SPATIALLY TRANSFORMED ADVERSARIAL EXAMPLES_鈥淪patially transformed adversarial examples

SPATIALLY TRANSFORMED ADVERSARIAL EXAMPLES

本文发表在ICLR2018上

引言

传统的对抗样本生成方式都是加扰动，是一种像素值变换，本文提出一种空域变换生成对抗样本的方法stAdv，虽然基于此方法在传统的对抗样本生成评价指标中和原图像会有较大的$L^p$距离，但是从人的视觉感官上这种变换方式更真实，且更不容易被现有对抗攻击防御方法检测出来。
传统像素值扰动生成对抗样本的问题：利用$L^2$ 距离作为相似性度量不符合人的视觉感受机制

方法

最小化空域局部形变，而不是传统的像素值$L^p$ 距离。具体地，设输入图像为$x$，输出的对抗样本为