图像的分类性能上不会退化。
Apr, 2019
使用 JPEG 压缩作为分类管道中的预处理步骤,可以在对抗性攻击中起到作用,通过移除高频信号成分从而消除加性扰动。我们还提出了一种基于集合的技术,该技术可以快速构建一个性能良好的 DNN 集成,通过利用 JPEG 压缩来保护模型免受多种类型的对抗性攻击,而不需要了解模型。
通过综合考虑模型重塑和输入扰动,本研究首次探讨了实际模型优化的深度学习系统中的多因素对抗攻击问题,并开发了一种名为 “梯度抑制” 的防御技术,能够有效减轻对软硬件导向深度学习的对抗攻击。
Feb, 2018