A Complete List of All (arXiv) Adversarial Example Papers（Nicholas Carlini）:https://nicholas.carlini.com/writing/2019/all-adversarial-example-papers.html

实验相关：

指标：

• 攻击成功率（Success Rate, SR），即对抗样本能够误导分类器的比例（越高越好）
• 对抗样本的迁移性：假设 对抗模型A在 被攻击模型$F_1$的攻击成功率为1，迁移到被攻击模型$F_2$后变得越低则越说明迁移性差
• 鲁棒性：攻击方法在经过 防御后 的攻击成功率变化情况
• 不可检测性 (Undetect.)：取值范围 0–1。数值越高，代表对抗样本更难被检测为“对抗的”，即防御方法越难发现攻击。
• NIMA：图像质量，越大越好，将攻击后的图像与干净图像（Clean） 的 NIMA对比
• 随机性影响：选取 N 张 干净 图像，对每张图像运行 M 次随机初始化（不同随机扰动选择），统计三项指标： Success rate [%]（对每张图像 500 次中的成功率）；trials（收敛所需的尝试次数，分布用箱线图或箱须图表示）；final classes（500 次实验最终收敛到多少不同的“目标类别”，反映收敛的稳定性）

A Complete List of All (arXiv) Adversarial Example Papers（Nicholas Carlini）:https://nicholas.carlini.com/writing/2019/all-adversarial-example-papers.html

---