论文笔记--Adversarial examples in the physical world (2016).

思路

证明通过手机拍摄的图像也会被错误分类，即手机照片的对抗性仍然存在，使用ImageNet Inception分类器。

原图像到对抗样本的转换公式，对z值加扰动，x原图像，三通道的图片，只在Z方向上加の。

一、对Z添加扰动的两种方法

（1）快速方法FGSM：

（2）基本迭代方法BIM：
对每个像素使用小步长，clip之后的像素是原来的邻居，a=1，每步改变1。

对抗性生成目标类的标准：

• 通过在梯度方向上迭代来使得log损失最大。
• 噪声添加过多人眼不能正常识别，迭代方法添加的扰动更细小。
• の扰动>128时不能正确分类，16时认为是小噪声。

二、对抗样本不起作用的概率（被破坏）公式

n是对抗样本数，Xk数据集，Xadv对抗图像，
ytrue正确分类的图像，C()函数，是否正确分类

三、结论

1、FGSM生成的对抗样本的鲁棒性最好。
操作：对图片打印，拍照和剪切。

• 表1是正确分类的准确率，其中fast最低，攻击效果最好，而两种迭代效果不好。
• 表2是预过滤后分类的分类情况。
• 表3中预过滤的对抗样本损坏率更高，说明迭代方法为了保证置信度，丢弃了较多的损坏对抗样本。

2、人工修改对抗样本

• 对比度和亮度：无影响；
• 高斯模糊，高斯噪声和JPEG编码：最高80%损坏，没有达到100%。