- 1VMWareWorkStation回收磁盘空间详细解释。_vm如何将虚拟机多余的硬盘空间返还回主机
- 2泰克Tektronix DPO3014示波器_dpo 3014
- 3open_files打开输入输出文件_open files
- 4在应用合规的背景下,《ArkTS、Api9》鸿蒙开发中如何实现权限申请_鸿蒙开发添加权限
- 5L1-064 估值一亿的AI核心代码——按照规则逐一击破
- 6Vue响应式原理以及实现_vant vue响应式编程
- 7c语言五年级小学生题目及答案,c语言试题及答案(2)
- 8Electron中加载百度地图api调用其中方法报错:Uncaught ReferenceError: md5 is not defined
- 9滑动验证码破解思路_uipath 滑块验证码
- 10CentOS升级linux内核导致板载网卡不工作_centos 内核版本缺少文件库可能导致网卡不可用
对抗攻击5——R+FGSM
赞
踩
R+FGSM又称随机单步攻击,在应用FGSM产生的对抗扰动之前,给在输入样本中增加一个小的随机扰动。这有助于避免梯度Mask的防御策略。Tramer等人提出了有许多正交的对抗方向,局部损失梯度不一定转化为模型整体损失最大的方向。这会被错误地认为经过对抗训练的模型对看不见的对抗样本是鲁棒的。
为了避免这种特殊的梯度Mask情况,R+FGSM首先通过引入一个随机扰动(一般情况下该随机扰动从多元高斯分布中进行采样
)来修改输入样本,然后计算损失函数关于样本
x
x
x的梯度:
x
′
=
x
†
+
(
ϵ
−
α
)
⋅
sign
(
∇
x
+
L
(
x
†
,
y
)
)
,
where
x
†
=
x
+
α
⋅
sign
(
N
(
0
,
1
)
)
x^{\prime}=x^{\dagger}+(\epsilon-\alpha) \cdot \operatorname{sign}\left(\nabla_{x}+\mathcal{L}\left(x^{\dagger}, y\right)\right), \text { where } x^{\dagger}=x+\alpha \cdot \operatorname{sign}(\mathcal{N}(0,1))
x′=x†+(ϵ−α)⋅sign(∇x+L(x†,y)), where x†=x+α⋅sign(N(0,1))其中
α
\alpha
α是正的常数超参数,并有
0
<
α
<
ϵ
0 < \alpha<\epsilon
0<α<ϵ。虽然R+FGSM的对抗梯度跟FGSM的对抗梯度相比贡献更少的扰动幅度,但是随机扰动增加了找到逃脱梯度Mask的攻击方向的机会。
Tramer等人发现,在对抗训练的Inception ResNet v2和Inception ResNetv3模型上,R+FGSM比FGSM具有更高的攻击成功率。此外,还发现相对于2步BIM ,在对抗训练的Inception ResNet v3模型中,R+FGSM更强,这表明随机抽样比使用局部梯度有助于提供更好的方向。
