Image Defence(一): Input

A study of the effect of JPG compression on adversarial images (ISBA2016)
这篇论文主要探讨了JPG压缩对classificatioin 的影响(FGS)。
结论：对于小的扰动，JPG压缩提升较多；对于大的扰动，效果较少。
Keeping the Bad Guys Out: Protecting and Vaccinating Deep Learning with JPEG Compression
An important component of JPEG compression is its ability to remove high frequency signal components, inside square blocks of an image.
JPG压缩之所以有效，是因为他对高频噪声有抑制作用。
No Bot Expects the DeepCAPTCHA! Introducing Immutable Adversarial Examples with Applications to CAPTCHA ( 攻击的方法不是防御)
两种常用的对抗样本的方法：一种是使用高维的非线性网络，一种是会在训练过程中加入对抗样本
提出了immutable adversarial noise

迭代进行FGSM直到滤波器不能讲添加的噪声过滤掉
论文中测试了很多滤波器，最终得到5x5的中值滤波对噪声的过滤作用最好
MagNet: a Two-Pronged Defense against Adversarial Examples
基于假设：存在一个分类器可以衡量对抗样本和干净样本的距离；存在一个重构器可以消除距离较小的对抗样本的噪声
距离度量：
(1)L0计算有多少像素值不同
(2)L2计算的是两个图像之间的距离
(3)L∞计算的是max difference for all pixels at corresponding position
现存的对抗方法：
(1) adversarial training: 在训练过程中加入对抗样本
(2) defensive distillation: 对抗蒸馏。隐藏了softmax之前和softmax之间的梯度
(3) detecting adversarial example: 分类前先判别一下加没加噪声

对于接着判别边界的对抗样本，通过reform进行修正；对于远离判别边界的样本直接拒绝
Detector:全部同nature image来训练，计算出无攻击图片重构的一般距离，然后在测试时与该距离进行比较，距离的计算方式(Jensen-Shannon divergence:)：

Reform: Autoencoder-based reformer
在黑盒攻击时表现较好，但是白盒的时候较弱。提出的解决办法是提出多个auto-encoder，然后分类的时候随机选择。生成多个auto-encoder的方法是，对loss做手脚：
测试结果：在Carlini上出奇的好
参考文章：https://zhuanlan.zhihu.com/p/30934360
Pixel Defend: Leveraging Generate Models To Understand And Defend Againt Adversarial Exapmles(ICLR2018)
基于假设：虽然对抗样本和干净图像相比差别很小，但是对抗样本lower probability densities。因此，他们糊弄判别器主要是由于协变量转换(covariate shift)。

净化图片：依次按行，列，通道，迭代寻找能使概率分布更加均匀的图片
Mitigating Adversarial Effects Through Randomization(ICLR18) Github
(1) randomization layer(random resizing layer + random padding layer)
(2) randomization layers + adversrial training
Deflecting Adversarial Attacks with Pixel Deflection
观察到的现象：施加的噪声一般集中在物体部分，所以在对其进行defence的时候先生成一个robust activate map，重点关注物体区域．对与每个像素，借助其邻域像素计算进行更新．他之前还做了一个实验，对于nature image来说，如果改动的像素小于1%，那么对于结果的影响是十分微弱的

然后，他又做了一些方法来减少修改像素对于判别器的影响：像素域的变换；离散小波变换，并且还用了soft threshold BayesShrink.
Defence -GAN: Protecting Classifiers Against Adversarial Attacks Using Generative Models(ICLR2018) Github
提出了Defence-GAN用来对输入图片进行纠正
优点：可以被用在任何地方；如果生成器足够好，那么判别器就不需要被重新训练；可以抵御多种攻击，因为他训练的时候就只用nature image训练的，不用对抗样本；他是非线性的，所以由于GD loop的使用，白盒攻击很难生效
实验证明判别器用nature or adversary image结果是差不多的～

Image Defence(一): Input相关推荐

【input 标签的 type 属性详解】
input 标签的 type 属性详解 1. input 输入标签的 type 属性 1.1 input 标签的 type类型属性的常用属性值 ⑴ 单行文本框: type="text&qu ...
解决烦人的img与input不能水平对齐的问题
<STYLE type="text/css"><span style="color:#ff0000;">input,img {verti ...
react控制 input 框回车之后内容清空
state: IState = {items: [],data: '', //data是输入框的当前内容 }updateState = (e) => {this.setState({ data: ...
adb 输入很长的内容 (input text) 在模拟机输入框里面快速输入内容
有时候需要在模拟机上面输入很长的内容来测试, 可以使用input text xx 来输入步骤1 adb shell 步骤2 input text xxxxxxxx 注意:需要先清理模拟输入框里面的内 ...
python raw_input 与 input 的区别
raw_input 是python 2x 中独有功能 ,python 3x 已经已经删除raw_input 所以在python 3x 中使用raw_input 会报错的 raw_input([prom ...
Python 用while 实现循环到特定条件退出循环(input 输入错误之后重新输入)
代码很简单如下: ##!/usr/bin/python3 i =0 while True:sex = input("Please input your sex (boy or girl):& ...
微信小程序获取text的值与获取input的输入的值
有时候我们请求后台的时候需要使用到的 1 获取text 的值首先需要把text 渲染把值写在js里面不如 wxml 写一个text <view class="container ...
小程序中点击input控件键盘弹出时placeholder文字上移
最近做的一个小程序项目中,出现了点击input控件键盘弹出时placeholder文字上移,刚开始以为是软键盘弹出布局上移问题是传说中典型的fixed 软键盘顶起问题,因此采纳了网上搜到的" ...
input属性为number,maxlength不起作用的解决方案
<input type="text" maxlength="11" /> 效果ok, 当 <input type="number&q ...

Image Defence(一): Input

Image Defence(一): Input相关推荐

最新文章

热门文章