【摘要】:自Szegedy 等人[47]第一次提出面向图像识别系统中存在对抗样本的现象以来,对抗样本的生成原因以及防御方法等引发了众多学者的研究,目前已有很多针对图像分类模型的对抗样本生成方法。Rozsa 等人[51]提出了热/冷攻击方法,该方法可以对单一的输入图像产生多个对抗样本。上述对抗方法针对不同目标模型,面向不同的应用环境,各具特色。本章将选择三种典型的对抗样本生成方法进行介绍。
自Szegedy 等人[47]第一次提出面向图像识别系统中存在对抗样本的现象以来,对抗样本的生成原因以及防御方法等引发了众多学者的研究,目前已有很多针对图像分类模型的对抗样本生成方法。例如,在第3 章中提到的L − BFGS(Large BFGS,BFGS 为主要研究人员名字的首字母组合)攻击、快速梯度下降法(Fast Gradient Sign Method,FGSM)、基于雅可比的显著性特征图攻击(Jacobian − based Saliency Map Attack,JSMA)、DeepFool[48]攻击算法、C&W 攻击算法、单像素攻击(One Pixel Attack,OPA)。除此之外,Chen 等人[49]提出了零阶优化(Zero Order Optimization,ZOO)的攻击方法,该方法通过对称差分算法直接估计梯度,适用于黑盒环境下的攻击。Moosavi-Dezfooli 等人[50]提出了通用扰动(Universal Perturbations,UP)的攻击方法,该方法产生的扰动可以对多个攻击目标产生效果。Rozsa 等人[51]提出了热/冷攻击方法,该方法可以对单一的输入图像产生多个对抗样本。
上述对抗方法针对不同目标模型(黑盒、白盒),面向不同的应用环境(追求高速度、追求低扰动幅度等),各具特色。本章将选择三种典型的对抗样本生成方法进行介绍。(www.xing528.com)
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
