FGSM对抗样本算法实现

最新推荐文章于 2024-04-11 17:37:01 发布
最新推荐文章于 2024-04-11 17:37:01 发布
阅读量1w 收藏 123
点赞数 18
分类专栏: AI安全 文章标签: 安全 生成对抗网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36692187/article/details/119809091
版权

        最著名的对抗样本算法应该就是 Fast Gradient Sign Attack(FGSM)快速梯度算法,其原理是,在白盒环境下,通过求出模型对输入数据的导数,用sign()函数求得其梯度方向,再乘以步长,得到的就是其扰动量\eta,将这个扰动量加在原来的输入上,就得到了在FGSM攻击下的样本,这个样本很大概率上可以使模型分类错误,这样就达到了攻击的目的。

        我们令原始的输入为x,输出为y。则FGSM的攻击表达式为:

x\tilde{} = x + \eta        (1)

        由公式1可知,FGSM实质上就是一种梯度上升算法,通过细微地改变输入,到达输出的预测值与实际值相差很大的目的。

        假设x的维度为n,模型参数在每个维度的平均值为m,\eta的无穷范数为\varepsilon,每个维度的微小修改与梯度函数方向一致(个人觉得可以理解为梯度上升),则累积的改变量就是nm\varepsilon。例如,一张[16,16,3]的图片,则维度为768,通常\varepsilon很小,我们取0.01,m取1,那么累计的扰动就是7.68。

        关于FGSM的实现主要参考对抗样本pytorch官网加上自己的理解,安装好pytorch后,下载好预训练的模型,提取码:dcr6,可直接运行。:

from __future__ import print_function
import torch
import torch.nn as nn
import torch.nn.functional as F
import torch.optim as optim
from torchvision import datasets, transforms
import numpy as np
import matplotlib.pyplot as plt
from matplotlib.ticker import FuncFormatter
plt.rcParams['font.sans-serif'] = ['SimHei']
plt.rcParams['axes.unicode_minus'] = False

# 这里的扰动量先设定为几个值,后面可视化展示不同的扰动量影响以及成像效果
epsilons = [0, .05, .1, .15, .2, .25, .3,.35,.4]
# 这个预训练的模型需要提前下载,下载链接如上
pretrained_model = "data/lenet_mnist_model.pth"
use_cuda=True

# 就是一个简单的模型结构
class Net(nn.Module):
    def __init__(self):
        super(Net, self).__init__()
        self.conv1 = nn.Conv2d(1, 10, kernel_size=5)
        self.conv2 = nn.Conv2d(10, 20, kernel_size=5)
        self.conv2_drop = nn.Dropout2d()
        self.fc1 = nn.Linear(320, 50)
        self.fc2 = nn.Linear(50, 10)

    def forward(self, x):
        x = F.relu(F.max_pool2d(self.conv1(x), 2))
        x = F.relu(F.max_pool2d(self.conv2_drop(self.conv2(x)), 2))
        x = x.view(-1, 320)
        x = F.relu(self.fc1(x))
        x = F.dropout(x, training=self.training)
        x = self.fc2(x)
        return F.log_softmax(x, dim=1)

# 运行需要稍等,这里表示下载并加载数据集
test_loader = torch.utils.data.DataLoader(
    datasets.MNIST('../data', train=False, download=True, transform=transforms.Compose([
            transforms.ToTensor(),
            ])),
        batch_size=1, shuffle=True)

# 看看我们有没有配置GPU,没有就是使用cpu
print("CUDA Available: ",torch.cuda.is_available())
device = torch.device("cuda" if (use_cuda and torch.cuda.is_available()) else "cpu")

# 初始化网络
model = Net().to(device)

# 加载前面的预训练模型
model.load_state_dict(torch.load(pretrained_model, map_location='cpu'))

# 设置为验证模式. 
model.eval()

接着实现FGSM的功能

# FGSM attack code
def fgsm_attack(image, epsilon, data_grad):
    # 使用sign(符号)函数,将对x求了偏导的梯度进行符号化
    sign_data_grad = data_grad.sign()
    # 通过epsilon生成对抗样本
    perturbed_image = image + epsilon*sign_data_grad
    # 做一个剪裁的工作,将torch.clamp内部大于1的数值变为1,小于0的数值等于0,防止image越界
    perturbed_image = torch.clamp(perturbed_image, 0, 1)
    # 返回对抗样本
    return perturbed_image

对测试集进行预测以及对比测试集标签

def test( model, device, test_loader, epsilon ):

    # 准确度计数器
    correct = 0
    # 对抗样本
    adv_examples = []

    # 循环所有测试集
    for data, target in test_loader:
        # 将数据和标签发送到设备
        data, target = data.to(device), target.to(device)

        # 设置张量的requires_grad属性。重要的攻击
        data.requires_grad = True

        # 通过模型向前传递数据
        output = model(data)
        init_pred = output.max(1, keepdim=True)[1] # 得到最大对数概率的索引

        # 如果最初的预测是错误的,不要再攻击了,继续下一个目标的对抗训练
        if init_pred.item() != target.item():
            continue

        # 计算损失
        loss = F.nll_loss(output, target)

        # 使所有现有的梯度归零
        model.zero_grad()

        # 计算模型的后向梯度
        loss.backward()

        # 收集datagrad
        data_grad = data.grad.data

        # 调用FGSM攻击
        perturbed_data = fgsm_attack(data, epsilon, data_grad)

        # 对受扰动的图像进行重新分类
        output = model(perturbed_data)

        # 检查是否成功
        final_pred = output.max(1, keepdim=True)[1] # 得到最大对数概率的索引
        if final_pred.item() == target.item():
            correct += 1
            # 这里都是为后面的可视化做准备
            if (epsilon == 0) and (len(adv_examples) < 5):
                adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
                adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )
        else:
            # 这里都是为后面的可视化做准备
            if len(adv_examples) < 5:
                adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
                adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )

    # 计算最终精度
    final_acc = correct/float(len(test_loader))
    print("扰动量: {}\tTest Accuracy = {} / {} = {}".format(epsilon, correct, len(test_loader), final_acc))

    # 返回准确性和对抗性示例
    return final_acc, adv_examples

画出随着扰动量变化,准确率变化的曲线。

accuracies = []
examples = []

# 对每个干扰程度进行测试
for eps in epsilons:
    acc, ex = test(model, device, test_loader, eps)
    accuracies.append(acc*100)
    examples.append(ex)

plt.figure(figsize=(5,5))
plt.plot(epsilons, accuracies, "*-")
plt.yticks(np.arange(0, 110, step=10))
plt.xticks(np.arange(0, .5, step=0.05))
def to_percent(temp, position):
    return '%1.0f'%(temp) + '%'
plt.gca().yaxis.set_major_formatter(FuncFormatter(to_percent))
plt.title("准确率 vs 扰动量")
plt.xlabel("扰动量")
plt.ylabel("准确率")
plt.show()

扰动量: 0 Test Accuracy = 9810 / 10000 = 0.981
扰动量: 0.05 Test Accuracy = 9427 / 10000 = 0.9427
扰动量: 0.1 Test Accuracy = 8510 / 10000 = 0.851
扰动量: 0.15 Test Accuracy = 6826 / 10000 = 0.6826
扰动量: 0.2 Test Accuracy = 4299 / 10000 = 0.4299
扰动量: 0.25 Test Accuracy = 2084 / 10000 = 0.2084
扰动量: 0.3 Test Accuracy = 872 / 10000 = 0.0872
扰动量: 0.35 Test Accuracy = 352 / 10000 = 0.0352
扰动量: 0.4 Test Accuracy = 167 / 10000 = 0.0167

通过上图我们可以看到随着扰动量的增加,模型预测的准确度越来越低,当增加到0.4的扰动量时,模型预测错误率已经达到了98.33%

以下代码显示通过对抗后,模型预测的结果以及增加扰动量后的图像成象样式:

# 在每个处绘制几个对抗性样本的例子
cnt = 0
plt.figure(figsize=(8,10))
for i in range(len(epsilons)):
    for j in range(len(examples[i])):
        cnt += 1
        plt.subplot(len(epsilons),len(examples[0]),cnt)
        plt.xticks([], [])
        plt.yticks([], [])
        if j == 0:
            plt.ylabel("扰动: {}".format(epsilons[i]), fontsize=14)
        orig,adv,ex = examples[i][j]
        plt.title("{} -> {}".format(orig, adv))
        plt.imshow(ex, cmap="gray")
plt.tight_layout()
plt.show()

 

需要注意的是,A——>B,其中A为实际值,B为预测值。随着模型扰动量的增加,预测值也越来越离谱。与此同时,随着扰动量的增加,我们可以看到模型也变得越来越模糊。由于本实验是对黑白图片数字进行识别,其所具有的特征点(即维度)相对比较少,因此想要使模型预测错误率很高,扰动量也必须加到很大。如果是复杂度较高的图片,只需要增加一点扰动量便可以,使错误率增加的很大。例如,经典熊猫图,由于其图片复杂度较高,因此只需要添加0.007的扰动量,便可以使预测错误率达到99.3%。

fgsm_panda_image

小二的安全指北
关注
  • 18
    点赞
  • 123
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
对抗样本生成方法综述(FGSM、BIM\I-FGSM、PGD、JSMA、C&W、DeepFool)
04-17
对抗样本生成方法是近年来在深度学习领域中一个重要的研究方向,主要是为了揭示和解决神经网络模型的脆弱性问题。这些方法通过构造特定的输入样本来欺骗模型,使其产生错误的预测,从而暴露模型的不足之处。以下是几...
基于注意力机制FGSM算法优化 AI-FGSM
01-11
Fast Gradient Sign Method(FGSM)是一种常见的针对深度学习模型的对抗性攻击方法,它通过计算模型梯度的符号方向来生成对抗样本。然而,FGSM在某些情况下可能不够强大,因为它没有考虑模型内部的特征交互和注意力...
对抗样本生成算法-FGSM、I-FGSM、ILCM、PGD
R.I.P Kobe Bryant
10-10 1万+
对抗样本生成算法FGSM、I-FGSM、ILCM、PGD
FGSM对抗攻击算法实现
不去幼儿园的博客
11-30 2991
在我们进入代码之前,让我们看一下著名的 FGSM熊猫示例和摘录一些符号。上图展示了Fast adversarial examples应用在深度网络上。通过加上一个人类感知不到的小向量,向量的值为ϵ乘输入像素点关于误差的梯度值的符号值。这里 ϵ=0.007,符合经过深度网络转换为实数后8bit图像编码的最小数量级。图中加上噪声后,熊猫被识别为长臂猿,并且置信度为99.3%,所以此方法叫做fast gradient sign method,简称FGSM,我们称之为快速梯度下降法。
CW对抗样本生成算法 torch实现_cw对抗攻击
最新发布
2401_83974590的博客
04-11 725
n然而由于CxεtC(x+ε)=t是高度非线性的,因此现有的算法都难以直接求解,上面的式子,所以需要选择一种更适合优化的表达方式。即定义一个目标函数fff,当且仅当fxε≤0f(x+ε)≤0时,CxεtC(x+ε)=t。我们可以用如下的一个式子来当做fff。fx′maxi≠tFx′i−Fx′t式中,ttt表示定向攻击标签,∗(*)^+(∗)+表示max∗0;max(*,0);max(∗,0);
FGSM代码实践
shuweishuwei的博客
08-17 4516
浅谈FGSM FGSM是什么?从机器学习到深度学习,第一次听这个名词,后来查阅资料了解到是一种图像的攻击方法。本来有一个模型可以识别出你的图片内容,你把一张小狗的图片喂给模型,模型告诉你是狗,把猫喂给模型,模型告诉你是猫。当你给这张小狗的图片添加上噪声之后(肉眼无法识别有没有加噪声),再次喂给模型,模型告诉你是这是其他东西,从而达到了欺骗模型的目的。 FGSM原理 一种基于梯度生成对抗样本算法,属于对抗攻击中的无目标攻击(即不要求对抗样本经过model预测指定的类别,只要与原样本预测的不一样即可)
对抗攻击代码实战】对抗样本的生成——FGSM
ji_meng的博客
05-01 1万+
论文链接: 论文笔记链接: 主要讲如何用FGSM生成对抗样本 代码来源于pytorch官网:fgsm_tutoriall 基于优化的对抗样本 首先我们讲一下基于优化方法的 FGSM
【AI安全】对抗样本FGSM的代码实现(TensorFlow2)
鹏啊鹏
05-31 2305
FGSM(Fast Gradient Sign Method)由Ian J. Goodfellow等人于2015年提出,论文地址【https://arxiv.org/abs/1412.6572】,是最早也是最受欢迎的欺骗神经网络的攻击之一。如图所示,攻击者对原始熊猫图像添加了小的扰动,导致了模型将这张图像标记为长臂猿。 FGSM利用神经网络的梯度来创建一个对抗样本。对于输入的图像,该方法使用损失相对于输入图像的梯度来创建一个新的图像,使损失最大化。 adv_x=x+ϵ∗sign(∇xJ(θ,x,y)) ad
I-FGSM和ICCLM对抗算法.rar
08-15
总结来说,I-FGSM和ICCLM是两种用于生成对抗样本算法,它们都是基于FGSM的扩展,旨在更有效地欺骗深度学习模型。PyTorch作为强大的深度学习框架,配合Jupyter Notebook的使用,能够帮助研究人员和开发者直观地理解...
《EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES》论文中FGSM攻击算法代码实现
08-10
本资源是对抗样本领域中首次提出使用梯度方法生成对抗样本FGSM攻击算法的一篇文章的代码实现,使用的语言是Pytorch语言,文件为Jupyter notebook文件,在电脑环境配置无问题的情况下,可以直接运行此代码文件,...
foolbox-master_对抗样本_python_
09-28
2. **多种攻击算法**:库中集成了多种已知的对抗性攻击方法,例如FGSM(Fast Gradient Sign Method)、PGD(Projected Gradient Descent)、CW(Carlini & Wagner)攻击等,这些方法可以帮助研究人员生成对抗样本以...
FGSM和PGD算法的介绍与实际应用
qq_61879501的博客
11-14 2324
有关FGSM和PGD的初步学习
对抗样本生成算法FGSM算法
ilalaaa的博客
05-17 5132
目录原理 论文链接点击获取. 原理
Pytorch实现FGSM(Fast Gradient Sign Attack)
08-13 1万+
目录1. 相关说明2. 相关简述3. 代码实现3.1 引入相关包3.2 输入3.3 定义被攻击的模型3.4 定义FGSM攻击函数3.5 测试函数4. 可视化结果5. 可视化对抗样本6. 预训练模型下载7. 训练模型8. 完整代码 1. 相关说明 最近在整理相关实验代码的时候,无意中需要重新梳理下对抗攻击里的FGSM,于是自己参考网上的一些资料以及自己的心得写下这篇文章,用来以后回忆。 2. 相关简述 快速梯度标志攻击(FGSM),是迄今为止最早和最受欢迎的对抗性攻击之一,它由 Goodfellow 等人
FGSM(Fast Gradient Sign Method)_学习笔记+代码实现
热门推荐
Erpim的博客
06-27 4万+
FGSM(Fast Gradient Sign Method)算法 特点:白盒攻击、 论文原文:Explaining and Harnessing Adversarial Examples 大牛们在2014年提出了神经网络可以很容易被轻微的扰动的样本所欺骗之后,又对产生对抗样本的原因进行了分析,Goodfellow等人认为高维空间下的线性行为足以产生对抗样本。相继有许多算法被提出用来生成对抗...
对抗训练+FGSM, FGM理解与详解
狗狗狗大王的博客
04-28 6825
简介 本文旨在收集对抗训练相关的内容,并作出比较详细的理解和讲解。   概念 本部分收集对抗训练相关的一些词汇和理解。 对抗样本 我们对数据集中的数据,做一些比较小的、但却能带来很大杀伤力的改动。改动后的数据可能会让模型以较高的confidence输出一个错误的预测。1 很多模型面对这种样本的时候,是很容易出错的。2 Towards Deep Learning Models Resistant to Adversarial Attacks ↩︎ Intriguing properties of ne
对抗示例生成,速梯度符号攻击(FGSM)来欺骗 MNIST 分类器
yanglamei1962的博客
05-25 475
如果您正在阅读本文,希望您能体会到某些机器学习模型的有效性。研究不断推动 ML 模型更快,更准确和更高效。但是,设计和训练模型的一个经常被忽略的方面是安全性和鲁棒性,尤其是在面对想要欺骗模型的对手的情况下。本教程将提高您对 ML 模型的安全漏洞的认识,并深入了解对抗性机器学习的热门话题。您可能会惊讶地发现,在图像上添加无法察觉的扰动会导致完全不同的模型表现。鉴于这是一个教程,我们将通过图像分类器上的示例来探讨该主题。
对抗算法——FGSM
bank777777的博客
06-27 3494
首先基于输入图像计算梯度,其次更新图像是加上梯度,这与常见的分类模型更新参会方法正好背道而驰。
图像对抗算法-攻击篇(FGSM
AI之路
05-31 3万+
论文:Explaining and Harnessing Adversarial Examples 论文链接:https://arxiv.org/abs/1412.6572 在图像攻击算法中,FGSM(fast gradient sign method)是非常经典的一个算法。这篇发表于ICLR2015的文章通过梯度来生成攻击噪声,核心思想就是Figure1所示的内容。Figure1中左边图是常规的...
pdg攻击调用fgsm算法,生成并保存mnist数据集的对抗样本
03-26
以下为使用Python代码实现的攻击代码,生成并保存mnist数据集的对抗样本: ```python import tensorflow as tf import numpy as np import matplotlib.pyplot as plt from tensorflow.examples.tutorials.mnist import input_data sess = tf.compat.v1.Session() # 加载mnist数据集 mnist = input_data.read_data_sets('MNIST_data', one_hot=True) # 定义输入和输出的placeholder x_input = tf.compat.v1.placeholder(tf.float32, shape=[None, 784]) y_label = tf.compat.v1.placeholder(tf.float32, shape=[None, 10]) # 定义模型 x_image = tf.reshape(x_input, [-1,28,28,1]) conv1 = tf.compat.v1.layers.conv2d(inputs=x_image, filters=32, kernel_size=[5, 5], padding="same", activation=tf.nn.relu) pool1 = tf.compat.v1.layers.max_pooling2d(inputs=conv1, pool_size=[2, 2], strides=2) conv2 = tf.compat.v1.layers.conv2d(inputs=pool1, filters=64, kernel_size=[5, 5], padding="same", activation=tf.nn.relu) pool2 = tf.compat.v1.layers.max_pooling2d(inputs=conv2, pool_size=[2, 2], strides=2) flatten = tf.reshape(pool2, [-1, 7 * 7 * 64]) dense = tf.compat.v1.layers.dense(inputs=flatten, units=1024, activation=tf.nn.relu) logits = tf.compat.v1.layers.dense(inputs=dense, units=10) # 定义损失函数 cross_entropy = tf.reduce_mean(tf.nn.softmax_cross_entropy_with_logits_v2(logits=logits, labels=y_label)) # 定义fgsm算法 epsilon = 0.1 gradients, = tf.gradients(cross_entropy, x_input) adv_x = tf.stop_gradient(x_input + epsilon * tf.sign(gradients)) # 定义评估模型的accuracy correct_pred = tf.equal(tf.argmax(logits,1), tf.argmax(y_label,1)) accuracy = tf.reduce_mean(tf.cast(correct_pred, tf.float32)) # 初始化变量 sess.run(tf.compat.v1.global_variables_initializer()) # 训练模型 for i in range(2000): x_batch, y_batch = mnist.train.next_batch(100) _, loss = sess.run([tf.compat.v1.train.AdamOptimizer(0.001).minimize(cross_entropy), cross_entropy], feed_dict={ x_input: x_batch, y_label: y_batch }) if i % 100 == 0: test_acc = sess.run(accuracy, feed_dict={ x_input: mnist.test.images[:1000], y_label: mnist.test.labels[:1000] }) print('Step %d, loss=%.4f, test accuracy=%.4f' % (i, loss, test_acc)) # 生成对抗样本 adv_images = sess.run(adv_x, feed_dict={ x_input: mnist.test.images[:1000], y_label: mnist.test.labels[:1000] }) # 将对抗样本保存为npy文件 np.save('adv_images.npy', adv_images) # 展示一组原始图片和对应的对抗样本 fig, axes = plt.subplots(nrows=1, ncols=2, figsize=(10, 5)) for i in range(2): if i == 0: axes[i].imshow(mnist.test.images[0].reshape(28,28), cmap='gray') axes[i].set_title('Original Image') else: axes[i].imshow(adv_images[0].reshape(28,28), cmap='gray') axes[i].set_title('Adversarial Image') plt.show() ``` 以上代码使用了FGSM算法生成对抗样本,其中epsilon为0.1,表示对抗样本中每个像素点的最大变化量为0.1。生成对抗样本后,使用numpy库将对抗样本保存为npy文件,方便后续使用。最后,展示了一组原始图片和对应的对抗样本

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值