《表5 第四类攻击的对抗样本生成方法比较》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《攻击分类器的对抗样本生成技术的现状分析》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

在白盒条件下，BIM[15]以迭代的方式，通过梯度上升的方法生成对抗样本，而Shi等[35]认为BIM容易找到扰动较大的对抗样本，他们提出Curls方法，该方法先以迭代的方式，通过梯度下降使样本回到损失函数的局部最优点，再通过梯度上升的方式生成对抗样本，以增加找到与原样本相似度高的对抗样本的可能性。而文献[36]以基于损失函数梯度的方法为基础，在梯度计算前，以一定概率对图像进行几何变换，此方法缓和了对抗样本的过拟合情况。文献[37]在每次迭代过程中将样本投影在以原样本为中心的L2球面上，直至目标分类器分类错误，通过实验结果表明，该方法能够生成扰动更小的对抗样本。在黑盒条件下，ZOO[38]在已知目标分类器输出得分的前提下，利用有限差分法来估计目标分类器的梯度信息，并利用该梯度信息生成对抗样本。文献[39]仅需知道目标分类器的分类结果，迭代始于一个较大扰动的对抗样本，然后在保证当前迭代样本仍是对抗样本的前提下，逐步减小扰动大小以得到与原样本相似度更高的对抗样本。Guo等[40]证明在样本空间中的低维子空间中存在大量对抗性扰动，其利用离散余弦变换找到该子空间，并在该子空间中施加扰动生成对抗样本，该方法有效降低了对抗样本生成方法的复杂性。