对抗样本检测

对抗样本检测

源于：Adversarial Examples in Modern Machine Learning: A Review

下面一些内容来自这篇文章，只是对其中攻击后生成的对抗样本检测部分进行梳理。

早期的方法

• PCA
  作者Hendrycks 发现对抗样本后期的主成分通常比干净样本的主成分方差更大，通过设定阈值可以进行检测。文章： “Visible progress on adversarial images and a new saliency map,”CoRR, vol. abs/1608.00530, 2016.http://arxiv.org/abs/1608.00530 此方法可以检测FGSM、BIM等攻击，但是对于CW攻击效果堪忧（CW产生的扰动太小了的缘故）。

• SoftMax
  作者Hendrycks 认为正常样本与对抗样本输入的softmax不同，可以通过分析来实现对抗样本的检测。也是阈值分析法。正常样本通常分布比较均匀且相互远离。这个在信号的对抗样本检测上也有运用。如：Adversarial Examples in RF Deep Learning:Detection and Physical Robustness。https://ieeexplore.ieee.org/document/8969138/

  这种方法对于三分类问题还是可以的，但是对于多分类问题，效果堪忧。

• Reconstruction
  作者提出一种通过重构的方式进行对抗样本检测。通过在以logits作为输入重建图像的分类器模型中添加一个辅助解码器，分析得到的输入重建图像

对抗检测网络

基于核密度与贝叶斯的检测（BU，KD）

内在维度检测（LID）

特征压缩

信号上的检测

基于小波变换

基于GAN