你真的懂对抗样本吗？一文重新思考对抗样本背后的含义( 四 )_选自towardsdatascience作者：AlexAdam

选择ε

当谈到选择ε的时候，这一切意味着什么呢？当使用 L-∞范数时，ε最常见的值是 0.3，对于 L-2 范数而言一个比较大的值是 4.5 。对于 L-∞范数，如果我们考虑最极端的值ε=1.0，我们将无法控制扰动图像的真实类别，并可能最终生成一个使得人类和图像分类模型都误识别为其它类别的图像。这也允许我们在训练集和测试集之间任意篡改图像 x』 = rx_train * (1-r)x_test，如果我们的模型恰好错误分类了 x_test，那么该图像将被标记为对抗样本。这里有很多限制条件必须要满足：

我们希望所允许的扰动对于人类而言是不可感知的，哪怕当原始图像 x 和扰动版本 x' 进行并排比较时，扰动也难以发现。

我们希望扰动不会导致相同数字的图像之间的篡改。否则这会混淆对抗攻击中的鲁棒性和泛化性。对于一个给定的数字，测试集图像 x_correct 和 x_false 分别被我们的模型正确和错误分类，一个普通的对抗攻击将把 x_correct 转换为 x_false。

根据观察，(1) 通常暗含 (2)。ε=0.3 当然满足 (2)，因为所有图像的 L-∞距离接近 1.0。让我们看看如果我们生成如下的结合了两个类别的图像将会发生什么。