环境：PyTorch1.7.1问题描述：在生成对抗样本的情境中，常常需要对一个对象（比如对抗扰动）进行多次的反向传播更新，例如下述代码段：defattack_update(self,perturbation

1、深度学习的概念深度学习是机器学习中一种基于对数据进行表征学习的方法。观测值（例如一幅图像）可以使用多种方式来表示，如每个像素强度值的向量，或者更抽象地表示成一系列边、特定形状的区域等。而使用某些特定的表示方法更容易从实例中学习任务（例如，人脸识别或面部表情识别）。深度学习的好处是用非监督式或半监督式的特征学习和分层特征提取高效算法来替代手工获取特征。同机器学习方法一样，深度学习方法也有监督学习

研究背景在对抗攻击中，对抗样本可迁移性是人们关注的一个点。黑盒攻击的成功率一直不高，这背后的攻击机制需要探索，并且需要改进攻击效果。

目录一、特征图去噪二、PNI参数噪声注入三、输入多样性一、特征图去噪2019CVPR-FeatureDenoisingforImprovingAdversarialRobustness.特征去噪提高对抗鲁棒性背景通过将对抗性图像(adversarialimage)的特征图(FeatureMap)和原始图像(cleanimage)的特征图进行可视化对比，发现，对抗性图像的特征图存在着非常多的无关噪声

CVPR2022ProtectingFacialPrivacy:GeneratingAdversarialIdentityMasksviaStyle-robustMakeupTransfer原文链接：https://openaccess.thecvf.com/content/CVPR2022/papers/Hu_Protecting_Facial_Privacy_Generating_Advers

在当前大量的研究中，许多方法直接攻击代理模型并获得的可迁移性的对抗样本

文章目录一、论文相关信息  1.论文题目  2.论文时间  3.论文文献二、论文背景及简介三、论文内容总结四、论文主要内容1、Introducttion2、ReleatedWork3、TheLinearExplanationOfAdversarialExamples4、LinearPerturbationofNon-LinearModels5、AdversarialTrainingOfLinear

作者：19届lz论文：《深度学习对抗样本的防御方法综述》问题2013年，Szegedy等人[1]首先通过添加轻微扰动来干扰输入样本，使基于深度神经网络（Deepneuralnetwork,DNN）的图片识别系统输出攻击者想要的任意错误结果

1引言 对抗迁移性攻击一般是先通过代理模型生成对抗样本，然后将该样本迁移到其它黑盒模型中进行攻击，对抗迁移性的根本原因目前仍有待于探究。

关注公众号，发现CV技术之美▊引言深度神经网络极易受到对抗样本的攻击。

1.对抗样本所谓对抗样本就是指：在原始样本添加一些人眼无法察觉的扰动（这样的扰动不会影响人类的识别，但是却很容易愚弄模型），致使机器做出错误的判断。

1.相关的概念对抗样本要认识对抗训练，首先要了解“对抗样本”，它首先出现在论文Intriguingpropertiesofneuralnetworks[3]之中。

对于白盒攻击，攻击者已知模型内部的所有信息和参数，基于给定模型的梯度生成对抗样本，对网络进行攻击。对于黑盒攻击，攻击

本文总结了近年提出的各种对抗样本的攻击方法。

blog.csdn.net/qq_43367558/article/details/121694626（2）对抗性样本攻击方法汇总https://zhuanlan.zhihu.com/p/136304195（3）对抗样本攻击方法总结对抗样本攻击方法总结

在arxiv上看到一篇用对抗样本来做公平性提升的论文，fairness-awareAdversarialPerturbationTowardsBiasMitigationforDeployedDeepModels

如何生成可参考右边的帮助文档目录一、模型训练总结回顾二、对RMB分类模型进行fgsm攻击1.fgsm原理2.大致思路流程概述1.求数据集中每个数据集的梯度（以供fgsm生成噪声）2.通过fgsm，得到对抗样本数据集

其中被增加扰动的数据也称为对抗样本。下面是一些直观的通过增加对抗噪声来让算法模

然而，近年来研究者发现，深度学习模型存在着易受对抗样本攻击的安全隐患。攻击者可以通过向良性数据中添加特定的扰动，生成对抗样本。附

目前主流对抗防御的总体分支与逻辑：其中对抗训练是指在训练过程中加入对抗样本，通过不断的学习对抗样本的特征，从而提升模型的鲁棒性。

©PaperWeekly原创·作者｜孙裕道学校｜北京邮电大学博士生研究方向｜GAN图像生成、情绪对抗样本生成引言JSMA是非常著名的对抗攻击，它第首次在对抗攻击中引入了的度量方式，度量本质上是限制输入图象中扰动像素点的个数

另外，由于算法存在的“对抗样本”特征，黑客可基于对抗样本技术，通过简

对抗样本生成算法一、FGSM(FastGradientSignMethod)1.FGSM基本思想2.FGSM算法流程3.FGSM扰动有效性分析二、I-FGSM/BIM(IterativeFGSM)1.I-FGSM

针对这些攻击，很多工作提出了各种不同的方法，比如设计异常数据检测方法来检测并清除中毒样本，对抗样本，后门样本等攻击性样本；

本文仅作翻译与稍许修改文章目录对抗性样本攻击实验题目描述欺骗模型的方法FGSM快速梯度符号攻击原理介绍FGSM实现受攻击的模型FGSM攻击函数测试攻击效果函数实施攻击结果分析准确性vsϵ\epsilonϵ对抗样本

https://wizardforcel.gitbooks.io/tf-tut-hvass/content/11_Adversarial_Examples_zh_CN/11_Adversarial_Examples_zh_CN.html

本教程将提高您对ML模型的安全漏洞的认识，并深入了解对抗性机器学习的热门话题。您可能会惊讶地发现，对图像添加无法察觉的扰动会导致模型性能大不相同。鉴于这是一个教程，我们将通过图像分类器上的示例来探讨该主题。具体来说，我们将使用第一种也是最流行的攻击方法之一，即快速梯度符号攻击（FGSM）来欺骗MNIST分类器。威胁模型就上下文而言，有多种类型的对抗性攻击，每种攻击者都有不同的目标和对攻击者知识的假

对抗样本是黑盒水印里面一个经典的手段了，今天这篇SemanticAdv:GeneratingAdversarialExamplesviaAttribute-conditionedImageEditing

论文《针对黑盒智能语音软件的对抗样本生成方法》一、论文中提到的相关名词解释1.1什么是对抗样本？

目录背景算法的原理和步骤论文2016EuroS&P-TheLimitationsofDeepLearninginAdversarialSettings.背景之前的对抗样本的扰动方向都是损失函数的梯度方向

参考文献：针对恶意代码分类模型的对抗技术研究１、首次提出了一种基于灰度图像的对抗样本攻击算法，生成可执行的对抗样本，用以攻击基于机器学习的以灰度图像为分类依据的恶意代码分类模型。

文章目录一、论文相关信息  1.论文题目  2.论文时间  3.论文文献二、论文背景及简介三、论文内容总结四、论文所使用的符号及数据等信息五、论文主要内容1、第一个特征神经元的语义信息2、第二个特征神经网络的盲点五、实验结果六、模型的不稳定性分析七、总结一、论文相关信息  1.论文题目    Intriguingpropertiesofneuralnetworks  2.论文时间    2014年

文章目录前言基于优化的对抗样本FGSM1.首先导入相关包和参数设置：2.加载数据3.定义网络模型4.定义攻击函数5.开始攻击6.可视化测试前言让我们来看一下，怎么从深度学习的基本过程到对抗样本的生成？

从架构安全到被动纵深防御，再到主动防御、安全智能，直至进攻反制，皆直指安全的本质——攻防。未知攻，焉知防!每一位网络安全从业者都有仗剑江湖的侠客情怀和维护网络公平正义的初心。

从架构安全到被动纵深防御，再到主动防御、安全智能，直至进攻反制，皆直指安全的本质——攻防。未知攻，焉知防!每一位网络安全从业者都有仗剑江湖的侠客情怀和维护网络公平正义的初心。渗透

为了反制运营商的这种策略，让我们的非TCP报文也能够获更公平、更稳定的传输链路，便有

对于分类神经网络，一个攻击的例子是输入图像受到干扰(或策略性修改)，从而导致故意错误分类。有各种算法利用给定分类模型的信息(梯度和特征映射)，并修改输入图像，使其被错误分类(非目标攻击)或总是被错误分类为特定类别(目标攻击)。在本文中，我们将研究一些白盒攻击(在了解模型信息后生成攻击的算法)。攻击：FastGradientSignMethod(https://arxiv.org/abs/1412.

文章目录00前言01深度学习脆弱性1.1偷取模型1.2数据投毒02对抗样本（adversarialexamples）2.1对抗样本定义2.2对抗样本原理2.3针对图像分类模型的对抗样本示例2.4对抗样本按照攻击后的效果分类

然而，随着学者们的深入研究发现，深度学习模型存在对抗样本攻击的可能[1]，这使得模型的安全性、鲁棒性以及泛化能力得到巨大的挑战。其中，对抗样本是一种人为设

简介思路与代码细节1.构造数据源2.构造AutoEncoder网络结构3.训练代码全部代码参考文章AutoEncoder简介AutoEncoder的思路是使用对称的网络结构，重现原有的特征，常用来降噪与应对对抗样本预训练

深度视觉的挑战：找到更好的模型理解模型的鲁棒性（适用于对抗样本）————————希望模型训练时使用一些无标签数据自监督学习当我们采用更大的模型的时候，它的性能会更好，但是我们在面对数据倍增时，性能提升比大模型的增益更大

尽管以BERT为代表的的预训练语言模型已经在实体识别、机器翻译、情感分析等任务上取得了亮眼的表现，它们在面对一些人类可以使用常识轻易解决的问题时仍然表现不佳，面对对抗样本时也极为脆弱。

1、对抗训练的简单概括对抗训练就是使用对抗样本去训练模型，从而通过对原始训练数据添加噪声便得到了对抗样本。

中括号里的含义为，我们要找到一组在样本空间内、使Loss最大的的对抗样本（该对抗样本由原样本x和经过某种手段得到的扰动项r_adv共同组合得到）。

一、定义对抗样本：对输入增加微小扰动得到的样本。旨在增加模型损失。对抗训练：训练模型去区分样例是真实样例还是对抗样本的过程。对抗训练不仅可以提升模型对对抗样本的防御能力，还能提升对原始样本的泛化能力。

本文分享一个“万物皆可盘”的NLP对抗训练实现，只需要四行代码即可调用。盘他。最近，微软的FreeLB-Roberta[1]靠着对抗训练(AdversarialTraining)在GLUE榜上超越了Facebook原生的Roberta，追一科技也用到了这个方法仅凭单模型[2]就在CoQA榜单中超过了人类，似乎“对抗训练”一下子变成了NLP任务的一把利器。刚好笔者最近也在看这方面的内容，所以开一篇博

Madry认为，这个公式简单清晰地定义了对抗样本攻防“矛与盾”的两个问题：如何构造足够强的对抗样本？以及，如何使模型变得刀枪不入？剩下的，就是如何求解的问题了。

对抗训练应用场景Szegedy在14年的ICLR中提出了对抗样本的概念。

对抗训练通过添加扰动构建对抗样本，喂入模型一同训练，提高模型遇到对抗样本时的鲁棒性，同时一定程度也能提高模型的表现和泛化能力。

对抗样本的基本概念要认识对抗训练，首先要了解"对抗样本"，它首先出现在论文Intriguingpropertiesofneuralnetworks之中。