[paper]SPATIALLY TRANSFORMED ADVERSARIAL EXAMPLES

本文提出了一种基于空间变换（spatially transformed）（smooth image deformation）的对抗样本生成算法。（$L_p$Lp​距离较大，但图像更真实更不容易被检测）
之前的生成算法大多是将$L_p$Lp​范数作为损失函数，然后直接调整像素值。

两个重要因素
1）图片亮度和质量
2）几何关系

先前的大多数对抗攻击都建立在改变亮度和质量的基础上，同时假设在对抗扰动生成过程中图片的几何关系保持不变。

算法：
最小化空域局部形变，而不是传统的像素值$Lp$Lp 距离。具体地，设输入图像为$x$x，输出的对抗样本为$x_adv$xa​dv，每个像素的位移场为$f$f，则$x(r)=x_adv(r+f)$x(r)=xa​dv(r+f)，由于图像的空间是离散的，因此这里使用了双线性插值，而该操作是可微的。如下图所示:


$x_{adv}^{i}$xadvi​表示图像第$i$i个像素的像素值
$(u_{adv}^{i},u_{adv}^{i})$(uadvi​,uadvi​)表示对抗图像$x_{adv}$xadv​的坐标
$N(u^{i},u^{i})$N(ui,ui)是第$i$i个像素的四个相邻像素点 (top-left, top-right, bottom-left, bottom-right)的索引

优化目标：

其中$L_{adv}(x,f)=max(\underset{i\neq t}{max}\ \ g(x_{adv})_i-g(x_{adv})_t,k)$Ladv​(x,f)=max(i​=tmax​  g(xadv​)i​−g(xadv​)t​,k)，$g(z)$g(z)表示模型的logits输出，$t$t 为目标类别，$k$k 是置信水平
较高的置信水平能保证生成对抗样本的鲁棒性。
最小化空间变换$f$f可以确保stAdv具有较高的感知质量。

为了计算$f_{flow}$fflow​,需要计算任意两个相邻像素的空间移动距离之和。

we enforce the locally smooth spatial transformation perturbation $L_{flow}$Lflow​ based on the total variation. Intuitively, minimizing the spatial transformation can help ensure the high perceptual quality for stAdv, since adjacent pixels tend to move towards close direction and distance.