论文笔记| Deflecting Adversarial Attacks with Pixel Deflection 对抗样本 防御方法

# pixel deflection 笔记
## 1.方法概要
随机提取图像中的像素点，以r边心距来替换像素点周围的像素。发现在干净的原图上，原始正确分类并未受到影响，而对于带有对抗样本的图，打乱像素能够使得分类重回正确。
大多数攻击都是在整个图像中搜索扰动，不考虑图像内容的位置，而分类器在存在对象的区域中激活率更高。 lou等使用了对象坐标掩饰背景区来防御。
针对luo的方法局限性（一是需要坐标作为ground-truth；二是背景全部隐去有损分类效果，分类器对特征物和背景同时出现的依赖），解决方法：采用class activation maps（一种弱监督定位方法，CNN的全连接层被全局平均池化层所取代）
## 6.1 robust activation map
对抗样本一般作用于最高可能性的那一类，我们实验证明对抗样本成功改变了最高概率类，而对于其他top-k类并没有改变。实验表明38%情况下，干净图像通过对抗样本的作用，使得分类结果成为概率第二高类。提取这些k类（通过在Imagenet训练一次，来得到一个鲁棒的activation map，包含了所有类信息。）
## 7 小波去噪
对抗样本和pixel deflection究其本质都是噪声，选用小波去噪（小波是无损的），结果要比DCT块表现更好（DCT舍弃了高频，保留了低频）
## 8 方法
首先运用pixel deflection
(a) 生成鲁棒的activation map
(b）从图像中均匀采样（uniformly sample）像素点的位置，获取该点的标准activation map值Vx,y
(c）从均匀分布中采样随机值，如果Vx,y比随机值低，就用算法1来pixel deflection 
接下来做pixel deflection软阈值
（a）图像转换为YC_bC_r通道，具有与小波一样的去噪优势
（b）投射到小波域中（db1和db2效果相似，这里使用db1）
（c）贝叶斯收缩做软阈值
（d）计算逆小波变换的收缩小波系数
（e）图像转为RGB

```python

```