《Generative Adversarial Trainer: Defense to Adversarial Perturbations with GAN》

Secure GAN

• 论文《Generative Adversarial Trainer: Defense to Adversarial Perturbations with GAN》

文章的主旨是用生成对抗网络来构建机器学习模型在对抗攻击下的defence策略。和传统的生成对抗网络类似，文章提出的defence方法模型同样具有生成器和判别器两个模块。

如图所示，其中，生成器部分生成的是基于梯度方法构建的对抗样本，这个构建出来的对抗样本和真实数据一起作为判别器（这里的判别器是我们的目的分类器）的输入。一边是生成器尝试添加尽可能让分类器分类错误的对抗扰动，一边分类器尽可能的识别生成器生成的对抗样本和真实样本。通过这种对抗训练，最终得到的分类器网络就能比较准确的识别样本是否是对抗样本，从而提前给神经网络模型提供安全警告信息，达到防御对抗攻击的目的。

归结对抗攻击问题，我认为在某种程度上，就是神经网络的泛化问题，神经网络不能对其他未经训练的对抗样本进行正确分类，说明模型的泛化能力有欠缺。而GAN本来就能增强模型的泛化能力，因此用对抗网络的思路来处理对抗攻击的defence问题，是比较好的思路。这篇文章是17年5月的，还比较近，相关研究的拓展性比较强。