《表3 不同方法在正常样本和对抗样本上的准确率》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《基于自适应噪声添加的防御对抗样本算法》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

由于不同防御方法在对抗样本和正常样本的准确率之间都会存在一定的权衡，即同一防御方法在提高对抗样本准确率时相应地会降低正常样本的准确率[26]。为比较不同防御方法在相同条件下正常样本和对抗样本的准确率，本实验采用了扰动大小ε=8/255，迭代次数k=8，步长大小α=3/255的PGD攻击方法，比较了normal、MART、Gaussian noise、TRADES(10）和本文提出的GGNA防御方法。其中GGNA方法在加入噪声的最大标准差为0.30时，实际生成的噪声标准差为0.18。为了公平比较，将之前噪声添加方法中添加噪声的标准差设定为0.18，并标记为Gaussian noise，对于正常训练的方法，标记为normal，其他参数设定如3.1节实验设置所述。实验中在测试正常样本时，GGNA和Gaussian noise方法都不添加高斯噪声，在测试对抗样本时添加标准差为0.18的高斯噪声。实验结果如表3所示。从表3中可以看出，GGNA方法实现了更好的对抗样本以及正常样本的准确率。