论文阅读：2、深度学习中的对抗样本问题-计算机学报-2019年8月

①目前，针对对抗样本出现的原因主要有三种观点：流形中的低概率区域解释；线性解释；此外，还有一种观点认为线性解释存在局限性，即当前的猜想都不能令人信服。

 

 

②对抗样本的几种典型生成方式：F-BFGS法、FGS法、迭代法、迭代最小可能类法及其他方法。

③对抗样本具有迁移性是对抗样本攻击的原因，该属性意味着攻击者可以不用直接接触基础模型，而选择攻击一个机器学习模型使样本被错误分类。

④针对对抗样本的攻击方式及原因，列出了目前深度学习中针对对抗样本的几种主要的防御技术：基于正则化方法；对抗性的预处理训练方法；蒸馏方法；拒绝分类方法等。

⑤对抗样本的攻击方式从应用场景上看主要分为两种，一种是黑盒攻击，一种是白盒攻击。对抗样本具有黑盒攻击的能力是因为对抗样本的可迁移性，Goodfellow等人提出对抗样本在不同模型的泛化能力是对抗干扰与模型权值的高度一致造成的。所以，当训练同一任务时，对抗样本可以在不同的模型上学习相似的函数，即对同一个输入-输出对，拟合多个相似的函数。

⑥对抗样本的概念。通过故意对数据集中输入样例添加难以察觉的摄动使模型以高置信度给出一个错误的输出。即只需要在一张图片上做微小的扰动，分类器以很高的置信度将图片错误分类，甚至被分类成一个指定的标签（不是图片正确所属的标签）。

⑦样本通常包含样例-类标签，由于对抗样本在生成时已经预知其类标签，故对抗样本仿佛是隐含有类标签的。

 

 ⑧虽然对抗干扰的存在几率远比噪声干扰要小，但被分类器误分的概率却远比噪声干扰高。此外，在训练集的不同子集上训练得到具有不同结构的模型都会对相同的对抗样本实现误分，这意味着对抗样本成为了训练算法的一个盲点。

⑨对抗目标

 

 ⑩对抗攻击所需知识

 

11、

 12、对抗样本的典型生成方式