WwwwHy搞的烂活

【IEEE Access2021】Adversarial Attacks Against Face Recognition_A_Comprehensive_Study1. 相关工作2. 对抗攻击方法人脸对抗攻击3. 对抗防御方法1. 相关工作介绍了目前常用的人脸识别的models,包括Facenet,VGG-face,Cosface,Arcface等等，后两者是基于相似度cosine.Dataset：LFW,CASIA-Webface，MS-Celeb-1M，VGGface2，Megaface。

【ECCV2020】Patch-wise Attack for Fooling Deep Neural Network & Patch-wise++新版本Patch-wise++ Perturbation for Adversarial Targeted Attacks目前的研究方向是对抗样本、投毒攻击等等，所以大部分的论文笔记都是对抗样本方向的（gradient、patch、风格迁移、GAN等），也希望自己能够坚持写下去，研究下去，做出一定的成果。论文链接：Patch-wisePat

Imagenet-trained cnns are Biased towards Texture; Increasing Shape Bias Improves accuracy2021年了，这是新年的第一篇论文笔记，这也意味着新的一年的新的研究生活开始。目前的研究方向是对抗样本，所以大部分的论文笔记都是对抗样本方向的（first-order、patch、风格迁移、GAN等），也希望自己能够坚持写下去，研究下去，做出一定的成果。这是一篇CVPR公众号里推送的文章，也在我的文章中提及过，同时也是IC

对抗水印本文是一种黑盒攻击，通过将对抗样本技术和图像（文字）水印结合生成自然的水印对抗样本，在水印方面仅考虑的位置和透明度，未考虑旋转角度。作者在本文中为提高攻击效果提出一种优化算法Basin Hopping Evolution (BHE)，这是一种基于种群基因的全局随机搜索优化算法。AbstractRecent research has demonstrated that adding some imperceptible perturbations to original images can

个人总结：本文方法在19,20年的多数相关文章中都作为对比实验出现比如上述文章、AdvGan、AdvCam等，可见这篇文章的提出方法的效果还是很可以的。这篇文章提出了一个Min-Max的攻击&防御融为一体的框架，在该框架控制下使用PGD（迭代FGSM的一般方法）生成的对抗样本进行对抗训练，提高模型的鲁棒性，抵制一系列的first-order attack（基于梯度）。不过本文中提出解决方法采用的近似Danskin定理的部分没太看懂，还需进一步了解。AbstractRecent work ha.

深度神经网络(DNNs)在对抗例子中的脆弱性引起了越来越多的关注。许多算法被提出来制造强大的对抗例子。然而，这些算法修改像素的全局或局部区域，而不考虑网络解释。因此，这些扰动是冗余的，很容易被人眼发现。本文提出了一种产生局域扰动的新方法。其主要思想是根据网络对扰动的解释来寻找图像的贡献特征区域(CFRs)。由于网络的解释，添加到CFRs的扰动比其他区域更有效。在我们的方法中，设计了一个软掩模矩阵来表示CFRs，以精细地表征每个像素的贡献。在此基础上，我们提出了一个新的温度逆目标函数来寻找CFRs中的最优扰动

这是CVPR的一个推送，关于图像分类更偏向于纹理、还是形状？作者根据图中的几个模型的分类结果只有最后一个识别出来牛的概率高一点，前几个都很低，提出了一个疑问？这是因为牛纹理的特征较小还是鱼的形状特征过大呢？随后引出了这个文章：这篇论文的作者有基于风格迁移去验证纹理和形状对图像分类的影响：这篇推送包括的两篇论文我也下载了一下，有时间看一下，感觉这个推送想表达的意思就是对图像分类不一定就是会很偏向纹理，会和训练数据集的统计特性有关，如果训练集中是通过形状去打标签什么的，估计也会对形状的bias更

结论：由于本篇论文是在阅读完PS-GAN的基础上了来看的，所以并未感到有什么优越的策略。唯一新颖的点是在测试方法上使用了蒸馏网络来模拟黑盒攻击。摘要深度神经网络(DNNs)已经被发现容易受到对抗性例子的影响，这是由于输入中添加了小幅度的扰动。这种对抗性的例子会误导dnn产生对抗性选择的结果。不同的攻击策略已被提出以产生对抗实例，但如何产生高感知质量和更有效的对抗实例还需要更多的研究。在本文中，我们提出了利用生成对抗网络(GANs)生成对抗例子的AdvGAN算法，它可以学习和近似原始实例的分布。对于A.

Synthesizing Robust Adversarial Examples本文参考了这篇文章abstract：由于视点转换、摄像机噪声和其他自然变换的组合，生成神经网络对抗性例子的标准方法并不能一直愚弄物理世界中的神经网络分类器，限制了它们与现实世界系统的相关性。我们证明了稳健的三维对抗性对象的存在，并且我们提出了第一个算法，用于合成在一个选定的变换分布上对抗样本。我们合成了对噪声、畸变和仿射变换具有鲁棒性的二维对抗图像。我们将我们的算法应用到复杂的三维对象，使用3d打印制造第一个物理对抗对象

abstract一些机器学习方法，包括神经网络都会被对抗样本（输入含有小的但是故意破坏的扰动）误导。这种对抗样本的输入会让神经网络得出一个置信度高并且错误的答案。早期的工作尝试用非线性特征和过拟合去解释它，我们却认为神经网络对于对抗样本的弱点主要体现在它的线性特征，基于这个假设，我们提出了简单快速的生成对抗样本的方法即快速梯度符号法（Fast Gradient Sign Method），通过产生对抗样本，降低了测试集的错误率（MNIST maxout network）1 IntroductionSze

摘要We present a method to create universal, robust, targeted adversarial image patches in the real world. The patches are universal because they can be used to attack any scene, robust because they work under a wide variety of transformations, and target.

# 系列文章目录提示：这里可以添加系列文章的所有文章的目录，目录需要自己手动添加例如：第一章 Python 机器学习入门之pandas的使用提示：写完文章后，目录可以自动生成，如何生成可参考右边的帮助文档文章目录# 系列文章目录前言一、pandas是什么？二、使用步骤1.引入库2.读入数据总结前言提示：这里可以添加本文要记录的大概内容：例如：随着人工智能的不断发展，机器学习这门技术也越来越重要，很多人都开启了学习机器学习，本文就介绍了机器学习的基础内容。提示：以下是本篇文章正文内容，