[论文阅读笔记]Adversarial Examples that Fool both Computer Vision and Time-Limited Humans

Adversarial Examples that Fool both Computer Vision and Time-Limited Humans(CVPR2018)

文中提出了首个可以欺骗人类的对抗样本。左图是猫右图是对抗样本，乍一眼看过去，感觉右图是狗。。

下图在短时间内，人类容易把它看作是一条蛇(brief表示短时间判断，long表示长时间判断)

代词说明:

image: 从ImageNet数据集上拿来的数据，但把像素值固定到[40, 255-40]，其目的是为了避免加上扰动后超过255或者低于0

adv: 使用了一个足够大的扰动大小，足以被人类在计算机屏幕上看到，但相对于图像强度尺度来说，它很小。($\epsilon=32$)

flip: 与adv相近，但其扰动在加上之前被垂直翻转，作者引入这个条件是为了判断是否是因为扰动降低了图像质量，才导致了降低了人类观察者的精度。

false: 对于target类别(本文的target类为2,也就是对于一个false样本为任何一个target类的概率差不多会在0.5左右)，原图像本就不属于任何其中一类。为了说明对抗性扰动实际上控制了所选的类


从下图中可以看出，flip和adv在添加扰动上，除了方向不一样以外，其他一致，但显然人类对于adv的反应速度全部低于flip的反应，作者认为，这是因为这种控制打破了扰动与图像之间的像素对应关系。

---

由于这些笔记是之前整理的，所以可能会参考其他博文的见解，如果引用了您的文章的内容请告知我，我将把引用出处加上~
如果觉得我有地方讲的不好的或者有错误的欢迎给我留言，谢谢大家阅读（点个赞我可是会很开心的哦）~