FGSM对抗样本生成算法实现(pytorch版)

已于 2025-04-08 17:34:44 修改
阅读量1.2k 收藏 30
点赞数 22
分类专栏: 深度学习 文章标签: 算法 pytorch 人工智能 python 深度学习
于 2025-03-29 18:54:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62107003/article/details/146704541
版权

FGSM对抗样本生成算法

  • 一、理论部分
    • 1.1 目标
    • 1.2 数学公式
    • 1.3 推导过程
    • 1.4 直观解释
    • 1.5 示例
    • 1.6 总结
  • 二、代码实现
    • 2.1 导包
    • 2.2 数据加载和处理
    • 2.3 网络构建
    • 2.4 模型加载
    • 2.5 生成对抗样本
    • 2.6 攻击测试
    • 2.7 启动攻击
    • 2.8 效果展示

一、理论部分

FGSM(Fast Gradient Sign Method) 是一种经典的对抗样本生成方法,其核心思想是通过在输入数据的梯度方向上添加扰动,从而生成对抗样本

1.1 目标

给定一个输入样本 x x x 和对应的真实标签 y y y ,FGSM 的目标是生成一个对抗样本 x adv x_{\text{adv}} xadv ,使得:

  • 对抗样本 x adv x_{\text{adv}} xadv 与原始样本 x x x 的差异很小(通常用 L ∞ L_\infty L 范数衡量)
  • 模型在对抗样本 x adv x_{\text{adv}} xadv 上的预测结果与真实标签 y y y 不一致。

1.2 数学公式

FGSM 的对抗样本生成公式: x adv = x + ϵ ⋅ sign ( ∇ x J ( x , y ) ) x_{\text{adv}} = x + \epsilon \cdot \text{sign}(\nabla_x J(x, y)) xadv=x+ϵsign(xJ(x,y))

其中

  • x x x:原始输入样本
  • y y y:输入样本的真实标签
  • ϵ \epsilon ϵ:扰动强度(一个小的正数,控制扰动的幅度)
  • ∇ x J ( x , y ) \nabla_x J(x, y) xJ(x,y):损失函数 J J J 对输入 x x x 的梯度
  • sign ( ⋅ ) \text{sign}(\cdot) sign():符号函数,返回梯度的符号( + 1 +1 +1 − 1 -1 1

1.3 推导过程

(1)定义损失函数

假设模型的损失函数为 J ( x , y ) J(x, y) J(x,y),其中:

  • x x x 是输入样本
  • y y y 是真实标签

(2)计算梯度

计算损失函数 J ( x , y ) J(x, y) J(x,y) 对输入 x x x 的梯度: ∇ x J ( x , y ) \nabla_x J(x, y) xJ(x,y)

梯度表示损失函数在输入空间中的变化方向

(3)生成对抗样本

为了最大化损失函数 J ( x , y ) J(x, y) J(x,y),FGSM 沿着梯度的符号方向扰动输入数据: x adv = x + ϵ ⋅ sign ( ∇ x J ( x , y ) ) x_{\text{adv}} = x + \epsilon \cdot \text{sign}(\nabla_x J(x, y)) xadv=x+ϵsign(xJ(x,y))

  • sign ( ∇ x J ( x , y ) ) \text{sign}(\nabla_x J(x, y)) sign(xJ(x,y)):梯度的符号方向,表示损失函数增加最快的方向
  • ϵ \epsilon ϵ:扰动强度,控制扰动的幅度

(4)限制扰动范围

为了确保对抗样本 x adv x_{\text{adv}} xadv 与原始样本 x x x 的差异不会过大,通常会将对抗样本的像素值限制在合理范围内(例如 [ 0 , 1 ] [0, 1] [0,1]):
x adv = clip ( x + ϵ ⋅ sign ( ∇ x J ( x , y ) ) , 0 , 1 ) x_{\text{adv}} = \text{clip}(x + \epsilon \cdot \text{sign}(\nabla_x J(x, y)), 0, 1) xadv=clip(x+ϵsign(xJ(x,y)),0,1)

其中, clip ( ⋅ ) \text{clip}(\cdot) clip() 是裁剪函数,将像素值限制在 [ 0 , 1 ] [0, 1] [0,1] 范围内。

1.4 直观解释

  • 梯度方向:梯度 ∇ x J ( x , y ) \nabla_x J(x, y) xJ(x,y) 表示损失函数在输入空间中的变化方向。沿着梯度方向增加输入数据,可以最大化损失函数
  • 符号函数:符号函数 sign ( ⋅ ) \text{sign}(\cdot) sign() 将梯度方向简化为 + 1 +1 +1 1 1 1,从而生成一个简单的扰动
  • 扰动强度 ϵ \epsilon ϵ 控制扰动的幅度。 ϵ \epsilon ϵ 越大,扰动越明显,对抗样本的欺骗性越强

1.5 示例

假设

  • 输入样本 x x x 是一个图像
  • 模型的损失函数是交叉熵损失 J ( x , y ) J(x, y) J(x,y)
  • 扰动强度 ϵ = 0.03 \epsilon = 0.03 ϵ=0.03

步骤

  1. 计算损失函数对输入的梯度: ∇ x J ( x , y ) \nabla_x J(x, y) xJ(x,y)
  2. 获取梯度的符号方向: sign ( ∇ x J ( x , y ) ) \text{sign}(\nabla_x J(x, y)) sign(xJ(x,y))
  3. 生成对抗样本: x adv = x + 0.03 ⋅ sign ( ∇ x J ( x , y ) ) x_{\text{adv}} = x + 0.03 \cdot \text{sign}(\nabla_x J(x, y)) xadv=x+0.03sign(xJ(x,y))
  4. 裁剪对抗样本的像素值到 [ 0 , 1 ] [0, 1] [0,1] 范围内

1.6 总结

FGSM 的数学公式可以总结为: x adv = clip ( x + ϵ ⋅ sign ( ∇ x J ( x , y ) ) , 0 , 1 ) x_{\text{adv}} = \text{clip}(x + \epsilon \cdot \text{sign}(\nabla_x J(x, y)), 0, 1) xadv=clip(x+ϵsign(xJ(x,y)),0,1)

  • 目标:通过在输入数据的梯度方向上添加扰动,生成对抗样本
  • 核心思想:沿着损失函数增加最快的方向扰动输入数据
  • 优点:简单高效,计算速度快
  • 缺点:生成的对抗样本可能不够鲁棒,容易被防御方法检测到

FGSM 是理解对抗样本生成的基础方法,后续的许多对抗攻击方法(如 PGD、CW 攻击等)都是基于 FGSM 的改进

二、代码实现

  • 利用训练好的LeNet模型实现对抗攻击效果
  • 可视化展示攻击效果

2.1 导包

import torch
import torch.nn as nn
from torchvision import datasets, transforms
from torch.utils.data import DataLoader
import matplotlib.pyplot as plt
import numpy as np
from tqdm import tqdm

2.2 数据加载和处理

# 加载 MNIST 数据集
def load_data(batch_size=64):
    transform = transforms.Compose([
        transforms.ToTensor(),  # 将图像转换为张量
        transforms.Normalize((0.5,), (0.5,))  # 归一化
    ])
    
    # 下载训练集和测试集
    train_dataset = datasets.MNIST(root='./data', train=True, download=True, transform=transform)
    test_dataset = datasets.MNIST(root='./data', train=False, download=True, transform=transform)
    
    # 创建 DataLoader
    train_loader = DataLoader(dataset=train_dataset, batch_size=batch_size, shuffle=True)
    test_loader = DataLoader(dataset=test_dataset, batch_size=batch_size, shuffle=True)
    return train_loader, test_loader

2.3 网络构建

  • LeNet 的网络结构如下:
    • 卷积层 1:输入通道 1,输出通道 6,卷积核大小 5x5
    • 池化层 1:2x2 的最大池化
    • 卷积层 2:输入通道 6,输出通道 16,卷积核大小 5x5。
    • 池化层 2:2x2 的最大池化。
    • 全连接层 1:输入 16x5x5,输出 120
    • 全连接层 2:输入 120,输出 84
    • 全连接层 3:输入 84,输出 10(对应 10 个类别)
 #定义LeNet网络架构
class LeNet(nn.Module):
   def __init__(self):
       super(LeNet,self).__init__()
       self.net=nn.Sequential(
           #卷积层1
           nn.Conv2d(in_channels=1,out_channels=6,kernel_size=5,stride=1,padding=2),nn.BatchNorm2d(6),nn.Sigmoid(),
           nn.MaxPool2d(kernel_size=2,stride=2),
           #卷积层2
           nn.Conv2d(in_channels=6,out_channels=16,kernel_size=5,stride=1),nn.BatchNorm2d(16),nn.Sigmoid(),
           nn.MaxPool2d(kernel_size=2,stride=2),
           nn.Flatten(),
           #全连接层1
           nn.Linear(16*5*5,120),nn.BatchNorm1d(120),nn.Sigmoid(),
           #全连接层2
           nn.Linear(120,84),nn.BatchNorm1d(84),nn.Sigmoid(),
           #全连接层3
           nn.Linear(84,10)
       )

   def forward(self,X):
       return self.net(X)

2.4 模型加载

def load_model(pre_model="./model/best_lenet_mnist.pth",device="cuda"):
    model = LeNet()
    model.load_state_dict(torch.load(pre_model, map_location=device,weights_only=True))
    model.to(device)
    model.eval() #评估模式
    return model

2.5 生成对抗样本

# 定义 FGSM 攻击函数
def fgsm_attack(image, epsilon, data_grad):
    """
    FGSM 攻击函数
    :param image: 原始输入图像
    :param epsilon: 扰动强度
    :param data_grad: 输入图像的梯度
    :return: 对抗样本
    """
     # 获取梯度的符号方向
    sign_data_grad = data_grad.sign()
    # 生成对抗样本
    perturbed_image = image + epsilon * sign_data_grad
    # 将像素值裁剪到 [0, 1] 范围内
    # perturbed_image = torch.clamp(perturbed_image, 0, 1)
    return perturbed_image

2.6 攻击测试

# 测试模型在对抗样本上的表现
def fgsm_test(model,test_loader,epsilon,criterion,device):
    """
    测试模型在对抗样本上的表现
    :param model: 模型
    :param test_loader: 测试数据加载器
    :param epsilon: 扰动强度
    :param criterion: 损失函数
    :param device: 设备
    """
    correct = 0 #累加器,用于统计 test_loader 中预测正确的总样本数量
    total = 0 #累加器,用于统计 test_loader 中已处理的总样本数量
    adv_examples_list=[] #对抗样本
    flag=True

    loop=tqdm(test_loader, desc=f"FGSM epsilon {epsilon}")
    for images, labels in loop:
        images, labels = images.to(device), labels.to(device)
        images.requires_grad = True  # 对images进行梯度计算,默认false

        # 前向传播
        init_outputs = model(images)
        loss = criterion(init_outputs, labels)

        # 获取未攻击时预测的数字
        _,init_preds=torch.max(init_outputs.data,dim=1)

        # 反向传播,计算梯度
        model.zero_grad()
        loss.backward()
        data_grad = images.grad.data

        # 生成对抗样本
        adv_images = fgsm_attack(images, epsilon, data_grad)

        # 测试模型
        adv_outputs = model(adv_images)
        _, adv_preds = torch.max(adv_outputs.data, 1) #获取攻击后预测的数字

        # 获取预测正确个数
        correct += adv_preds.eq(labels).sum().item()
        total += labels.size(0)

        # 单样本带批量维情况(批量大小为1的情况)
        if adv_images.dim() == 4 and adv_images.shape[0] == 1:
            if len(adv_examples_list)<6: # 只保留这个数据集的前六张对抗样本图片,作为返回
                adv_image=adv_images.squeeze().detach().cpu().numpy() #形状[1,1,28,28]->[28,28]
                adv_examples_list.append((init_preds.item(),adv_preds.item(),adv_image))
        else:
            # 批量数据或多维数据(批量大小大于1的情况)
            if flag: # 只保留这个数据集第一个批量中的前六张对抗样本图片,作为返回                   
                for init_pred, adv_pred, adv_image in zip(init_preds[:6], adv_preds[:6], adv_images[:6]):
                    adv_examples_list.append((
                        init_pred.item(),  # 单预测值用.item()
                        adv_pred.item(),
                        adv_image.squeeze().detach().cpu().numpy()  # [1,28,28] -> [28,28]
                    ))
                flag=False

        # 更新进度条
        loop.set_postfix(acc=100. * correct / total)
    return adv_examples_list

2.7 启动攻击

# 检查设备
device = torch.device("cuda" if torch.cuda.is_available() else "cpu")

#加载数据
_, test_loader=load_data(batch_size=64)

# 加载模型
pre_model="./model/best_lenet_mnist.pth"
model = load_model(pre_model,device)

# 定义损失函数和优化器
criterion = nn.CrossEntropyLoss()

# 攻击测试
adv_examples_list=[]
epsilons = [ 0,0.1,0.15,0.2,0.25,0.3]
for epsilon in epsilons:
    adv_examples=fgsm_test(model,test_loader,epsilon,criterion,device)
    adv_examples_list.append(adv_examples)

FGSM epsilon 0: 100%|██████████████████████████████████████████████████████| 157/157 [00:03<00:00, 43.72it/s, acc=99.1]
FGSM epsilon 0.1: 100%|████████████████████████████████████████████████████| 157/157 [00:03<00:00, 42.71it/s, acc=81.1]
FGSM epsilon 0.15: 100%|█████████████████████████████████████████████████████| 157/157 [00:03<00:00, 40.88it/s, acc=67]
FGSM epsilon 0.2: 100%|████████████████████████████████████████████████████| 157/157 [00:03<00:00, 42.41it/s, acc=53.8]
FGSM epsilon 0.25: 100%|███████████████████████████████████████████████████| 157/157 [00:03<00:00, 45.22it/s, acc=43.3]
FGSM epsilon 0.3: 100%|████████████████████████████████████████████████████| 157/157 [00:03<00:00, 44.33it/s, acc=36.1]

2.8 效果展示

def plot_adv_examples(adv_examples_list, epsilons):
    """展示对抗攻击效果"""
    cnt = 0
    plt.figure(figsize=(8, 10))
    for i in range(len(epsilons)):
        for j in range(len(adv_examples_list[i])):
            cnt += 1
            plt.subplot(len(epsilons), len(adv_examples_list[0]), cnt)
            plt.xticks([], [])
            plt.yticks([], [])
            if j == 0:
                plt.ylabel("Eps: {}".format(epsilons[i]), fontsize=14)
            orig_pred, adv_pred, adv_image = adv_examples_list[i][j]
            plt.title("{} -> {}".format(orig_pred, adv_pred),color=("green" if orig_pred==adv_pred else "red"))
            plt.imshow(adv_image, cmap="gray")
    plt.tight_layout()
    plt.show()
 
plot_adv_examples(adv_examples_list, epsilons)

在这里插入图片描述

FGSM算法学习笔记
MYRLibra的博客
01-16 1996
FGSM (Fast Gradient Sign Method) 出处:Explaining and Harnessing adversarial examples 类型:白盒攻击 核心思想:沿着深度学习模型的梯度方向添加图像扰动,使损失函数增大,导致模型进行错误的分类。 观点:高维空间下的线性行为足以产生对抗样本。 x~=x+ηη=εsign(▽xJ(θ,x,y))\tilde{x}=x+\et...
FGSM生成对抗样本(MNIST数据集)Pytorch代码实现与实验分析
gaowencheng01的博客
03-02 2211
使用Pytorch利用FGSM算法,在MNIST数据集上生成对抗样本,并进行实验,探究不同epsilon值对分类准确度的影响
Python实现FGSM攻击LeNet5模型(Mnist数据集)
2302_81081461的博客
11-04 649
手把手实现FGSM攻击LeNet5生成对抗模型
对抗攻击算法FGSM和PGD
srh20的博客
11-27 2645
FGSM 利用了梯度上升的思想,通过损失函数相对于输入图像的梯度来找到 最容易 迷惑网络的方向,并沿着这个方向对图像进行微小的扰动。FGSM 的基本想法是,沿着这个梯度的符号方向对图像进行微调,以最大化损失函数。
FGSM方法生成交通信号牌的对抗图像样本
Rnan_prince的博客
01-14 1006
生成对抗样本,即扰动图像,让原本是的信号牌识别为。
【对抗攻击代码实战】对抗样本生成——FGSM
ji_meng的博客
05-01 1万+
论文链接: 论文笔记链接: 主要讲如何用FGSM生成对抗样本 代码来源于pytorch官网:fgsm_tutoriall 基于优化的对抗样本 首先我们讲一下基于优化方法的 FGSM
Pytorch实现FGSM(Fast Gradient Sign Attack)
08-13 1万+
目录1. 相关说明2. 相关简述3. 代码实现3.1 引入相关包3.2 输入3.3 定义被攻击的模型3.4 定义FGSM攻击函数3.5 测试函数4. 可视化结果5. 可视化对抗样本6. 预训练模型下载7. 训练模型8. 完整代码 1. 相关说明 最近在整理相关实验代码的时候,无意中需要重新梳理下对抗攻击里的FGSM,于是自己参考网上的一些资料以及自己的心得写下这篇文章,用来以后回忆。 2. 相关简述 快速梯度标志攻击(FGSM),是迄今为止最早和最受欢迎的对抗性攻击之一,它由 Goodfellow 等人
FGSM快速梯度符号法非定向攻击代码(PyTorch
weixin_43856668的博客
10-21 584
【代码】FGSM快速梯度符号法非定向攻击代码(PyTorch
对抗算法——FGSM
bank777777的博客
06-27 3671
首先基于输入图像计算梯度,其次更新图像是加上梯度,这与常见的分类模型更新参会方法正好背道而驰。
从原理到代码:如何通过 FGSM 生成对抗样本并进行攻击
qq_22841387的博客
10-03 2759
在机器学习领域,深度神经网络的强大表现令人印象深刻,尤其是在图像分类等任务上。然而,随着对深度学习的深入研究,研究人员发现了神经网络的一个脆弱性:对抗样本(Adversarial Examples)。简单来说,对抗样本是通过对原始输入数据添加微小扰动,导致神经网络预测错误的一类特殊样本。是最早提出的一种简单且有效的对抗攻击方法。它通过利用神经网络的梯度信息,快速生成对抗样本。本篇博客将深入剖析 FGSM 的数学原理,并提供一份基于 PyTorch 的代码实现,帮助你快速上手对抗攻击。
tensorflow2.0+python3.7.4实现FGSM对抗攻击代码
08-31
win10+tensorflow2.0+python3.7.4实现FGSM对抗攻击代码
对抗样本生成方法综述(FGSM、BIM\I-FGSM、PGD、JSMA、C&W、DeepFool)
04-17
对抗样本生成方法是近年来在深度学习领域中一个重要的研究方向,主要是为了揭示和解决神经网络模型的脆弱性问题。这些方法通过构造特定的输入样本来欺骗模型,使其产生错误的预测,从而暴露模型的不足之处。以下是几...
I-FGSM和ICCLM对抗算法.rar
08-15
总结来说,I-FGSM和ICCLM是两种用于生成对抗样本算法,它们都是基于FGSM的扩展,旨在更有效地欺骗深度学习模型。PyTorch作为强大的深度学习框架,配合Jupyter Notebook的使用,能够帮助研究人员和开发者直观地理解...
CW对抗样本生成算法 torch实现_cw对抗攻击
最新发布
2501_90325970的博客
01-19 902
x′lossF,t​(x′)为交叉熵。上面给出的fxf(x)f(x),maxi≠tFx′imaxi=t​(F(x′)i​)表示除了目标类别ttt外,模型当前输入认为最有可能属于类别iii,输入类别iii的概率依旧小于类别ttt的概率,认为此时攻击成功。换言之,就是当识别为类别ttt的概率最大时,认为攻击成功。所以可以对公式进行重新改写。
利用FGSM生成PyTorch对抗样本教程
由于本资源题为 "PyTorch_FGSM_对抗样本",我们可以推断该资源是一个使用PyTorch框架实现FGSM算法的示例代码。PyTorch是一个广泛使用的开源机器学习库,它提供了易于使用的数据结构和动态计算图,特别适合于需要深度...
FGSM(Fast Gradient Sign Method)_学习笔记+代码实现
热门推荐
Erpim的博客
06-27 5万+
FGSM(Fast Gradient Sign Method)算法 特点:白盒攻击、 论文原文:Explaining and Harnessing Adversarial Examples 大牛们在2014年提出了神经网络可以很容易被轻微的扰动的样本所欺骗之后,又对产生对抗样本的原因进行了分析,Goodfellow等人认为高维空间下的线性行为足以产生对抗样本。相继有许多算法被提出用来生成对抗...
Python3环境下cleverhans对抗样本防护编译与测试(含FGSM攻击与ADV防护)
大数据挖掘SparkExpert的博客
12-26 1万+
在看人工智能安全方面的资料,顺手看到cleverhans的资料,就将它在python 3.6的环境下进行编译和测试。       在Ian Goodfellow的《Machine learning privacy and security》报告中才了解到cleverhans项目名字的由来:“一匹叫做 Clever Hans 的马。刚出现的时候人们认为这匹马会做算术,但实际上它只是会阅读人的表
FGSM对抗训练(MNIST数据集)- pytorch实现
t1274171989的博客
10-30 2360
使用FGSM实现手写体识别的对抗训练与分析。测试不同epsilon下模型的准确度。对抗数据集与原数据集合并并训练。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

入梦风行

你的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值