【论文快读】DeepFool(2016)

标题：DeepFool: a simple and accurate method to fool deep neural networks
作者：Seyed-Mohsen Moosavi-Dezfooli等
链接：https://arxiv.org/abs/1511.04599
摘要：

本文内容：
对于robustness的量化与计算；
DeepFool算法。

形式化

图像$\text{x}\in$图像空间${\mathbb{R}}^n$。
分类器$\hat{k}(\text{x})$在点$x$处的鲁棒性$\Delta (\text{x};\hat{k})$：(几何意义是$\text{x}$到分类边界的距离)
$$\Delta (\text{x};\hat{k}):=\underset{\text{r}}{\min }{\left||\text{r}|\right|}_{2}s.t.\hat{k}(\text{x}+\text{r})̸=\hat{k}(\text{x})$$
其中$\text{r}$是能够fool分类器的最小扰动。
分类器$\hat{k}(\text{x})$的鲁棒性：$${\rho }_{adv}(\hat{k})={\mathbb{E}}_{\text{x}}\frac{\Delta (\text{x};\hat{k})}{||\text{x}|{|}_2}$$
（点面距离越远，计算输入的样本度量越小，模型越健壮）

二分类问题

记$\hat{k}(\text{x})=sign({\text{w}}^T\text{x}+b):=sign(f(\text{x}))$
分类边界$\mathcal{F}=\{\text{x}:f(\text{x})=0\}$
扰动向量计为数据点到分类边界（直线）的距离向量，可以先算点到直线距离，然后求直线的单位法向量，相乘即${\text{r}}_{\star }({\text{x}}_0):=\arg \underset{\text{r}}{\min }||\text{r}|{|}_{2}s.t.sign(f({\text{x}}_0+\text{r}))̸=sign(f({\text{x}}_0))$
$=-\frac{f({\text{x}}_0)}{||\text{w}|{|}_2^2}\text{w}$
迭代算法如下：

多分类问题

label数：$c$
记分类函数$f(\text{x})={\text{W}}^T\text{x}+\text{b}$
分类器$\hat{k}(\text{x})=\arg \underset{k}{\max }{f}_k(\text{x})$，$f_k(\text{x})是向量f(\text{x})$的第$k$个维度。
扰动向量：$\arg \underset{\text{r}}{\min }||\text{r}|{|}_2$
$s.t.\exists k:{\text{w}}_k^T({\text{x}}_0+\text{r})+{\text{b}}_k\ge {\text{w}}_{\hat{k}({\text{x}}_0)}^T({\text{x}}_0+\text{r})+{\text{b}}_{\hat{k}({\text{x}}_0)}$
其中${\text{w}}_k$是$\text{W}$的第$k$列。、
几何意义为寻找${\text{x}}_0$与所在的凸区域$P=\bigcap _{k=1}^c\{\text{x}:f_{\hat{k}({\text{x}}_0)}(\text{x})\ge f_k(\text{x})\}$边界的最小距离，即：
$$\hat{l}({\text{x}}_0)=\arg \underset{k̸=\hat{k}({\text{x}}_0)}{\min }\frac{|f_k({\text{x}}_0)-f_{\hat{k}({\text{x}}_0)}({\text{x}}_0)|}{||{\text{w}}_k-{\text{w}}_{\hat{k}({\text{x}}_0)}|{|}_2}$$
所以最小扰动${\text{r}}_{\star }({\text{x}}_0)=\frac{|f_{\hat{l}({\text{x}}_0)}({\text{x}}_0)-f_{\hat{k}({\text{x}}_0)}({\text{x}}_0)|}{||{\text{w}}_{\hat{l}({\text{x}}_0)}-{\text{w}}_{\hat{k}({\text{x}}_0)}|{|}_2^2}({\text{w}}_{\hat{l}({\text{x}}_0)}-{\text{w}}_{\hat{k}({\text{x}}_0)})$
当边界非线性时，把上述$\text{w}$替换成$\nabla f(\text{(}x))$即可（如下算法2）

值得注意的是本算法的输出不是optimal的，但实验中已经能够大概率实现小幅度扰动了。