pytorch实现黑盒攻击

于 2024-04-02 11:01:30 发布
阅读量246 收藏
点赞数 2
分类专栏: 对抗样本 文章标签: pytorch 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61834727/article/details/137262783
版权

源码链接:https://github.com/wanglouis49/pytorch-adversarial_box
在LeNet5上进行黑盒攻击
FGSM生成对抗样本

substituteModel上训练

def MNIST_bbox_sub(param, loader_hold_out, loader_test):

    # Setup training
    optimizer = torch.optim.Adam(net.parameters(), lr=param['learning_rate'])

    # Data held out for initial training
	# .....

    # 训练
    for rho in range(param['data_aug']):
        print("Substitute training epoch #"+str(rho))
        print("Training data: "+str(len(X_sub)))

        rng = np.random.RandomState()

        # model training
        for epoch in range(param['nb_epochs']):

            print('Starting epoch %d / %d' % (epoch + 1, param['nb_epochs']))

            # Compute number of batches
            nb_batches = int(np.ceil(float(len(X_sub)) / 
                param['test_batch_size']))
            assert nb_batches * param['test_batch_size'] >= len(X_sub)

            # Indices to shuffle training set
            index_shuf = list(range(len(X_sub)))
            rng.shuffle(index_shuf)

            for batch in range(nb_batches):
			# ......

                scores = net(to_var(torch.from_numpy(x)))
                loss = nn.CrossEntropyLoss(scores, to_var(torch.from_numpy(y).long()))

                optimizer.zero_grad()
                loss.backward()
                optimizer.step()

            print('loss = %.8f' % (loss.item()))
        test(net, loader_test, blackbox=True, hold_out_size=param['hold_out_size'])

        # 如果不是最后一次,就增强数据集
        if rho < param['data_aug'] - 1:
            print("Augmenting substitute training data.")
            # Jacobian数据增强,包含了FGSM生成对抗样本
            X_sub = jacobian_augmentation(net, X_sub, y_sub)

            print("Labeling substitute training data.")
            # 使用目标模型进行预测
            scores = oracle(to_var(torch.from_numpy(X_sub)))
            y_sub = np.argmax(scores.data.cpu().numpy(), axis=1)
            print('x.size %d' % len(X_sub))

    torch.save(net.state_dict(), param['oracle_name']+'_sub.pkl')

黑盒攻击

adversary = FGSMAttack(net, param['epsilon']) # 梯度是从替代模型中的

print('For the substitute model:')
test(net, loader_test, blackbox=True, hold_out_size=param['hold_out_size'])

# Setup oracle
print('For the oracle'+param['oracle_name'])
print('agaist blackbox FGSM attacks using gradients from the substitute:')
attack_over_test_data(net, adversary, param, loader_test, oracle) # 对目标模型进行黑盒攻击
o_o O
关注
专栏目录
【简易的黑盒对抗攻击】Simple Black-box Adversarial Attacks
风口IT猪的成长录
09-26 486
在计算机视觉领域,对抗攻击(adversarial attack)旨在通过向图片中添加人眼无法感知的噪音以欺骗诸如图像分类、目标识别等机器学习模型。如下图所示,输入原图像,图像分类器给出的结果为“是熊猫的概率为57.7%”,而在给原图像加上一段噪音后,结果变成了“是长臂猿的概率为99.3%”,但对于人类来说,这两张图片几乎是一模一样的。经噪音干扰后的图像被称为对抗样本对抗攻击的主要研究内容之一就是如何获得这种噪音来生成对抗样本。
繁凡的对抗攻击论文精读(二)CVPR 2021 元学习训练模拟器进行超高效黑盒攻击(清华)
繁凡さん的博客
04-17 6077
文章目录Simulating Unknown Target Models for Query-Efficient Black-box Attacks [1]为查询有效的黑盒攻击模拟未知目标模型Abstract0x01 论文总结2. Related Works3. Method3.1. Task Generation3.2. Simulator Learning3.3. Simulator Attack3.4. Discussion4. Experiment4.1. Experiment Setting4.2.
Pytorch黑盒攻击音频分类网络(目标与非目标攻击)实验结果与代码
qq_37633207的博客
10-06 2814
基于Pytorch黑盒攻击 攻击的模型 攻击的类型是无目标攻击,改天再尝试下目标攻击 攻击的模型是我之前训练好的一个分类网络参考下面这篇博客 https://blog.csdn.net/qq_37633207/article/details/108926652 攻击的效果 攻击效果还不错,基本上几次迭代就攻击好了,可能是自己训练的网络比较垃圾,自己训练的分类网络精度为93.499%,我太难了 先来两张攻击的效果图 首先是原来的音频,我这里是随机选取一个音频 波形图对比 再来一张图片,由
tensorflow2.0+python3.7.4实现FGSM对抗攻击代码
08-31
win10+tensorflow2.0+python3.7.4实现FGSM对抗攻击代码
基于梯度的黑盒迁移对抗攻击(附代码
欢迎来到道的世界
08-06 3644
黑盒迁移攻击是对抗攻击中非常热门的一个研究方向,基于动量梯度的方法又是黑盒迁移攻击的一个主流方向。当前大部分研究主要通过在数据样本的尺寸,分布,规模,时序等方面来丰富梯度的多样性,使得生成的对抗样本在迁移到其它的模型攻击时,能够有更高的攻击成功率。本文会介绍最近几年有代表性的黑盒迁移攻击的论文,这些论文的方法经常会被当成论文比较的baseline。我对论文中涉及到一些数学结论进行补充证明,大部分论文中给出的源码是tensorflow的,我又根据论文的算法流程图用pytorch对论文的核心方法重新编程了一下
黑盒攻击中迁移攻击和通用对抗扰动的讲解及实战(附源码)
showswoller的博客
12-31 1764
黑盒攻击中迁移攻击和通用对抗扰动的讲解及实战(附源码)
网络与系统安全4.1 基于随机搜索的黑盒对抗攻击方法
爱学习爱运动的专栏
05-30 781
1 摘要 神经网络模型容易受到对抗样本的攻击,根据攻击者是否能获取到模型内部参数可以把攻击类型分为白盒攻击黑盒攻击。 白盒攻击比较常见,但其对目标模型的威胁程度要远低于黑盒攻击。 传统黑盒攻击往往都是基于梯度实现的,并且具有查询次数高、攻击时间长以及成功率低的缺点。 针对这一问题,本文讨论了一种高效查询的黑盒对抗攻击算法,该黑盒攻击也被称为平方攻击,具体内容如下: 平方攻击选择局部方形更新在随机位置,以便在每次迭代中,扰动大约位于可行集的边界处; 平方攻击是一种基于分数的黑盒对抗攻击,具有不依赖于模
Decision-based-Attacks-PyTorch:基于决策的攻击PyTorch实现
03-13
本项目"Decision-based-Attacks-PyTorch"便提供了用PyTorch实现的这种攻击方式。 首先,我们需要了解决策导向型攻击的基本原理。在传统的基于梯度的攻击中,如FGSM(Fast Gradient Sign Method)或PGD(Projected ...
GeoDA:该存储库包含GeoDA算法的官方PyTorch实现。 GeoDA是一种黑盒攻击,可为图像分类器生成对抗性示例
05-05
该存储库包含[1]中描述的GeoDA算法的官方PyTorch实现。 GeoDA是一种黑盒攻击,可为图像分类器生成对抗性示例。 有关不同规范的GeoDA性能的一些示例 要求 要执行代码,请确保已安装以下软件包: (如果可用,请与...
ZOO-Attack:动物园
05-02
根据IBM的要求,该存储库已移至 ,但我们的目标是使两个存储库保持同步。 该代码在Apache License v2下发布。 ZOO:基于零阶优化的对深度神经网络的黑盒攻击 ZOO是Z eroth即刻申Øptimization基于Web的攻击攻击深层神经网络(DNNs)。 我们提出了一种有效的黑盒攻击,只需要访问目标DNN的输入(图像)和输出(置信度得分)即可。 我们将攻击公式化为优化问题(类似于Carlini和Wagner的攻击),并提出了适合黑盒设置的新损失函数。 我们使用零阶随机坐标下降来直接对目标DNN进行优化,并使用降维,分层攻击和重要性采样技术来提高攻击效率。 无需任何可移植性或替代模型。 ZOO有两种变体,即ZOO-ADAM和ZOO-Newton,分别对应于不同的求解器(ADAM和Newton)以找到最佳的坐标更新。 实际上,ZOO-ADAM通常在微调参数下效果更好,但是
"白盒和可迁移黑盒攻击:评估和增强攻击强度
150850研究前k个白盒和可迁移黑盒攻击0张超宁,Philipp Benz,Adil Karjauv,Jae Won Cho,Kang Zhang,In So Kweon韩国科学技术高等研究院(KAIST)chaoningzhang1990@gmail.com0摘要0现有研究已经确定了...
第五章通过mindspore实现FGSM网络对抗攻击
beimingiq314的博客
12-11 6484
随着我们对昇思平台了解的不断深入,我们可以尝试使用他完成一些更加深度有趣的内容。这次我们就一起来尝试以梯度符号攻击(Fast Gradient Sign Method,FGSM)为例,演示此类攻击是如何误导模型的。Szegedy在2013年最早提出对抗样本的概念:在原始样本处加入人类无法察觉的微小扰动,使得深度模型性能下降,这种样本即对抗样本。如下图所示,本来预测为“panda”的图像在添加噪声之后,模型就将其预测为“gibbon”,右边的样本就是一个对抗样本:图片来自。
MNIST数据集还原Deep leakage from gradients梯度攻击实验
CIT_JEFF的博客
08-14 1187
1、先贴上我的还原代码(Jupter) 本文讲述了如何使用Pytorch(一种深度学习框架)构建一个简单的卷积神经网络, 并使用MNIST数据集(28*28手写数字图片集)进行训练和测试。针对过程中的每个步骤都尽可能的给出了详尽的解释。 MNIST 包括6万张28x28的训练样本,1万张测试样本,很多教程都会对它”下手”几乎成为一个 “典范”,可以说它就是计算机视觉里面的Hello World。所以我们这里也会使用MNIST来进行实战。 # 1 准备工作 ## 导入包 ```python i
PyTorch使用快速梯度符号攻击(FGSM)实现对抗性样本生成(附源码和数据集MNIST手写数字)
showswoller的博客
11-16 2373
PyTorch使用快速梯度符号攻击(FGSM)实现对抗性样本生成(附源码和数据集MNIST手写数字)
PyTorch】教程:对抗学习实例生成
最新发布
02-10 808
研究推动ML模型变得更快、更准、更高效。设计和模型的安全性和鲁棒性经常被忽视,尤其是面对那些想愚弄模型故意对抗时。本教程将提供您对ML模型的安全漏洞的认识,并将深入了解对抗性机器学习这一热门话题。在图像中添加难以察觉的扰动会导致模型性能的显著不同,鉴于这是一个教程,我们将通过图像分类器的示例来探讨这个主题。具体来说,我们将使用第一种也是最流行的攻击方法之一,快速梯度符号攻击(FGSM)来欺骗MNIST分类器。
黑盒攻击的分类_<EYD与机器学习>:对抗攻击基础知识(二十八)
weixin_42405705的博客
12-29 778
各位知乎儿好,上次分享的一篇综述论文中曾经提到目前对抗性例子的迁移性问题。其中作者曾指出,对抗样本的迁移分为三种:(1)在同一神经网络架构之间用不同的数据进行训练; (2)同一任务训练的不同神经网络架构之间的传输; (3)不同任务的DNNs之间的转移。第三种的难度最大,在当时还没有实现不同任务之间对抗样本迁移的例子。今天笔者想分享的就是一篇在不同任务之间进行迁移的对抗攻击方法,该论文所提算法可...
机器学习HW10对抗性攻击
Raphael9900的博客
01-01 1624
HW10
PyTorch中文教程 | (10) 对抗性示例生成
sdu_hao的博客
07-25 4735
Github地址 如果你正在阅读这篇文章,希望你能理解一些机器学习模型是多么有效。现在的研究正在不断推动ML模型变得更快、更准确和更高效。然而,在设计和训练模型中经常会忽视的是安全性和健壮性方面,特别是在面对欺骗模型的对手时。 本教程将提高您对ML模型安全漏洞的认识,并将深入探讨对抗性机器学习这一热门话题。您可能会惊讶地发现,在图像中添加细微的干扰会导致模型性能的巨大差异。鉴于这是一个教...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

o_o O

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值