यह शोधपत्र एक फ्रंट-एंड रीइन्फोर्समेंट न्यूरल नेटवर्क मॉडल के साथ प्रयोग करता है जो मौजूदा बैकबोन क्लासिफायर को स्थिर कर देता है और उसके सामने स्किप कनेक्शन के साथ एक विभेदक पूर्ण कन्वोल्यूशनल मॉडल जोड़ता है। कम लर्निंग रेट के साथ केवल एक एपोच के लिए प्रशिक्षण देकर, हमें एक ऐसा मॉडल प्राप्त होता है जो ऑटोअटैक पैकेज के APGD और FAB-T हमलों सहित ग्रेडिएंट हमलों के प्रति अत्यधिक प्रतिरोधी है, जबकि बैकबोन क्लासिफायर की सटीकता बनाए रखता है। ऐसा माना जाता है कि यह ग्रेडिएंट मास्किंग के कारण है। हमने एक पूर्ण विभेदक मॉडल में, JPEG कम्प्रेशन जैसे ग्रेडिएंट-डिस्ट्रॉइंग या ग्रेडिएंट-डाइवलिंग घटकों के बिना भी, ग्रेडिएंट मास्किंग की एक उल्लेखनीय डिग्री देखी। हमने तीन डेटासेट: CIFAR10, CIFAR100, और ImageNet, और विज़न ट्रांसफॉर्मर सहित कई अत्याधुनिक आर्किटेक्चर पर स्थिर और पुनरुत्पादनीय परिणाम भी प्राप्त किए। जबकि SQUARE अटैक और जीरो-ऑर्डर PGD जैसे ब्लैक-बॉक्स अटैक ग्रेडिएंट मास्किंग को आंशिक रूप से दूर कर सकते हैं, इसे एक साधारण रैंडम एन्सेम्बल से आसानी से दूर किया जा सकता है। हम एक रैंडम एन्सेम्बल प्रस्तुत करते हैं जो CIFAR10, CIFAR100, और ImageNet पर लगभग अत्याधुनिक ऑटोअटैक सटीकता प्राप्त करता है (मूल क्लासिफायर की सटीकता बनाए रखते हुए), जबकि अनुकूली हमलों के तहत लगभग शून्य सटीकता प्राप्त करता है। यह फ्रंट-एंड मजबूती बैकबोन के अतिरिक्त प्रतिकूल प्रशिक्षण द्वारा और भी बढ़ जाती है। CIFAR10 पर, रैंडम एन्सेम्बल पूर्ण ऑटोअटैक के तहत 90.8±2.5% (99% CI) सटीकता प्राप्त करता है, लेकिन अनुकूली हमलों के तहत केवल 18.2±3.6%। हम इस पेपर का समापन एक व्यावहारिक बचाव के रूप में रैंडम एन्सेम्बल की संभावित उपयोगिता पर चर्चा के साथ करते हैं, और प्रमुख परिणामों को पुन: प्रस्तुत करने के लिए कोड और निर्देश प्रदान करते हैं।
