使用TensorFlow生成对抗样本(类似于FGSM)

最新推荐文章于 2023-02-06 20:11:39 发布
最新推荐文章于 2023-02-06 20:11:39 发布
阅读量2.1k 收藏 19
点赞数 5
分类专栏: 对抗样本 AI安全 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SweetSeven_/article/details/103595180
版权

因为处于一个对抗样本入门学习的阶段,所以在大佬的帮助下完成了一个简单的生成对抗样本的程序。

这里是目标攻击,在目标标签的引导下,生成属于目标分类的的对抗样本。

然后分段讲解一下。

import tensorflow as tf
import tensorflow.contrib.slim as slim
import tensorflow.contrib.slim.nets as nets
import PIL
import numpy as np
import tempfile
from urllib.request import urlretrieve
import tarfile
import os
from PIL import Image
import json
import matplotlib.pyplot as plt
import matplotlib.image as mp

tf.logging.set_verbosity(tf.logging.ERROR)
sess = tf.InteractiveSession()
image = tf.Variable(tf.zeros((299, 299, 3)))

def inception(image, reuse):
    preprocessed = tf.multiply(tf.subtract(tf.expand_dims(image, 0), 0.5), 2.0)
    arg_scope = nets.inception.inception_v3_arg_scope(weight_decay=0.0)
    with slim.arg_scope(arg_scope):
        logits, _ = nets.inception.inception_v3(
            preprocessed, 1001, is_training=False, reuse=reuse)
        logits = logits[:,1:] # ignore background class
        probs = tf.nn.softmax(logits) # probabilities
    return logits, probs

logits, probs = inception(image, reuse=False)


data_dir = tempfile.mkdtemp()
inception_tarball, _ = urlretrieve(
    'http://download.tensorflow.org/models/inception_v3_2016_08_28.tar.gz')
tarfile.open(inception_tarball, 'r:gz').extractall(data_dir)
restore_vars = [
    var for var in tf.global_variables()
    if var.name.startswith('InceptionV3/')
]
saver = tf.train.Saver(restore_vars)
saver.restore(sess, os.path.join(data_dir, 'inception_v3.ckpt'))



imagenet_json, _ = urlretrieve(
    'http://www.anishathalye.com/media/2017/07/25/imagenet.json')
with open(imagenet_json) as f:
    imagenet_labels = json.load(f)


def classify(img, correct_class=None, target_class=None,label='o'):
    fig, (ax1,ax2) = plt.subplots(1, 2, figsize=(10, 8))
    fig.sca(ax1)
    p = sess.run(probs, feed_dict={image: img})[0]
    ax1.imshow(img)
    fig.sca(ax1)
    topk = list(p.argsort()[-10:][::-1])
    topprobs = p[topk]
    print(topprobs)
    barlist = ax2.bar(range(10), topprobs)
    for t in topk:
        print(topk.index(t))
        barlist[topk.index(t)].set_color('r')
    for i in topk:
        print(topk.index(i))
        barlist[topk.index(i)].set_color('g')
    plt.sca(ax2)
    plt.ylim([0, 1.1])
    plt.xticks(range(10),
               [imagenet_labels[i][:15] for i in topk],
               rotation='vertical')
    fig.subplots_adjust(bottom=0.2)
    plt.show()


img_path= 'D:\pppda.jpeg'
img_class = 388 #“大熊猫 giant panda”
img = PIL.Image.open(img_path)
big_dim = max(img.width, img.height)
wide = img.width > img.height
new_w = 299 if not wide else int(img.width * 299 / img.height)
new_h = 299 if wide else int(img.height * 299 / img.width)
img = img.resize((new_w, new_h)).crop((0, 0, 299, 299))
img = (np.asarray(img) / 255.0).astype(np.float32)
classify(img, correct_class=img_class,label = 'o')

x = tf.placeholder(tf.float32, (299, 299, 3))
x_hat = image # our trainable adversarial input
assign_op = tf.assign(x_hat, x)


learning_rate = tf.placeholder(tf.float32, ())
y_hat = tf.placeholder(tf.int32, ())

labels = tf.one_hot(y_hat, 1000)
loss = tf.nn.softmax_cross_entropy_with_logits(logits=logits, labels=[labels])
optim_step = tf.train.GradientDescentOptimizer(
    learning_rate).minimize(loss, var_list=[x_hat])

epsilon = tf.placeholder(tf.float32, ())

below = x - epsilon
above = x + epsilon
projected = tf.clip_by_value(tf.clip_by_value(x_hat, below, above), 0, 1)
with tf.control_dependencies([projected]):
    project_step = tf.assign(x_hat, projected)

demo_epsilon = 2.0 / 255.0  # a really small perturbation
demo_lr = 1e-2
demo_steps = 100
demo_target = 368  # "长臂猿gibbon"

# 初始化
# sess.run(assign_op, feed_dict={x: img})
sess.run(assign_op, feed_dict={x: img})

# projected gradient descent
for i in range(demo_steps):
    # 梯度下降
    _, loss_value = sess.run(
        [optim_step, loss],
        feed_dict={learning_rate: demo_lr, y_hat: demo_target})
    # project step
    sess.run(project_step, feed_dict={x: img, epsilon: demo_epsilon})
    if (i + 1) % 10 == 0:
        print('step %d, loss=%g' % (i + 1, loss_value))

adv = x_hat.eval()  # retrieve the adversarial example
mp.imsave('D:\padv.jpeg',adv)
classify(adv, correct_class=img_class, target_class=demo_target,label = 'a')

pppda.jpeg是imagenet数据库里面的图片

在训练好的Inception-V3的网络中,对原始图像分类权重如上图,大熊猫的权重远高于其他分类。

padv是我们生成的对抗样本

在训练好的Inception-V3的网络中,对对抗样本分类权重如上图,长臂猿的权重远高于其他分类。

但是这两张图片人肉眼来看并无区别。

下面分开为大家讲解一下这段简单的程序。

首先,设置输入图像。使用tf.Variable而不是使用tf.placeholder,这是因为要确保它是可训练的。当我们需要时,仍然可以输入它。

tf.logging.set_verbosity(tf.logging.ERROR)
sess = tf.InteractiveSession()
image = tf.Variable(tf.zeros((299, 299, 3)))

接下来,加载Inception v3模型。

def inception(image, reuse):
    preprocessed = tf.multiply(tf.subtract(tf.expand_dims(image, 0), 0.5), 2.0)
    arg_scope = nets.inception.inception_v3_arg_scope(weight_decay=0.0)
    with slim.arg_scope(arg_scope):
        logits, _ = nets.inception.inception_v3(
            preprocessed, 1001, is_training=False, reuse=reuse)
        logits = logits[:,1:] # ignore background class
        probs = tf.nn.softmax(logits) # probabilities
    return logits, probs

logits, probs = inception(image, reuse=False)

接下来,加载预训练的权重。这个Inception v3的top-5的确率为93.9%。

data_dir = tempfile.mkdtemp()
inception_tarball, _ = urlretrieve(
    'http://download.tensorflow.org/models/inception_v3_2016_08_28.tar.gz')
tarfile.open(inception_tarball, 'r:gz').extractall(data_dir)
restore_vars = [
    var for var in tf.global_variables()
    if var.name.startswith('InceptionV3/')
]
saver = tf.train.Saver(restore_vars)
saver.restore(sess, os.path.join(data_dir, 'inception_v3.ckpt'))

接下来,编写一些代码来显示图像,对它进行分类显示分类结果.这里加载了一个大牛的网址,因为他的网页上包含imagenet的标签信息,我其实也是看了他的介绍,来写了下面的代码。

imagenet_json, _ = urlretrieve(
    'http://www.anishathalye.com/media/2017/07/25/imagenet.json')
with open(imagenet_json) as f:
    imagenet_labels = json.load(f)


def classify(img, correct_class=None, target_class=None,label='o'):
    fig, (ax1,ax2) = plt.subplots(1, 2, figsize=(10, 8))
    fig.sca(ax1)
    p = sess.run(probs, feed_dict={image: img})[0]
    ax1.imshow(img)
    fig.sca(ax1)
    topk = list(p.argsort()[-10:][::-1])
    topprobs = p[topk]
    print(topprobs)
    barlist = ax2.bar(range(10), topprobs)
    for t in topk:
        print(topk.index(t))
        barlist[topk.index(t)].set_color('r')
    for i in topk:
        print(topk.index(i))
        barlist[topk.index(i)].set_color('g')
    plt.sca(ax2)
    plt.ylim([0, 1.1])
    plt.xticks(range(10),
               [imagenet_labels[i][:15] for i in topk],
               rotation='vertical')
    fig.subplots_adjust(bottom=0.2)
    plt.show()

加载我的图像,并确保它被正确分类

img_path= 'D:\pppda.jpeg'
img_class = 388
img = PIL.Image.open(img_path)
big_dim = max(img.width, img.height)
wide = img.width > img.height
new_w = 299 if not wide else int(img.width * 299 / img.height)
new_h = 299 if wide else int(img.height * 299 / img.width)
img = img.resize((new_w, new_h)).crop((0, 0, 299, 299))
img = (np.asarray(img) / 255.0).astype(np.float32)
classify(img, correct_class=img_class,label = 'o')

对抗样本

给定一个图像X,神经网络输出标签上的概率分布为P(y|X)。当手工制作对抗输入时,我们想要找到一个X'使得logP(y'|X')被最大化为目标标签y',即输入将被错误分类为目标类。通过约束一些ℓ∞半径为ε的箱,要求‖X- X'‖∞≤ε我们可以确保X'与原始X看起来不太一样。

在这个框架中,对抗样本是解决一个约束优化的问题,可以使用反向传播和投影梯度下降来解决,基本上也是用与训练网络本身相同的技术。算法很简单:

首先将对抗样本初始化为X'←X。然后,重复以下过程直到收敛:

1. X'←X^+α⋅logP(y'|X')

2. X'←clip(X',X - ε,X+ε)

初始化

首先从最简单的部分开始:编写一个TensorFlow op进行相应的初始化。

 

x = tf.placeholder(tf.float32, (299, 299, 3))
x_hat = image # our trainable adversarial input
assign_op = tf.assign(x_hat, x)

接下来,编写梯度下降步骤以最大化目标类的对数概率。

learning_rate = tf.placeholder(tf.float32, ())
y_hat = tf.placeholder(tf.int32, ())

labels = tf.one_hot(y_hat, 1000)
loss = tf.nn.softmax_cross_entropy_with_logits(logits=logits, labels=[labels])
optim_step = tf.train.GradientDescentOptimizer(
    learning_rate).minimize(loss, var_list=[x_hat])

最后,编写投影步骤,使得对抗样本在视觉上与原始图像相似。另外,将其限定[01]范围内保持有效的图像。

epsilon = tf.placeholder(tf.float32, ())

below = x - epsilon
above = x + epsilon
projected = tf.clip_by_value(tf.clip_by_value(x_hat, below, above), 0, 1)
with tf.control_dependencies([projected]):
    project_step = tf.assign(x_hat, projected)

最后,准备合成一个对抗样本。我们任意选择长臂猿作为我们的目标类。

demo_epsilon = 2.0 / 255.0  # 一个很小的扰动
demo_lr = 1e-2
demo_steps = 20
demo_target = 368  # "长臂猿gibbon"

# 初始化
sess.run(assign_op, feed_dict={x: img})

# PGD
for i in range(demo_steps):
    # 梯度下降
    _, loss_value = sess.run(
        [optim_step, loss],
        feed_dict={learning_rate: demo_lr, y_hat: demo_target})
    # project step
    sess.run(project_step, feed_dict={x: img, epsilon: demo_epsilon})
    if (i + 1) % 10 == 0:
        print('step %d, loss=%g' % (i + 1, loss_value))

adv = x_hat.eval()  # retrieve the adversarial example
mp.imsave('D:\padv.jpeg',adv)
classify(adv, correct_class=img_class, target_class=demo_target,label = 'a')

以上就是完整程序的讲解

小刘同学_
关注
  • 5
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
tensorflow2.0+python3.7.4实现FGSM对抗攻击代码
08-31
win10+tensorflow2.0+python3.7.4实现FGSM对抗攻击代码
利用FGSM实现对抗样本攻击
winycg的博客
10-14 7444
对抗样本的线性解释 数字图像通常采用每个像素8bit来编码,因此会抛弃小于1/255的信息。设原始图像为x\bm{x}x,扰动噪声为η\bm{\eta}η,扰动之后的图像为: x~=x+η\tilde{\bm{x}}=\bm{x}+\bm{\eta}x~=x+η 如果η\bm{\eta}η小于特征的精度,那么分类器如果做出不同的相应是不合理的。格式上的,对于well-separated类,我们期望...
ECCV 2022 | 一种基于先验指导的对抗样本初始化方法
阿木寺的博客
12-18 276
点击下方卡片,关注“CVer”公众号AI/CV重磅干货,第一时间送达点击进入—>CV微信技术交流群中科院信工所/中山大学操晓春教授课题组,香港中文大学(深圳)吴保元教授课题组,腾讯AI Lab共同提出的一种基于先验指导的对抗样本初始化方法已被ECCV2022接收。对抗训练是抵御对抗样本攻击最有效的方法之一。标准的对抗训练往往使用多步的方法来生成对抗样本,如PGD。然而,这需要花费大量时间来计...
【AI安全】对抗样本之FGSM的代码实现(TensorFlow2)
鹏啊鹏
05-31 2230
FGSM(Fast Gradient Sign Method)由Ian J. Goodfellow等人于2015年提出,论文地址【https://arxiv.org/abs/1412.6572】,是最早也是最受欢迎的欺骗神经网络的攻击之一。如图所示,攻击者对原始熊猫图像添加了小的扰动,导致了模型将这张图像标记为长臂猿。 FGSM利用神经网络的梯度来创建一个对抗样本。对于输入的图像,该方法使用损失相对于输入图像的梯度来创建一个新的图像,使损失最大化。 adv_x=x+ϵ∗sign(∇xJ(θ,x,y)) ad
对抗样本生成方法论文阅读笔记
qq_45502052的博客
06-26 2250
在实际应用中,通常攻击者很难获得识别模型的结构信息,且攻击是为了达到特定目标(例如,使得某一段语音识别成特定的指令),因此黑盒的目标攻击在实际应用中更具有攻击性与隐蔽性。 为实现面向语音识别系统的黑盒目标攻击,本文提出了一种针对黑盒智能语音软件的目标对抗样本生成方法,即萤火虫-梯度对抗样本生成方法。...
基于tensorflow2的adversarial_fgsm(狗分类器攻击)
u012329554的博客
06-01 668
Copyright 2019 The TensorFlow Authors. Licensed under the Apache License, Version 2.0 (the “License”); #@title Licensed under the Apache License, Version 2.0 (the "License"); # you may not use this file except in compliance with the License. # You may obta
tf.assign()
我的博客
09-04 4137
tf.assign()把value的值赋给ref,ref的值必须是Variable 参数: tf.assign( ref, value, validate_shape=None, use_locking=None, name=None ) 使用案例: import tensorflow as tf x = tf.Variable(1) x = tf...
Python3环境下cleverhans对抗样本防护编译与测试(含FGSM攻击与ADV防护)
大数据挖掘SparkExpert的博客
12-26 1万+
在看人工智能安全方面的资料,顺手看到cleverhans的资料,就将它在python 3.6的环境下进行编译和测试。       在Ian Goodfellow的《Machine learning privacy and security》报告中才了解到cleverhans项目名字的由来:“一匹叫做 Clever Hans 的马。刚出现的时候人们认为这匹马会做算术,但实际上它只是会阅读人的表
基于pytorch的CAM代码单张图片实战(超详细版,修改部分已经详细标出)
Bingyeshinvwang的博客
02-06 450
CAM基于pytorch
pytorch_FGSM_对抗样本
08-01
pytorch_FGSM_对抗样本,可直接运行,论文《Adversarial Examples in the Physical World》
labels.json
08-09
labels.json
Pytorch实现数字对抗样本生成全套代码(GAN)
05-06
利用GAN的思想,进行数字对抗样本生成,以LeNet作为图像分类模型,LeNet是一个小型的神经网络结构,仅包含两层卷积层、两个池化层以及三层全连接。该轻量级网络能快速、占内存小、高精确度的解决复杂度比较低的问题...
对抗样本生成方法综述(FGSM、BIM\I-FGSM、PGD、JSMA、C&W、DeepFool)
最新发布
04-17
对抗样本生成方法综述(FGSM、BIM\I-FGSM、PGD、JSMA、C&W、DeepFool)
GAN探索之数字样本生成(Pytorch实现LeNet网络进行对抗比较)
05-17
数字对抗样本生成 LeNet是一个小型的神经网络结构,仅包含两层卷积层、两个池化层以及三层全连接。该轻量级网络能快速、占内存小、高精确度的解决复杂度比较低的问题,如手写数字识别。本实验要求: (步骤1)用LeNet...
t-SNE数据降维(2维3维)及可视化
热门推荐
一个平平无奇的甜妹
08-14 1万+
(最近看了一个叫光谱特征在后门攻击中的用法,读完之后发现是用了一个SVD也就是奇异值分解做了降维,然后用残差网络的representation层残差与残差的奇异值分解后的右奇异值矩阵的第一行做乘法得到correlation,疑惑得很什么时候相关性可以这么算了。于是想到降维可以不用SVD可以用TSNE,就写一下这一块的东西,融合了别人写的二维和三维的可视化) t-SNE全称为t-distributed Stochastic Neighbor Embedding,翻译为t-随机邻近嵌入,它是一种embedd.
对抗样本(对抗攻击)入门
一个平平无奇的甜妹
12-03 9433
什么是对抗样本? 从2013年开始,深度学习模型在多种应用上已经能达到甚至超过人类水平,比如人脸识别,物体识别,手写文字识别等等。 在之前,机器在这些项目的准确率很低,如果机器识别出错了,没人会觉得奇怪。但是现在,深度学习算法的效果好了起来,去研究算法犯的那些不寻常的错误变得有价值起来。其中一种错误叫对抗样本(adversarial examples)。 对抗样本(Adversarial...
Tensorflow下VAE(变分自动编码器)在MNIST数据集下的实验
一个平平无奇的甜妹
06-26 8937
首先简单介绍一下AE和VAE然后在完成代码实践一、什么是自编码器(Auto-encoder)自动编码器是一种数据的压缩算法,其中数据的压缩和解压缩函数是数据相关的、有损的、从样本中自动学习的。在大部分提到自动编码器的场合,压缩和解压缩的函数是通过神经网络实现的。这种算法的大致思想是:将神经网络的隐含层看成是一个编码器和解码器,输入数据经过隐含层的编码和解码,到达输出层时,确保输出的结果尽量与输入数...
TensorFlow下反卷积(Deconvolution)的实现
一个平平无奇的甜妹
06-22 5910
简介反卷积的过程如图所示是一个卷积的过程那么反卷积就应该是一个逆向的过程假设输入如下:[[1,0,1], [0,2,1], [1,1,0]] 反卷积卷积核如下:[[ 1, 0, 1], [-1, 1, 0], [ 0,-1, 0]] 现在通过stride=2来进行反卷积,使得尺寸由原来的3*3变为6*6.那么在Tensorflow框架中,反卷积的过程如下(不同框架在裁剪这步可能不一样):...
MAML中few-shot (小样本)learning中数据集的处理
一个平平无奇的甜妹
12-10 4745
Few-shot learning 数据集 小样本学习(few shot learning)里面常用的测试数据集主要有Omniglot和miniImagenet两个,但是网上能查到的下载地址都在谷歌网盘上,而且miniImagenet中还缺少标注数据的csv文件,这里写一下搜索到的地址 miniImagenet部分 miniImagenet下载地址 : 百度云链接: https:...
使用 FGSM 生成对抗性示例
03-28
FGSM(Fast Gradient Sign Method)是一种常用的对抗性攻击方法,它利用目标模型的梯度信息来生成对抗性样本。下面是使用 FGSM 生成对抗性示例的 Python 代码: ```python import torch import torch.nn.functional as F from torchvision import models, transforms from PIL import Image # 加载预训练的模型 model = models.resnet18(pretrained=True) model.eval() # 定义图像预处理函数 preprocess = transforms.Compose([ transforms.Resize(256), transforms.CenterCrop(224), transforms.ToTensor(), transforms.Normalize(mean=[0.485, 0.456, 0.406], std=[0.229, 0.224, 0.225]) ]) # 加载原始图像 image = Image.open("cat.jpg") input = preprocess(image).unsqueeze(0) # 计算对抗性扰动 epsilon = 0.1 input.requires_grad = True output = model(input) loss = F.nll_loss(output, torch.tensor([285])) model.zero_grad() loss.backward() perturbation = epsilon * torch.sign(input.grad.data) # 生成对抗性样本 adversarial = input + perturbation adversarial = torch.clamp(adversarial, 0, 1) # 输出结果 adversarial_image = transforms.functional.to_pil_image(adversarial.squeeze()) adversarial_image.show() ``` 在上面的代码中,我们首先加载了一个预训练的 ResNet-18 模型,并定义了一个用于图像预处理的函数。然后,我们加载了一张名为 "cat.jpg" 的原始图像,并将其转换为 PyTorch 张量。接着,我们计算了对抗性扰动,在这里我们使用了 FGSM 方法,将 epsilon 设置为 0.1。最后,我们将扰动添加到输入图像中,生成了对抗性样本,并将其可视化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值