人工智能反欺骗双向GAN通过对抗学习语义推断的对抗防御应对攻击（特约点评：利用双向GAN来提高深度神经网络（DNN）的可靠性是一个巨大创新很好的指导意义。来自网友大鹏的推荐！【欢迎大家给我们投稿，评论和关注，百度搜索趣说人工智能有大量机器学习，深度学习，人工智能等视频教程不定期免费送上！]）

人工智能反欺骗双向GAN通过对抗学习语义推断的对抗防御应对攻击简介：对抗的例子的存在导致深度神经网络（DNN）的可靠性的严重安全性问题。它通过小扰动以高置信度标记输入来挑战神经网络的鲁棒性。敌对的例子愚弄一个模型通常会欺骗另一个模型，即使两个模型在架构上有所不同并且在不同的例子中训练（Szegedy et al。2014）。一种可能的解释是，它们通常在实际数据分布中出现的可能性极低，因此在训练过程中它们将永远不会被观察到。另一方面，它们非常密集，可以在真实数据附近找到它们。另一个更有洞察力的图像是将数据集中的例子想象成实数，然后敌对的例子是合理的，存在于实数附近。

已经提出了各种防止DNN遭受对抗性攻击的尝试。 Szegedy等人。 （2014）提出了对抗训练，它通过对抗性的例子增加了分类器的训练数据，但由于产生大量对抗性例子的计算成本很高，因此在实践中是不可行的。最近，Sinha等人介绍了一种新型的对抗性训练。 （2017年），而不是增加训练数据，他们增加了模型参数更新与训练数据的最坏情况扰动，并表明在损失函数平滑的情况下保证了分布鲁棒性。对抗防御的另一个方向是修改DNN的梯度，以便它可以使模型中的梯度流动不那么显着。一个例子是Buckman等人提出的温度计编码。 （2018），它在一个热矢量中预处理输入。这种方法将离散性应用于DNN，其中敌对攻击不可能通过输入反向传播以对其进行对抗修改。此外，还有另一类防御机制旨在检测或消除输入样本中的敌对扰动。例如，Samangouei等人（2018年）和伊利亚斯等人。 （2017）利用生成模型的生成能力，通过在生成的空间中寻找最接近的输出来替代原始输入。虽然他们的模型提供了一种利用生成模型来重构敌对示例的新颖方法，但它需要额外的迭代步骤来搜索最接近的对应部分，这在计算上是昂贵的。

大多数前述的防御方法集中于梯度平滑或梯度掩蔽，这迫使模型在小扰动约束下没有有用的梯度来产生敌对的例子。然而，已经指出，这种防御方法可以被规避，这导致对抗对抗性攻击的错误防御（Athalye等，2018）。从我们的角度来看，捍卫敌对攻击的最基本的方法是捕捉输入的语义特征并仅根据这些特征进行推理。在本文中，我们提出了Featurized Bidirectional GAN（FBGAN），一种新颖的方法，首先捕获任何输入的语义信息，原始或敌对状态，然后通过这些信息检索未受干扰的输入。我们的模型，如Defense-GAN（Samangouei et al。2018）也利用了GAN（Goodfellow et al。2014b）的生成能力。此外，还添加了一个编码器进行语义推理，如图1所示。与Defense-GAN相比，FBGAN不需要额外的搜索过程就可以在生成的空间中获得对抗性最强的对手。编码器将直接提供语义潜在代码以重构未受干扰的图像。

人工智能反欺骗双向GAN通过对抗学习语义推断的对抗防御应对攻击贡献：FBGAN的主要结构与AFL（Donahue et al。2016）和ALI（Dumoulin et al。2016）相似，但我们在潜在空间中增加了一个额外的互信息（MI）正则化。这种MI正则化在InfoGAN（Chen et al。2016）中已得到证明，它可以表示图片的有意义的特征，例如，在MNIST数据集中，数字的倾斜角和笔划粗细。通过MI正则化，输入图像在推理步骤中将被编码为更低维空间中的潜在表示;同时，潜在表示的每个组件都包含该图像的有意义的特征。然后，该图像的语义表示将被馈送到发生器中以重建原始输入。因此，遵循这一特征捕获和重构流程，FBGAN可以充当过滤器并显示针对白盒和灰盒攻击的有效防御。

我们的贡献1.提出FBGAN，它描述了高维数据空间和低维潜在语义空间之间的双向映射。2.通过FBGAN重建去噪图像，提高对抗攻击的准确性。3.从干净的图像中提取语义特征，并能够生成具有指定语义特征的新图像，例如FBGAN倾斜角度和类别。

人工智能反欺骗双向GAN通过对抗学习语义推断的对抗防御应对攻击动机与目标函数：敌对性的例子可以被人类正确地分类，因为敌对性的扰动对于人类的认知是非语义的。 因此，通过提取图像的语义特征来“消除”摄动是很自然的。 我们使用BiGAN框架对对象学习特征映射，并引入MI正则化来减少潜在代码的维度并确保它们捕捉到语义变化。 我们称MI增强的潜在代码为语义代码。 首先，我们在干净的数据集上训练FBGAN。 如图2所示，对抗图像将被编码为与原始图像类似的语义代码，并且由于我们在干净的数据集上训练它，所以它的重构包含有限的扰动。 其次，我们将重建的图像提供给分类器以消除对抗性攻击。

人工智能反欺骗双向GAN通过对抗学习语义推断的对抗防御应对攻击结论：本文介绍了FBGAN，一种生成模型从高维数据空间中提取低维潜在特征。通过学习清晰的数据并在特征空间中表示它们，我们能够从敌对的例子中重建图像，这有效地削弱了对抗性攻击。同时，我们可以生成具有指定特征的新图像，例如类别，倾斜角度和大小;当然，这些新图像也可以通过分类器网络进行识别。正如我们在模型的动机中讨论的那样，MI正规化在语义推理中起着重要作用。理论上，当BiGAN达到最优解时，JS散度DJS（Px，E（x）PG（z），z）被最小化，这意味着H（z tt（z））= 0并且所有潜在码都是有效的。然而，实验表明，BiGAN不能保证最小化条件交叉熵，潜在的代码不能自动分解语义特征（图6），强调显式MI正则化的必要性。

尽管如此，我们的FBGAN模型对敌对攻击的有效性高度依赖于重建的准确性。在过度拟合训练数据的情况下获得高重建准确度也是具有挑战性的。例如，在SVHN中，我们应用4个十维分类代码和128个连续代码;然而，它的白盒防御精度比MNIST和FMNIST的要差得多。我们考虑不同数据集的各种表现，因为SVHN数据集比其余两个数据集具有更多的模式。即使一个类别中的特征完全不同，例如第一个不同的图像，图像的背景会为该对象添加大量额外特征，这使得模式分离变得更加困难。相反，具有全黑背景的MNIST和FMNIST数据集可以通过几个分类代码分开。在我们看来，如果我们能够找到合适的分类代码数，我们模型的性能将得到提高。