Abstract

DNN是最先进的图像分类器，但是遇到小的对抗扰动 就会判断错误，即使带有对抗扰动 的图片（从肉眼看）与原图片几乎没有区别。而基本上所有的模型都有这样的对抗扰动 ，因此研究对抗扰动 是有必要的。

• 提出Deep Fool 算法

1. 计算（使一个网络判断错误的）扰动，
2. 量化分类器的鲁棒性

Introduction

设 能够 改变预测的结果(记为$\hat{k}(\text{x})$)，且 最小 的扰动为$r$
$\Delta (\text{x};\hat{k}):=\underset{\text{r}}{\min }||\text{r}|{|}_2$ 且 $\hat{k}(\text{x}+\text{r})\ne \hat{k}(\text{x})$
其中，$\text{x}$为图片，$\hat{k}(\text{x})$为预测的标签，$\Delta (\text{x};\hat{k})$为$\hat{k}(\text{x})$在$\text{x}$处的鲁棒性

而分类器 $\hat{k}$ 的鲁棒性定义为
${\rho }_{adv}(\hat{k})={\mathbb{E}}_{\text{x}}\frac{\Delta (\text{x};\hat{k})}{||\text{x}|{|}_2}$
其中，${\mathbb{E}}_{\text{x}}$是图片$\text{x}$的分布期望。
对抗扰动可以让我们了解分类器的特征

这篇文章的主要贡献有

1. 简单且准确地计算和比较不同分类器对对抗扰动的鲁棒性。
2. 我们提出的方法比目前已知的方法更稳定，更有效；利用对抗样本扩大训练集可以明显提高对对抗扰动的鲁棒性
3. 我们提出的方法可以更好地理解为什么不准确（计算对抗扰动）的方法会带来不同的鲁棒性的结论，以及==它（We show that using imprecise approaches for the com- putation of adversarial perturbations could lead to dif- ferent and sometimes misleading conclusions about the robustness. Hence, our method provides a better un- derstanding of this intriguing phenomenon and of *its influence factors.==的影响因子

DeepFool for binary classifiers

$\hat{k}(\text{x})=sign(f(\text{x}))$
其中，$f$是任意标量的图像分类器
$f:{\mathbb{R}}^n\to \mathbb{R}$
F Δ = { x : f ( x ) = 0 } \mathscr F\mathop{\Delta}\limits_{=}\{\textbf x : f(\textbf x)=0\} F=Δ​{ x:f(x)=0}定义为零点

首先，$f$是affine分类器$f(\text{x})={\omega }^{\top }\text{x}+b$

$f$在${\text{x}}_0$处的鲁棒性是$\Delta ({\text{x}}_0;f)$，相当于${\text{x}}_0$到 F = { x : ω ⊤ x + b = 0 } \mathscr F=\{\textbf x : \omega^\top \textbf x+b=0\} F={ x:ω⊤x+b=0}的距离 如下图

那么改变分类器选择的最小扰动$r$是$\text{x}$在$\mathcal{F}$上的垂直映射。
则${\text{r}}_{\ast }({\text{x}}_0):=argmin||\text{r}|{|}_2$ 且$sign(f({\text{x}}_0+\text{r}))\ne$$sign(\text{f}(x_0))=-\frac{f({\text{x}}_0)}{||\omega |{|}_2^2}\omega$
$f$是适用大部分实验的二分分类器，我们采用迭代的操作估计鲁棒性$\Delta ({\text{x}}_0;f)$。特别的是，在每一个迭代中，$f$在当前点${\text{x}}_i$是线性化的。
a r g m i n r i ∣ ∣ r i ∣ ∣ 2 \mathop{arg min}\limits_{r_i}||r_i||_2 ri​argmin​∣∣ri​∣∣