[paper]AdvJND:Generating Adversarial Examples with Just Noticeable Difference

生成对抗样本有两个要求：攻击成功率和图像保真度指标。 增加扰动可以确保对抗样本的攻击成功率很高； 但是生成的对抗样本隐蔽性很差。 为了在攻击成功率和图像保真度之间取折衷，提出了一种名为AdvJND的方法，该方法在生成对抗样本时在失真函数的约束下添加了视觉模型系数，该系数用来衡量视觉上的差异。AdvJND算法生成的对抗样本产生的梯度分布与原始输入相似。该方法可以认为是一种辅助生成方法，用来改善生成算法成功率较高但图像保真度不足的问题。

生成对抗样本的问题可以看成是一个优化问题：

JND系数可以隐藏高斯噪声，因为JND系数大的区域是具有复杂图像纹理的区域。 此外，我们的HVS(human visual system)很难注意到这些区域中的变化，这些变化也被称为人眼的视觉盲点。 JND系数越大，阈值越高，冗余度越大，人眼的灵敏度越小，就可以掩盖更多的噪声。因此，JND系数较大的区域中的扰动不太可能被检测到。

本文有以下贡献:

1. 第一个整合JND系数以生成对抗样本。 将人眼的视觉主观感觉作为约束中的先验信息来确定扰动的分布，并生成具有类似于原始输入的梯度分布的对抗样本。 因此，可以将原始噪声隐藏在原始输入中，从而显著改善了攻击效果。
2. 算法的图像质量和攻击成功率接近时，使用 AdvJND 算法生成对抗样本所花费的时间比使用$L_2$约束的算法（例如DeepFool）更少。 证明AdvJND 算法效率更高。

算法需要获取的信息：
原始图片的JND系数
目标模型梯度的原始扰动

JND系数是基于心理和生理中视觉冗余的表示。 图像信息的接收者是HVS。 为了更好地匹配HVS特性，Yang 等人设计了用于掩蔽的非线性加性模型。 此外，基于像素域，JND空间模型主要包括两个因素：亮度掩蔽和纹理掩蔽。 纹理掩蔽由平均背景亮度和像素周围的平均亮度差确定。

JND系数的获取公式：

$f_1(i,j)$表示纹理掩蔽函数
$f_2(i,j)$表示亮度掩蔽函数
$bg(i,j)$表示平均背景亮度
$mg(i,j)$表示相邻点的梯度变化

以FGSM为例的JND算法：

较大的扰动导致对抗样本的攻击成功率高，图像保真度差，隐蔽性差。为了减轻攻击成功率和图像保真度之间的折衷，本文提出了一种使用AdvJND的对抗攻击方法，使用JND系数将人眼的主观感觉与图像质量评估指标相关联。由于人眼对复杂纹理区域的变化不敏感，因此可以在这些区域中嵌入更多噪声。并且该方法可以并入新提出的攻击方法中，以构建与原始输入类似的对抗样本。