Sankkl1的博客

该公式左半部分含义是尽量降低对抗样本与原始图像的L2距离，右半部分是为了达到误分类的目的。，也就是优化的起点。的值在目标函数中的权重，文中使用二分法来确定在成功产生对抗样本的情况下的最小的。中，同时其处处可导数，有利于优化。在代码中，该方法先将图像输入。来表示增加扰动后的图像，这样做可以保证扰动后的图像的范围在。在模型中的输出值logits。相关代码的解析我写在了注释中。表示双曲正切函数，本方法使用。越大，则最终的置信度越高。的值，可以控制对抗样本。对于目标标签的置信度，被误分类为了目标标签。

通过显著图寻找对分类器特定输出影响程度最大的输入特征对，即每次计算得到两个特征。作者引入了显著图的概念，该概念来自于计算机视觉领域，表示不同的输入特征对分类结果的影响程度。通过如上的前向梯度，我们可以知道每个像素点对模型分类的结果的影响程度，进而利用前向梯度信息来更新干净样本。FGSM、PGD等算法生成的对抗样本的扰动方向都是损失函数的梯度方向（可以参考。的偏导，该偏导值表示不同位置的像素点对分类结果的影响程度。，生成的对抗样本就能被分类成为指定的类别。），该论文生成的对抗样本的扰动方向是。

换句话说，也就是图像开始迭代的起点随机，而不是像BIM算法一样从原始图像开始迭代。论文这么做的目的是为了研究从随机的起点开始迭代扰动，损失能够达到的不同的局部最大值的关系。目标标签的选取有多种方式，例如可以选择与真实标签相差最大的标签，也可以随机选择除真实标签外的标签。PGD算法（projected gradient descent）是在BIM算法的基础上的小改进，二者非常相近，BIM算法的源码解析在。，torch就会在图像的计算过程中自动计算计算图，用于反向梯度计算。：获得图像的在模型中的输出值。

的作用：在迭代更新过程中，随着增加扰动的次数的增加，样本的部分像素值可能会溢出，比如超出0到1的范围，这时需将这些值用0或1代替，最后才能生成有效的图像。于是本篇论文就提出迭代的方式来找各个像素点的扰动，而不是一次性所有像素都改那么多，即迭代式的FGSM。，因为论文中认为这足够对抗性示例到达最大范数球的边缘，同时也保证实验的计算成本可控。的情况下找到对抗样本的，如果找不到，最差的效果就跟原始的FGSM一样。迭代的含义：每次在上一步的对抗样本的基础上，各个像素增长。：获得图像的在模型中的输出值。

可以仔细回忆一下，在神经网络的反向传播当中，我们在训练过程时就是沿着梯度下降的方向来更新更新。之间是近似线性的，但是这个线性假设不一定正确，如果J JJ和x xx不是线性的，那么在。是将克隆的新的tensor从当前计算图中分离下来，作为叶节点，从而可以计算其梯度；于是，有学者就提出迭代的方式来找各个像素点的扰动，也就是BIM算法。，得到的“扰动”加在原来的输入 上就得到了在FGSM攻击下的样本。中大于1的部分设为1，小于0的部分设为0，防止越界。：获得图像的在模型中的输出值。对输入的导数，然后用符号函数。