Atack and Defence
对抗来自人类的恶意。
- 比如垃圾邮件,发送垃圾邮件的人会试图伪装自己,让垃圾检测模型把邮件判定为正常邮件。
- 比如对图片施加噪音,例如让一张很像猫的图片(人无法分辨),但是机器把它辨识成🐟
- 信息隐藏
如何攻击(比较容易)
没有目标的攻击
与正确的目标越远越好
有目标的攻击
与正确的目标越远越好,同时与某个错误的目标(自己设计)越接近越好
distance的定义
- L2-norm: d(x0,x’)=||x0-x’||2
- L-infinity: d(x0,x’)=||x0-x’||∞
总结:distance的设计应该根据人类的感知去定义。 对于图像领域,L-infinity更加适用。
d(x0,x’)≤
x*=arg min L(x’)