Struggle with Adversarial Defense? Try Diffusion

对抗性攻击通过引入微小扰动来诱导分类错误。最近，扩散模型被应用于图像分类器中，通过对抗训练或净化对抗性噪声来提高对抗性鲁棒性。然而，基于扩散的对抗训练经常遇到收敛困难和高计算成本的问题。此外，基于扩散的净化不可避免地会导致数据偏移，并被认为容易受到更强的自适应攻击。为了解决这些问题，我们提出了真实性最大化扩散分类器（TMDC），这是一种基于预训练扩散模型和贝叶斯定理的生成式贝叶斯分类器。与数据驱动的分类器不同，TMDC受贝叶斯原理指导，利用扩散模型的条件似然来确定输入图像的类别概率，从而抵御数据偏移的影响和对抗性训练的限制。此外，为了增强TMDC对更强的对抗性攻击的鲁棒性，我们提出了扩散分类器的优化策略。该策略涉及在带有基准标签的扰动数据集上对扩散模型进行后训练，指导扩散模型学习数据分布，并在基准标签下最大化似然。所提出的方法在CIFAR10数据集上对抗重型白盒攻击和强自适应攻击实现了最先进的性能。具体而言，TMDC在$l_{\infty}$范数约束扰动下实现了82.81%的鲁棒准确率，在$l_{2}$范数约束扰动下实现了86.05%的鲁棒准确率，$\epsilon=0.05$。

本文旨在提高图像分类器的抗对抗攻击能力，解决了扰动图像对分类器的影响问题。同时，为了解决扰动数据的转移问题，提出了一种基于贝叶斯定理的分类器。

本文的关键思路是提出了一个基于贝叶斯定理和预训练扩散模型的分类器（TMDC），利用扩散模型的条件概率计算输入图像的类别概率，从而提高分类器的抗对抗攻击能力。

本文的亮点在于提出了一种基于贝叶斯定理的分类器，该分类器能够有效地解决扰动数据的转移问题，并且能够抵御强大的对抗攻击。实验结果表明，该方法在CIFAR10数据集上取得了最先进的性能。此外，本文还提出了一种优化策略，可以进一步提高扩散模型的鲁棒性。

最近在这个领域中，一些相关的研究包括：'Adversarial Training Methods for Semi-Supervised Text Classification'、'Adversarial Training for Free!'、'Improving Adversarial Robustness via Guided Complement Entropy'等。