白盒子攻击
Non-targeted attack 调整图片的像素,使输出与正确答案越远越好
Targeted attack 调整图片的像素,使输出与正确答案越远越好,与错误答案越近越好
调整后的图片与原图片距离要足够小。距离定义一般有2种方法:L2-norm,平方和, L-infinity 最大值
具体算法:
还是正常的梯度下降,但是如果超出了调整距离范围,就把它拉回来
解释:
图片有非常多的像素,这是非常高的高维空间,在某些特殊的维度,正确类别的范围特别小,稍微移动就变成别的类别
FGSM 特定的攻击方法,步长特别长,只需做一次梯度下降
黑盒子攻击
找到模型A的训练数据,训练另一个模型B,如果可以攻击模型B成功,攻击A成功的概率就很大
被动防御
在模型前加一个filter,平滑化,缩放,位移,减轻攻击噪音的影响。缺点,不能泄漏filter,否则攻击者会在攻击模型前面也加上filter
主动防御
自己训练一个attack模型,生成可以attack成功的数据,加入训练数据,再次训练模型,训练很多次。缺点,自己的attack模型与攻击者的attack模型不一样,就容易防御失败