pytorch 对抗样本_百度飞桨AI安全对抗赛第二名方案 --本项目基于飞桨PaddlePaddle实现...

最新推荐文章于 2023-09-27 17:34:26 发布
最新推荐文章于 2023-09-27 17:34:26 发布
阅读量619 收藏 1
点赞数
文章标签: pytorch 对抗样本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29699041/article/details/112164408
版权

BAIDU_AIAdversialAttack

AI安全对抗赛第二名方案 --本项目基于飞桨PaddlePaddle实现

队伍:我不和你们玩了

赛题背景

目前人工智能和机器学习技术被广泛应用在人机交互、推荐系统、安全防护等各个领域,其受攻击的可能性以及是否具备强抗打击能力备受业界关注。具体场景包括语音,图像识别,信用评估,防止欺诈,过滤恶意邮件,抵抗恶意代码攻击,网络攻击等等。攻击者也试图通过各种手段绕过,或直接对AI模型进行攻击达到对抗目的。在人机交互这一环节,随着移动设备的普及,语音、图像作为新兴的人机输入手段,其便捷和实用性被大众所欢迎。因此图像识别的准确性对人工智能产业至关重要。这一环节也是最容易被攻击者利用,通过对数据源的细微修改,在用户感知不到的情况下,使机器做出了错误的操作。这种方法会导致AI系统被入侵、错误命令被执行,执行后的连锁反应会造成的严重后果。

本次竞赛的题目和数据由百度安全部、百度大数据研究院提供,竞赛平台AI Studio由百度AI技术生态部提供。期待参赛者们能够以此为契机,学习对抗样本理论知识并提升深度学习工程实践能力。欢迎全球范围开发者积极参与,鼓励高校教师积极参与指导。

赛题描述

  • 初赛:初赛中,选手通过对 指定图像 添加扰动,使目标模型(Target Model)(一个为ResNeXt50模型并公开模型结构与参数(白盒);一个为MobileNetV2模型并公开模型结构与参数(白盒);一个不公开模型结构与参数(黑盒)。)分类错误,例如对于一张分类为A的图片,目标模型只要判别扰动后的样本不为A,即可判定成功。同时以生成扰动量越小越优。
  • 复赛:复赛选手的目标与初赛相同: 利用给定,将指定的120张图片样本生成为攻击样本,主办方根据选手提供的攻击样本在后台使用上述5个Target Model(一个是与初赛相同的ResNeXt50白盒模型(白盒),一个是人工加固的模型(灰盒),另外三个均为黑盒模型,其中包括由AutoDL技术训练的模型。)进行评估,只要使Target Model分类结果与Label不一致,则判定为攻击成功。样本攻击成功数越多、扰动越小,得分越高。

方案

攻击所用算法主体为MomentumIteratorAttack,代码实现参照了advbox。在此基础之上,尝试了不同的目标函数,集成了不同的模型,添加了多样的越过局部最优的策略。

模型集成

集成模型选取思路为多元,尽可能多的不同模型,才可能逼近赛题背后的黑盒模型。

5150ef60c2c8a52b6fd273deb746c86d.png
  • 橙色和蓝色框中模型均采用pytorch进行迁移训练,训练集测试集为原始Stanford Dogs数据集划分,迭代次数均为25,学习率均为0.001。随后将pytorch转换为oxnn模型,再用x2paddle转换为paddle模型。
  • 红色框中模型为直接用paddlepaddle训练而来,迭代次数为20,其余参数与前述相同。
  • 人工加固ResNeXt50_32x4d模型

决赛中的灰盒模型为人工加固的模型,结构为ResNeXt50。为了攻击黑盒模型,我在本地训练了一个加固模型,作为灰盒模型的逼近。训练加固模型涉及到训练集的选取和训练方法的选取。 训练集的构成主要有两部分,第一部分我采用不同的方法攻击初赛的白盒模型(此白盒模型与灰盒模型具有相同的网络结构),将生成的n个样本集作为训练集的一部分,思路如图3.2所示。这样基于的假设是,不同的攻击方法生成的对抗样本在真实的灰盒模型表现上会有差异,有些图片依然能被灰盒模型正确识别。将n个样本集集合,就可以构建出完全将灰盒攻击成功的图片集。

1f3a0cdf3c218618117acbb209b232f8.png

第二部分为Stanford Dogs数据集中随机选取的8000张图片和原始的120张图片,这些图片的选取是为了保持模型的泛化能力。

随机梯度反向

  • 大粒度 此方法受启发于[2],论文中采取双路寻优,一路采用常规方法梯度上升,如图中绿线所示。另一路先采取梯度下降到达这一分类局部最优再进行梯度上升,以期找到更快的上升路径,如图3.3中蓝线所示。 而本人在实现过程中,对其进行简化,仅在迭代的第一步进行梯度下降。

fa190c814d3cc62b57643e0200047213.png
  • 小粒度 随机选取梯度中5%进行取反,可视为像素粒度的梯度反向,反转比例为一超参数。

添加高斯噪声

此方法受启发于[6],论文作者认为攻击模型的梯度具有噪声,损害了迁移能力。论文作者用一组原始图片加噪声后的梯度的平均代替原来的梯度,效果得到提升。

限定可变化的像素范围

将图片变动的像素点限定在梯度最大的5%。

三通道梯度平均

该方法受启发于[3],文中,作者随机在图像中选择max_pixels个点 在多个信道中同时进行修改。因此我尝试了两种方法,一是只计算R或G或B通道的梯度,三个通道减去相同的梯度。二是将三通道的梯度进行平均。从结果来看,后者更有效,提分明显。

攻击后进行目标攻击

此方法受启发于[2],作者在成功越过分界线后进行消除无用噪声操作,作者认为此举可以加强对抗样本的迁移能力。 我的做法与此不同,我认为不仅要越过边界,还要走向这个错误分类的低谷。此举依据的假设是:尽管不同模型的分界线存在差异,模型学到的特征应是相似的。思路如图3.4中红色箭头所示,带有圆圈的数字表示迭代步数。 因此,在成功攻击之后,我又添加了两步定向攻击,目标为攻击成功时被错分的类别。在集成攻击时,目标为被错分类别的众数。

6ea83d06aaf3efd632f993cc4b50974a.png

小扰动截断

使用上述方法后,我的结果在95-96分之间波动,为进一步提升成绩,我选用最高分96.53分图片进行后处理。后处理方法为:将攻击后的图片与原图片进行对比,对一定阈值以下的扰动进行截断。 经过不断上探阈值,发现阈值为17(图片的像素范围为0-255)的时候效果最好。此方法提分0.3左右。

参考文献

[1] Liu Y , Chen X , Liu C , et al. Delving into Transferable Adversarial Examples and Black-box Attacks[J]. 2016.

[2] Shi Y , Wang S , Han Y . Curls & Whey: Boosting Black-Box Adversarial Attacks[J]. 2019.

[3] Narodytska N , Kasiviswanathan S P . Simple Black-Box Adversarial Perturbations for Deep Networks[J]. 2016.

[4] Huang Q , Katsman I , He H , et al. Enhancing Adversarial Example Transferability with an Intermediate Level Attack[J]. 2019.

[5] https://www.cs.cmu.edu/~sbhagava/papers/face-rec-ccs16.pdf

[6] Understanding and Enhancing the Transferability of Adversarial Examples

代码使用说明

代码开源在https://github.com/sleepingxin/BAIDU_AIAdversialAttack

  • python3
  • paddle
  • numpy

在本目录下输入 

python 9model_ensemble_attack.py
python pert_drop.py

结果保存在posopt_output_image

Denis Wang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AdvBox:Advbox是用于生成对抗示例的工具箱,这些示例可以欺骗PaddlePaddlePyTorch,Caffe2,MxNet,Keras,TensorFlow和Advbox中的神经网络,从而可以对机器学习模型的健壮性进行基准测试。 Advbox提供了一个命令行工具来生成带有零编码的对抗示例
02-04
Advbox系列 Advbox系列是百度开源的一系列AI模型安全工具集,包括对抗示例的生成,检测和保护,以及针对不同AI应用的攻击和防御案例。 Advbox系列支持Python 3. *。 我们的工作 | 看到 AdvSDK 用于PaddlePaddle的轻量级Adv SDK,用于生成对抗性示例。 对抗盒 Adversarialbox是用于生成对抗示例的工具箱,该示例会欺骗PaddlePaddlePyTorch,Caffe2,MxNet,Keras,TensorFlow和Advbox的神经网络,它们可以对机器学习模型的健壮性进行基准测试.Advbox提供了一个
淦?GAN!一文搞懂生成对抗网络的思想(文末附基于PaddlePaddle的手写数字生成案例)
zbp_12138的博客
08-06 972
最参加了百度顶会论文复现营,经过一个星期的学习,我学到了很多知识,因此我打算把学到的内容好好整理整理,也就有了这篇文章。 点击链接加入课程: https://aistudio.baidu.com/aistudio/education/group/info/1340 什么是GAN? GAN的基本原理 GAN的应用场景 基于飞桨的手写数字生成案例 1. 什么是GAN?GAN的全拼是GenerativeAdversarialNetworks,翻译过来就是生成对抗网络 换句话说就是通过对抗的方式去学习.
百度PaddlePaddle开源对抗样本工具包Advbox,守护AI安全
PaddlePaddle
03-07 1291
对抗样本是一个顽固的问题,研究如何克服它们可以帮助我们避免潜在的安全问题,并且会让深度学习算法对所要解决的问题有一个更准确的了解。百度安全实验室为PaddlePaddle...
百度飞桨平台上使用pytorch框架
m0_73585512的博客
07-20 2582
因此可以将之前使用的命令保存进一个脚本文件env.sh中,之后每次重新进入项目时运行该脚本即可自动配置文件,配置的环境在服务器自带的python35-paddle120-env。在notebooke上直接pip安装pytorch,服务器会因为兼容性的原因制止本次安装,因此需要新建一个终端,在终端中新建虚拟环境—>安装pytorch。在百度飞桨配置pytorch框架有一个问题在于,每次重启项目时,之前配置好的环境会被删除,需要重新配置。可以换清华源加快速度,网络上有很多教程,在此不再赘述。
PyTorch+Yolov5环境搭建
weixin_44332602的博客
10-11 1652
免额外安装cuda、cudnn
移动端深度框架 TensorFlow Lite 、小米MACE和 支付宝xNN 比较
u010899985的博客
07-01 4346
一直以来,随着深度学习的快速发展,复杂而庞大的模型需要在计算力强大的计算设备上才可以展示其强大的能力,如GPU,深度学习运行在移动和嵌入式设备中,它赋予了这些设备在终端本地运行机器学习模型的能力,从而不再需要向云端服务器发送数据。这样一来,不但节省了网络流量、减少了时间开销,而且还充分帮助用户保护自己的隐私和敏感信息 ,而在没有强大计算机资源支持的情况下,怎样才能大规模部署深度学习算法成为可能。...
Deepstream6.3部署YOLOv8
weixin_51230935的博客
09-27 1546
我的显卡型号A30可以安装的是DS6.1-6.3,我选择安装DS6.3。
pytorch_FGSM_对抗样本
08-01
pytorch_FGSM_对抗样本,可直接运行,论文《Adversarial Examples in the Physical World》
Pytorch实现数字对抗样本生成全套代码(GAN)
05-06
利用GAN的思想,进行数字对抗样本生成,以LeNet作为图像分类模型,LeNet是一个小型的神经网络结构,仅包含两层卷积层、两个池化层以及三层全连接。该轻量级网络能快速、占内存小、高精确度的解决复杂度比较低的问题...
DnCNN-pytorch.zip_DNCNN_DNCNN pytorch_DnCNN-pytorch_dncnn pyto
07-13
DnCNN implement by pytorch
Python-支持主流深度学习框架模型转换至百度PaddlePaddle飞桨
08-11
X2Paddle is a toolkit for converting trained model to PaddlePaddle from other deep learning frameworks. 支持主流深度学习框架模型转换至PaddlePaddle飞桨
百度飞桨PaddlePaddle深度学习心得分享
12-21
能参加到这次的百度飞桨七日“Python小白逆袭大神”打卡营是一次偶然的了解得知的这个机会,之前因为课程和基础不够扎实参加到AI实战营没有顺利跟完全程,这一次很开心可以顺利跟上并且结营。下面的内容就简要的总结一下这几天的学习内容和踩过的小坑吧。 本次课程的课程目标: 1.掌握Python的基础语言、进阶知识和常用的深度学习库,能够利用Python爬取数据并进行可视化分析 2.掌握人工智能基础知识、应用,体验人工智能的前沿技术 3.了解飞桨平台及百度AI技术、应用,掌握AI Studio的使用方法 本次课程的安排:Day1-人工智能概述与python入门基础python基础、人工智能概述Day
基于GPU加速+Pytorch的K-Means聚类实现-附项目源码-优质项目实战.zip
最新发布
05-25
基于GPU加速+Pytorch的K-Means聚类实现_附项目源码_优质项目实战
kuaisuqianyi.zip_deep learning_kuaisu-mini.exe_pytorch_快速风格迁移_风格
07-15
快速风格迁移算法实现,输入一张风格图片和一类内容图片组成的数据集,训练后能够达到输入任意内容图片进行风格转换的目的
yolov5-6.1 opencv dnn onnx推理python,c++
网络架构
03-16 7874
yolov5-6.1 opencv dnn onnx推理python,c++代码
百度AI studio飞浆使用pytorch训练模型
yhblog的博客
12-01 1万+
百度AI studio 可以免费使用GPU,有基础版本不提供GPU,高级版本和智至尊版本会提供不同的云服务器使用GPU,同时百度AI studio是已经配置了anaconda环境的,可以直接使用conda相关命令。但百度的AI studio每次启动后环境都是需要重新配置的。如果每次重新配置环境的话会比较浪费时间。 解决办法(更换国内的镜像源,实现快速配置部署): 1.自己选择一个目录或者新建一个目录,然后新建一个sh格式的shell文件(命令为env.sh)。 2.编辑该文件 vim env.sh,并.
VGG网络结构的搭建(pytorch以及百度飞桨
热门推荐
weixin_45621014的博客
11-18 4万+
VGG网络是在2014年由牛津大学著名研究组VGG (Visual Geometry Group) 提出。
[飞桨paddle]1. conda安装paddle环境.模型转换,pytorch(任意模型)->paddlepaddle
Eric_Sober的博客
02-22 2998
X2Paddle 是飞桨生态下的模型转换工具, 目前已经支持 Caffe/TensorFlow/ONNX/PyTorch 四大框架的预测模型的转换,PyTorch 训练项目的转换,涵盖了目前市面主流深度学习框架,一条命令即可完成转换。
飞桨】【论文复现】 pytorch 转 paddle 心得
weixin_48733317的博客
08-23 7138
参加了百度飞桨的论文复现,GAN论文的实现是基于pytorch的,这样就有pytorch迁移的到paddle过程。 中途有不小的坑,现在刚好总结一下: 1. 主体思路 2. tensor包装 3.api 包装 4. pretrain 模型转换 1. 主体思路 我的思路就是重新写一个torch的库(用paddle实现torch的接口),我命名为paddle_torch, 实现了之后我们复现pytorch 代码,就是只需要 把 import torch 改为 import paddle_t...
attention_ocr.pytorch-master.zip
05-14
attention_ocr.pytorch-master.zip 是一个...总而言之,attention_ocr.pytorch-master.zip提供了一个实现OCR解决方案的基础框架,用户可以根据自己的需要进行二次开发,或直接使用其中已经训练好的模型进行文本识别。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值