3-机器学习进阶-模型的攻击和防御

假如细微的变化，人能识别出来，但是机器得出完全不同的东西了

真实的越远越好，非真实的越近越好，同时限制下输入偏差不能太大，模型固定去调整输入，把输入当做参数去训练

两中方法计算限制距离，

限制，第二种方式最好，同样可以进行梯度计算，每次迭代更新的时候加个判断就好，拉到满足条件，离目标点最近

画圆即可，超出了拉进来

维度是非常多的，某个维度的变化可能导致突变，梯度的方向就是找到这个突变的方向，用多维度去看问题

FGSM在意方向，梯度设置很大，一次性得到结果

攻击的分类，知道模型参数，白箱攻击

黑箱攻击，不知道模型参数和架构，只知道训练数据，训练出来一个新的一样可以攻击

假如训练数据不知道，可以模拟一大堆数据造一批训练资料，一样可以攻击

模型的防御，被动防御和主动防御

被动防御，增加过滤层，让输入更加平滑，相当于只有某个方向的变化能攻击，把这个方向的变化平滑了

主动防御，训练阶段就开始找这些漏洞参数，并重新训练模型，训练好的模型又会产生新的漏洞，反复迭代更新，但是只要找到漏洞数据的方法被泄露出去，一样可以攻击，或者有一个开源攻击所有找漏洞的方式一样可以切攻击，尚待解决的问题