Towards Large yet Imperceptible Adversarial Image Perturbations with Perceptual Color Distance

这是一篇CVPR2020中关于对抗样本的论文，作者在文中提出一种基于人类视觉感知性的白盒攻击方法。因为我是一个刚接触对抗样本方向的小白，所以这篇博客不会按照论文的描写顺序进行展开，而是以我搞懂这篇论文的时间线作为主轴，尽可能从一个小白的视角表述清楚论文的内容。文中有错误的地方，也希望大家能多多指正啦~

首先我们来看一下什么是对抗样本。

对抗样本：AE（Adversarial Examples），指在数据集中通过故意添加细微的干扰所形成的输入样本，这些样本导致模型以高置信度给出一个错误的输出。在原始数据上添加的干扰是人为精心构造的，人眼难以察觉。

上图中最左边为一辆汽车，添加了扰动之后，我们人眼看上去依然是一辆汽车（右图），但是在DNN模型中，它会被错误地识别为鸵鸟。
正因为对抗样本的存在，深度学习所应用的各领域的安全性难以得到保障。比如在自动驾驶中，如果犯罪分子将人烟稀少地区的交通信号牌改为立即停车，那么车上的人看不出有什么不妥，但自动驾驶汽车却会乖乖的停下来。如此一来，车上的人就会受到财产安全甚至是人身安全的威胁。

在本篇论文中作者的研究焦点集中在如何减小“对抗扰动”上。

我们在评价一个对抗扰动是否成功欺骗一个图片分类器时，会从对抗效果和视觉不可感知性两个方面进行评估。

对抗效果指的就是加完扰动后的图片对分类器的欺骗程度。
不可感知性指的是加完扰动后的图片与原图相比，其加入的扰动是否会被人们肉眼观察到。

在原始图像中加入的扰动太小很难生成成功欺骗分类器的对抗样本，但是加入太大的扰动往往会被人们观察到。因此扰动需要在构建对抗样本和人类视觉系统之间取得平衡。
作者在文中主要对对抗样本的不可感知性做出了优化。

在传统方法中，不可感知性由扰动在RGB空间中的Lp范数进行限制。在本文中，作者将目光从RGB空间中的Lp范数转向了人类色彩感知方向。通过“感知色彩距离”来代替“Lp范数”从而限制图中添加的扰动大小，可以实现在成功欺骗图片分类器的时，增大扰动的不可感知性。

为了大家能听的更明白，论文中提到的一些偏基础的东西我都会简单的提一下。刚刚提到，传统的方法的不可感知性是由RGB空间的Lp范数限制的，我们在这里解释一下对抗样本中的Lp范数。

范数
范数是一种强化了的距离概念，满足非负、自反、三角不等式的性质，它在定义上比距离多了一条数乘的运算法则。有时候为了便于理解，我们可以把范数当作距离来理解。在对抗样本中用于测量扰动的大小。
L-P范数不是一个范数，而是一组范数，其定义如下：

常见的Lp范数包含L∞、L2范数、L0范数。
（1）L0范数主要被用来度量向量中非零元素的个数，在对抗样本这个方向中，它是指对抗样本相对于原始图片，所修改像素的个数。在添加扰动时，我们常用l0范数限制可以更改的像素数量，不限制每个像素更改的程度。（如JSMA算法）

（2）L∞范数主要被用来度量向量元素的最大值，在对抗样本方向中，它是指所修改像素的变化量绝对值的最大值。L∞限制了更改的程度，不限制更改的数量。（如：FGSM算法）

（3）L2范数是我们最常见最常用的范数了，我们用的最多的度量距离欧氏距离就是一种L2范数。在对抗样本方向中，L2是指对抗样本相对原始图片，所修改像素的变化量的平方和再平方。主要限制了累积的更改，可以在更改像素的数量与程度之间达到某种平衡。（如DeepFool算法）

通常情况下我们用L2范数来测量对抗样本的扰动，其公式如上，其中X为原始图片，X‘为对抗样本。 d（X’,X）是扰动前后的距离度量

在RGB空间计算Lp范数是传统的方法，作者将其转变为使用感知色彩距离创建对抗图像，那么作者为什么会有这种动机呢？
我们来看下面这幅图

最左边的这张是作者拍摄的一张纯色图像（左），当我们在这张图像的绿色通道中加入轻微扰动则得到了中间图像的样子。但如果我们把同样大小的扰动加在纯色图像的蓝色通道上，则得到右边的图片。可以发现，尽管两个RGB通道均受到相同的扰动，但扰动仅在绿色通道中可见。原因是人眼感知到的颜色不会在RGB空间的整个距离内均匀变化。 RGB空间中相对较小的扰动可能对应于感知颜色空间中的较大差异，于我们人眼看便会很明显，就像中间这张图。相反，可能RGB空间中的较大变化导致较小的感知色差，人眼看不出来。所以作者认为通过RGB空间的Lp范数来衡量人眼识别到的扰动大小是不太科学的，我们应该用一种更贴近人类感知的公式来限制对抗样本的产生，从而实现不可感知性。
所以出现了文中“感知色彩距离“这一概念”

前人曾提出过一种在CIELAB色彩空间中产生干扰的方法，但它没有对这种方法的潜力和局限性进行任何研究。而作者使用了CIELAB色彩空间中更精确的极坐标形式（称为CIELCH），并且使用了实际的感知色彩距离CIEDE2000 直接来优化对抗图像扰动。

我给大家简单解释一下其中的名词：首先我们回顾几个常见的颜色模型，因为之前传统的扰动大小通过RGB空间的LP范数限定，文中的扰动大小通过LAB模型中的感知色彩距离限定，所以我们简单提一下这两个模型。

（1）RGB模型

RGB模型定义了三个变量，分别是红色、绿色、蓝色。这三种基色相互独立，其中任一色均不能由其它二色混合产生。它们又是完备的，即所有其它颜色都可以由三基色按不同的比例组合而得到。但是人们很难根据RGB模型直观的调配出某种颜色。

比如说，如下图所示，假如我们有一个RGB显示模型，可以通过三个不同的滑条控制其大小范围在0-255之间，每一个滑条只控制其中一个分量，如果起始颜色为橙色sRGB 值为R=217,G=118,B=33，为了得到亮度和饱和度为其一半的颜色，我们必须控制滑块，使其R减少31，G减小24，并B增加59，即表示为：

这个结果对于没有经验的使用者来说，并不是很容易理解。我们很难根据一个颜色直观地看出R、G、B成分究竟各占多少百分比，为了更直观地进行颜色表示，计算机图形学的先辈们发明了一些诸如HSL、HSV、LAB等更加直观的颜色混合模型。

（2） LAB模型

它是在1931年国际照明委员会（CIE）制定的颜色度量国际标准的基础上建立起来的。1976年，经修改后被正式命名为CIELab。它是一种设备无关的颜色系统，也是一种基于生理特征的颜色系统。这也就意味着，它是用数字化的方法来描述人的视觉感应。Lab颜色空间中的L分量用于表示像素的亮度，取值范围是[0,100],表示从纯黑到纯白；a表示从红色到绿色的范围，取值范围是[127,-128]；b表示从黄色到蓝色的范围，取值范围是[127,-128]。

Lab颜色空间比计算机显示器、打印机甚至比人类视觉的色域都要大，虽然我们在生活中使用RGB颜色空间更多一些，在计算机视觉中，尤其是颜色识别相关的算法设计中，我们经常将rgb,hsv,lab颜色空间混用使用。

为了更好的理解文中提出的感知色彩距离，我们再简单看一下如下的几个概念。

CIELAB色差计算

CIE色差计算就是在之前Lab颜色空间进行的。色差一般指的是由于位置不同或者放大率不同所造成的颜色差异。下面的四张颜色构成了两组对照，他们两组使用传统的色差计算方式得到的都是20，但是，在我们人眼看来感觉左边的差异要比右边的小。因此，不能单纯的用均方差等公式来做颜色的色差判断，所以这也就是CIE色差公式的意义。

它发展到2001年， CIEDE2000色差公式被提出，它包含了5个对CIELAB的校正：明度权重函数、彩度权重函数、色相权重函数、彩度差和色相差的交互项（用来改进蓝色的性能）、调整CIELAB a*的因子（用来改善灰色的性能）。成功解决了由于人眼与色差计的差异所导致的在色彩评定时测量数据与目测结论不匹配的问题。

CIEDE2000的具体公式为：

ΔE00是一个色差参数，它是一个主轴在饱和度方向上与人眼辨别临界区相接近的椭圆。其中∆L‘，∆C’，∆H‘表示三个通道的像素值之间的距离，即CIELCH空间中的L（亮度），C（色度）和H（色相），而∆R是色度 和色相差异间的交互项。加权函数SL，SC，SH和RT是根据大规模的人体研究确定的，可以作为补偿，以更好地模拟人的色彩感知。具体色差公式的推导大家如果有兴趣可以去https://www.cnblogs.com/wxl845235800/p/11079403.html
该博客中了解，我们这里主要想让大家知道论文中将会使用CIEDE2000色差公式来计算感知颜色距离。替代RGB空间的Lp范数。

了解了上述基础知识后，我们还需要知道一个现在广泛使用的攻击方法，专门介绍它是因为作者后续提出的方法是基于此方法进行的优化。这个方法是C&W。

C&W
Carlini 和 Wagner[36] 提出了三种对抗攻击方法，通过限制 l∞、l2 和 l0 范数使得扰动无法被察觉。我们在这里讲一下C&W中的L2方式，它可以限制扰动在修改的程度与数量之间达到平衡。它的公式如下

其中X是原图；X’是添加扰动后的对抗样本，用x’与x之差的l2范数来表示所添加扰动的大小；f()函数使分类器误分类为特定类别，这个函数的定义是前人在设计了很多函数后，根据实验数据选出的最好的。其具体公式会根据攻击是否为有目标攻击分为两类，下面会具体介绍；λ是一个可调节的超参数，用来平衡这两部分。

当攻击为有目标攻击，使分类器误分为特定的类别时函数f(x’)公式如下：

首先有目标攻击是指对抗样本不仅使模型误分类，还要使其误分为指定的类别。公式中各个符号的意义如下：
Z(X’)i：表示将x’误分类为第i类的logit值，logit我理解的是softmax的输入。
k:将目标误分类的置信度，k越大，生成的对抗样本置信度越高，对抗性越强。

当攻击为无目标攻击，使分类器误分为特定的类别时函数f(x’)公式如下，其中的参数含义和有目标攻击一致，y代表正确的分类。

下面我们来看一下作者在文中提出的优化。
(1) PerC-C&W
作者在文中提出了一种“PerC-C&W”的攻击方法，它基于广泛应用的C&W攻击方法进行了优化，用感知颜色距离替换L2距离，该方法能在保持攻击强度的情况下，在视觉不可感知性上有进一步的提升。公式如下：

下图是传统C&W方法和作者提出的PerC-C&W方法的对比图。

左边是C&W，它是针对RGB空间中的Lp范数扰动的方法，我们可以看到它在L2范数只有2，L∞只有13/255的情况下下将原图（降落伞）误分为置信度为99.5的气球，比右边使用PerC方法得到的Lp范数小很多。但是右边的方法虽然Lp范数大，但是它却以置信度100%将彩虹误分为吹风机。说明了PerC方法放宽了严格的Lp规范约束，同时可以通过感知色距来保持不可感知性（CIEDE2000）。而且我们可以看出使用PerC的扰动反而不太明显，扰动被平滑的分布在RGB颜色通道上，PerC距离有效地以人眼不可察觉的方式在RGB空间中隐藏较大的扰动。从而提高其不可感知性。

虽然PerC方法表达很简洁，但它的联合优化在实践中面临困难。原因是PerC-C＆W需要费时的二进制搜索才能找到最佳的λ，通常在不同的图像之间差异很大，为了解决低效率问题，作者提出了PerC-AL，它通过交替更新有关分类损失或感知色差的扰动来使联合优化解耦合。

（2）Perceptual color distance alternating loss (PerCAL) 感知色距交替损失

我们一起看一下算法的伪代码。

其中涉及的变量含义如下：
X:原始图片
X’加入细微扰动的图片
δ：扰动的大小
K：迭代次数
作者从原始图像x开始，其扰动δ初始化为0，然后以K为迭代次数对其进行迭代更新以创建对抗图像。在每次迭代中，要么选择根据分类损失的梯度扩大干扰以实现更强的对抗效果，要么缩小感知色差以增强其不可感知性。这两种操作交替进行直至生成对抗样本。这两个操作的交替是基于中间图像X’k是否已产生对抗性而进行的。通过反复越过感知色差决策边界搜索出最好的扰动。 为确保最后对抗样本的有效性，输出会被裁剪到[0,1]之间，并量化到8位编码为255个级别（对应于8位图像编码）。

实验
在实验部分，作者将PerC与RGB方法在高置信度对抗样本的鲁棒性和迁移性方面进行了比较。最后展示了使用Perc-AL交替损失能获得更好的不可感知性。

实验设置

Dataset和Networks: ImageNet数据集中的1000张图片。作者选择这个数据集是因为想研究现实条件下的不可感知性。在ImageNet上预训练的Inception V3模型作为目标分类器。
Baselines: 对比实验中会使用三个比较有名的方法，分别是：I-FGSM ，C＆W和最新的DDN 。其中，I-FGSM以最小L∞范数为目标，而C＆W和DDN以最小L2范数为目标。
Parameters:
I-FGSM重复多个回合，并增加L∞-范数界限，其中在每个回合中以步长α= 1/255指定足够大的迭代预算（在我们的实现中为100）.C＆W和PerC-C＆W使用Adam优化器的学习速率为0.01，用于更新扰动。作者将预算用于确定最佳λ的搜索步骤数。对于小预算，λ的初始化尤为重要。我们在[0.01，0.1，1，10，100]范围内对λ的初始值执行网格搜索，并采用产生最小平均扰动大小的值。所选的初始化值在论文的补充材料中给出。
对于DDN和PerC-AL，作者将步长（DDN中的α和PerC-AL中的αl）减小，用于通过余弦退火将分类损失的扰动从1更新为0.01。 DDN中的L2-范数约束初始化为1，并通过γ= 0.05进行迭代调整，就像原始作品DDN 一样。通过余弦退火，PerC-AL中的αc从0.5逐渐减小到0.05。
Evaluation Protocol：
作者根据预定义的预算调查一组合理的工作点。请注意，作者的目标是显示PerC与RGB方法的相对行为。为此，只需要进行公平的比较，而不必将所有方法都推向绝对最佳状态。对于每个对抗样本，如果它可以在给定的预算下达到对抗效果，则认为该方法是成功的。

如上图所示，对于C＆W和PerC-C＆W，预算指的是N（确定lamda的搜索步骤数）×N（梯度下降迭代的次数）。对于DDN和PerC-AL,作者使用原始工作中采用的三种不同的迭代预算（100、300和1000）来测试。使用相对较高的预算（9×1000），并且对较低的预算（5×200和3×100）感兴趣，这些预算与更有效的方法（即DDN和PerC-AL）可直接比较。作者使用原始工作中采用的三种不同的迭代预算（100、300和1000）来测试DDN和PerC-AL。

对抗强度是通过成功率来评估的，即成功对抗的个数在整个数据集中的比例。扰动大小是根据RGB空间中的扰动的L2和L∞范数（L2和L∞）以及图像级累积的感知色差（C2）来量化的。

在表中我们可以看到成功率为100时，PerC方法的Lp范数明显更高，原因是颜色感知距离的约束放松了对Lp范数的约束。而且我们可以发现PerC-AL的C2低于PerC-C＆W（57.10与67.79），不可感知性更好。

下图是在高置信度κ= 40时，五种不同攻击方法生成的对抗图像示例。
作者在文中说，I-FGSM图像质量较差，建议用大屏幕来看图像的差别，反正我在电脑上完全没看出来几个方法有啥不一样的。。。。。。

为了更好的了解所提出方法的性能，作者想比较PerC与RGB方法在高置信度对抗样本限制情况下的鲁棒性和迁移性。

下表是在高置信度设置中通过不同方法获得的成功率和感知色差的评估，我们可以看到当置信度K从20提到40后，作者提出的方法成功率依旧在100%，且其感知颜色距离很低。

鲁棒性比较
作者研究了基于图像变换的2个防御方法，即JPEG压缩和位深度减少。总的来说，将κ从20增加到40可以提高鲁棒性。毫无疑问，从下图中我们可以看出，对于一个特定的κ，I-FGSM胜过其他方法，因为它贪婪地扰动了所有像素，但代价是图像质量较差。在其他的方法中，我们的PerC-C＆W或PerC-AL始终可以达到最佳效果。具体来说，PerC-C＆W在所有情况下，PerC-AL始终优于DDN。

可转移性比较
可转移性是指使用一个模型生成的对抗样本可以使另一个模型误分类。作者测试了从原始Inception V3到其他三个经过预先训练的网络的不同方法的可移植性，即GoogLeNet，ResNet-152 和VGG-16 的可移植性。具体来说，如果原始模型产生的非目标对抗性示例会导致其他模型分类错误，则认为该示例可以转移到新模型中，下表展示了这些图像在可转移性下的成功率。 I-FGSM的性能再次优于其他方法，但是使用了过多的干扰。在其他方法中，我们观察到作者的两种PerC方法始终优于其他方法。

这篇论文证明了感知颜色距离能产生更加不易察觉的对抗扰动。并提出了两种创建对抗样本的方法：PerC-C&W、PerC-AL。未来，可以从隐私和安全角度继续考虑对抗样本中的感知颜色。还可以针对PerC方法进行防御，提高模型的健壮性。例如：可以通过直接在感知色彩空间中 应用位深度减少来减轻基于PerC的干扰。

上述就是我对正篇论文的理解，论文中作者的有些观点我没有提到，大家如果感兴趣可以去原文好好康一康

第一次写论文分享，有不足的地方欢迎大家评论区和我多多交流啦~~~