torchattacks源码详解-attack篇

已于 2024-02-28 21:35:50 修改
阅读量1k 收藏 18
点赞数 22
文章标签: python 深度学习
于 2024-02-28 20:12:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70298348/article/details/136333388
版权

1.简介

  本文旨在记录学习过程中对于torchattacks库中的attack源码的一些解读,若有错误之处请多指正。

2.遗留问题

  1.对于开头定义的装饰器(def wrapper_method(func))的作用仍不清楚。

  2.构造函数中赋予属性self._attacks的有序字典何时被赋值仍不清楚。

  3.代码最后重写的的def __setattr__(self, name, value)函数的作用仍不清楚。

  暂时猜测(仅猜测,很可能完全理解错了,因为这个功能自己也没看源码)这三个问题是与torchattacks提供的Make a set of attacks功能相挂钩的,该功能具体请看链接:https://github.com/Harry24k/adversarial-attacks-pytorch

3.代码解读

1.note中说明了该类(Attack)是所有攻击方法的基类,例如FGSM、CW等攻击方法都需要继承该类。并且会自动的将使用的设备(cpu/gpu)更改为所提供的欲攻击模型所使用的设备,例如attack=torchattacks.FGSM(resnet18),那么此次攻击所使用的设备即为resnet18所使用的设备。在攻击过程中一般会将模型设置为eval模式,若想要改变攻击过程中模型所使用的模式(train/eval),请使用set_model_training_mode函数(该函数遇到后会详细说明)。

2.构造函数主要内容如下:构造函数需要传入两个参数,name为攻击的名称,model为准备攻击的模型名称,例如在fgsm.py文件中(super().__init__("FGSM", model))这样调用父类Attack的构造函数。self.attack = name,将攻击名称传递给属性self.attack,该属性会在def __repr__(self)函数中被调用,用来显示此次攻击的一些基本信息(该函数遇到后会详细说明)。self._attacks = OrderedDict(),属性self._attacks被赋值为有序字典,但具体用法不清楚,是遗留问题中的第二个问题。self.set_model(model)则是调用了方法set_model,该方法主要作用是将传入的参数model赋值给属性self.model,并将该model的名称赋值给属性self.model_name,现在self.model为准备攻击的模型,而self.model_name基本不会再用到。再下面的异常结构则为设置本次攻击所使用的设备,若使用过程中报错"Failed to set device automatically, please try set_device() manual."则需要调用set_device()方法手动设置,例如attack=torchattacks.FGSM(resnet18),attack.set_device("cpu")。self.attack_mode = "default",该属性主要用于定义攻击模式,会在def set_mode_default(self),def _set_mode_targeted(self, mode, quiet)两个函数中被改写,后面会有一些定义攻击模式的方法调用这两个函数从而改写self.attack_mode,遇到再详细解释。self.supported_mode = ["default"],该属性定义了采用的攻击方法所支持的攻击模式,一般会在继承的子类的构造函数中重写,例如fgsm.py中的self.supported_mode = ["default", "targeted"],该属性在def _set_mode_targeted(self, mode, quiet)方法中也会被调用用来判断当前攻击方法是否支持定向模式。self.targeted = False,该属性用来标志当前攻击是定向/非定向,后面会在def set_mode_default(self),def _set_mode_targeted(self, mode, quiet)两个方法中被改写。self._target_map_function = None,该属性用来接收标签映射函数,会在def set_mode_targeted_by_function(self, target_map_function, quiet=False),def set_mode_targeted_random(self, quiet=False),def set_mode_targeted_least_likely(self, kth_min=1, quiet=False),def set_mode_targeted_by_label(self, quiet=False)这几个方法中被赋予具体的函数,并在def get_target_label(self, inputs, labels=None)被调用用来计算得到目标标签。self.normalization_used = None,该属性在def set_normalization_used(self, mean, std)方法中将被赋值为存均值方差的字典,并在def normalize(self, inputs),def inverse_normalize(self, inputs)等方法中用于标准化。self._normalization_applied = None,该属性作为输入图像是否经过标准化的一种标志,后面被调用时会被赋值为True/False。if self.model.__class__.__name__ == "RobModel"表明若攻击的模型是RobModel的话需要经过特殊的self._set_rmodel_normalization_used(model)标准化处理,由于还未接触过RobModel,所以这里忽略这个判断语句及后面的def _set_rmodel_normalization_used(self, model)方法。self._model_training = False,self._batchnorm_training = False,self._dropout_training = False三个属性用来设置攻击过程中的模型模式。

3.forward函数必须在所有子类中重写,否则会报错误,例如fgsm.py中重写了forward函数,forward函数的主要功能是根据具体的攻击方法(例如FGSM攻击,forward函数中会写如何基于梯度来实现对抗样本)来实现并返回对抗样本。

4.def set_model(self, model)函数:由于不清楚wrapper_method装饰器起到了什么作用,后面都会默认忽略掉@wrapper_method这行代码(遗留问题1)。该方法的主要功能是将传入的模型赋值给self.model属性,并将模型名称赋值给self.model_name。

5.def get_logits(self, inputs, labels=None, *args, **kwargs):该方法的主要作用是将传入的数据放到模型中得到输出结果并返回,通常在子类中会被调用,例如fgsm.py中的outputs = self.get_logits(images),该方法还会判断当前数据是否经过了标准化,若数据预处理使用了标准化,但self._normalization_applied标志为False,则会先对输入数据进行标准化再放入模型中得到输出结果。

6.def _set_normalization_applied(self, flag):该方法用来将self._normalization_applied属性设置为传入的参数flag的值,该方法后面会被多次调用,以用来更改标准化标志self._normalization_applied的值(True/False)(该属性的作用类似开关,用来决定当前数据是否要经过标准化).

7.def set_device(self, device):该方法用来设置攻击所使用的设备(cpu/gpu)。

8.def _set_rmodel_normalization_used(self, model):该方法为RobModel所特需的标准化,略过。

9.def set_normalization_used(self, mean, std):该方法主要用来将self.normalization_used属性设置为字典,并存储传入的均值方差,并调用self._set_normalization_applied(True)函数,将属性self._normalization_applied设置为True。若需要添加扰动的图像已经经过标准化处理,则需要调用该函数,例如:
test_data = ImageFolder(root='./data', transform=transforms.Compose(
[
transforms.Resize((256, 256)),
transforms.RandomCrop(224),
transforms.ToTensor(),
transforms.Normalize(mean=[0.485, 0.456, 0.406],
std=[0.229, 0.224, 0.225],),
]
))
attack= torchattacks.FGSM(models)
attack.set_normalization_used(mean=[0.485, 0.456, 0.406],std=[0.229, 0.224, 0.225],)
调用完该函数之后会自动调用self._set_normalization_applied(True)使得属性self._normalization_applied设置为True,在__call__方法中若该成员属性为True,则test_data会先逆标准化,然后将逆标准化的test_data传入forward函数得到对抗样本,再将对抗样本经过标准化后返回,这时得到的对抗样本直接输入模型即可,不需要再标准化了,保存的时候save函数会将对抗样本再逆标准化,这时保存的对抗图像和原始的未经标准化的图像差别就不会很大。不过对保存的对抗样本进行测试的时候记得再标准化(直接返回的对抗样本是经过标准化的,save方法保存的对抗样本是不经标准化的)。

10.def normalize(self, inputs):该方法用于对输入进行标准化。

11.def inverse_normalize(self, inputs):对输入进行逆标准化。

12.def get_mode(self):调用该函数得到目前攻击模式,例如:mode = attack.get_mode(),返回结果为属性self.attack_mode。

13.def set_mode_default(self):该方法将属性self.attack_mode = "default",self.targeted = False都设置为默认值。

14.def _set_mode_targeted(self, mode, quiet):该私有方法主要被下面几个设置攻击模式的方法调用,主要作用是将属性self.targeted = True,并设置self.attack_mode属性值为传入参数mode的值,若攻击方法不支持定向,则调用该函数会报错"Targeted mode is not supported."。

15.def set_mode_targeted_by_function(self, target_map_function, quiet=False):该方法会调用self._set_mode_targeted("targeted(custom)", quiet)方法,并将参数target_map_function所代表的函数传递给属性self._target_map_function。若用户要自定义标签的映射方法,可以调用该方法,例如:attack=torchattacks.FGSM(resnet18),attack.set_mode_targeted_by_function(lambda inputs, labels:(labels+1)%10),那么目标标签将会是真实标签加1余10。

16.def set_mode_targeted_random(self, quiet=False):该方法实现了如下功能self._set_mode_targeted("targeted(random)", quiet)
self._target_map_function = self.get_random_target_label。第一个功能不再赘述,第二个是为属性self._target_map_function赋值后面出现的def get_random_target_label(self, inputs, labels=None)方法,该方法主要是用来随机的设置目标标签(除真实标签外)。例子:attack=torchattacks.FGSM(resnet18),attack.set_mode_targeted_random()。

17.def set_mode_targeted_least_likely(self, kth_min=1, quiet=False):该方法用于将目标标签设置为最不可能的k个标签(即原始预测概率最低的k个标签),注意kth_min参数必须传入正整数,否则会报错。例如:attack=torchattacks.FGSM(resnet18),attack.set_mode_targeted_least_likely(kth_min=1)。

18.def set_mode_targeted_by_label(self, quiet=False):该方法用来实现人为指定目标标签,例如:attack = torchattacks.FGSM(models)
attack.set_mode_targeted_by_label()
adv_images = attack(images, target_label),注意这时候给的是我想要定向到的标签,而不再是真实标签,而其他几个攻击模式在最后一步传入的标签需要是真实标签。

19.def set_model_training_mode(
self, model_training=False, batchnorm_training=False, dropout_training=False
):调用该方法来设置三个私有属性self._model_training = model_training
self._batchnorm_training = batchnorm_training
self._dropout_training = dropout_training,用于下面的_change_model_mode方法中,用来决定是否改变模型模式。例子:attack.set_model_training_mode(True,True,True)

20.def _change_model_mode(self, given_training):该方法根据构造函数/set_model_training_mode方法所提供的self._model_training = False,self._batchnorm_training = False,
self._dropout_training = False,三个私有属性值来设置模型的具体模式(整个模型/batchnorm层/dropout层),19,20这两个方法基本不会用到。

21.def _recover_model_mode(self, given_training):该方法用来恢复模型的初始模式,基本也不会使用。

22.def save(
self,
data_loader,
save_path=None,
verbose=True,
return_verbose=False,
save_predictions=False,
save_clean_inputs=False,
save_type="float",
):参数data_loader需要传入的数据为通过DataLoader加载好的原始数据,save_path为保存的路径,verbose负责控制是否打印保存过程中的详细信息,return_verbose是否返回详细信息,save_predictions控制是否保存预测结果(预测概率最大的标签),save_clean_inputs控制是否保存干净样本,save_type控制保存的数据类型(int/float)。一个简单的应用例子如下:

test_data = ImageFolder(root='./data', transform=transforms.Compose(
[
transforms.Resize((256, 256)),
transforms.RandomCrop(224),
transforms.ToTensor(),
transforms.Normalize(mean=[0.485, 0.456, 0.406],
std=[0.229, 0.224, 0.225],),
]
))
test_data = DataLoader(batch_size=...)
attack = torchattacks.FGSM(models)
attack.set_normalization_used(mean=[0.485, 0.456, 0.406],std=[0.229, 0.224, 0.225],)
attack.save(test_data, save_path='……pt')

if save_path is not None:该判断条件主要用来生成存储对抗样本、真实标签(预测标签、干净样本)的列表。correct = 0,用来记录扰动后仍预测正确的样本总数。total = 0,用来记录样本总数。l2_distance = [],用来记录扰动后预测错误的样本与原样本之间的l2距离,从而衡量扰动量的大小。

【由于精力有限,其余的有空再更……】

枫叶Trivium
关注
  • 22
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Python库 | torchattacks-3.0.0-py3-none-any.whl
04-26
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:torchattacks-3.0.0-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
独家解读 | 基于优化的对抗攻击:CW攻击的原理详解与代码解读
weixin_48294000的博客
08-19 1万+
论文标题:Towards Evaluating the Robustness of Neural Networks论文链接:https://arxiv.org/abs/1709.0384...
3月24日毕设准备
buyaotutou的博客
03-24 308
3月24日毕设 Demo - White Box Attack (Imagenet)(https://nbviewer.org/github/Harry24k/adversarial-attacks-pytorch/blob/master/demos/White%20Box%20Attack%20%28ImageNet%29.ipynb) import numpy as np import json import os import sys import time import warnings warni
PyTorch中文教程 | (10) 对抗性示例生成
sdu_hao的博客
07-25 4549
Github地址 如果你正在阅读这文章,希望你能理解一些机器学习模型是多么有效。现在的研究正在不断推动ML模型变得更快、更准确和更高效。然而,在设计和训练模型中经常会忽视的是安全性和健壮性方面,特别是在面对欺骗模型的对手时。 本教程将提高您对ML模型安全漏洞的认识,并将深入探讨对抗性机器学习这一热门话题。您可能会惊讶地发现,在图像中添加细微的干扰会导致模型性能的巨大差异。鉴于这是一个教...
FGSM、PGD、BIM对抗攻击算法实现
最新发布
不去幼儿园的博客
12-16 2413
​PGD、BIM对抗攻击算法实现可以直接导入这个torchattacks这个库,这个库中有很多常用的对抗攻击的算法。 pip install torchattacks 然后添加相关代码,即可直接调用
Distributed-dictionary-attack
05-09
Distributed-dictionary-attack是一个Java程序,它使用增量禁止系统实现易受攻击的服务器。 在该项目中,有一些通过RabbitMQ中间件进行通信的客户端。 客户端之间交换的消息是错误的密码。 你需要什么 - - -
Multi-attack Reference Hashing Generation for Image Authentication
02-08
Abstract.... In this paper, we present a Multi-Attack Reference Hashing (MRH) method based on hashing cluster for image authentication, which is expected to use prior information, i.e. the s
one-pixel-attack-pytorch
03-26
one-pixel-attack-pytorch
浅析node应用的timing-attack安全漏洞
08-27
文章给大家通过原理的原因分析了node应用的timing-attack安全漏洞问题,有兴趣的朋友阅读参考下。
黑白盒 对抗扰动攻击方法 现成调用库 Attacks Toolbox
haimengjie的博客
06-18 378
Attacks Toolbox
adversarial-attacks-pytorch:PyTorch对抗攻击的实现
05-12
对抗攻击PyTorch 是一个PyTorch库,其中包含对抗性攻击以生成对抗性示例。 干净的图像 对抗形象 目录 推荐的地点和配套 用法 :clipboard: 依存关系 火炬== 1.4.0 Python== 3.6 :hammer: 安装 pip install torchattacks或 git clone https://github.com/Harry24k/adversairal-attacks-pytorch import torchattacks atk = torchattacks . PGD ( model , eps = 8 / 255 , alpha = 2 / 255 , steps = 4 ) adversarial_images = atk ( images , labels ) :warning: 预防措施 在用于攻击之前,应使用transform [to.Tensor()]将所有图像缩放为
Decision-based-Attacks-PyTorch:基于决策的攻击PyTorch实现
03-13
基于决策的攻击PyTorch 基于决策的攻击PyTorch实现 (面部性别数据集)针对性别分类的非针对性边界攻击 (CelebA HQ数据集)性别分类的无针对性边界攻击
torchadver:一个PyTorch工具箱,用于创建愚弄神经网络的对抗示例
03-10
介绍 torchadver是一个Pytorch工具箱,用于生成对抗性图像。 基本的对抗攻击得以实施。 如 , , , , 等。 安装 如何使用 简短的攻击过程如下所示。 您可以参考更详细的过程介绍。 通过满足L2范数生成对抗性图像 非目标攻击 from torchadver . attacker . iterative_gradient_attack import FGM_L2 , I_FGM_L2 , MI_FGM_L2 , M_DI_FGM_L2 mean = [ 0.5 , 0.5 , 0.5 ] std = [ 0.5 , 0.5 , 0.5 ] # images normalized by mean and std images , labels = ... model = ... # use mean and std to determine effective rang
torch的使用tips-1
普通攻击往后拉的博客
08-19 342
记录一下20210818-20210819两天发现的一些torchtips: 1 cat 可以用来对两个tensor进行拼接,可以实现类似于list append或者list +的操作。类似功能的还有stack。 2 diag_embed 按照输入生产对角矩阵,非常有用,可以用来将one-hot编码转化成对应的对角矩阵,例如: [0,0,1] -> [[0, 0, 0], [0, 0, 0], [0, 0, 1]] 3 zeros/ones 按照输出生成固定形状的张量,也可以用zeros_like/
FGSM(Fast Gradient Sign Method)算法源码解析
Sankkl1的博客
10-28 409
可以仔细回忆一下,在神经网络的反向传播当中,我们在训练过程时就是沿着梯度下降的方向来更新更新。之间是近似线性的,但是这个线性假设不一定正确,如果J JJ和x xx不是线性的,那么在。是将克隆的新的tensor从当前计算图中分离下来,作为叶节点,从而可以计算其梯度;于是,有学者就提出迭代的方式来找各个像素点的扰动,也就是BIM算法。,得到的“扰动”加在原来的输入 上就得到了在FGSM攻击下的样本。中大于1的部分设为1,小于0的部分设为0,防止越界。:获得图像的在模型中的输出值。对输入的导数,然后用符号函数。
对抗样本库之foolbox
liuyishou
08-03 3934
目录1 前言2 foolbox使用2.1 构建并训练模型2.2 foolbox加载数据2.3 CW有目标及无目标实例2.4. foolbox杂谈3 总结附录 1 前言 对抗样本库的一些基本介绍,大家可以看cleverhans的前言部分 foolbox支持tensorflow,pytorch以及jax框架,包含大量对抗样本攻击方式。 这里主要介绍使用torch+foolbox来实现对抗样本攻击。使用pip install foolbox 进行安装。 官网资料: github foolbox库 foolb
经典对抗攻击Deepfool原理详解与代码解读
热门推荐
Paper weekly
08-17 1万+
©PaperWeekly 原创 · 作者|孙裕道学校|北京邮电大学博士生研究方向|GAN图像生成、情绪对抗样本生成论文标题:DeepFool: a simple and accurate...
import torchattacks
04-24
好的,你的第一个问题是关于导入 torchattacks 库。torchattacks 库是一个针对 PyTorch 深度学习框架的对抗样本攻击库,可以用于生成对抗样本,以提高神经网络的鲁棒性。你可以在 PyTorch 的官方网站上找到该库,并通过 pip 命令进行安装。在 Python 中,你可以通过导入 torchattacks 库来开始使用它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值