Adversarial Perturbations

1. [2018CVPR] Generative Adversarial Perturbations
   主要对对抗学习进行了系统的介绍，有以下分类：

   • image-agnostic & image-dependent
   • target attack & no-target attack
   • classification & segmantation
   • single model & multiple network
   • UNet architecture & REsNet generator
     
     

2. [2018ECCV] Transferable Adversarial Perturbations

FGSM: 白盒攻击成功率较差，但是迁移性较好
BIM: 白盒攻击成功率较高，但是迁移性较差
之前有论文提出这样一个观点：单步的攻击迁移性较好，而基于迭代的攻击迁移性较差
下面是它定义的loss，取loss为中间的feature层的L2距离，其中第三项的添加有利于black-box

深层网络存在梯度消失的问题，之前的方法如 BIM 无法高效的在几次迭代中最大化 loss，所以考虑加一个正则项，使得对抗样本的和正常样本之间在每一层的特征的距离尽可能的大，指导 loss 增大的方向
不同的模型和训练数据会得到不同的最大化loss的参数，所以为了提升迁移性，之前解决这个问题的方法是对模型和数据进行集成学习。 根本的目的还是是移除高频扰动，并且减少不同扰动之间的差异。
但是这些方法的计算复杂度比较高，本文提出了一个更加高效的方法，直接添加正则项来解决这个问题。其中，R为一个卷积操作，w为卷积核，可以认为是一个低通滤波器，使得相邻像素之间更加平滑
3. [2018ICME] SCHMIDT: IMAGE AUGMENTATION FOR BLACK-BOX ADVERSARIAL ATTACK
尽量使生成的图片靠近分类的边界线

Schmidt Augmentation, an image augmentation method better probes decision boundaries of the black-box model.　一种用来生成四不像图片的方法
对比方法Jacobian用一张图片生成一张四不像图片，提出的Schmidt Augmentation用两张图片一起生成一张四不像，主要是使生成的图片尽可能的靠近分类面
4. [2019AAAI] AutoZOOM: Autoencoder-based Zeroth Order Optimization Method for Attacking Black-box Neural Networks
Two novel building blocks towards efficient black-box attacks: (i) an adaptive random gradient estimation strategy to balance query counts and distortion, and (ii) an autoencoder that is either trained offline with unlabeled data or a bilinear resizing operation for attack acceleration.
5. csdv
6. ded
7. d
8. f
9. dfds
10. 10.scd
11. df