文章目录
Abstract
We sample the noise vector η uniformly from the surface of the unit sphere of radius ρ > 0 in the rd × rd LF-DCT space and project it back to RGB through the IDCT transform.
不同
r
r
r 对抗样本相对原始图片的改变如下图所示:
ρ
\rho
ρ 固定,随着
r
r
r 的减小,对抗样本和原始图片的 MSE 增大,对抗攻击成功率减小。其实从上图可以看出,随着
r
r
r 的减小,对抗扰动较为集中,这种改变可能不会改变模型的特征提取能力,导致攻击成功率减小。
可以看出,
ρ
\rho
ρ 固定时,
r
=
1
8
r=\frac{1}{8}
r=81 时,攻击成功率最高,但是
r
=
1
r=1
r=1 与上图的结果相矛盾。
类似于 PGD 攻击算法,通过
z
=
z
+
δ
η
∥
z
∥
2
∥
η
∥
2
z = z + \delta \eta \frac{\| \mathbf{z}\|_{2}}{\|\eta \|_{2}}
z=z+δη∥η∥2∥z∥2 进行迭代,之后通过
ϵ
\epsilon
ϵ 将扰动限制在 sphere 内。扰动是在 DCT 空间内进行高斯噪声采样,并将高频置零。
扫一扫
5077
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
