论文标题

ADVERSARIAL EXAMPLES IN THE PHYSICAL WORLD

论文url

https://arxiv.org/pdf/1607.02533.pdf?utm_source=sciontist.com&utm_medium=refer&utm_campaign=promote

论文核心内容：

提出了迭代FGSM的方法，以及least likely 攻击的方法。
做了一系统的实验，验证在真实的物理环境中，那些直接使用数字图像生成的对抗样本是否依然具有使分类器分类错误的能力。为什么要有这么疑问呢？这是因为，之前的机器学习对抗工作都是直接在数字图像本身做的操作，这些对抗后的图像会直接调用api输入到神经网络里面去。但是在现实中，图像都是基于感光设备采集的，这些感光设备在生成图像的时候，其实是引入噪声的，例如环境光的影响、摄像头离图片的位置的影响，这些影响是很有可能把攻击者千方百计加入的微小扰动的作用给破坏掉的。作者把这种感光设备采集图像中引入噪声的过程叫做 photo transformation，然后这些transformation又可以看作是改变光照、模糊、加入噪声的这些子变化的合成，并做实验量化这些transformation的影响。

Iterative FGSM

Basic Iterative FGSM

作者对原始的FGSM方法做了一点推广，提出了迭代的FGSM.
原始的FGSM:
在这里插入图片描述
FGSM里面，每次寻找对抗样本的时候，直接是 $x+εsign(∇_x J(x,y))$ ，这样是把每个像素点都变化了 $ε$ 这么大。这个改动其实是挺大，因为每个像素点都动了。

我们考虑 $FGSM$ 提出的理论假设：假设目标损失函数 $J(x,y)$ 与 $x$ 之间是近似线性的，即 $J(x,y)≈w^T x$ ，然后我们想往x加上一个小的扰动 $δ$ ，使得 $J(x,y)$ 变的最大。而 $J(x+δ,y)-J(x,y)≈w^T δ$ ,这玩意要最大，那当时是直接 $δ=εsign(∇_x J(x,y))$ 。

但是这个线性假设不一定是正确的呀，如果J和x不是线性的，那么是否存在 $(0,εsign(∇_x J(x,y) ))$ 之间的某个扰动，使得J增加的也很大？此时x的修改量就可以小于 $ε$ 了。

于是，作者就提出迭代的方式来找各个像素点的扰动，而不是一次性所有像素都改那么多的想法。
在这里插入图片描述
其中有个Clip截断函数：

这个截断函数写的花里胡哨的，但是表达的意思说穿了就一文不值，这个函数等价于：

它其实是想说X’的每个像素都得在X对应像素的ε邻域，同时又得是有意义的图片。

于是这个迭代的含义就是：每次在上一步的对抗样本的基础上，各个像素增长 $α$ （当然也可以减少），然后再执行裁剪，保证新样本的各个像素都在X的各个像素的 $ε$ 邻域内。这种迭代的方法是有可能在各个像素变化小于 $ε$ 的情况下找到对抗样本的，如果找不到大不了最差的效果就跟原始的 $FGSM$ 一样。