FGSM。。。

Goodfellow等人认为高维空间下的线性行为足以产生对抗样本，
对抗样本的线性解释：
常见的数据图像大部分表示成1-255,8bit/像素点的形式，在原始样本上加小小的扰动就会被误分类。现在我们有：

当存在一个小到可忽略的ε满足∥η∥∞<ε，我们期望分类器对这两个样本的分类结果一致，然而……
现在考虑加入权值向量ω 信息，则：

（权向量是带了权值的向量）对抗扰动通过ωTηωTη影响激活函数从而影响分类结果。如果ωω有nn个维度，权向量的一个元素的平均大小是mm，那么激活函数就会增加εmnεmn。虽然∥η∥∞‖η‖∞不会随着维度增加而增加，但是ηη会随nn线性增长，然后就有高维问题了。

非线性模型的线性扰动
我们假设神经网络都太线性了以至于不能抵抗对抗样本。常见的LSTM、ReLU和maxout网络都趋向于线性表现，而类似sigmod这种非线性性模型也把大量的时间花在非饱和和线性系统中。
我们从公式开始理解（fast gradient sign method）：

算法的主要思想：让我们的变化量与梯度的变化方向完全一致，那么我们的误差函数就会增大，那么将会对分类结果产生最大化的变化。sign函数保证了变化方法同梯度方向一致。对损失函数求偏导，即得到权值向量ω有关的函数。

首先明确，横坐标表示单维x输入值，纵坐标表示损失值，函数图像是损失函数JJ，损失值越大表示越大概率分类错误，假设灰的线上方为分类错误，下方为分类正确。以样本点x1为例。根据公式，此时的偏导函数为负，则黑色箭头方向为x_x扰动方向，同理x2样本在取值为正时，也沿着黑色箭头方向变化，只要我们的 εε取值合适，就能生成对抗样本，使得分类错误。

在这里插入图片描述

FGSM 攻击噪声怎么生成的呢？我们知道训练分类模型时，网络基于输入图像学习特征，然后经过softmax层得到分类概率，接着损失函数基于分类概率和真是标签计算损失值，回传损失值并计算梯度，最后网络参数基于计算得到的梯度进行更新，网络参数的更新目的是为了让损失值越来越小，这样模型分类正确的概率也就越来越高。
图像攻击的目的是不修改分类网络的参数，而是通过修改输入图像的像素值使得修改后的图像能够扰乱分类网络的分类，那么结合刚刚讲的分类模型的训练过程，这里可以将损失值回传到输入图像并计算梯度，也就是下面这个值，其中J()是损失函数，x和y表示输入图像和真是标签，θ表示网络参数：

接下来可以通过sign()函数计算梯度的方向，sign()函数是用来求数值符号的函数，比如对于大于0的输入，输出为1， 对于小于0的输入，输出为-1，对于等于0的输入，输出为0。之所以采用梯度方向而不是采用梯度值是为了控制扰动的L∞距离，这是FGSM算法的评价指标。

常规的分类模型训练是在更新参数时都是将参数减去计算得到的梯度，这样就能使得损失值越来越小，从而模型预测对的概率越大。既然无目标攻击是希望模型将输入图像错分类程正确类别以外的其他任何一个类别都算攻击成功，那么只需要损失值越来越大就可以达到这个目标，也就是模型预测的概率对应真是标签的概率越小越好，这和原来的参数更新的目的正好相反，因此，我只要在输入图像中加上计算得到的梯度方向，这样修改后的图像经过分类网络时的损失值要比修改前的图像进过分类网络时 的损失值要打，换句话说，模型预测对的概率变小了，这就是FGSM算法的内容，一方面是基于输入图像计算梯度，另一方面更新输入图像时加上梯度，而不是减去梯度。
参考：https://blog.csdn.net/qq_35414569
https://blog.csdn.net/u014380165/

对分类结果的影响还要收到激活函数的作用，攻击样本的生成过程就是追求微小的修改，通过激活函数的作用，对分类结果产生最大化的变化，Goodfellow之处，如果
我们的变化量与梯度 的变化方向完全一致，将会对分类结果产生最大化的变化。
其中sign函数可以保证和梯度函数方向一致。