这篇文章首次展示了在对抗攻击领域的综合考察。本文是为了比机器视觉更广泛的社区而写的，假设了读者只有基本的深度学习和图像处理知识。不管怎样，这里也为感兴趣的读者讨论了有重要贡献的技术细节。机器之心重点摘要了第3节的攻击方法（12种）和第6节的防御方法（15种），详情请参考原文。

尽管深度学习在很多计算机视觉领域的任务上表现出色，Szegedyetal.[22]第一次发现了深度神经网络在图像分类领域存在有意思的弱点。他们证明尽管有很高的正确率，现代深度网络是非常容易受到对抗样本的攻击的。这些对抗样本仅有很轻微的扰动，以至于人类视觉系统无法察觉这种扰动（图片看起来几乎一样）。这样的攻击会导致神经网络完全改变它对图片的分类。此外，同样的图片扰动可以欺骗好多网络分类器。这类现象的深远意义吸引了好多研究员在对抗攻击和深度学习安全性领域的研究。

自从有了Szegedy的发现，机器视觉领域中陆续出现了好几个有意思的受对抗攻击影响的结果。例如，除了在特定图像的对抗性扰动之外，Moosavi-Dezfoolietal.[16]展示了「通用扰动（universalperturbations）」的存在（如图1所示），这种通用扰动可以让一个分类器对所有图片错误分类。同样的，Athalyeetal.[65]展示了即使用3D打印的真实世界中存在的物体也可以欺骗深度网络分类器（如图2所示）。考虑到深度学习研究在计算机视觉的重要性和在真实生活中的潜在应用，这篇文章首次展示了在对抗攻击领域的综合考察。这篇文章是为了比机器视觉更广泛的社区而写的，假设了读者只有基本的深度学习和图像处理知识。不管怎样，这里也为感兴趣的读者讨论了有重要贡献的技术细节。

图1：三种网络的对抗样本和原始样本的对比，以及错误分类结果。

图2：3D打印的对抗样本。

第2节里列举了机器视觉中关于对抗攻击的常用术语

第3节回顾了针对图片分类任务的对抗攻击。

第4节单独介绍了在实际生活场景中对抗攻击的方法。

第5节

转载请注明:http://www.aideyishus.com/lkcf/999.html