1. passive defense 被动防御
不改变model,增加一个Anomaly Detection
1.1. 增加一个filter,例如smoothing
1.2. Feature Squeeze
1.3. Randomization at Inference Phase
1.4. 缺点
如果防御机制泄漏,攻击仍会生效
2. Proactive Defence 主动防御
Training a model that is robust to adversarial attack
2.1. 找出漏洞,补起来
根据图像攻击算法,找到攻击图像,把攻击图像当作训练样本来训练
2.2. 缺点
训练时只能列举有限的攻击算法,换用算法攻击,仍然能攻破