白盒攻击的基本定义
假设我们的图像数组为x,模型正确分类为y_true。 此时,进行白盒攻击,为了将模型分类为y1,对图像阵列x进行微小修正,在模型输入(x,y1 )中获取模型的输入x上的梯度。 这里的x是图像的排列表现基于梯度,在图像上进行调整以减小误差,此时判断模型是否分类为y1,重复y2、y3步骤。 在模型被分类为y1之前或超过时间限制时使用的算法主要有两种思想。 每次放大梯度等比时,至少最大值达到某个阈值(代码为7 )。 同时将对图像的调整幅度限定在noise一定范围内(代码中的noise_limit为50,太小收敛速度非常慢! 例如5 )黑匣子攻击
黑盒攻击与白盒的不同之处在于,在步骤2中不获得梯度,随机地调整图像直到模型被分类为y1,或者超过时间限制而使用的算法是一像素攻击,随机地使用了几个像素