关注
论文阅读笔记-《Intriguing properties of neural networks》
另外,再设计一个实验,选择隐蔽层所表示的空间中的一个随机方向(基向量的随机线性组合,单个神经元无法表示),用同样的方法使其激活值最大。我们希望r越小越好,同时使对抗样本x + r被错误分类到一个指定类别l下,同时还需要生成的x + r的值在[0,1]之间,保证是一张合法的图片。而由于神经网络模型是高度非线性的,导致过拟合只学习到了非对抗样本的特征,并没有学到对抗样本的特征,因此对于生成的对抗样本很容易判断失误。在凸损失的情况下,这一公式给出的是精确值,然而神经网络通常是非凸的,因此只能得到一个r的近似值。