RES-PDF：面向安全关键场景的随机集成式对抗样本净化-检测协同框架

首页今日动态人才市场新技术专栏中国科学人云展台
BioHot
云讲堂直播会展中心特价专栏技术快讯免费试用

生物通官微
陪你抓住生命科技
跳动的脉搏

生物通首页 > 今日动态 > 正文

《Neurocomputing》：RES-PDF: A random, ensemble, and simultaneous purification-detection framework for adversarial example mitigation

【字体：大中小】 时间：2026年02月03日 来源：Neurocomputing 6.5

编辑推荐：

　　本文提出了一种创新的后部署对抗防御框架RES-PDF（随机集成式同步净化-检测框架），通过构建连续对抗区域迁移（Continuous Adversarial Region Migration）新概念，开发了随机集成对抗净化（REAP）方法。该框架突破性地将检测特征引入净化过程提升净化性能，同时利用净化特征增强检测能力，实现双向协同增效（1+1>2效应）。实验表明其在多种对抗攻击下泛化性能提升10.0%，对良性样本影响降低1.0%，推理耗时降至毫秒级，为安全关键场景（如自动驾驶）提供高效防护。

【亮点】

• 提出对抗净化中的连续对抗区域迁移新概念，并基于此开发随机集成对抗净化（REAP）方法，创新性融合高斯增强训练数据、训练数据回放和参数迁移等技术

• 构建随机集成式同步净化-检测框架（RES-PDF），通过检测特征与净化特征的双向赋能，实现协同防御效果（1+1>2）

【结果与分析】

通过三个研究问题评估RES-PDF性能：

RQ1-对抗样本泛化性能：在AutoAttack测试中，净化性能达93.2%（超越AToP的87.2%），检测性能达99.4%（超越EPS-AD的94.8%），针对自适应攻击仍能抵御75.0%的对抗样本

RQ2-良性样本影响：净化后良性样本准确率98.6%（高于AToP的95.6%），检测模块对良性样本影响仅0.6%

RQ3-推理效率：净化耗时0.02秒（较DiffPure的255秒提升万倍），检测耗时0.02秒（较EPS-AD的85.4秒提升千倍）

【讨论】

拓展实验表明RES-PDF在不同模型架构（ResNet、VGG）和数据集（CIFAR-10、ImageNet）均保持优越性能。当采用更先进净化器（如扩散模型）时，对PGD攻击在不同扰动预算、攻击步数和EOT步数下均展现稳定防御效果。消融实验验证了分支选择、随机预处理等模块的贡献度。

【结论】

RES-PDF通过净化与检测的协同机制，有效解决了现有后部署防御方案泛化性弱、良性样本影响大、推理耗时的三大瓶颈，为安全关键场景提供了新一代对抗样本防护方案。