基于图像变换的双阈值对抗样本检测

作     者：刘会 文福举 杜红琴 王敬华 赵波 

作者机构：华中师范大学计算机学院 人工智能与智慧学习湖北省重点实验室(华中师范大学) 武汉大学国家网络安全学院 

出 版 物：《软件学报》 (Journal of Software)

年 卷 期：2025年

核心收录：

学科分类：08[工学] 080203[工学-机械设计及理论] 0802[工学-机械工程] 

基　　金：国家资助博士后研究人员计划(GZC20230922) 中国博士后科学基金第75批面上项目(2024M751050) 华中师范大学中央高校基本科研业务费(CCNU24XJ001) 华中师范大学基本科研业务费(自然科学类)(CCNU24ai010) 

主　　题：图像变换 对抗样本 特征分布 双阈值检测 图像分类 

摘      要：当前基于图像变换的对抗样本检测方法利用了图像变换对对抗样本的特征分布造成较大的影响,而对于良性样本的特征分布影响较小这一特点,通过计算样本变换前后的特征距离来检测对抗样本.然而随着对抗攻击的深入研究,研究者们更注重加强对抗攻击的鲁棒性,使得一些攻击能“免疫图像变换带来的影响.现有方法难以有效地检测出鲁棒性强的对抗样本.发现当前的对抗样本过于鲁棒,强鲁棒性对抗样本在图像变换下的特征分布距离远小于良性样本的特征分布距离,其特征分布距离违背了良性样本特征分布规律.基于这一关键的发现,提出基于图像变换的双阈值对抗样本检测方法,在传统单阈值检测方法的基础上设置一个下阈值,构成双阈值检测区间,其特征分布距离不在区间范围的样本将被判定为对抗样本.在VGG19、DenseNet和ConvNeXt图像分类模型中开展广泛的验证.实验证明该方法能够有效兼容现有单阈值检测方案的检测能力,同时对强鲁棒性对抗样本表现出良好的检测效果.