面向深度学习的对抗攻击技术介绍

1.对抗攻击定义

深度学习方法在人脸验证，图像分类等多种赛道上获得了超越人类的优异表现。但该方法简单地假设模型地预测环境和训练环境的样本独立同分布，但在安全敏感领域，存在着巨大的安全性风险。当我们改变测试图像的分布的时候，也就是生成对抗图像的时候，就可以去改变这个模型的分类结果，达到一个攻击的效果。

对抗攻击：通过修改输入数据，使得机器学习模型的输出产生误判或误判率增加的行为。这些修改可以是非常微小的，以至于人类无法察觉到，但对机器学习模型的影响却非常大。

对抗攻击广泛存在：定位，目标检测，实例分割，自然语言处理等任务中。

2.对抗攻击类型

两个赛道：做攻击，做防御（难度大，防住各种各样的攻击）

做攻击：基于梯度的攻击，现实场景下的攻击，通用攻击 

基于梯度的对抗攻击：训练深度学习的模型往往是通过梯度传播，梯度反传（模型计算交叉损失，然后把这个损失通过梯度反向传播，更新网络参数，实现我们最终期望的分类效果）。梯度是我们攻击的手段。梯度攻击又分为白盒和黑盒。区别于我们是否知道我们攻击模型的参数（比如说我们知道我们需要攻击模型的具体网络架构，以及这个网络模型架构中的参数，或者我们知道它训练的数据集）。知道这些都为我们接下来进一步展开攻击有了很多先引知识，有了这些先引知识，我们去做攻击很轻松。黑盒攻击就是不知道这些，只能通过去猜测，去推断，难度更难。一步/多步：一步就是只搜索一次搜索出对抗噪声，多步就是通过多部搜索得到对抗噪声。搜索次数越多，得到对抗噪声攻击能力越强

通用型对抗攻击：找一个通用的噪声，无论输入的图像是什么，都能完成攻击。