通过限制深度神经网络的隐藏空间进行对抗防御

深度神经网络容易受到对抗攻击的影响，这些攻击通过在输入图像中添加微小的扰动来欺骗模型。现有的防御方法在白盒攻击环境下表现不佳，因为在这种情况下，攻击者对网络有完全的了解，并且可以多次迭代以找到强大的扰动。我们观察到，此类扰动存在的主要原因是在学习到的特征空间中不同类别的样本距离非常接近。这使得通过在输入中添加微不可见的扰动即可完全改变模型的决策。为了解决这一问题，我们提出了一种按类别解耦深度网络中间特征表示的方法。具体而言，我们强制每个类别的特征位于一个凸多面体内部，该多面体与其他类别的凸多面体最大程度地分离。这样，网络被迫为每个类别学习出独特且相距较远的决策区域。我们发现，对特征施加这一简单的约束条件可以显著增强所学模型的鲁棒性，即使面对最强的白盒攻击也不会降低其在干净图像上的分类性能。我们在黑盒和白盒攻击场景下进行了广泛的评估，并展示了与现有最先进防御方法相比的重大改进。