对抗样本综述学习笔记:Adversarial Examples: Attacks and Defenses for Deep Learning

（持续更新）

一、相关优质博客

1.全面入门
2.直观理解原理
3.
4.

二、论文细节知识点

• 1.hessian矩阵（表一）：hessian矩阵实际上就是函数的二阶导矩阵
  Hessian矩阵在机器学习中的应用(拓展)：即hessian矩阵能来找极值点
• 2.RNN简单介绍，
• 3.自编码器简单介绍：个人理解为类似无监督的学习算法，让机器训练出能保留原始数据较好特征的权值矩阵，然后每次训练当前层都先采用上一层的得到的权值矩阵。自编码器通常被用于降维或特征学习。本文里提到这是一种加解密的模型，目的是使输入和输出的差异减小，可用于压缩/解压任务。
• 4.基本的GAN介绍里包括WGAN：改进损失函数，提供训练指标;
  GAN进一步的原理解释就是：以下摘自博主「JensLee」：
  首先这个网络模型（定义在上面），先传入生成器中，然后生成器生成图片之后，把图片传入判别器中，标签此刻传入的是1,真实的图片，但实际上是假图，此刻判别器就会判断为假图，然后模型就会不断调整生成器参数，此刻的判别器的参数被设置为为不可调整，d.trainable=False，所以为了不断降低loss值，模型就会一直调整生成器的参数，直到判别器认为这是真图。此刻判别器与生成器达到了一个平衡。也就是说生成器产生的假图，判别器已经分辨不出来了。所以继续迭代，提高判别器精度，如此往复循环，直到生成连人都辨别不了的图片。

三、论文内容节选

1.表一:(私:LaTeX练习输入)

符号	定义
$x$	没有修改、处理过的原始数据输入
$l$	分类问题中的标签，$l=1,2,···,m$。其中$m$是类别数
$x'$	对抗样本，即修改后的数据输入
$l'$	在针对性对抗样本中敌手的分类标签
$f(·)$	深度学习模型(对于图像分类任务来说，$f\in F:\mathbb{R}^n\rightarrow l$)
$θ$	深度学习模型$f$的参数
$J(·)$	损失函数
$η$	原始的输入数据和修改后输入数据的差异： $η=x'-x$ (输入的数据是相同的尺寸)
$\left\|·\right\|_p$	$l_p$范数
$\nabla$	梯度
$H(·)$	海森矩阵，二范数的一个拓展
$KL(·)$	Kullback-Leibler (KL) 散度函数