©PaperWeekly 原创 · 作者 | 孙裕道

学校 | 北京邮电大学博士生

研究方向 | GAN图像生成、情绪对抗样本生成

引言

对抗样本中通常应用的

范数不能捕捉图像分类中对抗样本的感知质量，在该论文中作者用结构相似性指数 SSIM 度量来代替这些范数，

其实是经常被用于实验中衡量对抗样本与干净样本相似度，本文作者推陈出新将其融入到对抗攻击的目标函数里。实验可以发现由 SSIM 约束的对抗攻击可以对经对抗训练的分类器进行高准确率的攻击，同时始终提供更好感知质量的对抗图像。

论文标题：

Perceptually Constrained Adversarial Attacks

论文链接：

https://arxiv.org/abs/2102.07140

算法介绍

给定一个分类器

，输入样本

和标签集合

，其中分类器

预测真实样本

的标签为

。对抗扰动

会使得目标分类器分类出错即

。当对抗扰动攻击成功的时候，则有：

反之攻击失败的时候，则有：

作者选取

攻击的损失函数：

其中

表示松弛条件，

表示平衡因子。无约束问题

的解即为对抗样本。为了能够让对抗样本

更加接近真实样本

，采用相似性度量去约束

和

之间的距离，则有：

其中 。由拉格朗日公式可知：

考虑到相似度度量函数

，优先想到的是结构相似指标度量方法

，给定灰度图像

：

表示的是图像之间的亮度对比函数：

其中

和

表示的是

和

的平均像素值。

表示的是图片之间的对比度对比函数：

其中

和

表示的是

和

的像素值的标准差。

表示的是图像之间的结构对比函数：

其中

表示

和

之间的像素协方差。在彩色

图像中，先计算每个通道的

，然后计算不同颜色通道的平均

值。令

和

则有：

将上公式化简可得：

作者将

引入到 优化问题中进而生成对抗样本。当需要注意的一点是

具有非凸性，所以导致这个优化问题比较难处理。作者采取的办法是将目标函数分成两项

和

。这样处理的一个好处是

和

在它们的水平集中是凸的。考虑归一化均方误差（

）函数：

其中

，

，且此函数是一个在集合

上是一个准凸函数，此时则有：

其中

和

分别在

和 是准凸的。为了简化最小化过程，作者考虑

的

和

的

，而不是约束

。确保

和

的下限，并且使得对抗样本的图像落入

中，有如下约束：

为了在上述约束条件下最小化

，作者建立了如下的拉格朗日方程：

这是一个松弛版本的目标函数，求解可得对抗扰动为：

如下图所示为具体的算法流程图：

实验结果

3.1 对MNIST的攻击

对于 MNIST 数据集（实验中作者将像素强度缩放到区间

），作者比较了攻击方法与对抗训练网络的性能。如下图所示为不同对抗攻击的性能，分别比较了攻击成功率、平均

值和

范数值。

攻击的测试参数与对抗训练中用于生成对抗图像的参数相同。可以看出，对抗训练确实有所帮助，对测试数据的攻击仅在

的图像中成功。其他三次攻击，

、

和

都取得了

的成功率。

下图分别显示了

，

，以及由相同图像的其他方法产生的对抗样本可视化的图像。每个图像都显示了

值和感知标签，红色帧表示攻击是否成功，即结果图像是否分类错误。对于相同的图像，与

和

攻击相比，

产生的图像具有更好的感知质量，而

攻击在一些图像上的攻击是不成功的。

3.2 对CIFAR-10的攻击

下表显示的是在不同扰动极限下对抗扰动测试集的分类精度，可以发现当对抗扰动大小增加超过

时，

防御和

防御都会崩溃。

下图为攻击过程中获得的精确度、平均失真和攻击，可以看到，所有攻击的平均

值都非常高。可以看出，对于特征防御（针对

攻击的最强防御），

攻击导致大量对抗样本的

低于

，这占所有攻击成功的对抗样本的

。相比之下，对

攻击来说，只有

的成功攻击的对抗样本的

指数低于

。

更多阅读

#投 稿 通 道#

 让你的文字被更多人看到 

如何才能让更多的优质内容以更短路径到达读者群体，缩短读者寻找优质内容的成本呢？答案就是：你不认识的人。

总有一些你不认识的人，知道你想知道的东西。PaperWeekly 或许可以成为一座桥梁，促使不同背景、不同方向的学者和学术灵感相互碰撞，迸发出更多的可能性。

PaperWeekly 鼓励高校实验室或个人，在我们的平台上分享各类优质内容，可以是最新论文解读，也可以是学术热点剖析、科研心得或竞赛经验讲解等。我们的目的只有一个，让知识真正流动起来。

???? 稿件基本要求：

• 文章确系个人原创作品，未曾在公开渠道发表，如为其他平台已发表或待发表的文章，请明确标注

• 稿件建议以 markdown 格式撰写，文中配图以附件形式发送，要求图片清晰，无版权问题

• PaperWeekly 尊重原作者署名权，并将为每篇被采纳的原创首发稿件，提供业内具有竞争力稿酬，具体依据文章阅读量和文章质量阶梯制结算

???? 投稿通道：

• 投稿邮箱：hr@paperweekly.site

• 来稿请备注即时联系方式（微信），以便我们在稿件选用的第一时间联系作者

• 您也可以直接添加小编微信（pwbot02）快速投稿，备注：姓名-投稿

△长按添加PaperWeekly小编

????

现在，在「知乎」也能找到我们了

进入知乎首页搜索「PaperWeekly」

点击「关注」订阅我们的专栏吧

关于PaperWeekly

PaperWeekly 是一个推荐、解读、讨论、报道人工智能前沿论文成果的学术平台。如果你研究或从事 AI 领域，欢迎在公众号后台点击「交流群」，小助手将把你带入 PaperWeekly 的交流群里。