你真的懂对抗样本吗？一文重新思考对抗样本背后的含义( 三 )_选自towardsdatascience作者：AlexAdam

我们从每个类别中随机采样了 100 张图片，在不同的范数下计算两两图像距离的平均值。这里只展示 L-2 范数的结果以避免混乱，同时也因为 L-∞范数的热力图在每个 cell 中都是 1，没有提供什么有用的信息。

图3/5

L-2 范数训练集距离

一个合理的假设是处于热力图对角线上的元素值（类内图像的距离）应该要比同一行/列中的非对角线上的元素（类间图像距离）小。然而，上图的结果中数字 2 的类内距离 10.1 大于数字类别 2 与数字类别 1 的类间距离 9.8，数字类别 8 的类内距离 9.4 大于数字类别 8 与 1 之间的距离 9.3。这起初让人惊讶，但它只是表明，对于一个给定的数字，相比切换成另一个类别的数字，样式上的变化可能会可能会造成更多像素上的差异。可以认为对于每一个数字，有一个不变的像素集，它不会随图片而改变，当两个数字的不变集高度重合时，像上图那种意料之外的结果就有可能发生。