admin管理员组文章数量:1650803
思路:对抗样本经过feature squeeze处理后大部分增加的干扰会被消除或者减小,致使feature squeeze前后的分类结果向量(distributed vector)L1距离很大,这与正常样本经过feature squeeze后结果相反,基于这样的规律进行对抗样本的过滤。
使用的攻击手段:
1. L0攻击: CW0,JSMA
2. L2攻击:CW2
3. L正无穷:FGSM、BIM、CW正无穷
squeezer选择:
1. Bit-Depth :Numpy实现。MNIST数据库1-Bit位深,CIFAR-10&ImageNet数据集4-Bit位深
2. 局部平滑处理:Scipy实现。使用2*2滑窗,padding选用reflect
3. 非局部平滑处理:OpenCV实现。先转化为CIELAB色彩域然后分别在L、AB项上去噪,最后转化为RGB域
4. 其他可使用的方法:JPEG图像压缩[Adversarial Examples in the Physical World.];数据降维[eigenfaces]
实验结果:平滑处理对于L0攻击算法更有效,Bit-Depth对于L2和L正无穷攻击算法更有效
实验对比MagNet[a Two-Pronged Defense against Adversarial Examples]
未来工作:
1. 更好的融合不同的检测子,而不是使用max方法
2. 对FGSM和BIM效果不好是因为产生的噪声较大,而featuresqueezing对小噪声效果较好
3. 不同的检测子对于false positive 5%目标的阈值不同,目前设置同一个阈值,后期设置不用阈值
本文标签: 论文SqueezingdetectingADVERSARIALfeature
版权声明:本文标题:[论文] Feature Squeezing:Detecting Adversarial Examples in Deep Neural Networks 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dongtai/1729531734a1204894.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论