你真的懂对抗样本吗？一文重新思考对抗样本背后的含义( 六 )_选自towardsdatascience作者：AlexAdam

此外，对于像 L-2 或者 L-∞这样的典型范数用于计算图像距离时是没有包含图像的语义相似性的。如果能够在输入空间中给出图像间的语义相似度，那么构造一个简单的 KNN 图像分类器就能干掉卷积神经网络在过去 7 年来的进步。对于这个问题，可能的解决方案是使用度量学习（metric learning）。通过学习嵌入，这些嵌入之间的 L-2 或者 L-∞距离包含语义相似性，那么我们就可以在这个空间而不是输入空间中调整ε。

还有种这样的技术叫做三胞胎网络 (triplet networks)。三胞胎网络通过同时将 3 张图片一次传递到三个相同的嵌入网络并行运行。类别 y 的 anchor 通过时，会伴随着一个同类别的正样本和一个不同类别 y』的负样本。损失函数将确保 anchor 和正样本之间的距离至少比 anchor 和负样本之间的距离小。

图5/5

三胞胎网络示意

使用像三胞胎网络这样的度量学习技术仍旧需要手动实验验证以确保ε没有过大以至于类别发生改变。此外，我们必须考虑条件 (2)，我们不能利用扰动使得我们数据集中的一张图像被分为另外一张相同类别的图像。像 PGD 这样的攻击方法是在损失函数的梯度方向迭代地移动以增加损失，然后将结果图像映射到满足原始图像距离约束的输入子空间。不是在输入空间中做这一映射，而是使用我们的度量学习算法在嵌入空间上完成。