《表3 PGD对抗训练前后对相似对抗样本的分类正确率的比较》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《利用特征融合和整体多样性提升单模型鲁棒性》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

（%）

为回答问题4，测试了F+D模型以及额外加入了对抗训练后的AdvT+F+D模型在受到相同攻击下的分类正确率，结果记录在表3中.CIFAR-10和MNIST上的对抗模型训练都使用PGD方法，对抗训练过程中，CIFAR-10数据集下设置PGD的扰动值为0.01～0.05随机采样，MNIST数据集下设置0.05～0.2随机采样.随后测试了与前部分相同参数的FGSM，BIM，MIM和PGD这4种攻击.实验结果表明:在使用对抗训练之后，模型的防御表现进一步提高.其中，使用PGD作为训练中的扩容方式时提高最为明显:CIFAR-10下，准确率都提升了近1倍；而MNIST下，对于0.15扰动攻击，更是近3倍的提高.BIM和MIM除基本原理相似外，与PGD同样使用迭代方法，测试中，防御表现都有一定程度的提高.