5.4.1 FGM/FGSM基本原理
5.4.1 fgm/fgsm基本原理
fgm(fast gradient method),有时也被称为fgsm,即快速梯度算法,是ian j.goodfellow在论文《explaining and harnessing adversarial examples》中提出的,可以作为无定向攻击和定向攻击算法使用。以最常见的图像识别为例,我们希望在原始图片上做肉眼难以识别的修改,但是却可以让图像识别模型产生误判。假设图片原始数据为x,图片识别的结果为y,原始图像上叠加细微的变化η,肉眼难以识别η,使用数学公式表示如下:
将修改后的图像输入分类模型中,x与参数矩阵wt相乘。
对分类结果的影响还要受到激活函数的作用,攻击样本的生成过程就是追求以微小的修改,通过激活函数的作用,对分类结果产生最大化的变化。goodfellow指出,如果我们的变化量与梯度的变化方向完全一致,那么将会对分类结果产生较大的变化。
如图5-10所示,sign函数可以保证与梯度函数方向一致。
图5-10 sign函数
当x的维数为n时,模型的参数在每个维度的平均值为m,η的无穷范数为,每个维度的微小修改与梯度函数方向一致,累计的效果为nme。当数据的维度n很大时,虽然η非常小,但是累计的效果却可以较大,该效果作用到激活函数上,有可能对分类结果产生较大影响。例如一般的图像数据维度都很大,即使是非常小的[32,32,3]的图片,维度也达到了3072,假设e非常小,仅为0.01,m为1,那么累计的效果为30.72。
fgm(fast gradient method),有时也被称为fgsm,即快速梯度算法,是ian j.goodfellow在论文《explaining and harnessing adversarial examples》中提出的,可以作为无定向攻击和定向攻击算法使用。以最常见的图像识别为例,我们希望在原始图片上做肉眼难以识别的修改,但是却可以让图像识别模型产生误判。假设图片原始数据为x,图片识别的结果为y,原始图像上叠加细微的变化η,肉眼难以识别η,使用数学公式表示如下:
将修改后的图像输入分类模型中,x与参数矩阵wt相乘。
对分类结果的影响还要受到激活函数的作用,攻击样本的生成过程就是追求以微小的修改,通过激活函数的作用,对分类结果产生最大化的变化。goodfellow指出,如果我们的变化量与梯度的变化方向完全一致,那么将会对分类结果产生较大的变化。
如图5-10所示,sign函数可以保证与梯度函数方向一致。
图5-10 sign函数
当x的维数为n时,模型的参数在每个维度的平均值为m,η的无穷范数为,每个维度的微小修改与梯度函数方向一致,累计的效果为nme。当数据的维度n很大时,虽然η非常小,但是累计的效果却可以较大,该效果作用到激活函数上,有可能对分类结果产生较大影响。例如一般的图像数据维度都很大,即使是非常小的[32,32,3]的图片,维度也达到了3072,假设e非常小,仅为0.01,m为1,那么累计的效果为30.72。