model attack方法
1.FGSM:Fast Gradient Sign Method,虽然不是最强大的,但是它是非常简单的一种方法。
FGSM是一种简单有效的model attack方法,梯度下降的时候计算的梯度,如果是负的,则直接为-1,如果是正的,则直接为+1。所以x0的更新要么-epsilon,要么+epsilon。就结束了,只更新一次,就得到“最好的结果”。
这个算法的思想就是只攻击一次就好(减去或者加上个得他)只更新一次就是“最好的”attack了嘛?多攻击几次会不会更好?是的,多攻击几次确实会更好,所以FGSM有一个进阶方法eterative GSM
也有文献说多攻击几次效果更好,那是另外一种FGSM方法,这里不考虑。
如果是普通的GD,我们是先算gradient的方向,然后把x0更新到x1,现在FGSM是直接按照gradient的方向,一步直接更新到对应方向的右上角x∗(只要gradient的方向是第三象限的范围x∗都是右上角那个点,同理,如果只要gradient的方向是第二象限x∗ 都是右下角那个点)也就是说FGSM只在意gradient的方向,不在意它的大小。
假设constrain用的是L-infinity,x0需要更新一次到x1(反方向了,因为乘以负号了),FGSM告诉我们,直接挪epsilon个位置,到x*,就结束了(图中gradient的方向为实线,gradient的反方向为更新方向)。
2.FGSM原理
就假设设置了一个很大的learning rate,异常大,导致可以马上跳出范围,跑出范围还可以拉回来,所以update一圈就可以达到攻击的目标