Fast Gradient Sign Attack

最新推荐文章于 2023-11-08 19:39:44 发布
最新推荐文章于 2023-11-08 19:39:44 发布
阅读量338 收藏
点赞数
分类专栏: 代码样例 深度学习 文章标签: 机器学习 深度学习 MINST数据集
原文链接:https://www.flyai.com/article/artc2d5aeff7778460c86bb7687
版权

主要内容
主要讲述通过对原始数据加入细微的噪声得到一组新数据,在新旧两个数据通过人眼难以辨别的情况下,新数据可以欺骗分类器,从而使分类器做出错误的判断。这种方法可以用来攻击一些分类器,并且是完全可行的。
教程以手写数字MINST数据集为例,展示了这种方法。

首先加载包:

 
  • from __future__ import print_function
  • import torch
  • import torch.nn as nn
  • import torch.nn.functional as F
  • import torch.optim as optim
  • from torchvision import datasets, transforms
  • import numpy as np
  • import matplotlib.pyplot as plt

加载数据集:

 
  • test_loader = torch.utils.data.DataLoader(
  • datasets.MNIST('../data', train=False, download=True, transform=transforms.Compose([
  • transforms.ToTensor(),
  • ])),
  • batch_size=1, shuffle=True)

定义一个网络模型(分类器):

 
  • class Net(nn.Module):
  • def __init__(self):
  • super(Net, self).__init__()
  • self.conv1 = nn.Conv2d(1, 10, kernel_size=5)
  • self.conv2 = nn.Conv2d(10, 20, kernel_size=5)
  • self.conv2_drop = nn.Dropout2d()
  • self.fc1 = nn.Linear(320, 50)
  • self.fc2 = nn.Linear(50, 10)

 

  • def forward(self, x):
  • x = F.relu(F.max_pool2d(self.conv1(x), 2))
  • x = F.relu(F.max_pool2d(self.conv2_drop(self.conv2(x)), 2))
  • x = x.view(-1, 320)
  • x = F.relu(self.fc1(x))
  • x = F.dropout(x, training=self.training)
  • x = self.fc2(x)
  • return F.log_softmax(x, dim=1)

定义其他的参数

 
  • device = torch.device("cuda" if (use_cuda and torch.cuda.is_available()) else "cpu")#是否CUDA
  • epsilons = [0, .05, .1, .15, .2, .25, .3]#
  • pretrained_model = "data/lenet_mnist_model.pth"#模型的路径

实例化模型

 
  • model = Net()#实例化
  • model=model.to(device)#放入GPU
  • model.load_state_dict(torch.load(pretrained_model, map_location='cpu'))#将之前训练好的参数加载
  • model.eval()#转化为测试模式

定义FGSM攻击函数

 
  • def fgsm_attack(image, epsilon, data_grad):
  • #获取梯度的符号
  • sign_data_grad = data_grad.sign()
  • #在原始图片的基础上加上epsilon成符号
  • perturbed_image = image + epsilon*sign_data_grad
  • #将数值裁剪到0-1的范围内
  • perturbed_image = torch.clamp(perturbed_image, 0, 1)
  • return perturbed_image

sign()函数返回数值的符号,如果为正数返回1,如果为负数返回-1.否则返回0.

测试函数:

 
  • def test( model, device, test_loader, epsilon ):
  • correct = 0#攻击之后预测依然正确的个数
  • adv_examples = []#受攻击的样本
  • for data, target in test_loader:
  • data, target = data.to(device), target.to(device)#将数据加载进GPU
  • data.requires_grad = True#需要保存梯度
  • output = model(data)#利用分类器区分结果
  • init_pred = output.max(1, keepdim=True)[1] #获取最大概率的索引值
  • if init_pred.item() != target.item():#如果分类错误,则不攻击该样本
  • continue
  • loss = F.nll_loss(output, target)#计算损失值
  • model.zero_grad()
  • loss.backward()
  • # 抽取梯度值
  • data_grad = data.grad.data
  • #攻击样本
  • perturbed_data = fgsm_attack(data, epsilon, data_grad)
  • # 再次分类
  • output = model(perturbed_data)
  • final_pred = output.max(1, keepdim=True)[1] # 得到最终分类结果
  • if final_pred.item() == target.item():#如果最终分类结果和真实结果相同
  • correct += 1
  • # 保存epsilon为0
  • if (epsilon == 0) and (len(adv_examples) < 5):
  • adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
  • adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )
  • else:
  • # 保存其他的一些结果,用于后期的可视化操作
  • if len(adv_examples) < 5:
  • adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
  • adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )
  • #计算准确率
  • final_acc = correct/float(len(test_loader))
  • print("Epsilon: {}\tTest Accuracy = {} / {} = {}".format(epsilon, correct, len(test_loader), final_acc))
  • #返回准确率和攻击样例
  • return final_acc, adv_examples

如对于以上代码中 final_pred = output.max(1, keepdim=True)[1]有疑问,请移步至

输出准确率

 
  • #依次迭代epsilon
  • for eps in epsilons:
  • acc, ex = test(model, device, test_loader, eps)
  • accuracies.append(acc)
  • examples.append(ex)

 

  • Epsilon: 0 Test Accuracy = 9810 / 10000 = 0.981
  • Epsilon: 0.05 Test Accuracy = 9426 / 10000 = 0.9426
  • Epsilon: 0.1 Test Accuracy = 8510 / 10000 = 0.851
  • Epsilon: 0.15 Test Accuracy = 6826 / 10000 = 0.6826
  • Epsilon: 0.2 Test Accuracy = 4301 / 10000 = 0.4301
  • Epsilon: 0.25 Test Accuracy = 2082 / 10000 = 0.2082
  • Epsilon: 0.3 Test Accuracy = 869 / 10000 = 0.0869

可以发现epsilon越大,则准确度越低,且剧烈下降。

本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可,转载请附上原文出处链接和本声明。 
本文链接地址:https://www.flyai.com/article/artc2d5aeff7778460c86bb7687

iFlyAI
关注
专栏目录
基于pytorch的Fast Gradient Sign Attack (FGSM)在mnist数据集上的伪造(原理近似gan,但是是求loss在图像上的梯度来改变图像))
u012329554的博客
05-29 5228
%matplotlib inline Adversarial Example Generation Author: Nathan Inkawhich <https://github.com/inkawhich>__ If you are reading this, hopefully you can appreciate how effective some machine learning models are. Research is constantly pushing ML model
Fast Gradient Sign Attack(FGSM)算法小结
AndyViky的博客
05-26 4691
Fast Gradient Sign Attack(FGSM)算法小结 对抗攻击引发了机器学习一系列的思考,训练出来的model是否拥有强大的泛化能力?模型的准确率是否真实? 在对抗攻击添加一些肉眼无法识别的噪声可能会对识别效果产生巨大的影响。 什么是对抗攻击 对抗攻击的核心思想就是人为地制造干扰项去迷惑模型,使模型产生错误的结果。在计算机视觉,对抗攻击就是在原图上添加一些人为无法识别的噪声...
Fast Gradient Sign Attack(快速梯度符号攻击
hg_zhh
08-30 3580
本文是对https://pytorch.org/tutorials/beginner/fgsm_tutorial.html这篇教程的翻译与理解。 主要内容 主要讲述通过对原始数据加入细微的噪声得到一组新数据,在新旧两个数据通过人眼难以辨别的情况下,新数据可以欺骗分类器,从而使分类器做出错误的判断。这种方法可以用来攻击一些分类器,并且是完全可行的。 教程以手写数字MINST数据集为例,展示了这种方法...
FGSMFast Gradient Sign Method)_学习笔记+代码实现
热门推荐
Erpim的博客
06-27 4万+
FGSMFast Gradient Sign Method)算法 特点:白盒攻击、 论文原文:Explaining and Harnessing Adversarial Examples 大牛们在2014年提出了神经网络可以很容易被轻微的扰动的样本所欺骗之后,又对产生对抗样本的原因进行了分析,Goodfellow等人认为高维空间下的线性行为足以产生对抗样本。相继有许多算法被提出用来生成对抗...
Pytorch实现FGSMFast Gradient Sign Attack
08-13 1万+
目录1. 相关说明2. 相关简述3. 代码实现3.1 引入相关包3.2 输入3.3 定义被攻击的模型3.4 定义FGSM攻击函数3.5 测试函数4. 可视化结果5. 可视化对抗样本6. 预训练模型下载7. 训练模型8. 完整代码 1. 相关说明 最近在整理相关实验代码的时候,无意需要重新梳理下对抗攻击里的FGSM,于是自己参考网上的一些资料以及自己的心得写下这篇文章,用来以后回忆。 2. 相关简述 快速梯度标志攻击(FGSM),是迄今为止最早和最受欢迎的对抗性攻击之一,它由 Goodfellow 等人
请写一个500字的使用快速梯度符号攻击Fast Gradient Sign Attack(FGSM),以欺骗一个MNIST分类器的实验心得
05-27
Fast Gradient Sign Attack (FGSM) 是一种广泛应用于对抗样本攻击的方法,它通过在输入数据的梯度方向上添加一个小的扰动来欺骗分类器模型。在本文,我将介绍如何使用 FGSM 对 MNIST 数据集的手写数字分类器进行...
PyTorch-Adversarial-示例:对CIFAR-10和MNIST的对抗攻击
02-14
PyTorch-Adversarial-Examples项目,主要采用了一种名为Fast Gradient Sign Method (FGSM)的对抗性攻击策略。 FGSM是由Goodfellow等人提出的,其核心思想是沿着模型梯度的符号方向添加扰动。具体步骤如下: 1. ...
DIAC2019基于Adversarial Attack的问题等价性判别比赛.zip
09-30
4. **攻击生成算法**:用于创建对抗性示例的代码,这些算法可能包括FGSMFast Gradient Sign Method)、PGD(Projected Gradient Descent)或其他高级方法。 5. **评估脚本**:用于计算模型在对抗性输入上的性能...
L0对抗攻击JSMA的算法盘点
Paper weekly
01-23 3655
©PaperWeekly 原创 ·作者|孙裕道学校|北京邮电大学博士生研究方向|GAN图像生成、情绪对抗样本生成引言JSMA 是非常著名的对抗攻击,它第首次在对抗攻击引入了 的度量...
Threat of Adversarial Attacks on Deep Learning in Computer Vision A Survey
weixin_41466947的博客
12-29 1407
Attacks for classification Box-constrained L-BFGS Fast Gradient Sign Method (FGSM) Basic &amp;amp;amp;amp;amp;amp;amp;amp; Least-Likely-Class Iterative Methods Jacobian-based Saliency Map Attack (JSMA) One Pixel A...
mnist_data
07-19
MNIST训练样本和测试样本。总共四个文件。完全可以在http://yann.lecun.com/exdb/mnist/ 下载
FGSMFast Gradient Sign Method)生成对抗样本(32)---《深度学习
阿华Go,从现在开始的博客
12-11 1万+
利用FGSM方法生成对抗样本的基本原理如下图所示,通过对原始图片添加噪声来使得网络对生成的图片X’进行误分类,需要注意的是,生成图片X’和原始图片X很像,人的肉眼无法进行辨别,生成的图片X’即为对抗样本! 1)定向对抗样本 注意是对X’(n-1)求偏导,并非X,而且注意loss函数J的参数是X’和Y’,而不是X和Y!这个是定向对抗样本生成的过程,f(x)是针对噪声的裁剪过程! X’(n)=...
Adversarial Machine Learning 经典算法解读(FGSM, DeepFool)
weixin_41099419的博客
06-03 1万+
asdasd
对抗样本机器学习_Note1
兔角与禅
12-05 4322
对抗样本机器学习_Note1
JMSA(Jacobian Saliency Map Attack)算法源码解析
最新发布
Sankkl1的博客
11-08 397
通过显著图寻找对分类器特定输出影响程度最大的输入特征对,即每次计算得到两个特征。作者引入了显著图的概念,该概念来自于计算机视觉领域,表示不同的输入特征对分类结果的影响程度。通过如上的前向梯度,我们可以知道每个像素点对模型分类的结果的影响程度,进而利用前向梯度信息来更新干净样本。FGSM、PGD等算法生成的对抗样本的扰动方向都是损失函数的梯度方向(可以参考。的偏导,该偏导值表示不同位置的像素点对分类结果的影响程度。,生成的对抗样本就能被分类成为指定的类别。),该论文生成的对抗样本的扰动方向是。
对抗攻击方法一览
m0_56069948的博客
04-08 1868
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 背景 神经网络在过去的几年和几十年已经获得了长足的进步,神经网络的应用已经遍布我们生活的各个角落。但是与此同时,也有人发现神经网络并不像我们预期的那么具有鲁棒性,仅仅在图片添加一个微笑的扰动就可以改变神经网络最后的预测结果,这些技术被称为对抗攻击。对抗攻击是指在干净的图片
【对抗攻击代码实战】对抗样本的生成——FGSM
ji_meng的博客
05-01 1万+
论文链接: 论文笔记链接: 主要讲如何用FGSM生成对抗样本 代码来源于pytorch官网:fgsm_tutoriall 基于优化的对抗样本 首先我们讲一下基于优化方法的 FGSM
生成对抗样本的方法|攻击方法
honor
07-03 9174
对抗样本 1.Biggio′s attack Biggio[22]等人首先针对传统机器学习分类器(如SVM和三层全连接神经网络)的MNIST手写数字识别数据集生成对抗样本。 它通过优化判别函数来误导分类器。 2. Szegedy′s limited-memory BFGS (L-BFGS) attack Szegedy[8]等人首次证明了可以通过对图像添加小量的人类察觉不到的扰动误导深度神经网络图像分类器做出错误的分类。他们首先尝试求解让神经网络做出误分类的最小扰动的方程。作者认为,深度神经网络所具有的强大
Fast Gradient Sign Method (FGSM)原理细节及代码实现
crystal_sugar的博客
05-09 6002
基于梯度的攻击方法有很多,其基本思路主要是两个: 对约束标准做改动,如L2−normL2-normL2−norm、L−infinityL-infinityL−infinity等。 对优化方案做改动 可以说FGSM是最简单的攻击方法。它的思路很简单:网络参数θ\thetaθ保持不变,损失函数LLL对原始输入xxx的所有维度求导,若值为正数,取1;值为负数,取-1。得到Δ\DeltaΔxxx。 实际上,如果Δ\DeltaΔxxx没有符号函数signsignsign参与计算,那么得到的就是梯度方向。而加上
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值