如何对cw_l2攻击设置L2约束？

Question

如何设置cw L2攻击和deepfool攻击的L2距离约束？在攻击出版物中，作者提到较小的Lp距离以声称更强的攻击，但如何将L2距离限制为固定值是令人困惑的。对于L-ifinity，它可以是最大最小裁剪，但如果我没有错，L2距离是像素值的平均L2距离，我们如何将其设置为固定值？

Answer 1

对抗性的例子通常是通过引入扰动来制作的，该扰动改变了分类器的预测，而输入的底层类没有改变。为引入的扰动的范数设置最大值是困难的，无论该范数是用L2还是Linfinity测量的。通常，这个范数被约束为小于某个常数epsilon，因为我们假设如果epsilon足够小，那么输入的底层类一旦被扰动就不太可能发生变化。然而，我们现在知道，很难设置一个跨所有输入的epsilon值。你可以在这里找到更多细节：https://arxiv.org/abs/1903.10484