要把 network 用在真正應用上光是正確率高是不夠的,還需要能夠**應付來自人類的惡意,在有人試圖想要欺騙它的情況下,也得到高的正確率。**e.g. 垃圾郵件分類
一張照片可以被看作是一個非常長的向量,在每一個維度都加入一個小小的雜訊,通常都小到肉眼看不出來,attacked image 丟到 network 裡面,輸出不可以是貓,要變成其他的東西
Non-targeted:任何非預期的輸出都可以
具有雜訊的圖片 $x$ 輸入進 network,希望產生的預測 $y$ 要跟實際答案 $\hat{y}$ 差越遠越好,$e(y,\hat{y})$ 是 $y$ 和 $\hat{y}$ 的 cross entropy,期望 cross entropy 越大越好,換句話說就是加一個負號 $-e(y,\hat{y})$ 越小越好
Targeted:要求有特定輸出
要求有一個特定輸出 $y^{target}$,期望 $y$ 不只跟 $\hat{y}$ 差越多越好,還要跟目標輸出 $y^{target}$ 越接近越好
此外,期望加入雜訊後的圖片 $x$ 要與原始圖片 $x^0$ 越接近越好,所以會加入 $d(x^0,x)≤\epsilon$ 的限制,讓兩張圖片的差距小於等於人類感知的極限
如何計算 $d(x^0,x)≤\epsilon$ :
選擇哪一種計算方式要根據 domain knowledge