Fast Gradient Sign Attack(FGSM)算法小结

最新推荐文章于 2023-11-30 11:30:00 发布
最新推荐文章于 2023-11-30 11:30:00 发布
阅读量4.6k 收藏 24
点赞数 2
分类专栏: 知识梳理 AI 文章标签: FGSM 机器学习 对抗样本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AndyViky/article/details/90577619
版权

Fast Gradient Sign Attack(FGSM)算法小结

对抗攻击引发了机器学习一系列的思考,训练出来的model是否拥有强大的泛化能力?模型的准确率是否真实?
在对抗攻击中添加一些肉眼无法识别的噪声可能会对识别效果产生巨大的影响。

什么是对抗攻击

对抗攻击的核心思想就是人为地制造干扰项去迷惑模型,使模型产生错误的结果。在计算机视觉中,对抗攻击就是在原图上添加一些人为无法识别的噪声生成干扰图片,使得模型作出错误的判断。

对抗攻击分类

无目标的对抗攻击:只是让目标模型的判断出错

有目标的对抗攻击:引导目标模型做出我们想要错误判断

以对目标模型的了解程度为标准,对抗攻击又可以分成白盒攻击和黑盒攻击

白盒攻击:在已经获取机器学习模型内部的所有信息和参数上进行攻击

黑盒攻击:在神经网络结构为黑箱时,仅通过模型的输入和输出,逆推生成对抗样本。

FGSM算法原理

直观来看就是在输入的基础上沿损失函数的梯度方向加入了一定的噪声,使目标模型产生了误判。
如下图所示:原图加上超参数 ϵ 乘与 损失梯度生成新的干扰图片。
fgsm1
如下图所示为生成干扰图片的完整公式:x*表示对抗样本,x表示原样本,J() 表示损失函数,ϵ 表示超参数。
fgsm2
对于某个特定的模型而言,FGSM将损失函数近似线性化(对于神经网络而言,很多神经网络为了节省计算上的代价,都被设计成了非常线性的形式,这使得他们更容易优化,但是这样”廉价”的网络也导致了对于对抗扰动的脆弱性)。

也就是说,即是是神经网络这样的模型,也能通过线性干扰来对它进行攻击。

FGSM实例

导入所需包

import torch
from torchvision import datasets, transf
最低0.47元/天 解锁文章
AndyViky
关注
  • 2
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Pytorch项目实战】之对抗攻击:无目标对抗攻击(FGSM)、有目标对抗攻击(FGSM
shinuone的博客
01-31 1454
攻击思路将攻击任务转换为对抗样本生成任务(如何选取损失函数、如何搭建可以生成更好对抗样本的模型)如:GAN生成模型。核心手段:通过对输入样本进行不可察觉的细微扰动(添加对抗性噪声),使得神经网络对得到的对抗样本有较高的信任度,并输出任意想要的类别(使人眼和机器识别的类型不同)。攻击特点:由于机器学习模型的输入形式是数值型向量,故攻击者通过设计一种有针对性的数值型向量从而让机器学习模型做出误判。发生时期:主要发生在构造对抗性样本时,机器进行模型训练时。
对抗样本之FGSM原理&coding
liuyishou
05-13 8602
文章目录1、FGSM原理2、pytorch实现2.1 建立模型2.2 FGSM模块2.3 测试2.4 可视化对比2.5 对比样本与对抗样本 1、FGSM原理 论文 Explaining and harnessing adversarial examples. 这篇论文由Goodfellow等人发表在ICLR2015会议上,是对抗样本生成领域的经典论文。 FGSMfast gradient sign method)是一种基于梯度生成对抗样本的算法,属于对抗攻击中的无目标攻击(即不要求对抗样本经过mod
对抗攻击(1)
爱学习爱运动的专栏
12-19 619
本文是根据李宏毅老师在B站上的视频整理而来,视频地址为: https://www.bilibili.com/video/BV1n3411y7xD?p=65 1 无目标和有目标攻击的区别 无目标攻击:攻击后的标签不确定,只要是和原始标签差别越大越好。 有目标攻击:攻击后的标签是确定的某一个类别,并且要求和原始标签越大越好。 ...
对抗性攻击的原理简介
deephub
12-24 4916
由于机器学习算法的输入形式是一种数值型向量(numeric vectors),所以攻击者就会通过设计一种有针对性的数值型向量从而让机器学习模型做出误判,这便被称为对抗性攻击。和其他攻击不同,对抗性攻击主要发生在构造对抗性数据的时候,该对抗性数据就如正常数据一样输入机器学习模型并得到欺骗的识别结果。 什么是对抗样本? 这些数据样本看起来像正常样本,但以某种方式受到干扰以欺骗机器学习系统。 例如在给定的图像中,并非所有像素都具有相同的重要性,如果可以识别最重要的像素(用于 ML 系统做出分类决策)并更改它们,那
Fast Gradient Sign Attack(快速梯度符号攻击)
hg_zhh
08-30 3536
本文是对https://pytorch.org/tutorials/beginner/fgsm_tutorial.html这篇教程的翻译与理解。 主要内容 主要讲述通过对原始数据加入细微的噪声得到一组新数据,在新旧两个数据通过人眼难以辨别的情况下,新数据可以欺骗分类器,从而使分类器做出错误的判断。这种方法可以用来攻击一些分类器,并且是完全可行的。 教程以手写数字MINST数据集为例,展示了这种方法...
Pytorch实现FGSMFast Gradient Sign Attack
08-13 1万+
目录1. 相关说明2. 相关简述3. 代码实现3.1 引入相关包3.2 输入3.3 定义被攻击的模型3.4 定义FGSM攻击函数3.5 测试函数4. 可视化结果5. 可视化对抗样本6. 预训练模型下载7. 训练模型8. 完整代码 1. 相关说明 最近在整理相关实验代码的时候,无意中需要重新梳理下对抗攻击里的FGSM,于是自己参考网上的一些资料以及自己的心得写下这篇文章,用来以后回忆。 2. 相关简述 快速梯度标志攻击(FGSM),是迄今为止最早和最受欢迎的对抗性攻击之一,它由 Goodfellow 等人
对抗攻击算法总结-比较多的攻击算法
04-13
2. **Fast Gradient Sign Method (FGSM)**: FGSM 是最早被提出的单步攻击算法,通过求取模型对输入图像的梯度符号来确定扰动方向,然后乘以一个步长生成对抗样本。Szegedy等人发现了对抗训练能提高模型的鲁棒性,而...
对抗样本生成方法综述(FGSM、BIM\I-FGSM、PGD、JSMA、C&W、DeepFool)
04-17
1. FGSMFast Gradient Sign Method):由Goodfellow等人提出,是最简单的单步攻击方法。它通过计算模型损失函数关于输入图像梯度的符号来生成对抗样本。在输入图像上添加一个小的、与梯度方向一致的扰动,可以显著...
Attack:测试
03-28
描述中提到的两种算法FGSMFast Gradient Sign Method)和CW(Carlini & Wagner),是生成对抗样本的常用方法。 1. FGSM由Goodfellow等人提出,是一种单步的对抗性攻击策略。它通过计算模型损失函数关于输入图像...
adv_attack
02-15
其中,最著名的是FGSMFast Gradient Sign Method)和PGD(Projected Gradient Descent)。FGSM利用目标模型的梯度信息来构造对抗样本,通过单步迭代找到最大化损失函数的方向,使得模型对原始输入的预测发生错误。...
TargetedFool一种实现有目标攻击的算法.docx
11-28
后来,Goodfellow等人提出的FGSMFast Gradient Sign Method)通过梯度信息快速生成对抗样本,然而,这种方法需要人为设定扰动系数,可能导致较大的扰动。 为了解决这些问题,后续的研究不断优化了对抗样本的生成...
基于pytorch的Fast Gradient Sign Attack (FGSM)在mnist数据集上的伪造(原理近似gan,但是是求loss在图像上的梯度来改变图像))
u012329554的博客
05-29 5188
%matplotlib inline Adversarial Example Generation Author: Nathan Inkawhich <https://github.com/inkawhich>__ If you are reading this, hopefully you can appreciate how effective some machine learning models are. Research is constantly pushing ML model
对抗训练fgm、fgsm和pgd原理和源码分析
热门推荐
qq_40176087的博客
11-24 1万+
当前,在各大NLP竞赛中,对抗训练已然成为上分神器,尤其是fgm和pgd使用较多,下面来说说吧。对抗训练是一种引入噪声的训练方式,可以对参数进行正则化,提升模型鲁棒性和泛化能力。 fgm FGM的全称是Fast Gradient Method, 出现于Adversarial Training Methods for Semi-supervised Text Classification这篇论文,FGM是根据具体的梯度进行scale,得到更好的对抗样本: 整个对抗训练的过程如下,伪代码如下: 1.计算x的
Fast Gradient Sign Attack
iFlyAI的博客
06-09 314
主要内容 主要讲述通过对原始数据加入细微的噪声得到一组新数据,在新旧两个数据通过人眼难以辨别的情况下,新数据可以欺骗分类器,从而使分类器做出错误的判断。这种方法可以用来攻击一些分类器,并且是完全可行的。 教程以手写数字MINST数据集为例,展示了这种方法。 首先加载包: from __future__ import print_function import torch import torch.nn as nn import torch.nn.functional as F impo.
FGSM对抗训练(MNIST数据集)- pytorch实现
t1274171989的博客
10-30 1137
使用FGSM实现手写体识别的对抗训练与分析。测试不同epsilon下模型的准确度。对抗数据集与原数据集合并并训练。
FGSM对抗攻击算法实现
最新发布
不去幼儿园的博客
11-30 3040
在我们进入代码之前,让我们看一下著名的 FGSM熊猫示例和摘录一些符号。上图展示了Fast adversarial examples应用在深度网络上。通过加上一个人类感知不到的小向量,向量的值为ϵ乘输入像素点关于误差的梯度值的符号值。这里 ϵ=0.007,符合经过深度网络转换为实数后8bit图像编码的最小数量级。图中加上噪声后,熊猫被识别为长臂猿,并且置信度为99.3%,所以此方法叫做fast gradient sign method,简称FGSM,我们称之为快速梯度下降法。
PyTorch使用快速梯度符号攻击(FGSM)实现对抗性样本生成(附源码和数据集MNIST手写数字)
showswoller的博客
11-16 2238
PyTorch使用快速梯度符号攻击(FGSM)实现对抗性样本生成(附源码和数据集MNIST手写数字)
DEC(Deep Embedded Cluster)小结
AndyViky的博客
06-30 6683
Deep Embedded Cluster References: https://zhuanlan.zhihu.com/p/50365577 https://flashgene.com/archives/7798.html https://zhuanlan.zhihu.com/p/28967965 http://proceedings.mlr.press/v48/xieb16.pdf
请写一个500字的使用快速梯度符号攻击Fast Gradient Sign Attack(FGSM),以欺骗一个MNIST分类器的实验心得
05-27
Fast Gradient Sign Attack (FGSM) 是一种广泛应用于对抗样本攻击的方法,它通过在输入数据的梯度方向上添加一个小的扰动来欺骗分类器模型。在本文中,我将介绍如何使用 FGSM 对 MNIST 数据集中的手写数字分类器进行攻击,并分享我的实验心得。 首先,我们需要准备一个 MNIST 分类器模型。这可以通过使用 Keras 和 TensorFlow 框架中的内置模型来实现,如下所示: ``` from keras.datasets import mnist from keras.utils import to_categorical from keras.models import Sequential from keras.layers import Dense, Flatten, Conv2D, MaxPooling2D # 加载 MNIST 数据集 (x_train, y_train), (x_test, y_test) = mnist.load_data() # 将像素值缩放到 0-1 范围内 x_train = x_train.astype('float32') / 255. x_test = x_test.astype('float32') / 255. # 将标签转换为 one-hot 编码 y_train = to_categorical(y_train, num_classes=10) y_test = to_categorical(y_test, num_classes=10) # 构建模型 model = Sequential() model.add(Conv2D(32, kernel_size=(3, 3), activation='relu', input_shape=(28, 28, 1))) model.add(Conv2D(64, (3, 3), activation='relu')) model.add(MaxPooling2D(pool_size=(2, 2))) model.add(Flatten()) model.add(Dense(128, activation='relu')) model.add(Dense(10, activation='softmax')) # 编译模型 model.compile(loss='categorical_crossentropy', optimizer='adam', metrics=['accuracy']) ``` 接下来,我们可以使用 FGSM 来生成对抗样本。FGSM 的核心思想是沿着输入数据的梯度方向添加一定的扰动,使得分类器模型将其错误分类。我们可以通过以下代码实现: ``` import tensorflow as tf # 定义 FGSM 攻击函数 def fgsm(model, x, eps): # 计算输入数据的梯度 grad = tf.gradients(model.output, model.input)[0] # 计算扰动 signed_grad = tf.sign(grad) perturbation = eps * signed_grad # 生成对抗样本 adv_x = x + perturbation # 将像素值裁剪到 0-1 范围内 adv_x = tf.clip_by_value(adv_x, 0, 1) return adv_x # 定义 FGSM 攻击参数 eps = 0.1 # 选择一个样本进行攻击 x = x_test[0] y_true = y_test[0] # 将输入数据转换为 TensorFlow 张量 x_tf = tf.convert_to_tensor(x.reshape((1,28,28,1))) # 生成对抗样本 adv_x_tf = fgsm(model, x_tf, eps) # 将对抗样本转换为 Numpy 数组 adv_x = adv_x_tf.eval(session=tf.Session()) ``` 在生成对抗样本后,我们可以将其输入到分类器模型中进行测试,以验证是否能欺骗模型。我们可以通过以下代码实现: ``` # 对抗样本的预测结果 y_pred_adv = model.predict(adv_x) # 打印真实标签和对抗样本的预测结果 print('True label:', y_true.argmax()) print('Adversarial label:', y_pred_adv.argmax()) ``` 通过反复调整 eps 参数的大小,我们可以生成不同程度的扰动,从而得到不同的对抗样本,进而观察分类器模型的鲁棒性。在我的实验中,我发现当 eps 取值较小时,生成的对抗样本与原始图像非常接近,分类器模型很容易被欺骗;而当 eps 取值较大时,生成的对抗样本与原始图像差异较大,分类器模型的准确率反而得到提高。 总的来说,使用 FGSM 对 MNIST 分类器进行攻击是一项非常有趣的实验。通过实验,我深刻认识到了对抗样本的威胁,并对如何提高深度学习模型的鲁棒性有了更深入的理解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值