复现《Deep Leakage from Gradients》的攻击实验

最新推荐文章于 2023-03-04 11:22:33 发布
最新推荐文章于 2023-03-04 11:22:33 发布
阅读量4.1k 收藏 30
点赞数 9
分类专栏: 隐私保护 文章标签: 深度学习 python 神经网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36300061/article/details/106842027
版权

复现《Deep Leakage from Gradients》的攻击实验

Deep Leakage from Gradients

在GitHub上找到一个在pytorch实现《Deep Leakage from Gradients》论文中对CIFAR100数据集攻击的实验,加上了自己的理解

class LeNet(nn.Module):
def __init__(self):
    super(LeNet, self).__init__()
    act = nn.Sigmoid
    self.body = nn.Sequential(
        nn.Conv2d(3, 32, kernel_size=5, padding=5//2, stride=2),
        act(),
        nn.Conv2d(32, 32, kernel_size=5, padding=5//2, stride=2),
        act(),
        nn.Conv2d(32, 64, kernel_size=5, padding=5//2, stride=1),
        act(),
    )
    self.fc = nn.Sequential(
        nn.Linear(4096, 100)
    )
    
def forward(self, x):
    out = self.body(x)
    out = out.view(out.size(0), -1)
    #print(out.size())
    out = self.fc(out)
    return out

`

原代码有两种模型,一种Lenet,一种为Resnet,我用的第一种其中它源代码的卷积通道都为12,但是自己在实现的时候发现最后恢复不了原始的图片,全部都是噪音,不知到它是怎么实现的,摊手.jpg。然后自己将通道数换成32,32,64,然后就奇迹发生了,只迭代了0次loss就0.001???,可能是自己实现的有问题吧。
上图!
在这里插入图片描述
有没有很奇怪的感觉?? ,但是可以恢复出原始数据,(_),管不了这么多了
异常清晰啊,朋友们,不得不说这篇论文的idel是真的棒啊!!!
最后上主要代码:
修改了一些变量名并且加入了一些注释方便理解

# -*- coding: utf-8 -*-
import argparse
import numpy as np
from pprint import pprint

from PIL import Image
import matplotlib.pyplot as plt

import torch
import torch.nn as nn
import torch.nn.functional as F
from torch.autograd import grad
import torchvision
from torchvision import models, datasets, transforms


from utils import label_to_onehot, cross_entropy_for_onehot   #将标签onehot化   并使用onehot形式的交叉熵损失函数
 
parser = argparse.ArgumentParser(description='Deep Leakage from Gradients.')
parser.add_argument('--index', type=int, default="45",
                    help='the index for leaking images on CIFAR.')
parser.add_argument('--image', type=str,default="",
                    help='the path to customized image.')
args = parser.parse_args()

device = "cpu"
if torch.cuda.is_available():
    device = "cuda"
print("Running on %s" % device)

data_cifar = datasets.CIFAR100("/.torch", download=True)
To_tensor = transforms.ToTensor()
To_image = transforms.ToPILImage()

img_index = args.index



gt_data = To_tensor(data_cifar[img_index][0]).to(device)  #image_index[i][0]表示的是第I张图片的data,image_index[i][1]表示的是第i张图片的lable


if len(args.image) > 1:    #得到预设参数的图片并将其转换为tensor对象
    gt_data = Image.open(args.image)
    gt_data = To_tensor(gt_data).to(device)


gt_data = gt_data.view(1, *gt_data.size())


gt_label = torch.Tensor([data_cifar[img_index][1]]).long().to(device)
gt_label = gt_label.view(1, )
gt_onehot_label = label_to_onehot(gt_label)

plt.imshow(To_image(gt_data[0].cpu()))

from models.vision import LeNet,  ResNet18
net = LeNet().to(device)


torch.manual_seed(1234)

#net.apply(weights_init)
criterion = cross_entropy_for_onehot  #调用损失函数

# compute original gradient 
pred = net(gt_data)
y = criterion(pred, gt_onehot_label)
dy_dx = torch.autograd.grad(y, net.parameters())   #获取对参数W的梯度

original_dy_dx = list((_.detach().clone() for _ in dy_dx))    #对原始梯度复制

# generate dummy data and label
dummy_data = torch.randn(gt_data.size()).to(device).requires_grad_(True)
dummy_label = torch.randn(gt_onehot_label.size()).to(device).requires_grad_(True)

plt.imshow(To_image(dummy_data[0].cpu()))

optimizer = torch.optim.LBFGS([dummy_data, dummy_label])


history = []
for iters in range(300):
    def closure():
        optimizer.zero_grad()  #梯度清零

        dummy_pred = net(dummy_data) 
        dummy_onehot_label = F.softmax(dummy_label, dim=-1)
        dummy_loss = criterion(dummy_pred, dummy_onehot_label) 
        dummy_dy_dx = torch.autograd.grad(dummy_loss, net.parameters(), create_graph=True)   #faked数据得到的梯度
        
        grad_diff = 0
        for gx, gy in zip(dummy_dy_dx, original_dy_dx): 
            grad_diff += ((gx - gy) ** 2).sum()   #计算fake梯度与真实梯度的均方损失
        grad_diff.backward()    #对损失进行反向传播    优化器的目标是fake_data, fake_label
        
        return grad_diff
    
    optimizer.step(closure)
    if iters % 10 == 0: 
        current_loss = closure()
        print(iters, "%.4f" % current_loss.item())
        history.append(To_image(dummy_data[0].cpu()))

plt.figure(figsize=(12, 8))
for i in range(30):
    plt.subplot(3, 10, i + 1)
    plt.imshow(history[i])
    plt.title("iter=%d" % (i * 10))
    plt.axis('off')

plt.show()

这篇论文的核心就是构建一个损失函数——自己创建的一个fake的(dummy_data,dummy_label)所得到的梯度与原始训练数据(True_data,True_label)所得到的梯度的均方误差,再用损失函数对(dummy_data,dummy_label)最优化,不断迭代以恢复出原始数据
在这里插入图片描述
原文再cifar100数据集迭代了差不多100次才能恢复出原始数据,而我参考的这个代码很快就迭代完成了,也不知道原文的源代码是怎样写的,后续再仔细研究一下这个代码。
在这里插入图片描述

参考:
代码地址: https://github.com/mit-han-lab/dlg
文献地址:https://papers.nips.cc/paper/9617-deep-leakage-from-gradients.pdf

@_@呜呜
关注
  • 9
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 47
    评论
专栏目录
Torch7入门续集(五)----进一步了解optim
Hungryof的专栏
03-27 3402
总说现在看以前写的入门续集,觉得写的好烂,但我不想改了。在torch7学习(六)稍微提到了optim,觉得写的很不清楚,所以有了这篇。 入门续集到了这篇,个人认为看Torch框架的深度学习代码应该没啥大问题了。总览x*, {f}, ... = optim.method(opfunc, x[, config][, state]) opfunc: 自定义的闭包,必须包含:我们计算的f 对于优化的参数x
Deep Leakage from Gradients
04-23
梯度泄露
联邦学习安全么?(数据攻击
chen695539389的博客
08-30 1697
联邦学习的数据攻击方式 .整理有关联邦学习中数据攻击的几种方式
Improved-Deep-Leakage-from-Gradients:“改进的梯度深度泄漏”(iDLG)的代码
05-07
改进的深度泄漏 “”(iDLG)的代码。 抽象的 人们普遍认为,共享梯度不会泄漏诸如协作学习和联合学习等分布式学习系统中的私人训练数据。 [1]提出了一种方法,该方法显示了从公开共享的梯度中获得私人训练数据的可能性。 在他们的“从梯度深度泄漏”(DLG)方法中,他们在共享梯度的监督下合成了虚拟数据和相应的标签。 但是,DLG难以收敛并始终如一地发现地面真相标签。 在本文中,我们发现共享梯度无疑泄漏了地面真相标签。 我们提出了一种简单但可靠的方法来从梯度中提取准确的数据。 特别是,我们的方法可以肯定地提取出与DLG相反的地面标签,因此我们将其命名为改进的DLG(iDLG)。 我们的方法适用于任何在单热标签上经过交叉熵损失训练的可微模型。 我们以数学方式说明了我们的方法如何从梯度中提取地面标签,并通过经验证明了其优于DLG的优势。 实验 数据集 戴高乐 iDLG MNIST 89.9%
pytorch 使用 torch.optim.LBFGS() 优化神经网络
awslyyds的博客
10-24 8588
使用LBFGS优化器优化神经网络
人工智能安全(二)—攻击
weixin_44714808的博客
08-17 853
1《Deep Leakage from Gradients》 代码地址:https://gitee.com/dugu1076/ai-dlg.git (这份代码是我自己全部加上注解后的,删除了所有多余代码,可直接运行,image下的desk.png是我成功攻击过的图片) 论文主要成果:提出一种优化算法DLG算法,可以在几个迭代中获取训练输入和标签。算法的主要思路是:假设虚拟输入和标签,计算虚拟梯度,优化虚拟梯度与真实梯度之间的距离,通过匹配梯度使得虚拟数据靠近原始数据。 算法具体步骤: 首先选取一张Norm
PyTorch官方中文文档:torch.optim 优化器参数
kyle1314608的博客
07-04 2515
内容预览: step(closure) 进行单次优化 (参数更新). 参数: closure (callable) –...~ 参数: params (iterable) – 待优化参数的iterable或者是定义了参数组的...~ 参数: params (iterable) – 待优化参数的iterable或者是定义了参数组的...~ torch.opti...
Deep Leakage From Gradients文献阅读及代码重现
qq_43750528的博客
03-04 1373
Deep Leakage from Gradients、iDLG Improved Deep Leakage from Gradients文献阅读解析,DLG、iDLG代码重现解析
联邦学习-
tInG____的博客
10-26 517
联邦学习讲座笔记
记录 torch.optim.LBFGS
米饭的白色的专栏
08-17 2725
pytorch.optim.LBFGS
Pytorch中优化器的比较和选择
学无止境、积少成多、厚积薄发
09-17 1万+
PyTorch提供了十种优化器 1、torch.optim.SGD torch.optim.SGD(params, lr=, momentum=0, dampening=0, weight_decay=0, nesterov=False) 功能: 可实现SGD优化算法,带动量SGD优化算法,带NAG(Nesterov accelerated gradient)动量SGD优化算法,并且均可拥有weight_decay项。 参数: params(iterable)- 参数组 lr(float)- 初始学习率,可
ESORICS20-CPL
04-03
LFW_Deep_Leakage_from_Gradients.ipynb:(NIPS2019)“渐变的深层泄漏”中DLG攻击的lfw实现。 LFW_enhanced_random_ASR.ipynb:具有几何初始化的CPL攻击LFW_batch.ipynb:批量CPL攻击LFW128_enhanced_random_ASR....
Efficient leakage-resilient public key encryption from DDH assumption
02-09
For an encryption scheme to be applied in practical applications, it should withstand various leakage attacks. In this paper, we present a new leakage-resilient public key encryption scheme whose ...
EQ.zip_data leakage _telframe ja
09-19
企业内部通讯系统必须提供网络通讯功能、在通讯过程中禁止使用聊天表情、文件传送等功能,避免资料外泄,或因发送错误而导致上级资料的丢失以及其他损失。最重要的是必须适应任何操作系统,也就是实现跨平台技术,...
006 Deep Leakage from Gradients(便于寻找:梯度泄露)
Uzz_yuzaizai的博客
05-31 1091
梯度的深度泄露 两种联邦学习中的信息泄露(有无中央服务器) 从联邦学习期间共享的梯度可以推断出参与者的训练数据集的什么? 成员推理:使用预测结果和真相标签来推断记录是否在受害者训练数据集内。 属性推理:能推断出受害者的训练集包含一个具有一定属性的数据点。 模型反转:首先利用模型更新和攻击者自身的训练数据训练GAN模型,然后它使用GAN模型从受害者的更新中生成相似图像。 传统观点上认为:如果不事先了解训练数据,不能完全从梯度中窃取训练数据。 联邦设置中的深
Deep leakage from Gradients论文解析
chen695539389的博客
07-09 3321
Deep leakage from Gradients论文解析 今天来给大家介绍下2019年NIPS上发表的一篇通过梯度进行原始数据恢复的论文。 论文传送门 **问题背景:**现在分布式机器学习和联邦学习中普遍接受的一个做法是将数据梯度进行共享,多方数据通过共享的梯度信息进行联合建模,即在原始数据不出库的前提下进行建模,那么这样引出作者的一个思考:这样的梯度信息是否是安全的呢?我们知道,梯度与标签和样本特征有关,那么意味着梯度其中包含着部分的标签信息和原始信息,所以作者做了这样一个工作,通过神经网络中的梯度
pytorch源码解析1——torch.optim:优化算法接口详解
kaggle expert,全球排名前1000,清华计算机研究生,兴趣算法工程
02-16 2911
1. 优化器 Optimizer 1.0 基本用法 优化器主要是在模型训练阶段对模型可学习参数进行更新, 常用优化器有 SGD,RMSprop,Adam等 优化器初始化时传入传入模型的可学习参数,以及其他超参数如lr,momentum等 在训练过程中先调用optimizer.zero_grad()清空梯度,再调用loss.backward()反向传播,最后调用optimizer.step()更新模型参数 简单使用示例如下所示: import torch import numpy...
Pytorch中,将label变成one hot编码的两种方式
热门推荐
我的博客有点东西
03-20 7万+
由于Pytorch不像TensorFlow有谷歌巨头做维护,很多功能并没有很高级的封装,比如说没有tf.one_hot函数。本篇介绍将一个mini batch的label向量变成形状为[batch size, class numbers]的one hot编码的两种方法,涉及到 tensor.scatter_ tensor.index_select 使用scatter_获得one hot 编码 ...
python将标签转化为one-hot(独热编码)
云端浅蓝
01-07 9379
问题描述:在利用categorical_crossentropy作为损失函数时,需要将标签设定为one-hot格式,即每个标签的长度应转换为一个长度为类别数的向量,该向量除了所属的类别位置为1之外,其他位置值为0. from keras.utils.np_utils import to_categorical categorical_labels = to_categorical(int_labe...
deep leakage from gradients.ipynb如何使用
最新发布
01-07
deep leakage from gradients.ipynb是一个用于深度学习模型中处理梯度泄露问题的 Jupyter 笔记本文件。梯度泄露是指在模型训练过程中,敏感信息可能会通过梯度泄露出去,从而导致隐私泄露和安全性问题。 要使用deep leakage from gradients.ipynb,首先需要确保你已经安装了所需的 Python 环境和相关的库,比如 TensorFlow 或 PyTorch。然后可以在 Jupyter 笔记本中打开这个.ipynb文件。 在文件中,你将看到作者编写的用于探索和解决梯度泄露问题的代码和说明。这可能包括对不同的模型架构和训练技巧的比较,以及对梯度泄露可能发生的原因和影响的分析。 你可以使用deep leakage from gradients.ipynb来学习如何从根本上避免梯度泄露,或者用更安全的方法来训练深度学习模型。这可能涉及到对隐私保护技术的应用,如差分隐私,或者通过模型修正技术来减少梯度泄露的影响。 使用deep leakage from gradients.ipynb需要一定的深度学习和隐私保护的知识。你可能需要对深度学习模型的训练和梯度下降算法有一定的了解,以及对隐私保护技术的认识。如果你是一个研究人员或者开发人员,这个笔记本可以帮助你更好地理解和处理梯度泄露问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 47
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值