深度神經網絡的功能導向黑盒安全測試
總結: 一種使用蒙特卡洛樹搜索的方式來獲取反例的方法,使用SIFT提取關鍵點,並採用兩個玩家回合制的方式對關鍵點進行操作.
N 爲 一 個 神 經 網 絡 , C 爲 其 類 別 數 量 給 定 輸 入 α 和 c ∈ C 類 N ( α , c ) 表 示 相 信 α 在 c 類 中 的 置 信 度 N ( α ) = a r g m a x c ∈ C N ( α , c ) 表 示 將 α 分 入 c 的 類 別 ( 就 是 哪 個 置 信 度 高 分 到 哪 個 ) D : 輸 入 域 , 可 以 表 示 爲 I R [ 0 , 255 ] w × h × c h , w , h , c h 是 一 個 圖 片 的 寬 度 , 高 度 和 通 道 數 P 0 = w × h × c h 是 輸 入 尺 寸 的 集 合 w × h 中 的 元 素 稱 爲 像 素 , 將 P 0 中 的 元 素 稱 爲 尺 寸 我 們 注 意 到 尺 寸 被 歸 一 化 在 [ 0 , 1 ] 距 離 衡 量 指 標 : L k = ∣ ∣ α 1 − α 2 ∣ ∣ k 兩 幅 圖 像 的 距 離 L 範 數 給 定 圖 像 α , 距 離 度 量 L k 和 距 離 d η ( α , k , d ) = { α ′ ∣ ∣ ∣ α ′ − α ∣ ∣ k ≤ d } 代 表 使 用 L k 範 數 做 爲 距 離 衡 量 指 標 後 , 到 α 的 距 離 不 大 於 d 的 點 的 集 合
\begin{array}{l}
N爲一個神經網絡,C爲其類別數量\\
給定輸入α和c∈C類\\
N(α, c)表示相信α在c類中的置信度\\
N(α) = arg max_{c∈C }N(α, c)表示將α分入c的類別\\
(就是哪個置信度高分到哪個)\\
\\\\
D:輸入域,可以表示爲IR^{w×h×ch}_{[0,255]},w,h,ch是一個圖片的寬度,高度和通道數\\
P_0 = w × h × ch 是輸入尺寸的集合\\
w×h中的元素稱爲像素,將P0中的元素稱爲尺寸\\
我們注意到尺寸被歸一化在[0,1]\\
\\
距離衡量指標: Lk = ||α1 − α2||_k 兩幅圖像的距離 L範數\\
\\
給定圖像α,距離度量Lk和距離d\\
η(α, k, d) =\{α' | \ ||α' − α||_k ≤ d\} 代表使用Lk範數做爲距離衡量指標後,到α的距離不大於d的點的集合
\end{array}\\
N 爲 一 個 神 經 網 絡 , C 爲 其 類 別 數 量 給 定 輸 入 α 和 c ∈ C 類 N ( α , c ) 表 示 相 信 α 在 c 類 中 的 置 信 度 N ( α ) = a r g m a x c ∈ C N ( α , c ) 表 示 將 α 分 入 c 的 類 別 ( 就 是 哪 個 置 信 度 高 分 到 哪 個 ) D : 輸 入 域 , 可 以 表 示 爲 I R [ 0 , 2 5 5 ] w × h × c h , w , h , c h 是 一 個 圖 片 的 寬 度 , 高 度 和 通 道 數 P 0 = w × h × c h 是 輸 入 尺 寸 的 集 合 w × h 中 的 元 素 稱 爲 像 素 , 將 P 0 中 的 元 素 稱 爲 尺 寸 我 們 注 意 到 尺 寸 被 歸 一 化 在 [ 0 , 1 ] 距 離 衡 量 指 標 : L k = ∣ ∣ α 1 − α 2 ∣ ∣ k 兩 幅 圖 像 的 距 離 L 範 數 給 定 圖 像 α , 距 離 度 量 L k 和 距 離 d η ( α , k , d ) = { α ′ ∣ ∣ ∣ α ′ − α ∣ ∣ k ≤ d } 代 表 使 用 L k 範 數 做 爲 距 離 衡 量 指 標 後 , 到 α 的 距 離 不 大 於 d 的 點 的 集 合
定義1: 反例的定義與安全性的定義給 定 一 個 輸 入 α ∈ D , 一 個 k ≥ 0 的 距 離 度 量 L k 和 一 個 距 離 d 一 個 c ≠ N ( α ) 的 對 抗 性 用 例 α ′ 定 義 爲 : α ′ ∈ η ( α , k , d ) , N ( α ) ≠ N ( α ′ ) , N ( α ′ ) = c ( 這 裏 意 思 是 , a ′ 和 a 是 兩 個 測 試 用 例 ( 兩 個 圖 片 , a ′ 是 反 例 ) , a ′ 在 a 的 L k 距 離 範 圍 內 , 但 他 們 兩 個 屬 於 不 同 的 類 別 ) a d v N , k , d ( α , c ) : c 類 別 的 一 系 列 反 例 a d v N , k , d ( α ) = U c ∈ C , c ≠ N ( α ) a d v N , k , d ( α , c ) : 所 有 類 別 的 反 例 a d v N , k , d ( α , c ) = ∅ : c 類 的 目 標 安 全 性 安 全 , a d v N , k , d ( α ) = ∅ : 非 目 標 安 全 性 ( 理 解 : 當 C 類 沒 有 反 例 C 類 就 安 全 , 所 有 類 沒 有 就 全 部 都 安 全 )
\begin{array}{l}
給定一個輸入α∈D,一個k≥0的距離度量Lk和一個距離d\\
一個c \neq N(α) 的對抗性用例α'定義爲:\\
α' ∈ η(α, k, d),N(α) \neq N(α'), N(α') = c\\
(這裏意思是,a'和a是兩個測試用例(兩個圖片,a'是反例),a'在a的L_k距離範圍內,但他們兩個屬於不同的類別)\\
adv_{N,k,d}(α, c):c類別的一系列反例\\
adv_{N,k,d}(α) = U_{c∈C,c \neq N(α)}adv_{N,k,d}(α, c):所有類別的反例\\
adv_{N,k,d}(α, c) = ∅:c類的目標安全性安全, \\
advN,k,d(α) = ∅:非目標安全性\\
(理解: 當C類沒有反例C類就安全,所有類沒有就全部都安全)
\end{array}\\
給 定 一 個 輸 入 α ∈ D , 一 個 k ≥ 0 的 距 離 度 量 L k 和 一 個 距 離 d 一 個 c = N ( α ) 的 對 抗 性 用 例 α ′ 定 義 爲 : α ′ ∈ η ( α , k , d ) , N ( α ) = N ( α ′ ) , N ( α ′ ) = c ( 這 裏 意 思 是 , a ′ 和 a 是 兩 個 測 試 用 例 ( 兩 個 圖 片 , a ′ 是 反 例 ) , a ′ 在 a 的 L k 距 離 範 圍 內 , 但 他 們 兩 個 屬 於 不 同 的 類 別 ) a d v N , k , d ( α , c ) : c 類 別 的 一 系 列 反 例 a d v N , k , d ( α ) = U c ∈ C , c = N ( α ) a d v N , k , d ( α , c ) : 所 有 類 別 的 反 例 a d v N , k , d ( α , c ) = ∅ : c 類 的 目 標 安 全 性 安 全 , a d v N , k , d ( α ) = ∅ : 非 目 標 安 全 性 ( 理 解 : 當 C 類 沒 有 反 例 C 類 就 安 全 , 所 有 類 沒 有 就 全 部 都 安 全 )
Scale Invariant Feature Transform (SIFT)
特點: 無需使用神經網絡就可以進行對象定位和跟蹤
步驟:標度空間極值檢測(檢測圖像中相對較暗或較亮的區域),關鍵點定位(確定這些區域的確切位置)和關鍵點描述符分配(瞭解目標對象的上下文圖片及其本地區域)設 Λ ( α ) 是 圖 像 的 一 組 特 徵 其 中 每 個 特 徵 λ ∈ Λ ( α ) 是 一 個 元 組 ( λ x , λ y , λ s , λ r ) ( λ x , λ y ) 是 坐 標 , λ s 是 特 徵 的 大 小 , λ r 是 特 徵 的 響 應 強 度
\begin{array}{l}
設Λ(α)是圖像的一組特徵\\
其中每個特徵λ∈Λ(α)是一個元組(λx,λy,λs,λr)\\
(λx,λy)是座標,λs是特徵的大小,λr是特徵的響應強度
\end{array}\\
設 Λ ( α ) 是 圖 像 的 一 組 特 徵 其 中 每 個 特 徵 λ ∈ Λ ( α ) 是 一 個 元 組 ( λ x , λ y , λ s , λ r ) ( λ x , λ y ) 是 坐 標 , λ s 是 特 徵 的 大 小 , λ r 是 特 徵 的 響 應 強 度
給 定 圖 像 α 及 其 關 鍵 點 集 合 Λ ( α ) , 我 們 爲 λ i ∈ Λ ( α ) 定 義 二 維 高 斯 分 布 G i , 對 於 像 素 ( p x , p y ) 有 : G i , x = 1 2 π λ i , s 2 exp ( − ( p x − λ i , x ) 2 2 λ i , s 2 ) G i , y = 1 2 π λ i , s 2 exp ( − ( p y − λ i , y ) 2 2 λ i , s 2 ) λ i , s : 方 差 , ( λ i , x , λ i , y ) 分 別 作 爲 均 值 Φ = { φ i } i ∈ 1 , 2 , . . . k , : 混 合 模 型 的 權 重 k = ∣ Λ ( α ) ∣ : k 是 關 鍵 點 集 合 的 個 數 , ϕ i = λ i , r / ∑ j = 0 k λ j , r 是 權 重 ( k 就 起 到 一 個 表 示 總 個 數 的 作 用 ) 最 後 的 混 合 高 斯 模 型 就 是 加 權 : G x = ∏ i = 1 k ϕ i × G i , x and G y = ∏ i = 1 k ϕ i × G i , y ( 就 是 把 數 據 對 應 放 在 高 斯 混 合 模 型 的 定 義 中 , 權 重 使 用 相 應 強 度 / 所 有 強 度 求 和 ) G ( Λ ( α ) ) 爲 最 後 的 混 合 高 斯 模 型
\begin{array}{l}
給定圖像α及其關鍵點集合Λ(α),我們爲λi∈Λ(α)定義二維高斯分佈G_i,對於像素(px,py)有:\\
\mathcal{G}_{i, x}=\frac{1}{\sqrt{2 \pi \lambda_{i, s}^{2}}} \exp \left(\frac{-\left(p_{x}-\lambda_{i, x}\right)^{2}}{2 \lambda_{i, s}^{2}}\right) \quad \mathcal{G}_{i, y}=\frac{1}{\sqrt{2 \pi \lambda_{i, s}^{2}}} \exp \left(\frac{-\left(p_{y}-\lambda_{i, y}\right)^{2}}{2 \lambda_{i, s}^{2}}\right)\\
λ_{i,s}:方差,(λ_{i,x}, λ_{i,y})分別作爲均值\\
Φ = \{φ_i\}_{i∈{1,2,...k},}:混合模型的權重\\
k = |Λ(α)|:k是關鍵點集合的個數,\phi_{i}=\lambda_{i, r} / \sum_{j=0}^{k} \lambda_{j, r}是權重(k就起到一個表示總個數的作用)\\
最後的混合高斯模型就是加權:\\
\mathcal{G}_{x}=\prod_{i=1}^{k} \phi_{i} \times \mathcal{G}_{i, x} \text { and } \mathcal{G}_{y}=\prod_{i=1}^{k} \phi_{i} \times \mathcal{G}_{i, y}\\
(就是把數據對應放在高斯混合模型的定義中,權重使用相應強度/所有強度求和)\\
G(Λ(α))爲最後的混合高斯模型
\end{array}\\
給 定 圖 像 α 及 其 關 鍵 點 集 合 Λ ( α ) , 我 們 爲 λ i ∈ Λ ( α ) 定 義 二 維 高 斯 分 布 G i , 對 於 像 素 ( p x , p y ) 有 : G i , x = 2 π λ i , s 2 1 exp ( 2 λ i , s 2 − ( p x − λ i , x ) 2 ) G i , y = 2 π λ i , s 2 1 exp ( 2 λ i , s 2 − ( p y − λ i , y ) 2 ) λ i , s : 方 差 , ( λ i , x , λ i , y ) 分 別 作 爲 均 值 Φ = { φ i } i ∈ 1 , 2 , . . . k , : 混 合 模 型 的 權 重 k = ∣ Λ ( α ) ∣ : k 是 關 鍵 點 集 合 的 個 數 , ϕ i = λ i , r / ∑ j = 0 k λ j , r 是 權 重 ( k 就 起 到 一 個 表 示 總 個 數 的 作 用 ) 最 後 的 混 合 高 斯 模 型 就 是 加 權 : G x = ∏ i = 1 k ϕ i × G i , x and G y = ∏ i = 1 k ϕ i × G i , y ( 就 是 把 數 據 對 應 放 在 高 斯 混 合 模 型 的 定 義 中 , 權 重 使 用 相 應 強 度 / 所 有 強 度 求 和 ) G ( Λ ( α ) ) 爲 最 後 的 混 合 高 斯 模 型
有模型之後就可以將一張圖片變成高斯混合模型處理後的圖片
α ( x , y , z ) : 圖 像 α 上 位 於 ( x , y ) 的 像 素 的 z 通 道 值 ( 通 常 爲 R G B 或 灰 度 值 , R G B 3 個 , 灰 度 1 個 ) I = { + , − } 是 一 組 操 作 指 令 , τ 是 表 示 操 作 幅 度 的 正 實 數 對 於 所 有 的 像 素 ( x , y ) 和 所 有 的 通 道 z ∈ { 1 , 2 , 3 } , 在 其 輸 入 子 集 X 上 的 像 素 操 縱 δ X , i : D → D 定 義 爲 δ X , i ( α ) ( x , y , z ) = { α ( x , y , z ) + τ , if ( x , y ) ∈ X and i = + α ( x , y , z ) − τ , if ( x , y ) ∈ X and i = − α ( x , y , z ) otherwise 請 注 意 , 如 果 值 是 有 界 的 , 例 如 [ 0 , 1 ] , 則 需 要 將 δ X , i ( α ) ( x , y , z ) 限 制 在 界 限 之 內 。 ( 理 解 就 是 對 一 組 像 素 的 某 個 通 道 統 統 加 上 一 些 值 或 者 減 少 值 , 並 且 要 控 制 最 後 的 值 不 要 超 出 範 圍 )
\begin{array}{l}
α(x, y, z):圖像α上位於(x,y)的像素的z通道值(通常爲RGB或灰度值,RGB3個,灰度1個)\\
I = \{+, −\}是一組操作指令,τ是表示操作幅度的正實數\\
對於所有的像素(x,y)和所有的通道z∈\{1,2,3\},在其輸入子集X上的像素操縱δ_{X,i} : D →D定義爲\\
\delta_{X, i}(\alpha)(x, y, z)=\left\{\begin{array}{l}{\alpha(x, y, z)+\tau, \text { if }(x, y) \in X \text { and } i=+} \\ {\alpha(x, y, z)-\tau, \text { if }(x, y) \in X \text { and } i=-} \\ {\alpha(x, y, z) \quad \text { otherwise }}\end{array}\right.\\
請注意,如果值是有界的,例如[0,1],則需要將δ_{X,i}(α)(x,y,z)限制在界限之內。\\
(理解就是對一組像素的某個通道統統加上一些值或者減少值,並且要控制最後的值不要超出範圍)\\
\end{array}\\
α ( x , y , z ) : 圖 像 α 上 位 於 ( x , y ) 的 像 素 的 z 通 道 值 ( 通 常 爲 R G B 或 灰 度 值 , R G B 3 個 , 灰 度 1 個 ) I = { + , − } 是 一 組 操 作 指 令 , τ 是 表 示 操 作 幅 度 的 正 實 數 對 於 所 有 的 像 素 ( x , y ) 和 所 有 的 通 道 z ∈ { 1 , 2 , 3 } , 在 其 輸 入 子 集 X 上 的 像 素 操 縱 δ X , i : D → D 定 義 爲 δ X , i ( α ) ( x , y , z ) = ⎩ ⎨ ⎧ α ( x , y , z ) + τ , if ( x , y ) ∈ X and i = + α ( x , y , z ) − τ , if ( x , y ) ∈ X and i = − α ( x , y , z ) otherwise 請 注 意 , 如 果 值 是 有 界 的 , 例 如 [ 0 , 1 ] , 則 需 要 將 δ X , i ( α ) ( x , y , z ) 限 制 在 界 限 之 內 。 ( 理 解 就 是 對 一 組 像 素 的 某 個 通 道 統 統 加 上 一 些 值 或 者 減 少 值 , 並 且 要 控 制 最 後 的 值 不 要 超 出 範 圍 )
提出了一種功能導向的方法,而不是使用梯度方向作爲優化的指南
玩家I選擇特徵,而玩家II然後選擇選定特徵中的像素和操作指令
儘管玩家I的目標是最大程度地減少與對抗示例的距離,
但玩家II可以根據高斯混合模型對像素進行採樣,可以是合作者,對抗者或天生的,
我們根據Lk距離定義目標函數,並將與一個對抗示例的距離視爲衡量其嚴重性的指標。 注意,對抗性示例的集合a d v N , k , d ( α , c ) advN,k,d(α,c) a d v N , k , d ( α , c ) a d v N , k , d ( α ) advN,k,d(α) a d v N , k , d ( α )
定義2: 在 集 合 a d v N , k , d ( α , c ) ( 或 者 a d v N , k , d ( α ) ) 中 找 到 距 原 始 圖 像 α 最 小 距 離 的 α ′ arg min α ′ { sev α ( α ′ ) ∣ α ′ ∈ ad v N , k , d ( α , c ) ( or adv N , k , d ( α ) ) } s e v α ( α ′ ) = ∣ ∣ α − α ′ ∣ ∣ k , 是 對 抗 例 α ′ 對 原 始 圖 像 α 的 嚴 重 程 度 注 意 : L k 的 選 擇 將 影 響 感 知 相 似 性
\begin{array}{l}
在集合adv_{N,k,d}(α, c)(或者 adv_{N,k,d}(α))中找到距原始圖像α最小距離的α'\\
\arg \min _{\alpha^{\prime}}\left\{\operatorname{sev}_{\alpha}\left(\alpha^{\prime}\right) | \alpha^{\prime} \in \operatorname{ad} v_{N, k, d}(\alpha, c)\left(\text {or adv}_{N, k, d}(\alpha)\right)\right\}\\
{sev}_{\alpha}\left(\alpha^{\prime}\right) = ||α −α'||_k,是對抗例α'對原始圖像α的嚴重程度\\
注意:Lk的選擇將影響感知相似性
\end{array}\\
在 集 合 a d v N , k , d ( α , c ) ( 或 者 a d v N , k , d ( α ) ) 中 找 到 距 原 始 圖 像 α 最 小 距 離 的 α ′ arg min α ′ { s e v α ( α ′ ) ∣ α ′ ∈ a d v N , k , d ( α , c ) ( or adv N , k , d ( α ) ) } s e v α ( α ′ ) = ∣ ∣ α − α ′ ∣ ∣ k , 是 對 抗 例 α ′ 對 原 始 圖 像 α 的 嚴 重 程 度 注 意 : L k 的 選 擇 將 影 響 感 知 相 似 性 理解:就是從反例中選一個嚴重性程度最大的(距離最小的)反例
將對抗性示例的製作過程轉化爲假設有兩個玩家I和II的兩層回合制遊戲。 M ( α , k , d ) = ( S ∪ ( S × Λ ( α ) ) ) , s 0 , { T a } a ∈ { I , I I } , L ) S 爲 是 屬 於 玩 家 I 的 一 組 遊 戲 狀 態 , 每 個 狀 態 代 表 η ( α , k , d ) 中 的 圖 像 S × Λ ( α ) 是 屬 於 玩 家 I I 的 一 組 遊 戲 狀 態 , 其 中 Λ ( α ) 是 一 組 特 徵 ( 關 鍵 點 ) 的 圖 像 α ( s ) : 與 狀 態 s ∈ S 相 關 的 圖 像 , s 0 ∈ S 是 初 始 遊 戲 狀 態 , α ( s 0 ) 是 原 始 圖 像 α 過 度 關 系 : T I : S × Λ ( α ) → S × Λ ( α ) , T I ( s , λ ) = ( s , λ ) T I I : ( S × Λ ( α ) ) × P ( P 0 ) × I → S 定 義 爲 T I I ( ( s , λ ) , X , i ) = δ X , i ( α ( s ) ) 在 每 個 遊 戲 的 狀 態 s ∈ S 的 情 況 下 , 玩 家 I 將 選 擇 一 個 關 鍵 點 λ , 玩 家 I I 將 選 擇 一 個 對 ( X , i ) ( 選 擇 一 組 像 素 點 和 操 作 ) 標 記 函 數 : S ∪ ( S × Λ ( α ) ) → C × G 爲 狀 態 s 或 ( ) s , λ ) 分 配 一 個 類 別 N ( α ( s ) ) 和 一 個 二 維 高 斯 混 合 模 型 G ( Λ ( α ( s ) ) ) 。
\begin{array}{l}
M(α, k, d) = (S ∪ (S × Λ(α))), s_0, \{T_a\}_{a∈\{I,II\}}, L) \\
S爲是屬於玩家I的一組遊戲狀態,每個狀態代表η(α,k,d)中的圖像\\
S×Λ(α)是屬於玩家II的一組遊戲狀態,其中Λ(α)是一組特徵(關鍵點)的圖像\\
α(s):與狀態s∈S相關的圖像,s_0∈S是初始遊戲狀態,α(s0)是原始圖像α\\
過度關係:T_I:S×Λ(α)→S×Λ(α),T_I(s,λ)=(s,λ)\\
T_{II}:(S×Λ(α))×P(P_0)×I→S定義爲T_{II}((s,λ),X,i)=δ_{X,i}(α(s))\\
在每個遊戲的狀態s∈S的情況下,玩家I將選擇一個關鍵點λ,玩家II將選擇一個對(X,i)(選擇一組像素點和操作)\\
標記函數: S∪(S×Λ(α)) → C ×G爲狀態s或()s,λ)分配一個類別N(α(s))和一個二維高斯混合模型G(Λ (α(s)))。
\end{array}\\
M ( α , k , d ) = ( S ∪ ( S × Λ ( α ) ) ) , s 0 , { T a } a ∈ { I , I I } , L ) S 爲 是 屬 於 玩 家 I 的 一 組 遊 戲 狀 態 , 每 個 狀 態 代 表 η ( α , k , d ) 中 的 圖 像 S × Λ ( α ) 是 屬 於 玩 家 I I 的 一 組 遊 戲 狀 態 , 其 中 Λ ( α ) 是 一 組 特 徵 ( 關 鍵 點 ) 的 圖 像 α ( s ) : 與 狀 態 s ∈ S 相 關 的 圖 像 , s 0 ∈ S 是 初 始 遊 戲 狀 態 , α ( s 0 ) 是 原 始 圖 像 α 過 度 關 系 : T I : S × Λ ( α ) → S × Λ ( α ) , T I ( s , λ ) = ( s , λ ) T I I : ( S × Λ ( α ) ) × P ( P 0 ) × I → S 定 義 爲 T I I ( ( s , λ ) , X , i ) = δ X , i ( α ( s ) ) 在 每 個 遊 戲 的 狀 態 s ∈ S 的 情 況 下 , 玩 家 I 將 選 擇 一 個 關 鍵 點 λ , 玩 家 I I 將 選 擇 一 個 對 ( X , i ) ( 選 擇 一 組 像 素 點 和 操 作 ) 標 記 函 數 : S ∪ ( S × Λ ( α ) ) → C × G 爲 狀 態 s 或 ( ) s , λ ) 分 配 一 個 類 別 N ( α ( s ) ) 和 一 個 二 維 高 斯 混 合 模 型 G ( Λ ( α ( s ) ) ) 。 理解:T1轉移不會改變狀態與特徵,T2轉移會改變圖像a上的像素值
遊戲模型路徑遊 戲 模 型 的 路 徑 是 遊 戲 狀 態 的 序 列 s 1 u 1 s 2 u 2 使 得 對 於 所 有 k ≥ 1 , 對 於 某 些 特 徵 λ k , u k = T I ( s k , λ k ) 對 於 ( X k , i k ) , s k + 1 = T I I ( ( s k , λ k ) , X k , i k ) 令 l a s t ( ρ ) 爲 有 限 路 徑 ρ 的 最 後 狀 態 , P a t h a F 是 有 限 路 徑 的 集 合 , 以 使 l a s t ( ρ ) 屬 於 玩 家 a ∈ { I , I I } 參 與 者 I 的 隨 機 策 略 : Path I F → D ( Λ ( α ) ) 參 與 者 2 的 隨 機 策 略 : P a t h T I F → D ( P ( P 0 ) × I ) σ = ( σ I , σ I I ) 爲 策 略 配 置 文 件 ( s t r a t e g y p r o f i l e )
\begin{array}{l}
遊戲模型的路徑是遊戲狀態的序列s1u1s2u2\\
使得對於所有k≥1,對於某些特徵λk,u_k = T_I(s_k, λ_k) \\
對於( X_k, i_k) , s_{k+1} =T_{II}((s_k, λ_k), X_k, i_k) \\
令last(ρ)爲有限路徑ρ的最後狀態,Path^F_a是有限路徑的集合,以使last(ρ)屬於玩家a∈\{I,II\}\\
參與者I的隨機策略:\operatorname{Path}_{\mathrm{I}}^{F} \rightarrow \mathcal{D}(\Lambda(\alpha))\\
參與者2的隨機策略:P a t h_{\mathrm{TI}}^{F} \rightarrow \mathcal{D}\left(\mathcal{P}\left(P_{0}\right) \times I\right)\\
σ=(σI,σII)爲策略配置文件( strategy\ profile)
\end{array}\\
遊 戲 模 型 的 路 徑 是 遊 戲 狀 態 的 序 列 s 1 u 1 s 2 u 2 使 得 對 於 所 有 k ≥ 1 , 對 於 某 些 特 徵 λ k , u k = T I ( s k , λ k ) 對 於 ( X k , i k ) , s k + 1 = T I I ( ( s k , λ k ) , X k , i k ) 令 l a s t ( ρ ) 爲 有 限 路 徑 ρ 的 最 後 狀 態 , P a t h a F 是 有 限 路 徑 的 集 合 , 以 使 l a s t ( ρ ) 屬 於 玩 家 a ∈ { I , I I } 參 與 者 I 的 隨 機 策 略 : P a t h I F → D ( Λ ( α ) ) 參 與 者 2 的 隨 機 策 略 : P a t h T I F → D ( P ( P 0 ) × I ) σ = ( σ I , σ I I ) 爲 策 略 配 置 文 件 ( s t r a t e g y p r o f i l e )
爲 σ = ( σ I , σ I I ) 和 有 限 路 徑 ρ ∈ ⋃ a ∈ { 1 , I I } P a t h a F 定 義 獎 勵 R ( σ , ρ ) 的 想 法 是 累 積 在 路 徑 上 發 現 的 對 抗 性 示 例 的 嚴 重 性 度 量 注 意 , 給 定 σ , 該 遊 戲 成 爲 完 全 概 率 系 統 ( f u l l y p r o b a b i l i s t i c s y s t e m ) 。 α ρ ′ = α ( l a s t ( ρ ) ) 是 與 路 徑 ρ 的 最 後 狀 態 關 聯 的 圖 像 t ( ρ ) : N ( α ρ ′ ) = c ∨ ∥ α ρ ′ − α ∥ k > d , 表 示 路 徑 已 達 到 其 關 聯 圖 像 處 於 目 標 類 別 c 或 η ( α , k , d ) 之 外 的 狀 態 只 要 滿 足 t ( ρ ) , 就 可 以 終 止 路 徑 ρ 不 難 發 現 , 由 於 定 義 1 中 的 約 束 , 每 個 無 限 路 徑 都 有 一 個 可 以 終 止 的 有 限 前 綴 獎 勵 函 數 定 義 如 下 : R ( σ , ρ ) = { 1 / sev α ( α 0 ′ ) if t ( ρ ) and ρ ∈ P a t h 1 F ∑ λ ∈ Λ ( α ) ( ρ ) ( λ ) ⋅ R ( σ , ρ T T ( last ( ρ ) , λ ) ) if ¬ t ( ρ ) and ρ ∈ P a t h I F ∑ ( X , i ) ∈ P ( P 0 ) × I σ I I ( ρ ) ( X , i ) ⋅ R ( σ , ρ T I I ( l a s t ( ρ ) , X , i ) ) if ρ ∈ Path I I F σ I ( ρ ) ( λ ) 是 玩 家 I 在 ρ 上 選 擇 λ 的 概 率 , σ I I ( ρ ) ( X , i ) 是 玩 家 I I 基 於 ρ 的 選 擇 ( X , i ) 的 概 率 路 徑 僅 終 止 於 玩 家 I 的 狀 態 如 果 找 到 一 個 反 例 , 則 分 配 獎 勵 是 嚴 重 程 度 ( 最 小 距 離 ) 的 倒 數 , 否 則 , 如 果 是 其 子 項 , 則 是 獎 勵 的 加 權 總 和 因 此 , 最 大 化 回 報 的 策 略 σ I 將 需 要 最 小 化 嚴 重 性 s e v α ( α ρ ′ ) ,
\begin{array}{l}
爲σ=(σI,σII)和有限路徑\rho \in \bigcup_{a \in\{1, \mathrm{II}\}} P a t h_{a}^{F}定義獎勵R(σ, ρ)\\
的想法是累積在路徑上發現的對抗性示例的嚴重性度量\\
注意,給定σ,該遊戲成爲完全概率系統(fully\ probabilistic \ system)。\\
α'_ρ=α(last(ρ))是與路徑ρ的最後狀態關聯的圖像\\
t(ρ): N\left(\alpha_{\rho}^{\prime}\right)=c \vee\left\|\alpha_{\rho}^{\prime}-\alpha\right\|_{k}>d,表示路徑已達到其關聯圖像處於目標類別c或 η(α, k, d)之外的狀態\\
只要滿足t(ρ),就可以終止路徑ρ\\
不難發現,由於定義1中的約束,每個無限路徑都有一個可以終止的有限前綴\\
獎勵函數定義如下:\\
R(σ,ρ)=\left\{\begin{array}{ll}{1 / \operatorname{sev}_{\alpha}\left(\alpha_{0}^{\prime}\right)} & {\text { if } t(\rho) \text { and } \rho \in P a t h_{1}^{F}} \\ {\sum_{\lambda \in \Lambda(\alpha)}(\rho)(\lambda) \cdot R\left(\sigma, \rho T_{\mathrm{T}}(\operatorname{last}(\rho), \lambda)\right)} & {\text { if } \neg t(\rho) \text { and } \rho \in P a t h_{\mathrm{I}}^{F}} \\ {\sum_{(X, i) \in \mathcal{P}\left(P_{0}\right) \times I} \sigma_{\mathrm{II}}(\rho)(X, i) \cdot R\left(\sigma, \rho T_{\mathrm{II}}(l a s t(\rho), X, i)\right) \text { if } \rho \in \operatorname{Path}_{\mathrm{II}}^{F}}\end{array}\right.\\
σI(ρ)(λ) 是玩家I在ρ上選擇λ的概率,σII(ρ)(X, i)是玩家II基於ρ的選擇(X,i)的概率\\
路徑僅終止於玩家I的狀態\\
如果找到一個反例,則分配獎勵是嚴重程度(最小距離)的倒數,否則,如果是其子項,則是獎勵的加權總和\\
因此,最大化回報的策略σI將需要最小化嚴重性sev_α(α'_ρ),
\end{array}\\
爲 σ = ( σ I , σ I I ) 和 有 限 路 徑 ρ ∈ ⋃ a ∈ { 1 , I I } P a t h a F 定 義 獎 勵 R ( σ , ρ ) 的 想 法 是 累 積 在 路 徑 上 發 現 的 對 抗 性 示 例 的 嚴 重 性 度 量 注 意 , 給 定 σ , 該 遊 戲 成 爲 完 全 概 率 系 統 ( f u l l y p r o b a b i l i s t i c s y s t e m ) 。 α ρ ′ = α ( l a s t ( ρ ) ) 是 與 路 徑 ρ 的 最 後 狀 態 關 聯 的 圖 像 t ( ρ ) : N ( α ρ ′ ) = c ∨ ∥ ∥ α ρ ′ − α ∥ ∥ k > d , 表 示 路 徑 已 達 到 其 關 聯 圖 像 處 於 目 標 類 別 c 或 η ( α , k , d ) 之 外 的 狀 態 只 要 滿 足 t ( ρ ) , 就 可 以 終 止 路 徑 ρ 不 難 發 現 , 由 於 定 義 1 中 的 約 束 , 每 個 無 限 路 徑 都 有 一 個 可 以 終 止 的 有 限 前 綴 獎 勵 函 數 定 義 如 下 : R ( σ , ρ ) = ⎩ ⎨ ⎧ 1 / s e v α ( α 0 ′ ) ∑ λ ∈ Λ ( α ) ( ρ ) ( λ ) ⋅ R ( σ , ρ T T ( l a s t ( ρ ) , λ ) ) ∑ ( X , i ) ∈ P ( P 0 ) × I σ I I ( ρ ) ( X , i ) ⋅ R ( σ , ρ T I I ( l a s t ( ρ ) , X , i ) ) if ρ ∈ P a t h I I F if t ( ρ ) and ρ ∈ P a t h 1 F if ¬ t ( ρ ) and ρ ∈ P a t h I F σ I ( ρ ) ( λ ) 是 玩 家 I 在 ρ 上 選 擇 λ 的 概 率 , σ I I ( ρ ) ( X , i ) 是 玩 家 I I 基 於 ρ 的 選 擇 ( X , i ) 的 概 率 路 徑 僅 終 止 於 玩 家 I 的 狀 態 如 果 找 到 一 個 反 例 , 則 分 配 獎 勵 是 嚴 重 程 度 ( 最 小 距 離 ) 的 倒 數 , 否 則 , 如 果 是 其 子 項 , 則 是 獎 勵 的 加 權 總 和 因 此 , 最 大 化 回 報 的 策 略 σ I 將 需 要 最 小 化 嚴 重 性 s e v α ( α ρ ′ ) ,
理解,就是按照給定方法搜索,直到滿足距離條件,或者不在距離條件內就停止搜索
定義3 .遊 戲 的 目 標 是 讓 玩 家 I 根 據 玩 家 I I 的 策 略 σ I I 選 擇 策 略 σ I 最 大 化 初 始 狀 態 s 0 的 獎 勵 R ( ( σ I , σ I I ) , s 0 ) , 即 arg max σ t opt σ I I R ( ( σ I , σ I I ) , s 0 ) 其 中 選 項 o p t σ I I 可 以 是 m a x σ I I , m i n σ I I 或 n a t σ I I 玩 家 I I 可 以 根 據 高 斯 混 合 模 型 對 像 素 進 行 採 樣 , 可 以 是 合 作 者 , 對 抗 者 或 天 生 的 ,
遊戲的目標是讓玩家I根據玩家II的策略σII選擇策略σI最大化初始狀態s0的獎勵R((σI,σII),s0),即\\
\arg \max _{\sigma_{\mathrm{t}}} \operatorname{opt}_{\sigma_{\mathrm{II}}} R\left(\left(\sigma_{\mathrm{I}}, \sigma_{\mathrm{II}}\right), s_{0}\right)\\
其中選項optσII可以是maxσII,minσII或natσII\\
玩家II可以根據高斯混合模型對像素進行採樣,可以是合作者,對抗者或天生的,
遊 戲 的 目 標 是 讓 玩 家 I 根 據 玩 家 I I 的 策 略 σ I I 選 擇 策 略 σ I 最 大 化 初 始 狀 態 s 0 的 獎 勵 R ( ( σ I , σ I I ) , s 0 ) , 即 arg σ t max o p t σ I I R ( ( σ I , σ I I ) , s 0 ) 其 中 選 項 o p t σ I I 可 以 是 m a x σ I I , m i n σ I I 或 n a t σ I I 玩 家 I I 可 以 根 據 高 斯 混 合 模 型 對 像 素 進 行 採 樣 , 可 以 是 合 作 者 , 對 抗 者 或 天 生 的 , 定理1 當 o p t σ I I ∈ { m a x σ I I , m i n σ I I , n a t σ I I } . 時 , 確 定 性 和 無 記 憶 策 略 足 以 滿 足 玩 家 I 的 需 要 。
當optσII∈\{maxσII , minσII , natσII \}.時,確定性和無記憶策略足以滿足玩家I的需要。
當 o p t σ I I ∈ { m a x σ I I , m i n σ I I , n a t σ I I } . 時 , 確 定 性 和 無 記 憶 策 略 足 以 滿 足 玩 家 I 的 需 要 。
對 於 博 弈 模 型 M ( α , k , d ) , 在 p − t i m e 時 間 內 能 確 定 a d v N , k , d ( α , c ) = ∅ 對 於 系 統 最 長 的 有 限 路 徑 的 長 度 h , 狀 態 數 ( 因 此 也 就 是 系 統 的 大 小 ) O ( ∣ P 0 ∣ h )
對於博弈模型M(α, k,d),在p-time時間內能確定advN,k,d(α,c)=∅\\
對於系統最長的有限路徑的長度h,狀態數(因此也就是系統的大小)O(|P_0|^h)
對 於 博 弈 模 型 M ( α , k , d ) , 在 p − t i m e 時 間 內 能 確 定 a d v N , k , d ( α , c ) = ∅ 對 於 系 統 最 長 的 有 限 路 徑 的 長 度 h , 狀 態 數 ( 因 此 也 就 是 系 統 的 大 小 ) O ( ∣ P 0 ∣ h )
首 先 考 慮 o p t σ I I = m a x σ I I 的 情 況 M C T S 算 法 通 過 對 模 型 M ( α , k , d ) 的 策 略 空 間 進 行 採 樣 來 逐 步 擴 展 部 分 博 弈 樹 M C T S 以 上 限 置 信 度 上 限 ( U C B ) 作 爲 探 索 方 案 , 在 理 論 上 即 充 分 探 索 遊 戲 樹 時 , 它 會 收 斂 至 最 優 解 終 止 條 件 : t c 1 和 t c 2 , t c 1 控 制 整 個 過 程 是 否 應 終 止 , t c 2 控 制 何 時 進 行 移 動 , 終 止 條 件 可 以 是 例 如 迭 代 次 數 的 界 限 等 在 部 分 樹 上 , 每 個 節 點 都 維 護 有 一 對 ( r , n ) , 分 別 代 表 累 積 的 獎 勵 r 和 訪 問 次 數 n 擴 展 葉 節 點 以 將 其 子 級 添 加 到 部 分 樹 後 , 我 們 調 用 S i m u l a t i o n 在 每 個 子 節 點 上 運 行 模 擬 。 在 新 節 點 上 進 行 的 模 擬 是 從 節 點 開 始 的 遊 戲 直 到 終 止 爲 止 玩 家 在 模 擬 過 程 中 隨 機 行 動 。 每 個 模 擬 在 到 達 終 止 節 點 α 0 時 終 止 , 在 該 節 點 上 可 以 計 算 獎 勵 1 / s e v α ( α 0 ) 。 然 後 , 該 獎 勵 將 從 新 子 節 點 通 過 其 祖 先 反 向 傳 播 , 直 到 到 達 根 節 點 爲 止 。 每 次 通 過 節 點 反 向 傳 播 新 的 獎 勵 v 時 , 我 們 都 會 將 其 關 聯 對 更 新 爲 ( r + v , n + 1 ) b e s t C h i l d ( r o o t ) 返 回 具 有 最 高 r / n 值 的 r o o t 的 子 代 其 他 情 況 : o p t σ I I = n a t σ I I 的 情 況 , 通 過 選 擇 G ( Λ ( α ) ) 來 選 擇 一 個 孩 子 , 而 不 是 選 擇 最 好 的 孩 子 , 對 於 o p t σ I I = m i n σ I I 的 情 況 , 選 擇 最 差 的 孩 子 我 們 注 意 到 當 o p t σ I I ∈ n a t σ I I , m a x σ I I 時 , 博 弈 不 是 零 和 。
\begin{array}{l}
首先考慮optσII=maxσII的情況\\
MCTS算法通過對模型M(α,k,d)的策略空間進行採樣來逐步擴展部分博弈樹\\
MCTS以上限置信度上限(UCB)作爲探索方案,在理論上即充分探索遊戲樹時,它會收斂至最優解\\
終止條件:tc1和tc2,tc1控制整個過程是否應終止,tc2控制何時進行移動,終止條件可以是例如迭代次數的界限等\\
在部分樹上,每個節點都維護有一對(r,n),分別代表累積的獎勵r和訪問次數n\\
擴展葉節點以將其子級添加到部分樹後,我們調用Simulation在每個子節點上運行模擬。\\
在新節點上進行的模擬是從節點開始的遊戲直到終止爲止\\
玩家在模擬過程中隨機行動。每個模擬在到達終止節點α0時終止,在該節點上可以計算獎勵1/sevα(α0)。\\
然後,該獎勵將從新子節點通過其祖先反向傳播,直到到達根節點爲止。\\
每次通過節點反向傳播新的獎勵v時,我們都會將其關聯對更新爲(r + v,n + 1)\\
bestChild(root)返回具有最高r / n值的root的子代\\
其他情況:optσII=natσII的情況,通過選擇G(Λ(α))來選擇一個孩子,而不是選擇最好的孩子,\\
對於optσII=minσII的情況,選擇最差的孩子\\
我們注意到當optσII∈{natσII,maxσII}時,博弈不是零和。\\
\end{array}\\
首 先 考 慮 o p t σ I I = m a x σ I I 的 情 況 M C T S 算 法 通 過 對 模 型 M ( α , k , d ) 的 策 略 空 間 進 行 採 樣 來 逐 步 擴 展 部 分 博 弈 樹 M C T S 以 上 限 置 信 度 上 限 ( U C B ) 作 爲 探 索 方 案 , 在 理 論 上 即 充 分 探 索 遊 戲 樹 時 , 它 會 收 斂 至 最 優 解 終 止 條 件 : t c 1 和 t c 2 , t c 1 控 制 整 個 過 程 是 否 應 終 止 , t c 2 控 制 何 時 進 行 移 動 , 終 止 條 件 可 以 是 例 如 迭 代 次 數 的 界 限 等 在 部 分 樹 上 , 每 個 節 點 都 維 護 有 一 對 ( r , n ) , 分 別 代 表 累 積 的 獎 勵 r 和 訪 問 次 數 n 擴 展 葉 節 點 以 將 其 子 級 添 加 到 部 分 樹 後 , 我 們 調 用 S i m u l a t i o n 在 每 個 子 節 點 上 運 行 模 擬 。 在 新 節 點 上 進 行 的 模 擬 是 從 節 點 開 始 的 遊 戲 直 到 終 止 爲 止 玩 家 在 模 擬 過 程 中 隨 機 行 動 。 每 個 模 擬 在 到 達 終 止 節 點 α 0 時 終 止 , 在 該 節 點 上 可 以 計 算 獎 勵 1 / s e v α ( α 0 ) 。 然 後 , 該 獎 勵 將 從 新 子 節 點 通 過 其 祖 先 反 向 傳 播 , 直 到 到 達 根 節 點 爲 止 。 每 次 通 過 節 點 反 向 傳 播 新 的 獎 勵 v 時 , 我 們 都 會 將 其 關 聯 對 更 新 爲 ( r + v , n + 1 ) b e s t C h i l d ( r o o t ) 返 回 具 有 最 高 r / n 值 的 r o o t 的 子 代 其 他 情 況 : o p t σ I I = n a t σ I I 的 情 況 , 通 過 選 擇 G ( Λ ( α ) ) 來 選 擇 一 個 孩 子 , 而 不 是 選 擇 最 好 的 孩 子 , 對 於 o p t σ I I = m i n σ I I 的 情 況 , 選 擇 最 差 的 孩 子 我 們 注 意 到 當 o p t σ I I ∈ n a t σ I I , m a x σ I I 時 , 博 弈 不 是 零 和 。
假 設 我 們 有 固 定 的 終 止 條 件 t c 1 和 t c 2 以 及 目 標 類 別 c , 給 定 玩 家 I I 的 選 項 o p t σ I I , 我 們 有 一 個 M C T S 算 法 來 計 算 對 抗 性 示 例 α ′ 設 s e v ( M ( α , k , d ) , o p t σ I I ) 爲 s e v α ( α ′ ) 其 中 α ′ 是 通 過 在 輸 入 M ( α , k , d ) , t c 1 , t c 2 , c 上 的 o p t σ I I 運 行 算 法 1 而 返 回 的 對 抗 示 例 於 玩 家 I I 的 角 色 , 存 在 一 個 嚴 重 度 區 間 S I ( α , k , d ) [ sev ( M ( α , k , d ) , max σ 12 ) , sev ( M ( α , k , d ) , min σ 12 ) ] 此 外 , s e v ( M ( α , k , d ) , n a t σ I I ) ∈ S I ( α , k , d )
假設我們有固定的終止條件tc1和tc2以及目標類別c,給定玩家II的選項optσII,\\
我們有一個MCTS算法來計算對抗性示例α'\\
設sev(M(α, k, d), optσII)爲sev_α(α')\\
其中α'是通過在輸入M(α,k,d),tc1,tc2,c上的optσII運行算法1而返回的對抗示例\\
於玩家II的角色,存在一個嚴重度區間SI(α,k,d)\\
\left[\operatorname{sev}\left(M(\alpha, k, d), \max _{\sigma_{12}}\right), \operatorname{sev}\left(M(\alpha, k, d), \min _{\sigma_{12}}\right)\right]\\
此外, sev(M(α, k, d), natσII ) ∈ SI(α, k, d)\\
假 設 我 們 有 固 定 的 終 止 條 件 t c 1 和 t c 2 以 及 目 標 類 別 c , 給 定 玩 家 I I 的 選 項 o p t σ I I , 我 們 有 一 個 M C T S 算 法 來 計 算 對 抗 性 示 例 α ′ 設 s e v ( M ( α , k , d ) , o p t σ I I ) 爲 s e v α ( α ′ ) 其 中 α ′ 是 通 過 在 輸 入 M ( α , k , d ) , t c 1 , t c 2 , c 上 的 o p t σ I I 運 行 算 法 1 而 返 回 的 對 抗 示 例 於 玩 家 I I 的 角 色 , 存 在 一 個 嚴 重 度 區 間 S I ( α , k , d ) [ s e v ( M ( α , k , d ) , σ 1 2 max ) , s e v ( M ( α , k , d ) , σ 1 2 min ) ] 此 外 , s e v ( M ( α , k , d ) , n a t σ I I ) ∈ S I ( α , k , d )
τ 是 一 個 正 實 數 , 是 像 素 操 作 中 使 用 的 操 作 幅 度 如 果 對 於 所 有 維 度 p ∈ P 0 , 我 們 都 有 ∣ α ′ ( p ) − α ( p ) ∣ = n ∗ τ , ( n ≥ 0 ) 則 圖 像 α ′ ∈ η ( α , k , d ) 是 τ − 網 格 圖 像 令 G ( α , k , d ) 是 η ( α , k , d ) 中 的 τ 網 格 圖 像 的 集 合 對 於 參 與 者 I I 合 作 的 情 況 , 我 們 有 以 下 結 論 。
\begin{array}{l}
τ是一個正實數,是像素操作中使用的操作幅度\\
如果對於所有維度p∈P_0,我們都有|α'(p) − α(p)| = n ∗ τ ,(n ≥ 0)\\
則圖像α'∈η(α,k,d)是τ-網格圖像\\
令G(α,k,d)是η(α,k,d)中的τ網格圖像的集合\\
對於參與者II\ 合作\ 的情況,我們有以下結論。\\
\end{array}
τ 是 一 個 正 實 數 , 是 像 素 操 作 中 使 用 的 操 作 幅 度 如 果 對 於 所 有 維 度 p ∈ P 0 , 我 們 都 有 ∣ α ′ ( p ) − α ( p ) ∣ = n ∗ τ , ( n ≥ 0 ) 則 圖 像 α ′ ∈ η ( α , k , d ) 是 τ − 網 格 圖 像 令 G ( α , k , d ) 是 η ( α , k , d ) 中 的 τ 網 格 圖 像 的 集 合 對 於 參 與 者 I I 合 作 的 情 況 , 我 們 有 以 下 結 論 。
定理2 令 α ′ ∈ η ( α , k , d ) 是 任 何 τ 網 格 圖 像 , 使 得 α ′ ∈ a d v N , k , d ( α , c ) , ( 其 中 c 是 目 標 類 別 ) , 那 麼 我 們 有 s e v α ( α ′ ) ≥ s e v ( M ( α , k , d ) , m a x σ I I )
令α'∈η(α,k,d)是任何τ網格圖像,使得α' ∈ adv_{N,k,d}(α, c),(其中c是目標類別),\\
那麼我們有sevα(α') ≥ sev(M(α, k, d), max_{σII} )
令 α ′ ∈ η ( α , k , d ) 是 任 何 τ 網 格 圖 像 , 使 得 α ′ ∈ a d v N , k , d ( α , c ) , ( 其 中 c 是 目 標 類 別 ) , 那 麼 我 們 有 s e v α ( α ′ ) ≥ s e v ( M ( α , k , d ) , m a x σ I I )
如果網絡是Lipschitz連續網絡,則僅當τ足夠小時,才需要考慮τ網格圖像。
定理3 如 果 所 有 τ 網 格 圖 像 都 是 關 於 τ / 2 的 錯 誤 分 類 聚 合 器 , 並 且 s e v ( M ( α , k , d ) , m a x σ I I ) > d , 那 麼 a d v N , k , d ( α , c ) = ∅ ( 注 意 , s e v ( M ( α , k , d ) , m a x σ I I ) > d 表 示 η ( α , k , d ) 中 的 所 有 τ 圖 像 都 不 是 對 抗 性 示 例 。 ) 該 定 理 表 明 , 要 實 現 完 整 的 安 全 性 驗 證 , 可 以 逐 漸 減 小 τ 直 到 s e v ( M ( α , k , d ) , m a x σ I I ) ≤ d
如果所有τ網格圖像都是關於τ/ 2的錯誤分類聚合器,並且sev(M(α, k, d), maxσII ) > d,\\
那麼advN,k,d(α, c) = ∅\\
(注意,sev(M(α,k,d),maxσII)> d表示η(α,k,d)中的所有τ圖像都不是對抗性示例。)\\
該定理表明,要實現完整的安全性驗證,可以逐漸減小τ直到sev(M(α,k,d),maxσII)≤d\\
如 果 所 有 τ 網 格 圖 像 都 是 關 於 τ / 2 的 錯 誤 分 類 聚 合 器 , 並 且 s e v ( M ( α , k , d ) , m a x σ I I ) > d , 那 麼 a d v N , k , d ( α , c ) = ∅ ( 注 意 , s e v ( M ( α , k , d ) , m a x σ I I ) > d 表 示 η ( α , k , d ) 中 的 所 有 τ 圖 像 都 不 是 對 抗 性 示 例 。 ) 該 定 理 表 明 , 要 實 現 完 整 的 安 全 性 驗 證 , 可 以 逐 漸 減 小 τ 直 到 s e v ( M ( α , k , d ) , m a x σ I I ) ≤ d 定義4 若 α , α ′ ∈ D , 我 們 有 ∣ N ( α ′ , N ( α ) ) − N ( α , N ( α ) ) ∣ < h ⋅ ∣ ∣ α ′ − α ∣ ∣ k . 那 麼 網 絡 N 是 關 於 距 離 L k 的 L i p s c h i t z 網 絡 , 且 h > 0 , 。
若α, α' ∈ D, 我們有 |N(α', N(α)) − N(α, N(α))| <h · ||α' − α||_k.
\\那麼網絡N是關於距離L_k的Lipschitz網絡,且h >0,。
若 α , α ′ ∈ D , 我 們 有 ∣ N ( α ′ , N ( α ) ) − N ( α , N ( α ) ) ∣ < h ⋅ ∣ ∣ α ′ − α ∣ ∣ k . 那 麼 網 絡 N 是 關 於 距 離 L k 的 L i p s c h i t z 網 絡 , 且 h > 0 , 。 理解:將a'分到a所在類的置信度減掉將a分到a所在類的置信度小於一個值,那麼就是L網絡
我們的常用網絡都是L網絡.ℓ = min { ∣ N ( α ′ , N ( α ) ) − N ( α , N ( α ) ) ∣ ∣ α , α ′ ∈ D , N ( α ′ ) ≠ N ( α ) }
\ell=\min \left\{\left|N\left(\alpha^{\prime}, N(\alpha)\right)-N(\alpha, N(\alpha))\right| | \alpha, \alpha^{\prime} \in \mathrm{D}, N\left(\alpha^{\prime}\right) \neq N(\alpha)\right\}
ℓ = min { ∣ N ( α ′ , N ( α ) ) − N ( α , N ( α ) ) ∣ ∣ α , α ′ ∈ D , N ( α ′ ) = N ( α ) }
定理4可以看作定理3的實例化
定理4 令 N 爲 關 於 L 1 的 L i p s c h i t z 網 絡 和 常 數 h 。 當 τ ≤ 2 ℓ ℏ 且 s e v ( M ( α , k , d ) , m a x σ I I ) > d 時 , a d v N , k , d ( α , c ) = ∅ 。
令N爲關於L1的Lipschitz網絡和常數h。\\
當\tau \leq \frac{2 \ell}{\hbar}且sev(M(α,k,d),maxσII)> d時,adv_{N,k,d}(α,c)=∅。
令 N 爲 關 於 L 1 的 L i p s c h i t z 網 絡 和 常 數 h 。 當 τ ≤ ℏ 2 ℓ 且 s e v ( M ( α , k , d ) , m a x σ I I ) > d 時 , a d v N , k , d ( α , c ) = ∅ 。 理解: 保證安全一共有兩個條件,一是t值的範圍,二是嚴重性超過某個值
1/e-收斂,因爲我們使用的是有限遊戲,所以當遊戲樹完全擴展時,可以保證MCTS收斂
定理3和定理4證明略
s e v α ( α ′ ) = ∣ ∣ α − α ′ ∣ ∣ k , 是 對 抗 例 α ′ 對 原 始 圖 像 α 的 嚴 重 程 度 對 於 N 張 圖 片 , 直 接 求 平 均 值 就 是 該 用 例 最 終 的 嚴 重 性 值 , 這 個 值 越 小 越 好 ( 越 小 代 表 距 離 越 小 , 代 表 這 個 反 例 就 越 好 )
{sev}_{\alpha}\left(\alpha^{\prime}\right) = ||α −α'||_k,是對抗例α'對原始圖像α的嚴重程度\\
對於N張圖片,直接求平均值就是該用例最終的嚴重性值,這個值越小越好
\\(越小代表距離越小,代表這個反例就越好)
s e v α ( α ′ ) = ∣ ∣ α − α ′ ∣ ∣ k , 是 對 抗 例 α ′ 對 原 始 圖 像 α 的 嚴 重 程 度 對 於 N 張 圖 片 , 直 接 求 平 均 值 就 是 該 用 例 最 終 的 嚴 重 性 值 , 這 個 值 越 小 越 好 ( 越 小 代 表 距 離 越 小 , 代 表 這 個 反 例 就 越 好 )
原項目地址 ,原項目有很多錯誤,無法運行程序
fork後項目地址 ,已經可以正確生成反例,代碼在mnist實驗中可以使用
