prinTao的博客

我们还讨论了传感器、算法和系统级别的可能防御措施。然后，为了找到可行的正触发，该模块估计由物理信号引起的图像失真，并使用提出的理论模型对失真进行正则化。2 然后，面向触发的补丁优化模块根据选定的正触发和负触发设计损失函数，通过梯度优化生成能够实现相应攻击目标的TPatch。3 基于内容的伪装模块通过使用预训练的特征提取器应用从参考图像中提取的有意义的内容，进一步提高了TPatch的视觉隐形性。4 现实世界鲁棒性改进模块通过解决贴片的变形和触发信号的误差来提高TPatch在现实世界中的鲁棒性。

对抗性鲁棒分类器具有非鲁棒模型所没有的特征——感知对齐梯度（PAG）。一些研究已将 PAG 确定为稳健训练的副产品，但没有一篇研究将其视为一种独立现象，也没有研究其自身的影响。为此，我们制定了一个新的目标，在训练分类器中直接推广 PAG，并检查具有此类梯度的模型是否对对抗性攻击更稳健。对多个数据集和架构的大量实验验证了具有对齐梯度的模型表现出显着的鲁棒性，揭示了 PAG 和鲁棒性之间令人惊讶的双向联系。最后，我们表明更好的梯度对齐可以提高鲁棒性，并利用这一观察结果来提高现有对抗训练技术的鲁棒性。