Adversarial Perturbations

1. [2018CVPR] Generative Adversarial Perturbations
   主要對對抗學習進行了系統的介紹，有以下分類：

   • image-agnostic & image-dependent
   • target attack & no-target attack
   • classification & segmantation
   • single model & multiple network
   • UNet architecture & REsNet generator
     
     

2. [2018ECCV] Transferable Adversarial Perturbations

FGSM: 白盒攻擊成功率較差，但是遷移性較好
BIM: 白盒攻擊成功率較高，但是遷移性較差
之前有論文提出這樣一個觀點：單步的攻擊遷移性較好，而基於迭代的攻擊遷移性較差
下面是它定義的loss，取loss爲中間的feature層的L2距離，其中第三項的添加有利於black-box

深層網絡存在梯度消失的問題，之前的方法如 BIM 無法高效的在幾次迭代中最大化 loss，所以考慮加一個正則項，使得對抗樣本的和正常樣本之間在每一層的特徵的距離儘可能的大，指導 loss 增大的方向
不同的模型和訓練數據會得到不同的最大化loss的參數，所以爲了提升遷移性，之前解決這個問題的方法是對模型和數據進行集成學習。 根本的目的還是是移除高頻擾動，並且減少不同擾動之間的差異。
但是這些方法的計算複雜度比較高，本文提出了一個更加高效的方法，直接添加正則項來解決這個問題。其中，R爲一個卷積操作，w爲卷積核，可以認爲是一個低通濾波器，使得相鄰像素之間更加平滑
3. [2018ICME] SCHMIDT: IMAGE AUGMENTATION FOR BLACK-BOX ADVERSARIAL ATTACK
儘量使生成的圖片靠近分類的邊界線

Schmidt Augmentation, an image augmentation method better probes decision boundaries of the black-box model.　一種用來生成四不像圖片的方法
對比方法Jacobian用一張圖片生成一張四不像圖片，提出的Schmidt Augmentation用兩張圖片一起生成一張四不像，主要是使生成的圖片儘可能的靠近分類面
4. [2019AAAI] AutoZOOM: Autoencoder-based Zeroth Order Optimization Method for Attacking Black-box Neural Networks Two novel building blocks towards efficient black-box attacks: (i) an adaptive random gradient estimation strategy to balance query counts and distortion, and (ii) an autoencoder that is either trained offline with unlabeled data or a bilinear resizing operation for attack acceleration. 5. csdv 6. ded 7. d 8. f 9. dfds 10. 10.scd 11. df