[paper]UPSET and ANGRI:Breaking High Performance Image Classifiers

提出了两种攻击算法，第一种是针对输出类别生成通用扰动（定向攻击），第二种针对不同图像生成特定扰动（定向攻击）。

• UPSET:Universal Perturbations for Steering to Exact Targets
  UPSET网络为针对原始图像生成具有通用扰动的对抗样本，且可以使模型误分类为指定的目标类别。
  
  $x$x：原始图像
  $t$t ：目标类别
  $\hat{x}$x^ ：对抗样本
  对抗扰动：$r_j，j∈{1,2,⋯,n}$rj​，j∈1,2,⋯,n即生成第$j$j个目标分类的扰动
  残差生成网络：$R，r_t=R(t)$R，rt​=R(t)
  $U$U ：UPSET网络
  扰动叠加计算结果归一化到[−1,1]，
  $s$s：比例参数，用于调节扰动 $r$r 的大小，一般取值为2。
  整体训练流程如下图所示：
  
• ANGRI: Antagonistic Network for Generating Rogue Images
  ANGRI网络为针对原始图像生成具有特定扰动的对抗样本，且可以使模型误分类为指定的目标类别。
  $\hat{x}=A(x,t)$x^=A(x,t)
  原始图像：$x$x
  图像类别：$c_x$cx​
  目标类别：$t，t≠c_x$t，t​=cx​
  $A$A ：ANGRI网络
  整体训练流程如下图所示：
  
  损失函数（以上两个方法都用的这个损失评估函数）：
  
  有$m$m个预训练的分类器$C_i$Ci​，表示对抗样本$\hat{x}$x^输出的分类概率$p_i$pi​ ，$p_i=C_i（\hat{x}）$pi​=Ci​（x^）
  误差函数由两部分组成，$L_C$LC​表示（错误）分类损失，$L_F$LF​表示保真度损失。
  $L_C$LC​是交叉熵损失。如果模型无法正确预测为目标类别$t$t，则$L_C$LC​会惩罚生成网络
  $L_F$LF​是$x$x和$\hat{x}$x^之间差异的范数，这确保了输入和输出图像看起来相似。
  权重$w$w用来折中两个损失指标，即图像保真度和对抗扰动的强弱
  $k$k的选择应使其不会促进稀疏性，否则残差将在较小的区域中累积并且非常明显。
  如果$k=2$k=2，那么就是$L2$L2范数，可以由$\left \| R(x,t) \right \|_{2}^{2}$∥R(x,t)∥22​替换。

实验指标：

• Targeted fooling rate (TFR): 定向攻击成功率
• Misclassification rate (MR): 模型分类错误率
• Fidelity score (FS): 对抗样本和原始图像的相似度
• Confidence （C）: 模型误分类时的平均置信度

实验结果：