# Class-Disentanglement and Applications in Adversarial Detection and Defense [論文連結] https://proceedings.neurips.cc/paper/2021/file/8606f35ec6c77858dfb80a385d0d1151-Paper.pdf ## 架構 x：圖片 G(x)：類別冗餘資訊 x - G(x)：類別相關資訊 類別冗餘資訊和類別相關資訊是互補的，將他們相加後會得到圖片x **整個模型的（訓練）架構**  訓練VAE G(.)將類別冗余資訊從圖片x提取出來 同時用前面得到的x - G(x)訓練分類器D(.) VAE G(.)和分類器D(.)是聯合訓練的 他們會彼此競爭圖片x上的像素資訊 雖然是用x - G(x)來訓練，但訓練好的分類器同樣可以應用在G(x)上 觀察後發現大多的對抗攻擊都會落在x - G(x)上，但G(x)上仍然保留對分類有幫助的乾淨資訊 ➡︎ x - G(x)用於對抗攻擊的檢測，G(x)則用於分類  ## Loss  (1) 整個模型的Loss (2) CD-VAE的Loss (3) 分類器的Loss ## 對抗攻擊的防禦手段 **灰盒攻擊（攻擊者知道使用x預訓練的分類器架構，但不知道CD-VAE的架構）** CD-VAE可以將G(x)從x'中離出來，因為對抗攻擊大多都落在x - G(x)上，而且G(x)雖然是類別冗餘資訊，但仍包含了足夠的資訊讓分類器使用，所以有一定的穩健性 **白盒攻擊（攻擊者知道完整的架構）** 訓練CD-VAE的時候搭配對抗訓練，感覺似乎沒有在根本上解決問題，依舊要使用對抗訓練的方法 ## 和Diffusion model的結合 將G(x)喂給Diffusion model，填補圖片的資訊？