正文
现有的对抗净化方法主要分为两类:基于训练的方法和基于扩散模型的方法。基于训练的方法需要在训练阶段使用对抗样本进行训练,以提高模型的鲁棒性,但这通常需要大量的训练数据和时间。相比之下,基于扩散模型的净化方法不依赖于训练数据,具有更强的泛化能力且无需训练过程,其基本策略是通过向图像添加噪声并在反向过程中恢复干净图像,从而消除对抗样本中的对抗扰动。
对抗净化具有重要意义,尤其是在深度学习被广泛应用于安全关键领域(如自动驾驶、金融分析和医疗影像等)时,确保模型的安全性显得尤为重要。对抗净化方法能够降低对抗攻击对系统造成的潜在威胁,从而提升应用系统的整体安全性和可靠性。
动机和理论分析
图 1:图像被分解为幅度谱(左)和相位谱(右),并分别计算对抗图像与原始图像之间的差异。
对抗净化成功的关键是在消除对抗扰动的同时尽可能的保留原始图像的语义信息,然而当前通过加入噪声将对抗扰动淹没在各向同性噪声中的策略会过度的破坏原始图像的语义信息,导致最后净化的图像和原始图像之间的语义信息有差距。而通过对抗样本引导的逆向过程可以尽可能少的损失语义信息,然而也会引入对抗扰动信息,导致净化的图像无法尽可能的去除图片上的对抗扰动信息。为解决上述存在的矛盾,我们希望将对抗扰动和图像本身的语义信息进行解耦,在扩散模型逆向过程中用干净的语义信息作为引导,就可以实现去除对抗扰动的同时,又可以保持和原始图像的语义相似程度。
为了将对抗扰动和干净的图像语义信息解耦开来,我们选择快速傅里叶变换技术,将图像分解为幅度谱和相位谱,通过计算对抗样本的幅度谱和相位谱和原始干净样本的幅度谱和相位谱之间的差异,我们可以绘制从低频到高频幅度谱和相位谱之间的差异(图 1),可以观察到对抗扰动更倾向于破坏图像的高频信息,而低频信息对对抗扰动更加鲁棒。
图 2:理论分析结果的实验验证
对于幅度谱和相位谱来说,噪声强度对任何频率的结构信息和内容信息随时间步 t 单调递增:
