论文那些事—ComDefend: An Efficient Image Compression Model to Defend Adversarial Examples

ComDefend: An Efficient Image Compression Model to Defend Adversarial Examples（CVPR2019）

1、摘要

在本文中，我们提出了一种端到端的图像压缩模型来防御对抗性示例：ComDefende。该模型由压缩卷积神经网络（ComCNN）和重构卷积神经网络（RecCNN）组成。ComCNN用于保持原始图像的结构信息，并消除对抗性干扰。利用RecCNN对原始图像进行高质量的重建。换句话说，ComDefense可以将敌对图像转换为干净的版本，然后将其输入到经过训练的分类器。我们的方法是一个预处理模块，在整个过程中不修改分类器的结构。因此，它可以与其他特定于模型的防御模型相结合，共同提高分类器的鲁棒性。

主要贡献三点：

1. 我们提出了ComDefende，一种端到端的图像压缩模型来防御对抗性示例。
2. 在ComDefende中加入高斯噪声有助于重建更好的图像。
3. 极大地提高了各种强大攻击方法的恢复能力，并击败了最先进的防御模型，包括NIPS 2017对抗性挑战的获胜者（HGD）。

2、ComDefende

去噪的基本原理：

 对抗样本经过ComDefende网络结构重建图像后，将扰动去除

ComDefende概述：ComCNN用于保存原始图像的主要结构信息。RGB三个通道的原始24位映射压缩为12位映射（每个通道分配4位）。RecCNN负责重建干净版本的原始图像。在压缩后的压缩表示上加入高斯噪声，提高了重建质量，进一步增强了防御能力。

在压缩过程中，ComCNN提取图像结构信息并去除图像的冗余信息。在重建过程中，RecCNN在没有对抗性干扰的情况下重建输入图像。特别是，ComCNN将24位像素图像压缩为12位。也就是说，12位像素图像去除了原始图像的冗余信息，并保留了原始图像的主要信息。因此，RecCNN使用12位像素图像重建原始图像。

统一的损失函数（ComCNN和RecCNN，其中表示ComCNN，表示RecCNN，是超参数，表示添加的高斯噪声）

 ComDefense的优化目标如下（其中x表示输入图像）：

3、实验结果

 实验一共使用4种经典的攻击方法：FGSM、BIM、Deepfool和CW，虚线代表没有进行防御的情况，红线表示在测试集上进行防御，黄线表示在训练和测试集上都进行了防御。

 

 4、总结

在本文中，我们提出了一种端到端的图像压缩模型来防御对抗性示例。ComDefense可用于测试时间、训练和测试时间。至于测试时间，它通过破坏敌方图像中敌方干扰的结构来保护敌方示例。对于训练和测试时间，它通过压缩图像空间来实现防御。通过这种方式，它减少了对手构建对抗性示例的可用搜索空间。与最先进的防御方法相比，ComDefense可以在FGSM、DeepFool和C&W攻击方法上实现更高的精度。同时，该方法也提高了BIM攻击的性能。更重要的是，ComDefense是以逐块方式对图像执行的，而不是对整个图像执行的，这样处理输入图像所需的时间更少。我们的工作表明，使用所提出的方法可以显著提高对抗性示例的分类性能。