0 引言

對(duì)抗攻擊通過(guò)在深度學(xué)習(xí)模型中加入人類視覺(jué)上無(wú)法察覺(jué)的擾動(dòng)，被稱為對(duì)抗樣本[1]。對(duì)抗樣本可以使模型受到干擾而產(chǎn)生錯(cuò)誤的分類，從而導(dǎo)致錯(cuò)誤類別的置信度大于正確類別的置信度。隨著深度學(xué)習(xí)在不同的任務(wù)上取得優(yōu)異性能，如人臉識(shí)別、自動(dòng)駕駛、會(huì)議記錄等，對(duì)人類社會(huì)進(jìn)步帶來(lái)了巨大的貢獻(xiàn)。然而在許多的研究工作中，對(duì)抗攻擊被證明可以在圖像、視頻、語(yǔ)音等領(lǐng)域的深度學(xué)習(xí)中執(zhí)行惡意任務(wù)，從而造成重大的安全問(wèn)題。

為了解決對(duì)抗攻擊帶來(lái)的影響，避免這種惡意的攻擊，研究者們開(kāi)始了對(duì)對(duì)抗攻擊的防御工作。對(duì)抗防御主要分為兩個(gè)方面，一個(gè)方面是直接改進(jìn)模型而讓現(xiàn)有的對(duì)抗攻擊方法失效，如防御性蒸餾[2]。另外一個(gè)方面是進(jìn)行對(duì)抗樣本的檢測(cè)。關(guān)于對(duì)抗檢測(cè)的研究主要集中在圖像域中對(duì)圖片特征處理，如Xu等人[3]提出了一種基于特征壓縮的對(duì)抗樣本檢測(cè)方法；Joel等人[4]在頻譜上綜合分析了現(xiàn)有的攻擊方法和數(shù)據(jù)集，發(fā)現(xiàn)大部分的對(duì)抗樣本在頻域都出現(xiàn)了嚴(yán)重的偽影，并且在頻域空間這些偽影數(shù)據(jù)可以分離，從而能夠分類識(shí)別。

本文詳細(xì)內(nèi)容請(qǐng)下載：http://www.jysgc.com/resource/share/2000004248

作者信息：

丁  燁1，王  杰1，宛  齊1，廖  清2

(1.東莞理工學(xué)院 網(wǎng)絡(luò)空間安全學(xué)院，廣東 東莞523820；

2.哈爾濱工業(yè)大學(xué)(深圳) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，廣東 深圳518055)