CN112287973A - 基于截尾奇异值和像素插值的数字图像对抗样本防御方法 - Google Patents

Abstract

对抗性机器学习研究已经表明，深度学习体系结构容易受到对抗样本的攻击。精心设计的小扰动会导致神经网络对正常图像的误分类，但不会对人类视觉系统造成识别错误。本发明提出一种基于截尾奇异值和像素插值的数字图像对抗样本防御方法，该方法基于像素矩阵分析和图像像素插值处理，以恢复图像在深度学习模型的正常识别为目标，在保证正常图片不会因为上述操作而被深度学习模型误分类的情况下能够有效防御对抗攻击。该方法有效地利用了矩阵分析和奇异值分解，并通过保留较大的奇异值，来重构出与对抗样本高度相似的最佳逼近图像，重构的图像再经过像素插值处理后，可以被深度学习模型正确的识别。此外，像素插值可以增加防御模型的不可预测性，从而达到防御黑盒攻击的目的。

Description

基于截尾奇异值和像素插值的数字图像对抗样本防御方法

技术领域

本发明属于计算机科学技术领域，尤其涉及一种基于截尾奇异值和像素插值的数字图像对抗样本防御方法。

背景技术

深度学习是当前人工智能兴起的核心。在计算机视觉领域，在计算机视觉领域，深度学习成为人们关注的焦点，克里日夫斯基(Krizhevsky)等人于2012年在一项极具挑战性的大规模视觉识别任务中，展示了基于卷积神经网络(Convolutional Neural Network,CNN)模型的出色性能。深度学习的流行要归功于这一项开创性的工作，且深度学习已经成为从自动驾驶汽车到监控和安全等应用领域的主力。尽管深度神经网络在解决复杂问题方面表现出了卓越的性能，并在很多领域节约了很多人力同时还能达到比人力更高的预算和处理能力。随着人脸识别ATM和手机人脸识别解锁方式等技术的兴起，深度学习解决方案，尤其是那些源于计算机视觉问题的解决方案，将在我们的日常生活中发挥重要作用。但最近的研究表明，深度很容易受到来自输入的细微干扰的对抗攻击，从而导致模型预测出错误的输出。对于人类视觉系统来说，这样的扰动极其微小难以察觉，但它们却会严重影响深度学习模型的判定和输出。更糟糕的是，被攻击的模型报告错误预测的可信度很高，相同的图像扰动甚至可以欺骗多个神经网络分类器。类似地，Athalye等人也证明，经过3D打印的对抗样本，同样也可以欺骗深度神经网络分类器，因此，对抗性攻击严重威胁着深度学习在生产生活中的实践和应用，并可能引发潜在的安全隐患。

目前，越来越多的研究者开始关注对抗机器学习方面的研究，关注点主要集中在两个方面，一种观点是提高深度学习模型对对抗性扰动的鲁棒性，即在训练深度模型时加入一定量的对抗样本进入，该方法的提出者称此为“放于蒸馏”；另一种观点是通过一定的图像预处理技术在对抗样本输入深度模型之前消除其对抗性，使得深度学习模型能够做出正确的判定。J.Gao等人提出了一种深度“斗篷”防御机制，即在输出层前加入一个特殊的网络来去除不必要的特征，从而提高深度学习网络的鲁棒性。Pouya Samangouei等人使用Defense-GAN模拟未扰动图像的分布，为每个输入图像寻找一个无扰动的最近输出，生成对抗网络的训练时的参数调整便成了关键问题，因为对抗性攻击往往具有随机性而非具有一定规律。类似地，Shiwei Shen等人提出了指定融合损失函数的APE-GAN，使反例与原始干净的图像流形高度一致，但结果差强人意。Nilaksh Das等人提出使用JPEG压缩系数将图像的分割为若干子区域并随机分配压缩系数，以抵抗对抗干扰，并取得了较好的效果。Yue Zhou等人提出了一种基于马尔科夫链的OPV(overall probability value，全局概率值)算法来防御对抗性实例。该算法将图像看作由像素组成的马尔可夫链，并假设每个像素的值只与前一个像素相关，利用相邻像素的相关性作为判断图像清洁度的指标。

发明内容

为了解决上述提出的问题，本发明针对深度学习模型所面临的对抗性扰动问题进行了深入研究，为了解决对抗攻击使深度学习做出错误判定的问题，提出一种基于截尾奇异值和像素插值的数字图像对抗样本防御方法，该方法基于像素矩阵的奇异值分解和重构图像的像素插值处理，可以在保证对抗性扰动再经过以上处理之后消除对抗性并使深度学习模型可以正确分类，同时以上方法处理后的正常图片不会影响自身的正确识别。与其他对抗样本防御方法的不同之处在于，本方法不需要进行训练以及任何关于对抗扰动的先验知识学习，也不需要对深度学习模型进行修改，只需要对输入模型的数字图像增加一层预处理模块即可，对计算量要求不高且易于实现和部署。本方法可以实现对图像本身的自适应并寻找到图像中的关键特征，保证深度学习模型的正确识别。

本发明的技术方案是：

1.基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其特征在于，使用像素矩阵的奇异值分解和像素插值技术处理对抗样本去除其自身的对抗性扰动，从矩阵分析的角度来分析图像并使处理过的图片变得“干净”并能被正确识别。

2.所述像素插值技术还用于增加整个防御模型的不可预测性和鲁棒性，从而达到有效防御黑盒攻击的目的。

3.所述防御方法包括以下步骤：

步骤1：输入图像P_i，P代表正常图片或者对抗样本，i代表正整数；

步骤2：对图像进行张量分解得到像素矩阵，如果是灰度图或者二值图则得到1个二阶张量矩阵，如果是RGB色域图则得到3个二阶张量矩阵；

步骤3：对每一个二阶张量矩阵进行奇异值分解得到全部n个奇异值{δ₁，δ₂，...，δ_n}(δ₁≥δ₂≥…≥δ_n)，并保留前S个较大奇异值并满足关系式

S和n均为正整数，且满足S<n，δ表示奇异值；

步骤4：依次递增10个奇异值重构图像，最终得到S/10张备选图，若S/10出现小数位则向上取整；

步骤5：对步骤4生成的备选图像进行像素插值缩放处理，缩放比例系数控制在一定范围内；

步骤6：将步骤5中处理后的图像依次输入训练好的深度学习模型进行判定；

步骤7：如判定出现2个及以上不同的分类结果，则出现次数最多且平均置信度系数最高的分类标签为最终输出判定；

步骤8：清理上述过程产生的备选图像的缓存并载入下一张图像。

4.其中，步骤3中的对张量矩阵进行奇异值分解A＝U∑V^T，A为张量矩阵，∑为对角阵包含所有得到的奇异值，U和V为单位正交矩阵，T代表矩阵的转置。

5.步骤3中的对张量矩阵进行奇异值分解的规则包括步骤如下：

步骤3.1：计算矩阵U＝AA^T，对其进行特征分解得到对应的特征值和特征向量；

步骤3.2：计算矩阵V＝A^TA，对其进行特征分解得到对应的特征值和特征向量；

步骤3.3：求出矩阵∑＝diag(σ₁，...，σ_i，...，σ_r)，其中σ_i是将第一或第二步中求出的非零特征值从大到小排列后开平方的值；

步骤3.4：计算前S个奇异值总和所占所有奇异求和的比例值，保留奇异值的个数满足关系

其余较小的奇异值全部舍去。

6.其中，步骤5使用了对图像的像素插值缩放操作，缩放算法选择双三次插值算法，目的是找到目标像素和最近16个像素的影响关系，确定影响因子，最终根据影响因子来获得目标图像对应点的像素值，完成图像缩放。

7.所述双三次插值算法包括构造双三次函数如下：

其中ω代表像素点的位置，S(ω)代表像素点的权值，通过权重卷积之后后生成目标图像中对应位置的像素，f(i+u，j+u)表示目标像素点的值，计算公式如下：

f(i+u，j+u)＝[A]*[B]*[C]

其中[A]＝S(1+v)S(v)S(1-V)S(2-v)是行变换权值矩阵，[B]代表区域像素值矩阵和[C]列变换权值矩阵表示如下：

缩放比例系数范围设定在[0.6,0.85]，通过在此区间产生随机数的方式获取。

8.其中，步骤7中使用了加权决策的思想，假设最终的M张备选图片中出现了N(N≤M)个不同的分类标签，则进行标签统计和置信度平均，最终出现次数最多且平均置信度最高的标签为最终分类输出。

9.还包括加权决策技术，所述奇异值分解和像素插值技术以及所述加权决策技术来缓解对抗样本对深度学习系统产生的“误导”并使其产生错误的判定，所述奇异值分解通过保留数字图像中较大的奇异值来重构出与原图近似的“干净”图像；所述像素插值技术能够增加防御模型的不可预测性并有效预防黑盒攻击以及Oracle攻击，所述加权决策输出能够保证防御模型的稳定性，使模型不会对可能出现的异常值过于敏感，从而有效缓解FGSM、C&W、JSMA以及deepfool的输入对抗样本的攻击，而且像素插值能够对对抗性扰动进行二次破坏，修正受污染图像而使其能够被深度学习模型正常识别。本发明的技术效果是：本发明提出的一种基于截尾奇异值和像素插值的数字图像对抗样本防御方法，与现有技术相比，其主要优点是：

最佳的图像逼近：从矩阵分析的角度出发，通过奇异值分解找到原图像素矩阵的最佳逼近来达到重构“干净”图像的目的。根据奇异值的性质，根据需要保留大于某一个阈值的奇异值并舍弃其余奇异值可以找到两个矩阵的最佳近似，该特性可以用于矩阵约简和数据压缩，也为发现对抗性样本中保留的“基本信息”和消除扰动提供了依据。

使用像素插值方法：使用双三次插值算法对备选图像进行随机压缩，因为双三次插值的运算过程会对原图像周围16个像素值进行权重卷积，这样会对已经添加咋图像中的扰动造成一定程度的干扰，能够达到削弱或消除对抗性扰动的目的。同时随机的缩放比例能够增加防御模型的不可预测性，增加系统的安全性。

加权决策决定输出：最终的输出根据所有备选图像的结果来综合决策，这样即使出现少数仍存在对抗性且被深度学习模型判定错误的图片，在加权决策后对深度学习模型能够产生的影响被降到了最小，并增加系统的鲁棒性。

和传统的功耗优化调度算法区别在于：(1)分析图像的角度不同：很多图像处理以及模式识别中，将图像的纹理，边缘以及色彩作为处理重点。而我们从矩阵分析的角度出发，将图像首先进行张量分解，然后对张量矩阵进行奇异值分解得到最佳的原图近似。(2)防御策略不同：以往的很多防御通过试图修改深度学习模型本身以及对图片提前加入水印或其他隐藏信息，确保图像的来源安全性。但在我们的防御策略中不需要上述操作，输入的图像来源可以是对抗样本也可以是正常图像。对抗样本经过防御模型处理后能够被深度学习模型正确识别，正常图像经过处理后基本不会受到影响或者影响很小。

附图说明

图1是本发明方法的流程图。

图2是真个防御模型的结构图。斜线部分是图像缩放后相对原图像空出的部分，加粗的方框表示分类异常的图像。

图3是灰度图和二值图的奇异值分解图。

图4是RGB图像的奇异值分解图。从外面层到内里层依次是红色像素矩阵、绿色像素矩阵和蓝色像素矩阵。

图5是使用双三次插值法进行图像缩放时的示例图。目标像素点的像素值由原图相关区域的16个像素点值共同确定。

图6是最终决策的流程图。

图中所有字符标记的中文概念列示如下：

M表示行数，N表示列数，(x,y)代表像素矩阵中像素点的坐标，(x′,y′)代表目前像素点的坐标。dx表示垂直方向，dy表示水平方向。

具体实施方式

为使本发明的目的、技术方案和优点表达地更加清楚明白，以下结合附图(图1-图6)和具体实施步骤对本发明进行详细描述，但不作为对本发明的限定。

本发明提出的基于截尾奇异值和像素插值的数字图像对抗样本防御方法基于矩阵论中的矩阵奇异值和像素插值处理，为了寻找隐藏在对抗样本中的真是信息，我们设定阈值，保留大于某个阈值的奇异值同时舍去小于该阈值的奇异值，这样能够尽可能多的保留图像中的重要信息。我们还考虑了增加防御模型的鲁棒性和不可预测性，即增加像素插值的步骤来防御黑盒攻击。最后经过梯度保留奇异值并进行像素插值处理，对生成的备选图像进行缩放，所有图像中出现频次最高且平均置信度最高的为最终输出。

对抗性机器学习研究已经表明，深度学习体系结构容易受到对抗样本的攻击。精心设计的小扰动会导致神经网络对正常图像的误分类，但不会对人类视觉系统造成识别错误。本发明提出一种基于截尾奇异值和像素插值的数字图像对抗样本防御方法，该方法基于像素矩阵分析和图像像素插值处理，以恢复图像在深度学习模型的正常识别为目标，在保证正常图片不会因为上述操作而被深度学习模型误分类的情况下能够有效防御对抗攻击。该方法有效地利用了矩阵分析和奇异值分解，并通过保留较大的奇异值，来重构出与对抗样本高度相似的最佳逼近图像，重构的图像再经过像素插值处理后，可以被深度学习模型正确的识别。此外，像素插值可以增加防御模型的不可预测性，从而达到防御黑盒攻击的目的。

如图1所示，是本发明方法的流程图。包括步骤如下：

步骤1：输入图像P＝P_normal or P_adv，P_normal表示输入的正常图像，P_adv表示对抗样本；

步骤2：对P_normal or P_adv进行奇异值分解，不同的图像类型进行区分处理；

步骤3：对输入图像进行奇异值分解，并保留前N个较大奇异值满足等式关系

步骤4：对保留的奇异值以10为梯度进行重构，共计得到N/10张备选图片{P₁，...，P_i}；

步骤5：对备选图像{P₁，...，P_i}进行随机比例系数缩放，采用双三次插值算法，随机系数产生范围[0.6,0.85]，处理后得到新的备选图像集合{P′₁，...，P′_i}，P代表备选图像，i表示正整数，P′_i代表处理后的第i张图像；

步骤6：将新的备选图像集合{P′₁，...，P′_i}输入到已经训练好的深度学习分类器当中进行分类；

步骤7：得到标签集合{L₁，...，L_i}合置信度集合{C₁，...，C_i}，L_i表示第i张图片的标签，C_i表示第i张图片的置信度。

步骤8：对{L₁，...，L_i}进行统计的到并计算每个出现标签的平均置信度

并得到最终输出结果。

1.图像奇异值分解

对于给定的一个M*N维度的图像P的奇异值分解，可以看成是对图像P像素矩阵的坐标轴变换，故可以得到以下式子：

P＝UDV^T

其中，U是一个m*n的矩阵，满足U^TU＝I_n,I_n是n*n单位矩阵。V是一个n*n的矩阵满足V^TV＝I_n。D是一个n*n的对角阵，所有元素皆非负。将矩阵U的列向量列出，可以写成U＝(u₁，...，u_i，...，u_n),每一个u_i被称为P的左奇异项向量，类似地，对于V＝(v₁，...，v_i，...，v_n)，每一个v_i被称为右奇异向量。假设矩阵D的对角线元素d_i表示矩阵P的奇异值，并降序排列，则P可以表达为：

其中

是一m*n的矩阵，即可将矩阵P表达成n个矩阵的求和。P_i的大小直接反映了，奇异值对矩阵的贡献度，故可以设定截断阈值保留一定奇异值得到元矩阵P的一个最佳近似矩阵P′。

上式中k和n均为正整数。经过以上处理，就可以得到原矩阵P的一个最佳近似P′，如果P是一个对抗样本则P′的纯净程度相对P要高很多。

2.双三次插值缩放

双立方插值计算涉及到16个像素点，如说明书附图中图5所示。其中点(x,y)代表目标插值图中的某个像素点(x′,y′)在原图中最接近的映射点，最终插值后的图像中(x′,y′)即为以上16个像素点的权重卷积之和。

假设计算插图中(i,j)处像素的值，首先计算它映射到原图中的坐标(i+v,j+u)，即卷积采样原图中确定的位置像素的范围是([i-1,i+2]，[j-1,j+2])。在卷积操作中设采样公式为S(x)，对应的F、A、B、C的表达式可以写为：

F(i+u，j+u)＝[A]*[B]*[C]

[A]＝(S(1+v)S(v)S(1-V)S(2-v))

将A、B、C的表达式带入F后，化简得到(其中，v代表行数偏差，u代表列数偏差)：

卷积插值公式S(x)，由一个三次多项式确定，公式如下：

该多项式的特点是S(0)＝1，S(n)＝0(当n为整数时)，当超出限定范围时S(x)为0。默认情况a的取值为-1，当然根据不同的情况a的常用取值还有-0.5和-0.75等。

3.最终统计决策

当所有的备选图像经过奇异值分解和像素插值处理之后，最终会输入已训练好的深度学习分类器，假设最终有M张备选图像输入深度学习分类器{p₁，...，p_m}，则每一张输入图像最终会得到一个分类标签和一个置信度，设该集合为

对分类结果，进行遍历，统计有j种不同的标签(j≤m),若

则标签A的频次累加1，同时标签A的置信度按照总出现次数取平均数。以此类推，最终出现的标签按照出现频次排列，若出现次数相同则平均置信度高的排序在前，排序后top1为最终标签。

本发明的基于截尾奇异值和像素插值的数字图像对抗样本防御方法包含图像奇异值分解、像素插值和加权排序决策三个部分。图像奇异值分解包含数字图像张量分解、奇异值截断、梯度重建等用于对抗扰动图像的恢复；像素插值(缩放)使用双三次插值算法增加防御模型的鲁棒性和不可预测性；加权排序决策能够增加防御模型的稳定性，是防御模型对偶然性异常值不敏感。使用奇异值分解来进行图像恢复，在不影响正常图像识别的情况下能够对添加扰动的图像进行一定程度的恢复，减少其扰动性，后续通过像素插值处理和加权排序能够大大增加防御模型的健壮性和鲁棒性，能够更加有效的抵御黑盒攻击以及Oracle攻击等。

如图2所示，改图是整个防御模型的总体框架图，展示了对抗样本从输入到预处理再到输入分类器以及最终决策等4个步骤。可以看到，奇异值分解后梯度重构的图像的清晰度逐渐增加，主图轮廓是最先显现的部分。在像素插值部分，像素插值(缩放)的数值产生于[0.6,0.85]，缩放后的图像边缘会添加zero-padding补全图像原始分辨率。最终决策部分需对所有备选图像的标签分类统计，出现频次最高且平均置信度最高的标签为最终输出。

如图3所示，表示对灰度图和二值型图的奇异值分解步骤，由于该类图像结构较为简单，因此奇异值较易计算。

如图4所示，表示RGB色域图像的奇异值分解计算步骤，此类图像在奇异值分解前需要先进行张量分解，对每一层分解的张量矩阵进行奇异值分解并截断，最后合并所有分解出的图层得到重建图像。

如图5所示，表示的是像素插值步骤，像素插值(缩放)采用的是双三次插值算法，执行过程中目标图像中的一个像素需要与原图像中对应的像素点进行映射并通过对原图像像素点周围16个像素的加权卷积和得出最终缩放图像目标像素的数值。

如图6所示，表示的是最终决策过程，每个备选图像的标签和置信度都会视为排序影响因子。最终出现次数最多且平均置信度最高的标签为最终输出。

本发明研究的是通过奇异值分解、像素插值和加权排序决策来缓解对抗样本对深度学习模型产生的影响。该发明属于预想预处理技术，与目前很多深度学习模型都具有很好的相容性，如vgg16、resnet v2、inception v4等。此外在针对不同类型的对抗样本如FGSM、JSMA、C&W、deepfool等类型的对抗样本都能起到显著作用。因此本发明主要适用于理论方面的研究，在实际的应用过程中可能会出现一定误差。

本发明说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。在此指明，以上叙述有助于本领域技术人员理解本发明创造，但并非限制本发明创造的保护范围。任何没有脱离本发明创造实质内容的对以上叙述的等同替换、修饰改进和/或删繁从简而进行的实施，均落入本发明创造的保护范围。

Claims (9)

1.基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其特征在于，使用像素矩阵的奇异值分解和像素插值技术处理对抗样本去除其自身的对抗性扰动，从矩阵分析的角度来分析图像并使处理过的图片变得“干净”并能被正确识别。

2.根据权利要求1所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其特征在于，所述像素插值技术还用于增加整个防御模型的不可预测性和鲁棒性，从而达到有效防御黑盒攻击的目的。

3.根据权利要求1所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其特征在于，所述防御方法包括以下步骤：

步骤1：输入图像P_i，P代表正常图片或者对抗样本，i代表正整数；

步骤2：对图像进行张量分解得到像素矩阵，如果是灰度图或者二值图则得到1个二阶张量矩阵，如果是RGB色域图则得到3个二阶张量矩阵；

步骤3：对每一个二阶张量矩阵进行奇异值分解得到全部n个奇异值{δ₁，δ₂，...，δ_n}(δ₁≥δ₂≥…≥δ_n)，并保留前S个较大奇异值并满足关系式

S和n均为正整数，且满足S＜n，δ表示奇异值；

步骤4：依次递增10个奇异值重构图像，最终得到S/10张备选图，若S/10出现小数位则向上取整；

步骤5：对步骤4生成的备选图像进行像素插值缩放处理，缩放比例系数控制在一定范围内；

步骤6：将步骤5中处理后的图像依次输入训练好的深度学习模型进行判定；

步骤7：如判定出现2个及以上不同的分类结果，则出现次数最多且平均置信度系数最高的分类标签为最终输出判定；

步骤8：清理上述过程产生的备选图像的缓存并载入下一张图像。

4.根据权利要求3所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其中，步骤3中的对张量矩阵进行奇异值分解A＝U∑V^T，A为张量矩阵，∑为对角阵包含所有得到的奇异值，U和V为单位正交矩阵，T代表矩阵的转置。

5.根据权利要求3所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其特征在于，步骤3中的对张量矩阵进行奇异值分解的规则包括步骤如下：

步骤3.1：计算矩阵U＝AA^T，对其进行特征分解得到对应的特征值和特征向量；

步骤3.2：计算矩阵V＝A^TA，对其进行特征分解得到对应的特征值和特征向量；

步骤3.3：求出矩阵∑＝diag(σ₁，...，σ_i，...，σ_r)，其中σ_i是将第一或第二步中求出的非零特征值从大到小排列后开平方的值；

步骤3.4：计算前S个奇异值总和所占所有奇异求和的比例值，保留奇异值的个数满足关系

其余较小的奇异值全部舍去。

6.根据权利要求3所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其中，步骤5使用了对图像的像素插值缩放操作，缩放算法选择双三次插值算法，目的是找到目标像素和最近16个像素的影响关系，确定影响因子，最终根据影响因子来获得目标图像对应点的像素值，完成图像缩放。

7.根据权利要求3所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其特征在于，所述双三次插值算法包括构造双三次函数如下：

其中ω代表像素点的位置，S(ω)代表像素点的权值，通过权重卷积之后后生成目标图像中对应位置的像素，f(i+u，j+u)表示目标像素点的值，计算公式如下：

f(i+u，j+u)＝[A]*[B]*[C]

其中[A]＝S(1+v)S(v)S(1-V)S(2-v)是行变换权值矩阵，[B]代表区域像素值矩阵和[C]列变换权值矩阵表示如下：

缩放比例系数范围设定在[0.6，0.85]，通过在此区间产生随机数的方式获取。

8.根据权利要求3所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其中，步骤7中使用了加权决策的思想，假设最终的M张备选图片中出现了N(N≤M)个不同的分类标签，则进行标签统计和置信度平均，最终出现次数最多且平均置信度最高的标签为最终分类输出。

9.根据权利要求1所述的基于截尾奇异值和像素插值的数字图像对抗样本防御方法，其特征在于，还包括加权决策技术，所述奇异值分解和像素插值技术以及所述加权决策技术来缓解对抗样本对深度学习系统产生的“误导”并使其产生错误的判定，所述奇异值分解通过保留数字图像中较大的奇异值来重构出与原图近似的“干净”图像；所述像素插值技术能够增加防御模型的不可预测性并有效预防黑盒攻击以及Oracle攻击，所述加权决策输出能够保证防御模型的稳定性，使模型不会对可能出现的异常值过于敏感，从而有效缓解FGSM、C&W、JSMA以及deepfool的输入对抗样本的攻击，而且像素插值能够对对抗性扰动进行二次破坏，修正受污染图像而使其能够被深度学习模型正常识别。

Images