jiaxiaojunQAQ
commented
4 years ago 文章中写道comcnn的输出y是和x同size的,而结构中并没有反卷积,所以卷积是有padding的? 另外为什么文章中没有给出压缩后的3通道RGB彩图,而是分别显示了12个通道,这个24位压缩至12位只是个噱头吗? 上面的问题只是一些不重要的小细节,最令我奇怪的是这篇文章是CVPR2019的,文章中却没有引用ICML2018的best paper,你们到底知不知道文章中参与对比的pixeldefend和feature squeezing是一年前就被否掉的防御?label smooth也是最早一批的梯度混淆防御。现在已经2020了,如果当时你们不知道那后续是否有做那篇文章中三种攻击的测试?你的白盒攻击是仅攻击目标网络还是目标网络和压缩重构网络的组合呢?请否认我下面这句话:“这个方法是在不带comdefend目标网络上生成对抗样本,然后在带comdefend的网络上进行评估”。如果真的是那样,我不觉得这算白盒攻击,你们的网络可以看作是一个完全可导的端到端系统,如果是在真正的白盒攻击下有这种表现实在是令人不可思议。建议阅读Obfuscated gradients give a false sense of security:Circumventing defenses to adversarial examples.后半部分
第一:24位压缩到12位是在测试的时候有二值化的操作,哪里是噱头了?第二,我并不觉得pixeldefend和feature squeezing 是被否定掉的防御。如果只知道target 模型,这种前处理的防御就是有效的。第三,你说的ICML2018的best paper 是提出BPDA的思想而已,并没有给出详细的方法和代码。第四,我们这里设置的白盒是攻击者是只知道target模型,也就是现在所说的灰盒模型。所有的对比实验就是基于这个做的。ICML best paper 里面也说了只有对抗训练才能解决完全白盒问题,他那篇是否定了所有前处理的防御方法。但是对于只知道target 模型来说的前处理防御会比对抗训练有效,因为对抗训练会在精度和鲁棒性之间有个折中,也就说他会对原始准确造成影响。
文章中写道comcnn的输出y是和x同size的,而结构中并没有反卷积,所以卷积是有padding的? 另外为什么文章中没有给出压缩后的3通道RGB彩图,而是分别显示了12个通道,这个24位压缩至12位只是个噱头吗? 上面的问题只是一些不重要的小细节,最令我奇怪的是这篇文章是CVPR2019的,文章中却没有引用ICML2018的best paper,你们到底知不知道文章中参与对比的pixeldefend和feature squeezing是一年前就被否掉的防御?label smooth也是最早一批的梯度混淆防御。现在已经2020了,如果当时你们不知道那后续是否有做那篇文章中三种攻击的测试?你的白盒攻击是仅攻击目标网络还是目标网络和压缩重构网络的组合呢?请否认我下面这句话:“这个方法是在不带comdefend目标网络上生成对抗样本,然后在带comdefend的网络上进行评估”。如果真的是那样,我不觉得这算白盒攻击,你们的网络可以看作是一个完全可导的端到端系统,如果是在真正的白盒攻击下有这种表现实在是令人不可思议。建议阅读Obfuscated gradients give a false sense of security:Circumventing defenses to adversarial examples.后半部分