Towards Evaluating the Robustness of Neural Networks

这是一篇论文阅读笔记，论文原文：神经网络的鲁棒性评价

写在前面

本人在阅读这篇论文的时候也参考了别人的博文，参考博文的链接我会在文章最后的参考资料中列举出来，如有侵权请联系我删除。本文主要是对这篇论文的一些思想的理解，包括公式推导还有一些总结。除此之外发现原文在论文第6页中提出的7个目标函数中，第5个目标函数有错误，主要是对数里面的式子写反了，如果是仔细看的话是能够看出来的。原来的式子如下面的公式1所示，修改之后应该如公式2所示。在文中提到FFF就是经过了softmax输出的概率，那么FFF的取值范围为[0,1][0,1][0,1]，那么对于下面的(1)式来说，就不满足对数函数的定义域大于0，所以这个式子有问题。而(2)式则满足其定义域，并且相关意义，这个在后面会解释。
f5(x′)=−log⁡(2F(x′)t−2)(1)\begin{aligned} f_5(x') = -\log (2F(x')_t-2) \tag{1} \end{aligned} f5(x′)=−log(2F(x′)t−2)(1)

f5(x′)=−log⁡(2−2F(x′)t)(2)\begin{aligned} f_5(x') = -\log (2-2F(x')_t) \tag{2} \end{aligned} f5(x′)=−log(2−2F(x′)t)(2)

文章简介

虽然神经网络在大多数的机器学习任务上取得了SOTA的效果，但是存在这样的一个事实，那就是神经网络容易受到对抗样本的攻击。也就是说，对于输入的x，能够找到一个x′x'x′，使得x′x'x′与xxx十分接近，但是会被神经网络误分类成另外一个类别（非正确的类别）。所以使我们训练出的神经网络能够防御对抗样本的攻击显得意义重大。而防御蒸馏就是最近被提出的一个方法，对于任何一个神经网络，使用对抗蒸馏提高其鲁棒性，降低对抗攻击的准确率。没有使用防御蒸馏之前，对抗攻击的成功率为95%，但是使用了防御蒸馏之后，对抗攻击的成功率降到了0.5%。
但是在这篇文章当中，作者通过提出三种对抗攻击算法，证明了防御蒸馏也不过尔尔嘛。（这里提一嘴，作者这种写作手法着实厉害，先说防御蒸馏怎么怎么牛皮，然后第二段就说，在我们的文章中，我们提出了三种算法成功击破防御蒸馏，所以这也不过尔尔嘛