本文详细介绍了迭代式Fast Gradient Sign Method (I-FGSM)算法,作为FGSM的增强版,用于生成对抗性图像。通过迭代过程和参数调整,I-FGSM提高了攻击成功率。此外,文章还探讨了更难的有目标攻击——iterative least-likely class method,它是无目标攻击的升级版,预示着有目标攻击的发展方向。
论文:Adversarial examples in the physical world
论文链接:https://arxiv.org/abs/1607.02533
在上面一篇博客FGSM中,我介绍了FGSM算法,FGSM算法从梯度的角度做攻击,速度比较快,这是该算法比较创新的地方。但是FGSM算法只涉及单次梯度更新,有时候单次更新并不足以攻击成功,因此,在此基础上推出迭代式的FGSM,这就是I-FGSM(iterative FGSM)。
首先回顾下FGSM算法,公式如下,可以看到和FGSM论文中的公式相比,这里少了网络参数θ,其实也比较容易理解,因为在生成攻击图像的过程中并不会修改网络参数,因此θ就没必要加到公式中。
显然,可以通过不断迭代FGSM算法得到攻击图像,也就是I-FGSM,公式如下:
这个公式中有几个参数和FGSM算法中的不一样,比如权重用α表示,论文中取1,同时迭代次数用N表示,论文中N取min(e+4, 1.25e),这部分其实就是将总的噪声幅值分配到每一次迭代中,因此在给定噪声幅值e的前提下,还可以直接用α=e/N来设置α和N参数。另外式子中的Clip表示将溢出的数值用边界值代替,这是因为在迭代更新中,随着迭代次数的增加,部分像素值可能会溢出(比如超出0到1的范围),这时候就需要将这些值用0或1代替,这样最后才能生成有效的图像。
在这篇论文中将上面这个迭代攻击算法称之为basic it
最低0.47元/天 解锁文章
扫一扫
695
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
