对抗攻击方法BIM与PGD的区别

Projected gradient descent(PGD):论文地址笔记地址

区别1

来自于：https://www.sciencedirect.com/science/article/pii/S209580991930503X
1）BIM 将一步的FGSM直接扩展为多步方法：

\begin{matrix} (1) & x_{t + 1}^{'} = C l i p_{x, ϵ} {x_{t}^{'} + α s i g n (▽_{x} J (θ, x_{t}^{'}, y))} \end{matrix}

$x'_{t+1}=Clip_{x, \epsilon} \{x'_{t}+\alpha\; {\rm sign}(\bigtriangledown_{x}J(\theta,x'_{t}, y))\} \tag{1}$

BIM 每次迭代以很小的步长执行FGSM，将对抗样本剪裁和更新到一个合法的范围内；迭代 $T$ 次， $\alpha T = \epsilon$ ， $\alpha$ 是每次迭代中扰动的大小。

2）PGD是FGSM的多步变体：

\begin{matrix} (2) & x_{t + 1}^{'} = Π_{x + S} (x_{t}^{'} + α s i g n (▽_{x} J (θ, x_{t}^{'}, y))) \end{matrix}

$x'_{t+1} = \Pi _{x+\mathcal{S}} \left ( x'_{t}+\alpha \;{\rm sign}(\bigtriangledown_x J(\theta,x'_{t}, y)) \right ) \tag{2}$

为了约束对抗扰动的大小，PGD 不使用 $\alpha T = \epsilon$ 的方式，而是将对抗性样本投影到 $x$ 的 $l_\infty$ -ball( $\epsilon-l_\infty$ neighbor) 中，因此扰动的值大于 BIM 的扰动。公式（2）中的 $\mathcal{S} \subseteq \mathbb{R}^d$ 为扰动集合。