对抗攻击方法BIM与PGD的区别
作者:互联网
Basic iterative method(BIM):论文地址 笔记地址
Projected gradient descent(PGD):论文地址 笔记地址
区别1
来自于:https://www.sciencedirect.com/science/article/pii/S209580991930503X
1)BIM 将一步的FGSM直接扩展为多步方法:
BIM 每次迭代以很小的步长执行FGSM,将对抗样本剪裁和更新到一个合法的范围内;迭代 \(T\) 次,\(\alpha T = \epsilon\),\(\alpha\) 是每次迭代中扰动的大小。
2)PGD是FGSM的多步变体:
\[x'_{t+1} = \Pi _{x+\mathcal{S}} \left ( x'_{t}+\alpha \;{\rm sign}(\bigtriangledown_x J(\theta,x'_{t}, y)) \right ) \tag{2} \]为了约束对抗扰动的大小,PGD 不使用 \(\alpha T = \epsilon\)的方式,而是将对抗性样本投影到 \(x\) 的 \(l_\infty\)-ball(\(\epsilon-l_\infty\) neighbor) 中,因此对抗扰动的大小\(< \epsilon\)。如公式(2)中的 \(\mathcal{S} \subseteq \mathbb{R}^d\) 为扰动集合。
区别2
来自于:https://github.com/MadryLab/mnist_challenge/issues/3
-
PGD每次迭代会选择\(\epsilon-l_\infty\)- ball 内的一个随机点,并从那里继续执行 PGD。
-
PGD添加了一个均匀分布的随机噪声作为初始化。
标签:infty,PGD,BIM,迭代,epsilon,alpha,对抗 来源: https://www.cnblogs.com/setdong/p/16414769.html