MIXUP INFERENCE: BETTER EXPLOITING MIXUP TO DEFEND ADVERSARIAL ATTACKS (ICLR 2020)
1 介绍
提高深度神经网络的鲁棒性 防御对抗攻击的 必要性
将防御方法分类为两种
- 推理阶段:加高斯噪声,图像非线性变换(不是足够可靠)
- 训练阶段:对抗训练(对clean图像识别有影响,计算昂贵)
mixup training method 引入了globally linear behavior,同时提高了鲁棒性。尽管它的提高比起对抗训练方法不那么显著,mixup保持了在clean图像上的表现也更高效。
提出在推理阶段使用mixup,称为mixup inference(MI),每次都将输入和一个干净样本进行mixup,然后喂给分类器。
两个基本的鲁棒性提升机制
- perturbation shrinkage 扰动收缩
- input transfer 更多的随机性
2 前提