「Level-3」如何制作对抗样本——代表性对抗样本生成方法小结对抗样本(textbf{对抗样本})是机器学习,尤其是深度学习领域中的一个重要研究方向。其核心在于通过微小的输入扰动,使得模型产生错误的输出。到目前为止,已经产生了多种制作对抗样本的方法。以下是对代表性对抗样本生成方法的总结:一、基于梯度优化的方法(mathscr{I}类方法)这类方法通过设置对抗目标函数,并利用梯度来优化原数据样本的特征值,从而生成对抗样本。快速梯度法(Fast Gradient Method,FGM)原理:FGM在对抗目标函数上使用了一阶泰勒展开来进行近似,相当于使用步长为epsilon的单步梯度下降法来寻找对抗样本。特点:快速但找到的对抗样本是一阶近似最优解,并非最优解。快速梯度符号法(Fast Gradient Sign Method,FGSM)原理:在FGM的基础上,加上符号函数sign(x),再乘上步长epsilon,作为梯度下降的更新。特点:与FGM类似,但实现更为简单,同样存在一阶近似的问题。基本迭代法(Basic Iterative Method,BIM)原理:迭代多步FGM,在每次FGM后把更新后的特征值超出值域的部分clip到值域内。特点:相比FGSM/FGM,BIM能找到更优的对抗样本,但计算成本更高。DeepFool原理:利用模型的局部线性,将每一步梯度下降过程中的梯度值替换为数据点到一个线性分类平面的距离。特点:能够更准确地找到对抗样本,但计算复杂度较高。L-BFGS原理:L-BFGS是计算机求解box-constrained问题的经典算法,用于生成对抗样本时,通过优化对抗目标函数来找到最优解。特点:能够找到高质量的对抗样本,但计算成本高昂。Carlini&Wagner(C&W)方法原理:设置了一个特殊的loss函数来衡量输出error,该loss函数含有可调节的超参数,可以控制生成的对抗样本的置信度。同时,C&W方法用了一个变量替换的技巧,将优化的变量经过tanh变换,由输入的特征值变为了定义域不受限的新变量omega。特点:能够生成强对抗样本,在各种情景下(无论目标模型对攻击者来说是黑盒或白盒)都能实现攻击。二、基于雅可比矩阵的方法(mathscr{II}类方法)这类方法基于模型输入输出之间的雅可比矩阵来决定对输出影响最大的输入特征,进而改变这些特征来生成对抗样本。Jacobian Saliency Map Algorithm(JSMA)原理:基于输出与输入间的Jacobian Matrix构建saliency map,该map定义了每个像素的重要性,即改变此像素值对输出造成的影响。然后,选择对输出影响最大的像素进行扰动。特点:能够生成具有针对性的对抗样本,但计算成本较高,且生成的对抗样本可能不够自然。三、其他方法除了上述两类方法外,还有一些其他制作对抗样本的方法,这些方法大多基于不同的distortion metric、定义输出loss、更稳健的优化过程以及针对不同数据类型选择优化变量和优化方法等。创新点:如使用不同的distortion metric来衡量输入扰动的大小,定义更复杂的输出loss函数来反映模型输出的错误程度,采用更稳健的优化过程来避免陷入局部最优解,以及针对不同数据类型(如图像、文本、音频等)选择合适的优化变量和优化方法等。特点:这些方法在特定场景下可能具有更好的效果,但通常也需要更高的计算成本或更复杂的实现过程。总结制作对抗样本的方法多种多样,每种方法都有其独特的原理和优缺点。在实际应用中,需要根据具体场景和需求选择合适的方法。同时,随着对抗样本研究的不断深入,新的方法和技术也在不断涌现,为对抗样本的生成和防御提供了更多的选择和可能性。(注:此图片为示例图,实际对抗样本可能因方法和数据集的不同而有所差异。)