1 引入
1.1 题目
2016CVPR:简单愚弄深度神经网络 (DeepFool: A simple and accurate method to fool deep neural networks)
1.2 动机
深度神经网络在图像分类任务上的成就毋庸置疑。然而,这些架构已被证明对图像的小扰动缺乏健壮性,目前也缺乏有效的方法来准确计算深度分类器应对大规模数据集上扰动的鲁棒性。本文则对这些鲁棒性进行可靠量化。
1.3 代码
Torch:http://github.com/lts4/deepfool
1.4 Bib
@inproceedings{Moosavi:2016:25742582,
author = {Seyed-Mohsen Moosavi-Dezfooli and Alhussein Fawzi and Pascal Frossard},
title = {Deep{F}ool: A simple and accurate method to fool deep neural networks},
booktitle = {{IEEE} Conference on Computer Vision and Pattern Recognition},
pages = {2574--2582},
year = {2016}
}
2 DeepFool
对于给定的分类器,定义一个最小对抗性扰动,其用于改变样本的评估标签:
其中是输入图像。该式也称为在点的健壮性,因此分类器的健壮性定义为:
其中是数据集分布的期望。
3 DeepFool与二分类
二分类问题下,有,其中是一个图像分类函数。令表示在0处的level set。首先分析线性分类器的情况,然后推导出可以应用于任何可微分二分类器的通用算法。
可以很容易看出线性在点处的鲁棒性,等价于到分隔超平面的距离 (如图2),改变分类器决策的最小扰动对应于到的正交投影。一个用于描述该过程的封闭式公式如下:
4 DeepFool与多分类
一对多是最常用的多分类策略,因此我们基于该策略来扩展DeepFool到多分类上。在该设置下,分类器将有个输出,因此分类器被定义为且:
其中是在第类上的输出。与二分类相似,首先分析线性情况并推广到其他分类器。
4.1 线性多分类器
令表示一个线性分类器,在一对多的策略下,愚弄分类器的最小扰动被重写为:
其中是的第列。几何上,上述问题对应于计算与凸多面体complement之间的距离:
其中是位于内的点。我们定义这个距离为。多面体定义了输出标签的空间区域,如图4所示。
公式6的解决方案可以用封闭形式计算如下。令表示离的边界最近的一个超平面,例如图4中的。形式上,可以计算为:
最小扰动是将投影到由索引的超平面上的向量:
换句话说,我们可以找到在的平面上的最近投影。
4.2 广义分类器
文章出处登录后可见!