Towards Large yet Imperceptible Adversarial Image Perturbations with Perceptual Color Distance

这是一篇CVPR2020中关于对抗样本的论文，作者在文中提出一种基于人类视觉感知性的白盒攻击方法。因为我是一个刚接触对抗样本方向的小白，所以这篇博客不会按照论文的描写顺序进行展开，而是以我搞懂这篇论文的时间线作为主轴，尽可能从一个小白的视角表述清楚论文的内容。文中有错误的地方，也希望大家能多多指正啦~

首先我们来看一下什么是对抗样本。

对抗样本：AE（Adversarial Examples），指在数据集中通过故意添加细微的干扰所形成的输入样本，这些样本导致模型以高置信度给出一个错误的输出。在原始数据上添加的干扰是人为精心构造的，人眼难以察觉。

上图中最左边为一辆汽车，添加了扰动之后，我们人眼看上去依然是一辆汽车（右图），但是在DNN模型中，它会被错误地识别为鸵鸟。
正因为对抗样本的存在，深度学习所应用的各领域的安全性难以得到保障。比如在自动驾驶中，如果犯罪分子将人烟稀少地区的交通信号牌改为立即停车，那么车上的人看不出有什么不妥，但自动驾驶汽车却会乖乖的停下来。如此一来，车上的人就会受到财产安全甚至是人身安全的威胁。

在本篇论文中作者的研究焦点集中在如何减小“对抗扰动”上。

我们在评价一个对抗扰动是否成功欺骗一个图片分类器时，会从对抗效果和视觉不可感知性两个方面进行评估。

对抗效果指的就是加完扰动后的图片对分类器的欺骗程度。
不可感知性指的是加完扰动后的图片与原图相比，其加入的扰动是否会被人们肉眼观察到。

在原始图像中加入的扰动太小很难生成成功欺骗分类器的对抗样本，但是加入太大的扰动往往会被人们观察到。因此扰动需要在构建对抗样本和人类视觉系统之间取得平衡。
作者在文中主要对对抗样本的不可感知性做出了优化。

在传统方法中，不可感知性由扰动在RGB空间中的Lp范数进行限制。在本文中，作者将目光从RGB空间中的Lp范数转向了人类色彩感知方向。通过“感知色彩距离”来代替“Lp范数”从而限制图中添加的扰动大小，可以实现在成功欺骗图片分类器的时，增大扰动的不可感知性。

为了大家能听的更明白，论文中提到的一些偏基础的东西我都会简单的提一下。刚刚提到，传统的方法的不可感知性是由RGB空间的Lp范数限制的，我们在这里解释一下对抗样本中的Lp范数。

范数
范数是一种强化了的距离概念，满足非负、自反、三角不等式的性质，它在定义上比距离多了一条数乘的运算法则。有时候为了便于理解，我们可以把范数当作距离来理解。在对抗样本中用于测量扰动的大小。
L-P范数不是一个范数，而是一组范数，其定义如下：

常见的Lp范数包含L∞、L2范数、L0范数。
（1）L0范数主要被用来度量向量中非零元素的个数，在对抗样本这个方向中，它是指对抗样本相对于原始图片，所修改像素的个数。在添加扰动时，我们常用l0范数限制可以更改的像素数量，不限制每个像素更改的程度。（如JSMA算法）

（2）L∞范数主要被用来度量向量元素的最大值，在对抗样本方向中，它是指所修改像素的变化量绝对值的最大值。L∞限制了更改的程度，不限制更改的数量。（如：FGSM算法）

（3）L2范数是我们最常见最常用的范数了，我们用的最多的度量距离欧氏距离就是一种L2范数。在对抗样本方向中，L2是指对抗样本相对原始图片，所修改像素的变化量的平方和再平方。主要限制了累积的更改，可以在更改像素的数量与程度之间达到某种平衡。（如DeepFool算法）

通常情况下我们用L2范数来测量对抗样本的扰动，其公式如上，其中X为原始图片，X‘为对抗样本。 d（X’,X）是扰动前后的距离度量

在RGB空间计算Lp范数是传统的方法，作者将其转变为使用感知色彩距离创建