思路:对抗样本经过feature squeeze处理后大部分增加的干扰会被消除或者减小,致使feature squeeze前后的分类结果向量(distributed vector)L1距离很大,这与正常样本经过feature squeeze后结果相反,基于这样的规律进行对抗样本的过滤。
使用的攻击手段:
1. L0攻击: CW0,JSMA
2. L2攻击:CW2
3. L正无穷:FGSM、BIM、CW正无穷
squeezer选择:
1. Bit-Depth :Numpy实现。MNIST数据库1-Bit位深,CIFAR-10&ImageNet数据集4-Bit位深
2. 局部平滑处理:Scipy实现。使用2*2滑窗,padding选用reflect
3. 非局部平滑处理:OpenCV实现。先转化为CIELAB色彩域然后分别在L、AB项上去噪,最后转化为RGB域
4. 其他可使用的方法:JPEG图像压缩[Adversarial Examples in the Physical World.];数据降维[eigenfaces]
实验结果:平滑处理对于L0攻击算法更有效,Bit-Depth对于L2和L正无穷攻击算法更有效
实验对比MagNet[a Two-Pronged Defense against Adversarial Examples]
未来工作:
1. 更好的融合不同的检测子,而不是使用max方法
2. 对FGSM和BIM效果不好是因为产生的噪声较大,而featuresqueezing对小噪声效果较好
3. 不同的检测子对于false positive 5%目标的阈值不同,目前设置同一个阈值,后期设置不用阈值
