对抗样本之FGSM原理&coding

最新推荐文章于 2024-09-08 20:29:52 发布
最新推荐文章于 2024-09-08 20:29:52 发布
阅读量1.2w 收藏 159
点赞数 31
分类专栏: 优质文章 深度学习 AI安全之对抗学习 文章标签: 对抗样本之FGSM FGSM原理 FGDM实战 FGSM理解 FGSM之pytorch实现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41466575/article/details/116747323
版权

目录

1、FGSM原理

论文 Explaining and harnessing adversarial examples. 这篇论文由Goodfellow等人发表在ICLR2015会议上,是对抗样本生成领域的经典论文。

  • FGSM(fast gradient sign method)是一种基于梯度生成对抗样本的算法,属于对抗攻击中的无目标攻击(即不要求对抗样本经过model预测指定的类别,只要与原样本预测的不一样即可)
  • 我们在理解简单的dp网络结构的时候,在求损失函数最小值,我们会沿着梯度的反方向移动,使用减号,也就是所谓的梯度下降算法;而FGSM可以理解为梯度上升算法,也就是使用加号,使得损失函数最大化。先看下图效果,goodfellow等人通过对一个大熊猫照片加入一定的扰动(即噪音点),输入model之后就被判断为长臂猿
    FGSM样本生成
公式
  1. 如下图,其中 x 是原始样本θ 是模型的权重参数(即w),y是x的真实类别。输入原始样本,权重参数以及真实类别,通过 J 损失函数求得神经网络的损失值,∇x 表示对 x 求偏导,即损失函数 J 对 x 样本求偏导。sign是符号函数,即sign(-2),sign(-1.5)等都等于 -1;sign(3),sign(4.7)等都等于 1。sign函数图如下。
  2. ϵ(epsilon)的值通常是人为设定 ,可以理解为学习率,一旦扰动值超出阈值,该对抗样本会被人眼识别。

在这里插入图片描述在这里插入图片描述

  1. 之后,原始图像x + 扰动值 η = 对抗样本 x + η 。
  2. 理解公式后,感觉FGSM并不难。其思想也和dp神经网络类似,但它更像是一个逆过程。我们机器学习算法中无论如何都希望损失函数能越小越好;那对抗样本就不一样了,它本身就是搞破坏的东西,当然是希望损失值越大越好,这样算法就预测不出来,就会失效。

2、pytorch实现

声明:代码来源于pytorch官网,跳转;你要是想看官网直接跳转即可,但是以下的内容我会讲解代码以及自己的理解。

2.1 建立模型
from __future__ import print_function
import torch
import torch.nn as nn
import torch.nn.functional as F
import torch.optim as optim
from torchvision import datasets, transforms
import numpy as np
import matplotlib.pyplot as plt

# 这里的epsilon先设定为几个值,到时候后面可视化展示它的影响如何
epsilons = [0, .05, .1, .15, .2, .25, .3]
# 这个预训练的模型需要提前下载,放在如下url的指定位置,下载链接如上
pretrained_model = "data/lenet_mnist_model.pth"
use_cuda=True

# 就是一个简单的模型结构
class Net(nn.Module):
    def __init__(self):
        super(Net, self).__init__()
        self.conv1 = nn.Conv2d(1, 10, kernel_size=5)
        self.conv2 = nn.Conv2d(10, 20, kernel_size=5)
        self.conv2_drop = nn.Dropout2d()
        self.fc1 = nn.Linear(320, 50)
        self.fc2 = nn.Linear(50, 10)

    def forward(
最低0.47元/天 解锁文章
Pytorch项目实战】之对抗攻击:无目标对抗攻击(FGSM)、有目标对抗攻击(FGSM
shinuone的博客
01-31 2113
攻击思路将攻击任务转换为对抗样本生成任务(如何选取损失函数、如何搭建可以生成更好对抗样本的模型)如:GAN生成模型。核心手段:通过对输入样本进行不可察觉的细微扰动(添加对抗性噪声),使得神经网络对得到的对抗样本有较高的信任度,并输出任意想要的类别(使人眼和机器识别的类型不同)。攻击特点:由于机器学习模型的输入形式是数值型向量,故攻击者通过设计一种有针对性的数值型向量从而让机器学习模型做出误判。发生时期:主要发生在构造对抗性样本时,机器进行模型训练时。
FGSM:从另一个角度观察BP模型 (附源码)
大泽之国
10-06 1905
什么是FGSM Fast Gradient Sign Attatck(FGSM) 是一种很直观的迷惑基于BP算法训练出的模型的攻击方法, 出自 Explaining and Harnessing Adversarial Examples。基于FGSM的攻击需要了解目标模型内部细节,其目的也只是降低目标模型的分类精度,并不能控制模型误分后的结果。 上图是一个FGSM的例子,左侧第一幅图x可以被目标...
对抗样本FGSM,BIM)
qq_53010932的博客
09-08 801
FGSM(fast gradient sign method)是一种基于梯度生成对抗样本的算法,属于对抗攻击中的无目标攻击(即不要求对抗样本经过model预测指定的类别,只要与原样本预测的不一样即可)在平时求解损失函数的时候,都是最小化损失函数,在梯度的反方向移动,符号使用减号,也就是所谓的梯度下降算法;FGSM可以理解为梯度上升算法,也就是使用加号,使得损失函数最大化。上面是FGSM的公式,和dp神经网络类似,但是是一个反向的逆过程。
动量迭代快速梯度符号方法(Momentum Iterative FGSM,MI-FGSM)原理实现
2840216705@qq.com欢迎学习交流
07-29 2752
而动量机制通过累积多次迭代的梯度信息,可以更全面地利用这些梯度信息,从而在更大范围内找到模型的弱点,增强对抗攻击的效果。而动量机制通过累积多个梯度信息,可以帮助模型摆脱局部最优解的困扰,更容易找到全局最优解或更好的局部最优解,从而生成更强的对抗样本。MI-FGSM 将动量引入到 FGSM 中,通过在每一步迭代中累积梯度的动量,生成更强的对抗样本。动量的作用是利用之前的梯度信息来增强当前更新的方向,从而提高对抗样本生成的效率。) 是之前( t )次迭代的累积梯度,即第 ( t ) 步的动量梯度。
对抗样本——FGSM
NYW007的博客
10-22 1341
Fast Gradient Sign Attack(FGSM)算法小结 一、什么是对抗样本对抗样本的概念最早提出于2014年Szegedy的论文 Intriguing Properties of Neural Networks. 在论文,作者发现了一种有趣的现象,即:当前流行的机器学习模型包括神经网络会容易以很高的置信度分错和原始样本仅仅有轻微不同的样本,这类样本被称为对抗样本。这一现象揭示了...
对抗样本生成算法之FGSM算法
ilalaaa的博客
05-17 5442
目录原理 论文链接点击获取. 原理
【对抗攻击代码实战对抗样本的生成——FGSM
ji_meng的博客
05-01 1万+
论文链接: 论文笔记链接: 主要讲如何用FGSM生成对抗样本 代码来源于pytorch官网:fgsm_tutoriall 基于优化的对抗样本 首先我们讲一下基于优化方法的 FGSM
对抗样本之BIM原理&coding
liuyishou
07-20 3677
1 引言 BIM,即基本迭代法,在FGSM基础上加上了迭代操作。想看FGSM,跳转 理解FGSM,相信对BIM会丝毫没有压力。各位看官大多还是奔着代码去的吧,这里核心讲下代码。 使用pytorch实现BIM。pytorch不会?跳转 2 BIM原理 对比 FGSM公式 BIM公式 如上,BIM与FGSM真就是一个for循环的区别。但为什么BIM也能发论文呢?BIM存在其数学理论的合理性以及实验效果表现良好。 FGSM的使用,基于作者假设模型是高度线性化的。如此一来,梯度上升的方向就是最佳
对抗样本之JSMA原理&coding
liuyishou
07-23 5661
目录1 引言2 JSMA原理3 coding3.1 训练模型3.2 JSMA对抗样本生成3.3 测试鲁棒性3.4 可视化展示附录 1 引言 本文代码完成生成JSMA对抗样本的完整过程。直接复制代码就能跑。相信我,不骗你。 使用pytorch实现JSMA。pytorch不会?跳转 2016 论文地址 2 JSMA原理FGSM利用模型输出的损失函数梯度信息不同,JSMA主要利用模型的输出类别概率信息,来反向传播求得对应梯度信息。作者将其称为前向梯度。即: 通过如上的前向梯度,我们可以知道每个像素点对
对抗样本之MIM原理&coding
liuyishou
07-20 2670
1 引言 MIM,即基于动量的基本迭代法。在BIM上加了动量的操作。不会BIM?跳转 理解了BIM(基本迭代法),相信MIM的原理对你也不难。 使用pytorch实现MIM。pytorch不会?跳转 MIM 论文地址 2 MIM原理 对比 BIM MIM 如上,MIM与BIM在公式上就是有没有 miu*gt 的区别。其方法主要借鉴于神经网络中参数更新的momentum动量的思想。 说白了,MIM的本质就是,在进行迭代的时候,每一轮的扰动不仅与当前的梯度方向有关,还与之前算出来的梯度方向相关
对抗样本之DeepFool原理&coding
liuyishou
07-21 4716
目录1 笔者言2 coding2.1 训练模型2.2 DeepFool对抗样本生成2.3 测试鲁棒性2.4 可视化展示附录 1 笔者言 虽说标题有DeepFool原理,但能力有限,这个我确实讲不清楚。与FGSM,BIM,MIM,CW等生成对抗样本的方法相比,deepfool是最难的了。给你推荐一个我看懂了的文章,但切记,想要真正明白deepfool的原理,就一定要耐下性子认真看,还要多动笔画示意图。言至此,传送门 本文主要讲解代码,完成生成deepfool对抗样本的完整过程。直接复制代码就能跑。相信我,不
对抗样本(三)FGSM
白丁的博客
03-06 3441
文章目录一、论文相关信息  1.论文题目  2.论文时间  3.论文文献二、论文背景及简介三、论文主要内容1、Introducttion2、Releated Work3、The Linear Explanation Of Adversarial Examples4、Linear Perturbation of Non-Linear Models5、Adversarial Training Of L...
DeepLearning | 快速梯度符号法(FGSM)生成对抗样本(Adversarial Examples)的原理与python实现
冯良骏 的 博客
06-28 9568
最近基于对抗样本做了一些工作,这里写一篇论文介绍对抗样本基本的原理和生成方法。内容上参考Goodfellow的论文 Explaining and Harnessing Adversarial Examples 一、什么是对抗样本对抗样本的概念最早提出于2014年Szegedy的论文 Intriguing Properties of Neural Networks. 在论文,作者发现了一种有趣的...
FGSM(Fast Gradient Sign Method)生成对抗样本(32)---《深度学习》
阿华Go,从现在开始的博客
12-11 1万+
利用FGSM方法生成对抗样本的基本原理如下图所示,通过对原始图片添加噪声来使得网络对生成的图片X’进行误分类,需要注意的是,生成图片X’和原始图片X很像,人的肉眼无法进行辨别,生成的图片X’即为对抗样本! 1)定向对抗样本 注意是对X’(n-1)求偏导,并非X,而且注意loss函数J中的参数是X’和Y’,而不是X和Y!这个是定向对抗样本生成的过程,f(x)是针对噪声的裁剪过程! X’(n)=...
对抗算法——FGSM
bank777777的博客
06-27 3664
首先基于输入图像计算梯度,其次更新图像是加上梯度,这与常见的分类模型更新参会方法正好背道而驰。
FGSM对抗攻击算法实现
追风赶月莫停留,平芜尽处是春山
11-30 5240
在我们进入代码之前,让我们看一下著名的 FGSM熊猫示例和摘录一些符号。上图展示了Fast adversarial examples应用在深度网络上。通过加上一个人类感知不到的小向量,向量的值为ϵ乘输入像素点关于误差的梯度值的符号值。这里 ϵ=0.007,符合经过深度网络转换为实数后8bit图像编码的最小数量级。图中加上噪声后,熊猫被识别为长臂猿,并且置信度为99.3%,所以此方法叫做fast gradient sign method,简称FGSM,我们称之为快速梯度下降法。
FGSM算法学习笔记
MYRLibra的博客
01-16 1992
FGSM (Fast Gradient Sign Method) 出处:Explaining and Harnessing adversarial examples 类型:白盒攻击 核心思想:沿着深度学习模型的梯度方向添加图像扰动,使损失函数增大,导致模型进行错误的分类。 观点:高维空间下的线性行为足以产生对抗样本。 x~=x+ηη=εsign(▽xJ(θ,x,y))\tilde{x}=x+\et...
图像对抗算法-攻击篇(I-FGSM
热门推荐
AI之路
05-31 2万+
论文:Adversarial examples in the physical world 论文链接:https://arxiv.org/abs/1607.02533 在上面一篇博客中,我介绍了FGSM算法,FGSM算法从梯度的角度做攻击,速度比较快,这是该算法比较创新的地方。但是FGSM算法只涉及单次梯度更新,有时候单次更新并不足以攻击成功,因此,在此基础上推出迭代式的FGSM,这就是I-FGS...
对抗训练+FGSM, FGM理解与详解
狗狗狗大王的博客
04-28 7928
简介 本文旨在收集对抗训练相关的内容,并作出比较详细的理解和讲解。   概念 本部分收集对抗训练相关的一些词汇和理解对抗样本 我们对数据集中的数据,做一些比较小的、但却能带来很大杀伤力的改动。改动后的数据可能会让模型以较高的confidence输出一个错误的预测。1 很多模型面对这种样本的时候,是很容易出错的。2 Towards Deep Learning Models Resistant to Adversarial Attacks ↩︎ Intriguing properties of ne
SM2I FGSM
最新发布
03-17
### 关于SM2I Algorithm和FGSM Technique #### SM2I Algorithm SM2I 是一种基于椭圆曲线密码学(Elliptic Curve Cryptography, ECC)的改进型算法,主要应用于中国国家密码标准中的 **SM2 密码算法** 的扩展领域。它通常用于增强数据的安全性和隐私保护能力,在某些特定场景下提供更高的计算效率或更优的安全性能。 在中国国家标准 GB/T 32905-2016 中提到,SM2 算法是一种公钥密码体制,涵盖了数字签名、密钥交换以及公钥加密等功能[^1]。而 SM2I 可能是对该算法的一种变体或者优化版本,具体实现细节可能涉及以下方面: - 更高效的密钥生成机制。 - 针对物联网设备或其他资源受限环境下的轻量化设计。 - 提高抗攻击能力,特别是在量子计算机威胁逐渐显现的情况下。 然而需要注意的是,“SM2I” 并未被广泛提及作为正式术语存在于公开资料中;如果存在这样的定义,则可能是某个研究团队提出的专有概念或者是行业内的内部叫法。 以下是 C++ 实现的一个简单例子展示如何利用 SM2 进行基本操作(虽然这里并未直接体现所谓的 “SM2I”,但它可以帮助理解基础逻辑)。 ```cpp #include <iostream> using namespace std; // 解密函数简化版示意代码 int sm2_decrypt_example() { unsigned char *plaintext; int msg_len = 16; // 假设消息长度为固定值 string c2str = "example_cipher"; // 加密后的字符串表示形式 if (!(plaintext = (unsigned char *)malloc(c2str.length()))) { cout << "Memory allocation failed!" << endl; return -1; } // 调用实际解密方法 int error_code = sm2_decrypt(/* 参数列表 */); if (error_code != 0) { cout << "Decrypt SM2 ciphertext by using private key defined in standard failed!" << endl; free(plaintext); // 清理内存防止泄漏 return -2; } return 0; } ``` #### FGSM Technique Fast Gradient Sign Method (FGSM),即快速梯度符号方法,属于对抗样本生成技术之一,主要用于测试机器学习模型尤其是深度神经网络对于微小扰动输入变化时的行为反应情况。通过这种方法能够评估系统的鲁棒性并发现潜在漏洞。 其核心原理在于根据目标分类器输出相对于输入变量求导数方向施加一定量级噪声来制造误导信息从而改变预测结果。例如给定一张图片经过训练好的 CNN 后得到正确标签概率分布向量 p=[p₁,...,pk], 我们希望找到最小幅度修改 δ 使得新图像 x′=x+δ 对应另一类别 q 成立最大可能性。 下面是 Python 版本演示如何应用 PyTorch 库构建简单的 FGSM 攻击过程: ```python import torch from torchvision import models def fgsm_attack(image, epsilon, data_grad): sign_data_grad = data_grad.sign() perturbed_image = image + epsilon*sign_data_grad perturbed_image = torch.clamp(perturbed_image, 0, 1) return perturbed_image model = models.resnet18(pretrained=True).eval() # Assume 'input_tensor' is your input tensor and 'target_label' is the label you want to misclassify towards. output = model(input_tensor) loss_fn = nn.CrossEntropyLoss() loss = loss_fn(output, target_label.unsqueeze(0)) model.zero_grad() loss.backward() data_grad = input_tensor.grad.data perturbed_input = fgsm_attack(input_tensor, eps_value, data_grad) ``` 上述脚本展示了如何针对 ResNet 架构执行一次典型的 FGSM 攻击尝试。 --- ###
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值