①在对抗攻击中，评估指标 nq 代表非规范化残差（non-normalized residual）。

一个分类器在输入数据时会生成一个输出，通常为概率或类别。而对抗攻击是指利用某些方法对输入进行修改，来使得分类器的输出出现错误的情况。

为了判断分类器对对抗性样本的鲁棒性，我们需要使用一些评估指标。其中 nq 是一种针对特定对抗攻击的评估指标，它可以衡量攻击后输出的置信度与原始置信度之间的差距。

与其它指标相比，nq 更注重攻击后的置信度变化，它的值越大表示对抗攻击对分类器效果越大，分类器对对抗样本的鲁棒性也就越差。

②对抗攻击的评价指标 asr (attack success rate) 是指攻击者通过对输入数据进行修改，成功欺骗模型并得到错误输出的比率。

asr 是衡量分类器鲁棒性的重要指标之一，因为它可以告诉我们分类器在遭受特定攻击时的容错能力，即攻击者多大的概率可以获得正确的结果。对于攻击者来说，asr 越高就越容易实施攻击，而对于分类器的开发者来说，asr 越低就代表分类器的鲁棒性越强。

需要注意的是，asr 并不能完全反映分类器的鲁棒性，因为在现实生活中，攻击者通常会使用更加隐蔽和复杂的攻击方式，例如黑盒攻击、迁移攻击等。因此，除了 asr 之外，研究人员还需要同时考虑其它的评价指标，以全面评估分类器的鲁棒性。