我有一个keras模型（CNN和final softmax）是一个RGB图像分类器。模型的输出是输入图像的5个可能类别（一个热编码）。 我试图用Cleverhans（tensorflow library）为我的keras模型生成对抗性的图像。在

我的代码的简化版本生成了一个敌对图像，如下所示：

# model is the CNN keras model
wrap = KerasModelWrapper(model)
fgsm = FastGradientMethod(wrap, sess=session)
fgsm_params = {'eps': 16. / 256,
               'clip_min': 0.,
               'clip_max': 1.
               }
x = tf.placeholder(tf.float32, shape=(None, img_rows, img_cols,
                                      nchannels))
adv_x = fgsm.generate(x, **fgsm_params)
# original image is a tensor containing only one RGB image, shape=(1,48,48,3) 
adv_image = adv_x.eval(session=session, feed_dict={x: original_image})

第1章，每股收益

据我所知，'eps'FGM param是输入变化步骤（一个图像值/像素的最小变化）。在

我观察到，最终结果受到eps的高度影响，有时我需要很高的eps以获得有效的对抗性图像，即相对于原始图像有效地改变类别标签的图像。在

在低eps的情况下，FGM有时无法获得有效的对抗性图像，也就是说，具有标签l_{O的FGM无法产生具有lO'的对抗图像O'！=lO，例如，对于lO=[0,0,1,0,0]，我们仍然得到lO'=[0,0,1,0,0]，未能生成具有不同标签的敌对图像。在}

问题（很抱歉，该问题需要一系列问题）：

• 女性生殖器切割总是能找到一个有效的敌对形象吗？i、 女性生殖器切割失败是正常的吗？在
• 有没有一种方法可以获得生成的敌方图像的估计质量（不使用模型进行预测）？在
• 为什么每股收益的价值如此重要？在
• 最重要的方法是什么？

第2章，y，y\u目标

我还实验了y和y峎靶参数。 你能解释一下什么是参数'y'，'y_target'？在

我认为'y_target'告诉我们要生成一个针对特定类别的敌对形象。 例如，我认为feed_dict中的y_target = [[0,1,0,0,0]]应该强制生成一个对抗性图像，该图像被模型中的第2类分类。在

• 我说得对吗。。或者
• 我错过什么了吗？在

附言：我的问题是，设定你的目标无法产生对抗性的画面。在

请给我一些提示。。;-) 问候