Basic iterative method(BIM):论文地址 笔记地址

Projected gradient descent(PGD):论文地址 笔记地址

区别1

来自于：https://www.sciencedirect.com/science/article/pii/S209580991930503X
1）BIM 将一步的FGSM直接扩展为多步方法：

BIM 每次迭代以很小的步长执行FGSM，将对抗样本剪裁和更新到一个合法的范围内；迭代 \(T\) 次，\(\alpha T = \epsilon\)，\(\alpha\) 是每次迭代中扰动的大小。

2）PGD是FGSM的多步变体：

为了约束对抗扰动的大小，PGD 不使用 \(\alpha T = \epsilon\)的方式，而是将对抗性样本投影到 \(x\) 的 \(l_\infty\)-ball(\(\epsilon-l_\infty\) neighbor) 中，因此对抗扰动的大小\(< \epsilon\)。如公式（2）中的 \(\mathcal{S} \subseteq \mathbb{R}^d\) 为扰动集合。

区别2

来自于：https://github.com/MadryLab/mnist_challenge/issues/3

• PGD每次迭代会选择\(\epsilon-l_\infty\)- ball 内的一个随机点，并从那里继续执行 PGD。

• PGD添加了一个均匀分布的随机噪声作为初始化。