文章插图
的梯度就可以实现定向攻击，此时的梯度更新可以表示为：

文章插图
作者在论文中给出的就是最为人熟知的对抗样本了

文章插图
后面介绍的*-FGSM都属于对FGSM的改进。
I-FGSM[3]通过一个迭代优化器优化多次提高FGSM的性能，它以较小的步长执行FGSM，并将更新后的对抗样本裁减到有效范围内，通过这种方式迭代T次即可

文章插图
在第n次迭代得到的对抗样本如下：

文章插图
MI-FGSM[4]将动量项添加到攻击的迭代过程中,这有利于加快收敛速度、使更新方向更加平稳,并在迭代期间能够从较差的局部最大值中逃脱,从而达到更好的攻击效果.以如下方式迭代更新对抗样本：

文章插图
其中的梯度通过下式进行更新

文章插图
DI-FGSM[23]采用了多种输入模式来提高对抗样本的可传递性，名字中的D代表了随机的变换。其迭代方式类似于I-FGSM，其第n次迭代得到的对抗样本为：

文章插图
上式中的T为随机转换函数，定义如下

文章插图
此外，我们知道，动量和多样化的输入是缓解过拟合现象的两种完全不同的方式，所以可以将其结合起来，在这里可以用下式替换MI-FGSM中的梯度更新公式，就可以实现攻击

文章插图
JSMA[6]提出了基于雅克比的显著性图方法，利用雅克比矩阵，计算从输入到输出的显著图，因此只修改一小部分的输入特征就能达到改变输出结构的目的.
它利用较小的L0扰动生成对抗样本，首先在softmax层之前计算logit层输出的l(x)的雅克比矩阵：

文章插图
这可以表示输入x的各个分量如何影响不同类别的logit层输出。根据上式计算对抗性显著图S()以选择需要扰动的像素，从而在logit层的输出得到所需的变化

文章插图
选择扰动具有最大S()的像素，从而增加目标类别的logit层输出或者减少其他类别的logit层输出，实现对抗攻击的目的。如下所示，是LeNet的784维输入的显著映射，784=28*28，仅需选择那些较大的绝对值进行扰动就可以实现对抗效果，因为较大的绝对值对应于对输入有较大影响的特征。

文章插图
针对全黑的图，该算法生成的目标类别为0到9的对抗样本如下所示

文章插图
C&W[5]是一种基于优化的攻击方式，同时兼顾高攻击准确率和低对抗扰动的两个方面，达到真正意义上对抗样本的效果，即在模型分类出错的情况下，人眼不可查觉（相比之前FGSM等方法攻击生成的图片非常模糊，人眼可以察觉到）。它可以生成L0,L2,L_infty范数限制下的对抗样本CW0,CW2，CW_infty,其不使用如下所示，也就是之前流行的优化目标函数：

文章插图
而是使用该优化目标函数作为替代：

• 京东|裁员不忘膈应人，这家互联网大厂送的离职礼物恶心到我了！
• iPhone14|准大学生的数码装备推荐
• 有人觉得中暑就是热出来的,吃一些退烧药就好了,这种做法 蚂蚁庄园今日答案6月28日
• 浮甘瓜于清泉,沉朱李于寒水”描述的是什么场面 蚂蚁庄园今日答案6月28日
• 个头大的车厘子比小樱桃营养价值更高，对吗 蚂蚁新村6月28日答案最新
• 位于广东省阳江市的海陵岛自然资源丰富，景色优美，该岛没有 神奇海洋6月28日答案
• 哪种水果横着切开像星星的形状 蚂蚁庄园今日答案6月29日
• 为验证人类和黑猩猩，是否会产生新的后代，科学家找来5位姑娘！
• 喜马拉雅山出现的“雪人”是何生物？目击者：智商高、攻击性强
• 为什么科学家表示人类“灭绝”的可能性极低？这些理由你赞同吗？