Pytorch实现FGSM(Fast Gradient Sign Attack)

最新推荐文章于 2024-05-25 09:34:32 发布
最新推荐文章于 2024-05-25 09:34:32 发布
阅读量1.1w 收藏 134
点赞数 36
分类专栏: 论文笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyf2017/article/details/119676908
版权

目录

1. 相关说明

最近在整理相关实验代码的时候,无意中需要重新梳理下对抗攻击里的FGSM,于是自己参考网上的一些资料以及自己的心得写下这篇文章,用来以后回忆。

2. 相关简述

快速梯度标志攻击(FGSM),是迄今为止最早和最受欢迎的对抗性攻击之一,它由 Goodfellow 等人在[Explaining and Harnessing Adversarial Examples] (https://arxiv.org/abs/1412.6572)中提出,是一种简单但是有效的对抗样本生成算法。它旨在通过利用模型学习的方式和渐变来攻击神经 网络。这个想法很简单,攻击调整输入数据以基于相同的反向传播梯度来最大化损失,而不是通过基于反向传播的梯度调整权重来最小化损失。 换句话说,攻击是利用损失函数的梯度,然后调整输入数据以最大化损失。

3. 代码实现

3.1 引入相关包

# 这句话的作用:即使是在Python2.7版本的环境下,print功能的使用格式也遵循Python3.x版本中的加括号的形式
from __future__ import print_function
import torch
import torch.nn as nn
import torch.nn.functional as F
from torchvision import datasets, transforms
import numpy as np
import matplotlib.pyplot as plt

3.2 输入

    # 设置不同扰动大小
    epsilons = [0, .05, .1, .15, .2, .25, .3]
    # 预训练模型
    pretrained_model = "./data/lenet_mnist_model.pth"
    # 是否使用cuda
    use_cuda = True

3.3 定义被攻击的模型

# 定义LeNet模型
class Net(nn.Module):
    def __init__(self):
        super(Net, self).__init__()
        self.conv1 = nn.Conv2d(1, 10, kernel_size=5)
        self.conv2 = nn.Conv2d(10, 20, kernel_size=5)
        self.conv2_drop = nn.Dropout2d()
        self.fc1 = nn.Linear(320, 50)
        self.fc2 = nn.Linear(50, 10)

    def forward(self, x):
        x = F.relu(F.max_pool2d(self.conv1(x), 2))
        x = F.relu(F.max_pool2d(self.conv2_drop(self.conv2(x)), 2))
        x = x.view(-1, 320)
        x = F.relu(self.fc1(x))
        x = F.dropout(x, training=self.training)
        x = self.fc2(x)
        return F.log_softmax(x, dim=1)

#声明 MNIST 测试数据集何数据加载
test_loader = torch.utils.data.DataLoader(
    datasets.MNIST('../data', train=False, download=True, transform=transforms.Compose([
            transforms.ToTensor(),
            ])),
        batch_size=1, shuffle=True)

# 定义我们正在使用的设备
print("CUDA Available: ",torch.cuda.is_available())
device = torch.device("cuda" if (use_cuda and torch.cuda.is_available()) else "cpu")

# 初始化网络
model = Net().to(device)

# 加载已经预训练的模型
model.load_state_dict(torch.load(pretrained_model, map_location='cpu'))

# 在评估模式下设置模型。在这种情况下,这适用于Dropout图层
model.eval()

然后我们运行下,出现下面结果,主要是在下载数据集。

Downloading http://yann.lecun.com/exdb/mnist/train-images-idx3-ubyte.gz to …/data/MNIST/raw/train-images-idx3-ubyte.gz
Extracting …/data/MNIST/raw/train-images-idx3-ubyte.gz
Downloading http://yann.lecun.com/exdb/mnist/train-labels-idx1-ubyte.gz to …/data/MNIST/raw/train-labels-idx1-ubyte.gz
Extracting …/data/MNIST/raw/train-labels-idx1-ubyte.gz
Downloading http://yann.lecun.com/exdb/mnist/t10k-images-idx3-ubyte.gz to …/data/MNIST/raw/t10k-images-idx3-ubyte.gz
Extracting …/data/MNIST/raw/t10k-images-idx3-ubyte.gz
Downloading http://yann.lecun.com/exdb/mnist/t10k-labels-idx1-ubyte.gz to …/data/MNIST/raw/t10k-labels-idx1-ubyte.gz
Extracting …/data/MNIST/raw/t10k-labels-idx1-ubyte.gz
Processing…
Done!
CUDA Available: True

3.4 定义FGSM攻击函数

# FGSM算法攻击代码
def fgsm_attack(image, epsilon, data_grad):
    # 收集数据梯度的元素符号
    sign_data_grad = data_grad.sign()
    # 通过调整输入图像的每个像素来创建扰动图像
    perturbed_image = image + epsilon*sign_data_grad
    # 添加剪切以维持[0,1]范围
    perturbed_image = torch.clamp(perturbed_image, 0, 1)
    # 返回被扰动的图像
    return perturbed_image

3.5 测试函数

def test( model, device, test_loader, epsilon ):

    # 精度计数器
    correct = 0
    adv_examples = []

    # 循环遍历测试集中的所有示例
    for data, target in test_loader:

        # 把数据和标签发送到设备
        data, target = data.to(device), target.to(device)

        # 设置张量的requires_grad属性,这对于攻击很关键
        data.requires_grad = True

        # 通过模型前向传递数据
        output = model(data)
        init_pred = output.max(1, keepdim=True)[1] # get the index of the max log-probability

        # 如果初始预测是错误的,不打断攻击,继续
        if init_pred.item() != target.item():
            continue

        # 计算损失
        loss = F.nll_loss(output, target)

        # 将所有现有的渐变归零
        model.zero_grad()

        # 计算后向传递模型的梯度
        loss.backward()

        # 收集datagrad
        data_grad = data.grad.data

        # 唤醒FGSM进行攻击
        perturbed_data = fgsm_attack(data, epsilon, data_grad)

        # 重新分类受扰乱的图像
        output = model(perturbed_data)

        # 检查是否成功
        final_pred = output.max(1, keepdim=True)[1] # get the index of the max log-probability
        if final_pred.item() == target.item():
            correct += 1
            # 保存0 epsilon示例的特例
            if (epsilon == 0) and (len(adv_examples) < 5):
                adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
                adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )
        else:
            # 稍后保存一些用于可视化的示例
            if len(adv_examples) < 5:
                adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
                adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )

    # 计算这个epsilon的最终准确度
    final_acc = correct/float(len(test_loader))
    print("Epsilon: {}\tTest Accuracy = {} / {} = {}".format(epsilon, correct, len(test_loader), final_acc))

    # 返回准确性和对抗性示例
    return final_acc, adv_examples

再次运行,输出下面结果:

Epsilon: 0 Test Accuracy = 9810 / 10000 = 0.981
Epsilon: 0.05 Test Accuracy = 9426 / 10000 = 0.9426
Epsilon: 0.1 Test Accuracy = 8510 / 10000 = 0.851
Epsilon: 0.15 Test Accuracy = 6826 / 10000 = 0.6826
Epsilon: 0.2 Test Accuracy = 4303 / 10000 = 0.4303
Epsilon: 0.25 Test Accuracy = 2087 / 10000 = 0.2087
Epsilon: 0.3 Test Accuracy = 871 / 10000 = 0.0871

4. 可视化结果

在上面的基础上我们添加下面的代码:

plt.figure(figsize=(5,5))
plt.plot(epsilons, accuracies, "*-")
plt.yticks(np.arange(0, 1.1, step=0.1))
plt.xticks(np.arange(0, .35, step=0.05))
plt.title("Accuracy vs Epsilon")
plt.xlabel("Epsilon")
plt.ylabel("Accuracy")
plt.show()

运行,出现下面结果:
在这里插入图片描述

5. 可视化对抗样本

# 在每个epsilon上绘制几个对抗样本的例子
cnt = 0
plt.figure(figsize=(8,10))
for i in range(len(epsilons)):
    for j in range(len(examples[i])):
        cnt += 1
        plt.subplot(len(epsilons),len(examples[0]),cnt)
        plt.xticks([], [])
        plt.yticks([], [])
        if j == 0:
            plt.ylabel("Eps: {}".format(epsilons[i]), fontsize=14)
        orig,adv,ex = examples[i][j]
        plt.title("{} -> {}".format(orig, adv))
        plt.imshow(ex, cmap="gray")
plt.tight_layout()
plt.show()

运行,结果如下:
在这里插入图片描述

6. 预训练模型下载

文中我们有一个预训练好的模型,如果自己不想训练可以在这里下载:
模型下载地址

7. 训练模型

如果自己想训练一个模型,可以运行下面这个函数main.py:

from __future__ import print_function
import argparse
import torch
import torch.nn as nn
import torch.nn.functional as F
import torch.optim as optim
from torchvision import datasets, transforms
from torch.optim.lr_scheduler import StepLR


# 定义LeNet模型
class Net(nn.Module):
    def __init__(self):
        super(Net, self).__init__()
        self.conv1 = nn.Conv2d(1, 10, kernel_size=5)
        self.conv2 = nn.Conv2d(10, 20, kernel_size=5)
        self.conv2_drop = nn.Dropout2d()
        self.fc1 = nn.Linear(320, 50)
        self.fc2 = nn.Linear(50, 10)

    def forward(self, x):
        x = F.relu(F.max_pool2d(self.conv1(x), 2))
        x = F.relu(F.max_pool2d(self.conv2_drop(self.conv2(x)), 2))
        x = x.view(-1, 320)
        x = F.relu(self.fc1(x))
        x = F.dropout(x, training=self.training)
        x = self.fc2(x)
        return F.log_softmax(x, dim=1)


def train(args, model, device, train_loader, optimizer, epoch):
    model.train()
    for batch_idx, (data, target) in enumerate(train_loader):
        data, target = data.to(device), target.to(device)
        optimizer.zero_grad()
        output = model(data)
        loss = F.nll_loss(output, target)
        loss.backward()
        optimizer.step()
        if batch_idx % args.log_interval == 0:
            print('Train Epoch: {} [{}/{} ({:.0f}%)]\tLoss: {:.6f}'.format(
                epoch, batch_idx * len(data), len(train_loader.dataset),
                100. * batch_idx / len(train_loader), loss.item()))
            if args.dry_run:
                break


def test(model, device, test_loader):
    model.eval()
    test_loss = 0
    correct = 0
    with torch.no_grad():
        for data, target in test_loader:
            data, target = data.to(device), target.to(device)
            output = model(data)
            test_loss += F.nll_loss(output, target, reduction='sum').item()  # sum up batch loss
            pred = output.argmax(dim=1, keepdim=True)  # get the index of the max log-probability
            correct += pred.eq(target.view_as(pred)).sum().item()

    test_loss /= len(test_loader.dataset)

    print('\nTest set: Average loss: {:.4f}, Accuracy: {}/{} ({:.0f}%)\n'.format(
        test_loss, correct, len(test_loader.dataset),
        100. * correct / len(test_loader.dataset)))


def main():
    # Training settings
    parser = argparse.ArgumentParser(description='PyTorch MNIST Example')
    parser.add_argument('--batch-size', type=int, default=64, metavar='N',
                        help='input batch size for training (default: 64)')
    parser.add_argument('--test-batch-size', type=int, default=1000, metavar='N',
                        help='input batch size for testing (default: 1000)')
    parser.add_argument('--epochs', type=int, default=14, metavar='N',
                        help='number of epochs to train (default: 14)')
    parser.add_argument('--lr', type=float, default=1.0, metavar='LR',
                        help='learning rate (default: 1.0)')
    parser.add_argument('--gamma', type=float, default=0.7, metavar='M',
                        help='Learning rate step gamma (default: 0.7)')
    parser.add_argument('--no-cuda', action='store_true', default=False,
                        help='disables CUDA training')
    parser.add_argument('--dry-run', action='store_true', default=False,
                        help='quickly check a single pass')
    parser.add_argument('--seed', type=int, default=1, metavar='S',
                        help='random seed (default: 1)')
    parser.add_argument('--log-interval', type=int, default=10, metavar='N',
                        help='how many batches to wait before logging training status')
    parser.add_argument('--save-model', action='store_true', default=True,
                        help='For Saving the current Model')
    args = parser.parse_args()
    use_cuda = not args.no_cuda and torch.cuda.is_available()

    torch.manual_seed(args.seed)

    device = torch.device("cuda" if use_cuda else "cpu")

    train_kwargs = {'batch_size': args.batch_size}
    test_kwargs = {'batch_size': args.test_batch_size}
    if use_cuda:
        cuda_kwargs = {'num_workers': 1,
                       'pin_memory': True,
                       'shuffle': True}
        train_kwargs.update(cuda_kwargs)
        test_kwargs.update(cuda_kwargs)

    transform=transforms.Compose([
        transforms.ToTensor(),
        transforms.Normalize((0.1307,), (0.3081,))
        ])
    dataset1 = datasets.MNIST('../data_row', train=True, download=True,
                       transform=transform)
    dataset2 = datasets.MNIST('../data_row', train=False,
                       transform=transform)
    train_loader = torch.utils.data.DataLoader(dataset1,**train_kwargs)
    test_loader = torch.utils.data.DataLoader(dataset2, **test_kwargs)

    model = Net().to(device)
    optimizer = optim.Adadelta(model.parameters(), lr=args.lr)

    scheduler = StepLR(optimizer, step_size=1, gamma=args.gamma)
    for epoch in range(1, args.epochs + 1):
        train(args, model, device, train_loader, optimizer, epoch)
        test(model, device, test_loader)
        scheduler.step()

    # 保存网络中的参数, 速度快,占空间少
    if args.save_model:
        torch.save(model.state_dict(), "lenet_mnist_model.pth")

if __name__ == '__main__':
    main()

8. 完整代码

上面是将每个模块单独拿出来写的,需要完整代码的可以在我的GitHub上下载,如果您觉得好的话记得给个Star。
完整代码链接地址

流年若逝
关注
专栏目录
pytorch_FGSM_对抗样本
08-01
pytorch_FGSM_对抗样本,可直接运行,论文《Adversarial Examples in the Physical World》
FGSM生成对抗样本(MNIST数据集)Pytorch代码实现与实验分析
gaowencheng01的博客
03-02 1794
使用Pytorch利用FGSM算法,在MNIST数据集上生成对抗样本,并进行实验,探究不同epsilon值对分类准确度的影响
PyTorch使用快速梯度符号攻击(FGSM实现对抗性样本生成(附源码和数据集MNIST手写数字)
showswoller的博客
11-16 2457
PyTorch使用快速梯度符号攻击(FGSM实现对抗性样本生成(附源码和数据集MNIST手写数字)
FGSM对抗训练(MNIST数据集)- pytorch实现
t1274171989的博客
10-30 1663
使用FGSM实现手写体识别的对抗训练与分析。测试不同epsilon下模型的准确度。对抗数据集与原数据集合并并训练。
《Explaining and Harnessing Adversarial Examples》即FGSM算法Pytorch实现
小衎的博客
02-18 735
参考了众多代码,但是效果不佳,可以勉强实现文中的实验,仅供参考,代码菜鸟,大神飘过…… #!/usr/bin/env python # coding: utf-8 # In[1]: import numpy as np import matplotlib.pyplot as plt from PIL import Image import torch.nn as nn import torchvision import torch from torchvision import transforms,
探索对抗性学习:FGSM与I-FGSMPyTorch实现
最新发布
gitblog_00079的博客
05-25 461
探索对抗性学习:FGSM与I-FGSMPyTorch实现 去发现同类优质开源项目:https://gitcode.com/ 简介 在深度学习领域,对抗性攻击是一个不容忽视的话题。它揭示了神经网络模型的脆弱性,尤其是在图像识别任务中。FGSM(Fast Gradient Sign Method)和I-FGSM(Iterative Fast Gradient Sign Method)是两种有效的对抗...
FGSM对抗攻击算法实现
山高路远,看世界,也找自己
11-30 4091
在我们进入代码之前,让我们看一下著名的 FGSM熊猫示例和摘录一些符号。上图展示了Fast adversarial examples应用在深度网络上。通过加上一个人类感知不到的小向量,向量的值为ϵ乘输入像素点关于误差的梯度值的符号值。这里 ϵ=0.007,符合经过深度网络转换为实数后8bit图像编码的最小数量级。图中加上噪声后,熊猫被识别为长臂猿,并且置信度为99.3%,所以此方法叫做fast gradient sign method,简称FGSM,我们称之为快速梯度下降法。
基于pytorchFast Gradient Sign Attack (FGSM)在mnist数据集上的伪造(原理近似gan,但是是求loss在图像上的梯度来改变图像))
u012329554的博客
05-29 5220
%matplotlib inline Adversarial Example Generation Author: Nathan Inkawhich <https://github.com/inkawhich>__ If you are reading this, hopefully you can appreciate how effective some machine learning models are. Research is constantly pushing ML model
Fast Gradient Sign Attack(FGSM)算法小结
AndyViky的博客
05-26 4686
Fast Gradient Sign Attack(FGSM)算法小结 对抗攻击引发了机器学习一系列的思考,训练出来的model是否拥有强大的泛化能力?模型的准确率是否真实? 在对抗攻击中添加一些肉眼无法识别的噪声可能会对识别效果产生巨大的影响。 什么是对抗攻击 对抗攻击的核心思想就是人为地制造干扰项去迷惑模型,使模型产生错误的结果。在计算机视觉中,对抗攻击就是在原图上添加一些人为无法识别的噪声...
基于pytorch的fgsm对抗样本
07-02
FGSMFast Gradient Sign Method)是一种用于生成对抗样本的方法,基于pytorch可以很方便地实现。 首先,我们需要一个已经训练好的模型,可以是一个分类模型或者其他类型的模型。然后,我们通过计算模型的损失函数...
tensorflow2.0+python3.7.4实现FGSM对抗攻击代码
08-31
win10+tensorflow2.0+python3.7.4实现FGSM对抗攻击代码
《EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES》论文中FGSM攻击算法代码实现
08-10
本资源是对抗样本领域中首次提出使用梯度方法生成对抗样本的FGSM攻击算法的一篇文章的代码实现,使用的语言是Pytorch语言,文件为Jupyter notebook文件,在电脑环境配置无问题的情况下,可以直接运行此代码文件,内含详细注释。
pytorch 对抗样本_AI安全之对抗样本入门-基于PyTorch的FGSM攻击
weixin_39553156的博客
12-19 801
对抗样本由Christian Szegedy等人提出,是指在数据集中通过故意添加细微的干扰所形成的输入样本,导致模型以高置信度给出一个错误的输出。对抗样本是各种机器学习系统需要克服的一大障碍。它们的存在表明模型倾向于依赖不可靠的特征来最大限度的提高性能,如果受到干扰,可能会导致错误分类,带来潜在的灾难性后果。对抗样本是人工智能面料的最大的安全风险之一。快速梯度符号攻击Fast Gradient S...
Pytorch项目实战】之对抗攻击:无目标对抗攻击(FGSM)、有目标对抗攻击(FGSM
shinuone的博客
01-31 1711
攻击思路将攻击任务转换为对抗样本生成任务(如何选取损失函数、如何搭建可以生成更好对抗样本的模型)如:GAN生成模型。核心手段:通过对输入样本进行不可察觉的细微扰动(添加对抗性噪声),使得神经网络对得到的对抗样本有较高的信任度,并输出任意想要的类别(使人眼和机器识别的类型不同)。攻击特点:由于机器学习模型的输入形式是数值型向量,故攻击者通过设计一种有针对性的数值型向量从而让机器学习模型做出误判。发生时期:主要发生在构造对抗性样本时,机器进行模型训练时。
pytorch1.7教程实验——对抗示例生成FGSM
qq_44442727的博客
03-31 1519
教程原网址:https://pytorch.apachecn.org/#/docs/1.7/21 我们将通过图像分类器上的示例来探讨该主题。 具体而言,我们将使用最流行的一种攻击方法,即快速梯度符号攻击(FGSM)来欺骗 MNIST 分类器。 跑的代码需要用到的数据集和预训练模型自行下载,最好去官网下载。 跑通的代码如下: from __future__ import print_function import torch import torch.nn as nn import torch.nn.fu
FGSM对抗样本算法实现
热门推荐
qq_36692187的博客
08-20 1万+
最著名的对抗样本算法应该就是Fast Gradient Sign Attack(FGSM)快速梯度算法,其原理是,在白盒环境下,通过求出模型对输入数据的导数,用函数求得其梯度方向,再乘以步长,得到的就是其扰动量,将这个扰动量加在原来的输入上,就得到了在FGSM攻击下的样本,这个样本很大概率上可以使模型分类错误,这样就达到了攻击的目的。 我们令原始的输入为x,输出为y。则FGSM的攻击表达式为: (1) 由公式1可知,FGSM实质上就是一...
对抗训练FGM及用pytorch实现
qq_35825325的博客
10-26 1671
pytorch实现对抗样本训练
FGSM。。。
qq_38037870的博客
03-02 1020
Goodfellow等人认为高维空间下的线性行为足以产生对抗样本, 对抗样本的线性解释: 常见的数据图像大部分表示成1-255,8bit/像素点的形式,在原始样本上加小小的扰动就会被误分类。现在我们有: 当存在一个小到可忽略的ε满足∥η∥∞<ε,我们期望分类器对这两个样本的分类结果一致,然而…… 现在考虑加入权值向量ω 信息,则: (权向量是带了权值的向量)对抗扰动通过ωTηωTη影响激活函数从而影响分类结果。如果ωω有nn个维度,权向量的一个元素的平均大小是mm,那么激活函数就会增加εmnεmn
FGSM代码实践
shuweishuwei的博客
08-17 4631
浅谈FGSM FGSM是什么?从机器学习到深度学习,第一次听这个名词,后来查阅资料了解到是一种图像的攻击方法。本来有一个模型可以识别出你的图片内容,你把一张小狗的图片喂给模型,模型告诉你是狗,把猫喂给模型,模型告诉你是猫。当你给这张小狗的图片添加上噪声之后(肉眼无法识别有没有加噪声),再次喂给模型,模型告诉你是这是其他东西,从而达到了欺骗模型的目的。 FGSM原理 一种基于梯度生成对抗样本的算法,属于对抗攻击中的无目标攻击(即不要求对抗样本经过model预测指定的类别,只要与原样本预测的不一样即可)
评论 33
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值