17、对抗视觉与包容性图像竞赛解析

对抗视觉与包容性图像竞赛解析

1. 对抗视觉挑战 - Team JeromeR的防御方法

在对抗视觉挑战中，Team JeromeR在防御赛道获得了第三名。该团队由Jérôme Rony和Luiz Gustavo Hafemann组成，他们提交的方案采用了一种基于解耦方向和范数（DDN）攻击的新型对抗训练方法。

这种方法与Madry防御类似，在每次训练迭代中，都会使用强大的迭代攻击来获取扰动样本$\tilde{x}$。训练的目标是最小化这些扰动样本的交叉熵，即：
$\tilde{J}(x, y, \theta) = J(\tilde{x}, y, \theta)$

不过，Madry防御中$\tilde{x}$的优化目标是在输入$x$周围的$\epsilon$-球内获得最大损失，而使用DDN的防御中，$\tilde{x}$的优化目标是成为最接近的对抗样本，具体优化问题如下：
$\min_{\delta} |\delta| 2$，约束条件为$\arg \max {j} P(y_j|x + \delta, \theta) \neq y_{true}$且$0 \leq x + \delta \leq M$

其中，$x$是样本，$y_{true}$是真实标签，$M$定义了每个像素的边界（例如255）。如果扰动的范数大于$\epsilon$，则通过重新赋值$\delta \leftarrow \epsilon \frac{\delta}{|\delta|_2}$来限制扰动的最大范数。

该团队使用了在ImageNet上预训练的ResNeXt50 - 32x4d模型，并使用TinyImageNet数据集，以$\ep