对抗攻击下情感识别模型的防御：对抗训练与输入预处理的效果对比？ 热门官方

回答：对抗训练与输入预处理是主流防御方法，效果对比如下：①对抗训练：在训练数据中加入对抗样本（如FGSM、PGD生成的扰动），使模型学习鲁棒特征。优点：从根本上提升模型抗攻击能力，在强攻击（如PGD-20步）下，准确率从 baseline 的30%提升至75%；缺点：训练时间长（需额外生成对抗样本），可能导致干净样本准确率下降5%-10%。②输入预处理：对输入数据进行去噪（如高斯滤波、中值滤波）、随机化（如随机裁剪、翻转）或对抗净化（如AutoEncoder去除扰动）。优点：实现简单，不修改模型结构，干净样本准确率几乎无损失；缺点：防御能力有限，仅对弱攻击（如FGSM-1步）有效，强攻击下准确率仍低于50%。联合防御（对抗训练+输入预处理）可将强攻击下的准确率提升至80%，同时保持干净样本准确率仅下降3%，是目前最优方案。