Computer vision 对抗性训练和测试

也许这更像是一个概念问题，但我希望你能给我你的意见。我知道对抗性训练意味着在训练过程中引入一些损坏的实例，以便在测试时混淆模型并产生错误的预测。但是，该模型是否适用于以下场景： 假设创建了一个敌对补丁来愚弄检测到停止标志的分类器，那么普通的对象检测器将无法在存在该补丁的情况下区分真正的停止标志。但是，如果模型同时训练有补丁和没有补丁的两个实例呢？这对于对象分类程序来说并不难执行，攻击会失去所有成功的机会，对吧？。

---

我不明白为什么这些攻击可以成功，如果模型只需要多一点训练就可以包含这些对抗性样本。

我怀疑这里会有很多学者回答你的问题。你应该去你的学校找你的高级体育老师。我的研究主题更多的是关于大满贯领域，但我仍然会尝试回答它

您可以在修改后的输入集上进行训练。但是，在使用修改后的集合样本进行进一步训练后，模型本身将正确地更改其属性。它将丢失执行任务A的原始属性，但对于任务B，任务A和任务B可能相关的更优化的属性

然后攻击也应该被修改，以关注修改后的属性，这意味着用其他东西愚弄它

但如果你这样做，你就违背了你的初衷

希望这就是你想要的答案

---

在微信、QQ、whatsapp上找一个研究聊天组。就我所知，对抗性训练，即不断地训练/微调带有正确标签的新的对抗性图像，是对抗性示例的唯一强大防御，无法被某种形式的对抗性攻击完全克服。如果我错了，请纠正我。有许多其他的尝试来防御对抗性的例子，但通常情况下，如果攻击者知道防御是什么，就会有办法绕过它们，例如，请参阅

请注意，要真正获得对抗性训练的鲁棒性，您必须在训练期间生成对抗性示例，或继续使用新的对抗性图像进行更新。据我所知，这是因为一旦你训练了一些对抗性的例子，你的模型会有轻微的变化，虽然它对你最初的对抗性例子很强大，但仍然有其他对抗性的例子针对你新训练/微调的模型。对抗性训练逐渐改变你的模式，以尽量减少有效对抗干扰的可用性

然而，这样做可能与准确性不符，参见。对于非对抗性示例，对对抗性示例真正鲁棒的模型可能具有显著较低的准确性。此外，对抗性训练可能很难扩展到具有较大图像的数据集