论文笔记--Adversarial examples in the physical world (2016).
思路
证明通过手机拍摄的图像也会被错误分类,即手机照片的对抗性仍然存在,使用ImageNet Inception分类器。
原图像到对抗样本的转换公式,对z值加扰动,x原图像,三通道的图片,只在Z方向上加の。
一、对Z添加扰动的两种方法
(1)快速方法FGSM:
(2)基本迭代方法BIM:
对每个像素使用小步长,clip之后的像素是原来的邻居,a=1,每步改变1。
对抗性生成目标类的标准:
- 通过在梯度方向上迭代来使得log损失最大。
- 噪声添加过多人眼不能正常识别,迭代方法添加的扰动更细小。
- の扰动>128时不能正确分类,16时认为是小噪声。
二、对抗样本不起作用的概率(被破坏)公式
n是对抗样本数,Xk数据集,Xadv对抗图像,
ytrue正确分类的图像,C()函数,是否正确分类
三、结论
1、FGSM生成的对抗样本的鲁棒性最好。
操作:对图片打印,拍照和剪切。
- 表1是正确分类的准确率,其中fast最低,攻击效果最好,而两种迭代效果不好。
- 表2是预过滤后分类的分类情况。
- 表3中预过滤的对抗样本损坏率更高,说明迭代方法为了保证置信度,丢弃了较多的损坏对抗样本。
2、人工修改对抗样本
- 对比度和亮度:无影响;
- 高斯模糊,高斯噪声和JPEG编码:最高80%损坏,没有达到100%。