从频域角度重新分析对抗样本

0 引言

对抗攻击通过在深度学习模型中加入人类视觉上无法察觉的扰动，被称为对抗样本[1]。对抗样本可以使模型受到干扰而产生错误的分类，从而导致错误类别的置信度大于正确类别的置信度。随着深度学习在不同的任务上取得优异性能，如人脸识别、自动驾驶、会议记录等，对人类社会进步带来了巨大的贡献。然而在许多的研究工作中，对抗攻击被证明可以在图像、视频、语音等领域的深度学习中执行恶意任务，从而造成重大的安全问题。

为了解决对抗攻击带来的影响，避免这种恶意的攻击，研究者们开始了对对抗攻击的防御工作。对抗防御主要分为两个方面，一个方面是直接改进模型而让现有的对抗攻击方法失效，如防御性蒸馏[2]。另外一个方面是进行对抗样本的检测。关于对抗检测的研究主要集中在图像域中对图片特征处理，如Xu等人[3]提出了一种基于特征压缩的对抗样本检测方法；Joel等人[4]在频谱上综合分析了现有的攻击方法和数据集，发现大部分的对抗样本在频域都出现了严重的伪影，并且在频域空间这些伪影数据可以分离，从而能够分类识别。

本文详细内容请下载：http://www.chinaaet.com/resource/share/2000004248

作者信息：

丁  烨1，王  杰1，宛  齐1，廖  清2

(1.东莞理工学院 网络空间安全学院，广东 东莞523820；

2.哈尔滨工业大学(深圳) 计算机科学与技术学院，广东 深圳518055)