深度神经网络在许多计算机视觉任务中已经得到了广泛应用，并取得了最先进的性能。然而，当DNN预测对自然示例添加人类无法感知的对抗性噪声的对抗性示例时，会出现误分类。这限制了DNN在安全关键领域的应用。为了缓解问题，我们首先对对抗性和自然示例的潜在特征进行了实证分析，发现自然示例的相似性矩阵比对抗性示例更紧凑。受到这一观察的启发，我们提出了\textbf{L}atent \textbf{F}eature \textbf{R}elation \textbf{C}onsistency(\textbf{LFRC})，它约束了潜在空间中对抗性示例的关系与自然示例保持一致。重要的是，我们的LFRC是与以前的方法正交的，并且可以很容易地与它们结合起来以实现进一步的改进。为了证明LFRC的有效性，我们在基准数据集上使用不同的神经网络进行了广泛的实验。例如，与AT相比，LFRC可以提供0.78\%的进一步改进，并与在CIFAR10上对自动攻击进行比较时的TRADES相比，提供1.09\%的改进。代码可在https://github.com/liuxingbin/LFRC 上获取。 (Latent Feature Relation Consistency for Adversarial Robustness)

翻译：深度神经网络在许多计算机视觉任务中已经得到了广泛应用，并取得了最先进的性能。然而，当DNN预测对自然示例添加人类无法感知的对抗性噪声的对抗性示例时，会出现误分类。这限制了DNN在安全关键领域的应用。为了缓解问题，我们首先对对抗性和自然示例的潜在特征进行了实证分析，发现自然示例的相似性矩阵比对抗性示例更紧凑。受到这一观察的启发，我们提出了\textbf{L}atent \textbf{F}eature \textbf{R}elation \textbf{C}onsistency(\textbf{LFRC})，它约束了潜在空间中对抗性示例的关系与自然示例保持一致。重要的是，我们的LFRC是与以前的方法正交的，并且可以很容易地与它们结合起来以实现进一步的改进。为了证明LFRC的有效性，我们在基准数据集上使用不同的神经网络进行了广泛的实验。例如，与AT相比，LFRC可以提供0.78\%的进一步改进，并与在CIFAR10上对自动攻击进行比较时的TRADES相比，提供1.09\%的改进。代码可在https://github.com/liuxingbin/LFRC 上获取。

Xingbin Liu,Huafeng Kuang,Hong Liu,Xianming Lin,Yongjian Wu,Rongrong Ji

from arxiv, Tech report

Deep neural networks have been applied in many computer vision tasks and achieved state-of-the-art performance. However, misclassification will occur when DNN predicts adversarial examples which add human-imperceptible adversarial noise to natural examples. This limits the application of DNN in security-critical fields. To alleviate this problem, we first conducted an empirical analysis of the latent features of both adversarial and natural examples and found the similarity matrix of natural examples is more compact than those of adversarial examples. Motivated by this observation, we propose \textbf{L}atent \textbf{F}eature \textbf{R}elation \textbf{C}onsistency (\textbf{LFRC}), which constrains the relation of adversarial examples in latent space to be consistent with the natural examples. Importantly, our LFRC is orthogonal to the previous method and can be easily combined with them to achieve further improvement. To demonstrate the effectiveness of LFRC, we conduct extensive experiments using different neural networks on benchmark datasets. For instance, LFRC can bring 0.78\% further improvement compared to AT, and 1.09\% improvement compared to TRADES, against AutoAttack on CIFAR10. Code is available at https://github.com/liuxingbin/LFRC.

翻译：------ 潜在特征关系一致性用于对抗鲁棒性深度神经网络已经在许多计算机视觉任务中应用，并实现了最先进的性能。然而，当DNN预测添加了人类无法感知的对抗性噪声的对抗性示例时，会出现误分类。这限制了DNN在安全关键领域的应用。为了缓解这种问题，我们首先对对抗性和自然示例的潜在特征进行了实证分析，并发现自然示例的相似性矩阵比对抗性示例更紧凑。受到这一观察的启发，我们提出了\"潜在特征关系一致性\"（LFRC），以使潜在空间中的对抗性示例的关系与自然示例保持一致。值得注意的是，我们的LFRC与先前的方法正交，并且可以与它们轻松结合以实现更进一步的改进。我们在基准数据集上使用不同的神经网络进行了广泛实验，以证明LFRC的有效性。例如，LFRC与AT相比，可以提供进一步的0.78\%改进，并且与TRADES在CIFAR10上的自动攻击相比，可以提供1.09\%的改进。代码可在https://github.com/liuxingbin/LFRC上获取。