PyTorch FGSM Attack 对抗样本生成

要阅读 带有插图的文章版本 请前往 http://studyai.com/pytorch-1.4/beginner/fgsm_tutorial.html

如果你正在阅读这篇文章,希望你能体会到一些机器学习模型是多么的有效。研究不断推动ML模型变得更快、更准确和更高效。 然而,设计和训练模型的一个经常被忽视的方面是安全性和健壮性,特别是在面对希望欺骗模型的对手时。

本教程将提高您对ML模型的安全漏洞的认识,并将深入了解对抗性机器学习的热门话题。 您可能会惊讶地发现,在图像中添加不可察觉的扰动会导致截然不同的模型性能。 鉴于这是一个教程,我们将通过一个图像分类器的例子来探讨这个主题。 具体来说,我们将使用第一种也是最流行的攻击方法-快速梯度符号攻击(Fast Gradient Sign Attack ,FGSM)来欺骗MNIST分类器。

威胁模型(Threat Model)

有很多种类的对抗性攻击,每种攻击都有不同的目标和攻击者的知识假设。但是,总体目标 是在输入数据中增加最少的扰动量,以导致期望的错误分类。攻击者的知识有几种假设,其中两种假设是: 白盒子(white-box) 和 黑盒子(black-box)。 白盒子 攻击假定攻击者拥有对模型的全部知识和访问权限,包括体系结构、输入、输出和权重。 黑盒子 攻击假设攻击者只能访问模型的输入和输出,而对底层架构或权重一无所知。 还有几种目标类型,包括 错误分类(misclassification) 和 源/目标错误分类(source/target misclassification) 。 错误分类 的目标意味着对手只希望输出分类是错误的,而不关心新的分类是什么。 源/目标错误分类 意味着对手希望更改最初属于特定源类的图像,从而将其归类为特定的目标类。

在这种情况下,FGSM攻击是以 错误分类 为目标的 白盒攻击 。 有了这些背景信息,我们现在可以详细讨论攻击(attack)了。
快速梯度符号攻击(Fast Gradient Sign Attack)

迄今为止,第一次也是最流行的对抗性攻击(adversarial attacks)之一被称为 快速梯度符号攻击(FGSM) , 古德费尔特对此进行了描述: Explaining and Harnessing Adversarial Examples。 攻击是非常强大的,但却是直观的。它是设计用来攻击神经网络,利用他们的学习方式,梯度 。其思想很简单, 不是通过调整基于反向传播梯度的权重来最小化损失,而是 基于相同的反向传播梯度调整输入数据, 使损失最大化 。换句话说,攻击使用损失W.r.t输入数据的梯度,然后调整输入数据以最大化损失。

在我们进入代码之前,让我们看一下著名的 FGSM 熊猫示例,并提取一些记号(notation)。
fgsm_panda_image

从图片中, x
是被正确分类为“panda”的原始图像, y 是 x 的真正的类标签。 θ 表示模型参数,并且 J(θ,x,y) 用来 训练网络的损失。 攻击将梯度反向传播回输入数据以进行计算 ∇xJ(θ,x,y) 。 然后,它沿着使损失最大化的方向(i.e. sign(∇xJ(θ,x,y))) 上 调整输入数据一小步(ϵ 或 0.007 在图片中)。 由此产生的扰动图像(perturbed image), x′

, 就会被目标网络 误分类(misclassified) 为 “gibbon”, 但事实上 被扰动的图像依然是个 “panda” 。

希望现在你已明了本教程的动机了,所以让我们跳到它的具体实现吧。

from __future__ import print_function
import torch
import torch.nn as nn
import torch.nn.functional as F
import torch.optim as optim
from torchvision import datasets, transforms
import numpy as np
import matplotlib.pyplot as plt

实现

在这一小节中, 我们将讨论输入参数,定义在攻击之下的模型,然后编写攻击代码然后将一些测试跑起来。
输入

本教程只有三个输入,定义如下:

epsilons - 要用于运行的epsilon值列表。在列表中保持0很重要,因为它代表了原始测试集上的模型性能。而且,从直觉上说, 我们认为epsilon越大,扰动越明显,但攻击越有效,降低了模型的准确性。由于 数据的范围是 [0,1]

,任何epsilon值都不应超过1。
pretrained_model - 通向预先训练过的MNIST模型的路径,该模型是用 pytorch/examples/mnist 。 为了简单起见,请在 这里 下载经过预先训练的模型。
use_cuda - 布尔标志使用CUDA(如果需要和可用的话)。注意,带有CUDA的GPU对于本教程来说并不重要,因为CPU不会花费太多时间。
epsilons = [0, .05, .1, .15, .2, .25, .3]
pretrained_model = "data/lenet_mnist_model.pth"
use_cuda=True

受攻击模型(Model Under Attack)

如前所述,受攻击的模型是与 pytorch/examples/mnist 相同的MNIST模型。您可以训练和保存自己的MNIST模型,也可以下载和使用所提供的模型。 这里的网络定义和测试dataloader是从MNIST示例中复制的。本节的目的是定义model和dataloader, 然后初始化模型并加载预先训练的权重。

# LeNet Model definition
class Net(nn.Module):
    def __init__(self):
        super(Net, self).__init__()
        self.conv1 = nn.Conv2d(1, 10, kernel_size=5)
        self.conv2 = nn.Conv2d(10, 20, kernel_size=5)
        self.conv2_drop = nn.Dropout2d()
        self.fc1 = nn.Linear(320, 50)
        self.fc2 = nn.Linear(50, 10)

    def forward(self, x):
        x = F.relu(F.max_pool2d(self.conv1(x), 2))
        x = F.relu(F.max_pool2d(self.conv2_drop(self.conv2(x)), 2))
        x = x.view(-1, 320)
        x = F.relu(self.fc1(x))
        x = F.dropout(x, training=self.training)
        x = self.fc2(x)
        return F.log_softmax(x, dim=1)

# MNIST Test dataset 和 dataloader 声明
test_loader = torch.utils.data.DataLoader(
    datasets.MNIST('../data', train=False, download=True, transform=transforms.Compose([
            transforms.ToTensor(),
            ])),
        batch_size=1, shuffle=True)

# 定义我们要使用的设备
print("CUDA Available: ",torch.cuda.is_available())
device = torch.device("cuda" if (use_cuda and torch.cuda.is_available()) else "cpu")

# 初始化网络
model = Net().to(device)

# 加载预训练模型
model.load_state_dict(torch.load(pretrained_model, map_location='cpu'))

# 将模型设置为评估模式. 这是为了 Dropout layers。
model.eval()

FGSM Attack

现在,我们可以通过扰动原始输入来定义创建对抗性样例(adversarial examples)的函数。 fgsm_attack 函数接收三个输入: image 是原始的干净图像 (x
), epsilon 是 逐像素扰动量 (ϵ), 而 data_grad 是损失相对于(w.r.t)输入图像的梯度: (∇xJ(θ,x,y)

) 。 有了这三个输入,该函数就会按下述方法 创建扰动图像(perturbed image):
perturbed_image=image+epsilon∗sign(data_grad)=x+ϵ∗sign(∇xJ(θ,x,y))

最后, 为了保持数据的原始范围,将扰动图像裁剪到 [0,1]

范围内。

# FGSM 攻击代码
def fgsm_attack(image, epsilon, data_grad):
    # Collect the element-wise sign of the data gradient
    sign_data_grad = data_grad.sign()
    # Create the perturbed image by adjusting each pixel of the input image
    perturbed_image = image + epsilon*sign_data_grad
    # Adding clipping to maintain [0,1] range
    perturbed_image = torch.clamp(perturbed_image, 0, 1)
    # Return the perturbed image
    return perturbed_image

测试函数

最后,本教程的中心结果来自于 test 函数。每次调用该测试函数都会在MNIST测试集上执行完整的测试步骤, 并报告最终的准确性。但是,请注意,此函数也接受 epsilon 输入。这是因为 test 函数报告了一个模型的准确性, 该模型正受到来自实力 ϵ
的对手的攻击。更具体地说,对于测试集中的每个样本, 该函数计算loss w.r.t the input data (data_grad),用 fgsm_attack (perturbed_data

) 创建一个受扰动的图像,然后检查被扰动的样例是否是对抗性的。除了测试模型的准确性外, 该函数还保存并返回了一些成功的对抗性样例,以供以后可视化。

def test( model, device, test_loader, epsilon ):

    # Accuracy counter
    correct = 0
    adv_examples = []

    # Loop over all examples in test set
    for data, target in test_loader:

        # Send the data and label to the device
        data, target = data.to(device), target.to(device)

        # Set requires_grad attribute of tensor. Important for Attack
        data.requires_grad = True

        # Forward pass the data through the model
        output = model(data)
        init_pred = output.max(1, keepdim=True)[1] # get the index of the max log-probability

        # If the initial prediction is wrong, dont bother attacking, just move on
        if init_pred.item() != target.item():
            continue

        # Calculate the loss
        loss = F.nll_loss(output, target)

        # Zero all existing gradients
        model.zero_grad()

        # Calculate gradients of model in backward pass
        loss.backward()

        # Collect datagrad
        data_grad = data.grad.data

        # Call FGSM Attack
        perturbed_data = fgsm_attack(data, epsilon, data_grad)

        # Re-classify the perturbed image
        output = model(perturbed_data)

        # Check for success
        final_pred = output.max(1, keepdim=True)[1] # get the index of the max log-probability
        if final_pred.item() == target.item():
            correct += 1
            # Special case for saving 0 epsilon examples
            if (epsilon == 0) and (len(adv_examples) < 5):
                adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
                adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )
        else:
            # Save some adv examples for visualization later
            if len(adv_examples) < 5:
                adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
                adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )

    # Calculate final accuracy for this epsilon
    final_acc = correct/float(len(test_loader))
    print("Epsilon: {}\tTest Accuracy = {} / {} = {}".format(epsilon, correct, len(test_loader), final_acc))

    # Return the accuracy and an adversarial example
    return final_acc, adv_examples

运行 Attack

实现的最后一部分是实际运行攻击。在这里,我们对 epsilons 输入中的每个epsilon值运行一个完整的测试步骤。 对于每个epsilon,我们还保存了最终的准确性和一些成功的对抗性样例,将在接下来绘制出来。 注意打印精度是如何随着epsilon值的增加而降低的。另外,请注意 ϵ=0

表示原始测试的准确性,没有任何攻击。

accuracies = []
examples = []

# Run test for each epsilon
for eps in epsilons:
    acc, ex = test(model, device, test_loader, eps)
    accuracies.append(acc)
    examples.append(ex)

结果

Accuracy vs Epsilon

第一个结果是accuracy vs epsilon的图。正如前面提到的,随着epsilon的增加,我们预计测试的准确性会下降。 这是因为更大的epsilon意味着我们朝着最大化损失的方向迈出了更大的一步。注意,即使epsilon值是线性的, 曲线中的趋势也不是线性的。例如,在 ϵ=0.05
处的准确度仅比 ϵ=0.15 低4%, 而 ϵ=0.2 的准确度比 ϵ=0.15 低25%。 另外,注意模型的精度对10类分类器的随机精度影响在 ϵ=0.25 和 ϵ=0.3

之间。

plt.figure(figsize=(5,5))
plt.plot(epsilons, accuracies, "*-")
plt.yticks(np.arange(0, 1.1, step=0.1))
plt.xticks(np.arange(0, .35, step=0.05))
plt.title("Accuracy vs Epsilon")
plt.xlabel("Epsilon")
plt.ylabel("Accuracy")
plt.show()

一些对抗性样本

还记得没有免费午餐的思想吗?在这种情况下,随着epsilon的增加,测试精度降低,但扰动变得更容易察觉。 实际上,攻击者必须考虑的是准确性、程度和可感知性之间的权衡。在这里,我们展示了在每个epsilon值下 一些成功的对抗性样例。图中的每一行都显示不同的epsilon值。第一行是 ϵ=0
示例, 它表示原始的“干净”图像,没有任何扰动。每幅图像的标题显示“原始分类->对抗性分类”。 注意,当 ϵ=0.15 时,扰动开始变得明显,在 ϵ=0.3

时非常明显。 然而,在所有情况下,人类仍然能够识别正确的类别,尽管增加了噪音。

# Plot several examples of adversarial samples at each epsilon
cnt = 0
plt.figure(figsize=(8,10))
for i in range(len(epsilons)):
    for j in range(len(examples[i])):
        cnt += 1
        plt.subplot(len(epsilons),len(examples[0]),cnt)
        plt.xticks([], [])
        plt.yticks([], [])
        if j == 0:
            plt.ylabel("Eps: {}".format(epsilons[i]), fontsize=14)
        orig,adv,ex = examples[i][j]
        plt.title("{} -> {}".format(orig, adv))
        plt.imshow(ex, cmap="gray")
plt.tight_layout()
plt.show()

下一步去哪里?

希望本教程能提供一些关于对抗性机器学习主题的见解。这里有许多潜在的方向可走。 这种攻击代表了对抗性攻击研究的开始,并且由于有许多关于如何攻击和保护ML模型不受对手攻击的想法。 实际上,在NIPS 2017的比赛中,存在着一种对抗性的攻防竞争, 本文 介绍了在这场比赛中所采用的许多方法:对抗攻击和防御竞争。 防御方面的工作也带来了使机器学习模型在一般情况下更加健壮的想法, 使机器学习模型既具有自然的扰动性,又具有对抗性的输入。

另一个方向是不同领域的对抗攻击和防御。对抗性研究并不局限于图像领域,请看 这个 对语音到文本模型的攻击。 但是也许了解更多对抗性机器学习的最好方法是弄脏你的手(意思是让你动手尝试)。 尝试实现来自NIPS 2017 竞赛的不同的攻击策略,看看它与FGSM有何不同。然后,试着保护模型不受你自己的攻击。

  • 8
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
### 回答1: FGSM(Fast Gradient Sign Method)是一种用于生成对抗样本的方法,基于pytorch可以很方便地实现。 首先,我们需要一个已经训练好的模型,可以是一个分类模型或者其他类型的模型。然后,我们通过计算模型的损失函数对输入数据进行求导。根据求导结果,我们可以得到一个关于输入数据的梯度。接下来,我们根据梯度的方向来对输入数据进行扰动,生成对抗样本。 下面是一个基于pytorch的FGSM对抗样本的实现: ```python import torch import torch.nn as nn import torch.optim as optim def fgsm_attack(model, loss_fn, epsilon, input_data, target_label): input_data.requires_grad = True model.eval() output = model(input_data) loss = loss_fn(output, target_label) model.zero_grad() loss.backward() input_grad = input_data.grad.data modified_data = input_data + epsilon * torch.sign(input_grad) modified_data = torch.clamp(modified_data, 0, 1) return modified_data # 定义一个简单的模型 class Model(nn.Module): def __init__(self): super(Model, self).__init__() self.fc = nn.Linear(784, 10) def forward(self, x): x = x.view(x.size(0), -1) x = self.fc(x) return x if __name__ == '__main__': # 加载模型 model = Model() model.load_state_dict(torch.load('model.pt')) model.eval() # 加载数据 input_data, target_label = load_data() # 定义损失函数 loss_fn = nn.CrossEntropyLoss() # 设置epsilon epsilon = 0.1 modified_data = fgsm_attack(model, loss_fn, epsilon, input_data, target_label) # 对抗样本的输出 output = model(modified_data) print(output) ``` 以上代码是一个基于pytorch的FGSM对抗样本生成的简单示例。我们首先加载已经训练好的模型,然后通过调用fgsm_attack函数生成对抗样本。最后,我们使用修改后的输入数据来获得模型的输出。对抗样本可以通过在输入数据上添加一个与目标梯度方向相反、大小为epsilon的扰动来产生。 ### 回答2: FGSM(Fast Gradient Sign Method)是一种基于梯度信息的对抗样本生成方法,可以用于攻击深度学习模型。而基于PyTorch的实现,可以轻松地利用PyTorch的自动求导功能来计算模型的梯度信息。 首先,我们需要定义PyTorch模型,并加载训练好的模型参数。然后,我们可以定义一个函数来生成对抗样本。对于给定的输入样本,我们首先计算其对应的损失函数,并使用自动求导来计算损失函数对输入样本的梯度。接下来,我们根据梯度符号来产生扰动,从而生成对抗样本。最后,我们可以使用生成对抗样本来对深度学习模型进行攻击。 FGSM对抗样本生成的具体步骤如下: 1. 定义PyTorch模型,并加载模型参数。 2. 对于给定的输入样本,将其输入模型得到输出。 3. 计算输入样本对应的损失函数,并使用自动求导来计算损失函数对输入样本的梯度。 4. 根据输入样本的梯度符号来产生扰动,这里的扰动大小可以通过指定的epsilon值来控制。 5. 将扰动添加到输入样本上,生成对抗样本。 6. 使用生成对抗样本来对深度学习模型进行攻击,观察对抗样本的分类结果。 总之,PyTorch提供了便捷的梯度计算和自动求导功能,使得基于FGSM对抗样本生成变得简单。使用PyTorch实现的FGSM可以用于研究深度学习模型的鲁棒性以及对抗攻击的防御方法。 ### 回答3: 基于PyTorch的Fast Gradient Sign Method(FGSM)是一种常用的对抗样本生成方法。FGSM利用损失函数相对于输入数据的梯度信息来构造对抗样本,从而欺骗深度学习模型。 在PyTorch中使用FGSM生成对抗样本,需要以下几个步骤: 1. 加载和准备数据:首先通过PyTorch加载原始数据集,并对其进行预处理和归一化。 2. 定义模型:使用PyTorch定义一个希望攻击的深度学习模型。 3. 计算损失函数:通过对原始图像调用模型,计算出其预测结果,然后使用PyTorch的损失函数计算原始图像的损失。 4. 计算梯度:通过调用PyTorch的反向传播函数,计算原始图像关于损失的梯度。 5. 生成对抗样本:使用计算得到的梯度信息来扰动原始图像,添加一个扰动项,以便欺骗模型。扰动项的大小由一个称为epsilon的参数控制,它是我们人为设置的一个很小的值。 6. 确定对抗样本:通过将扰动项加到原始图像上,得到对抗样本。 值得注意的是,对抗样本生成是为了误导模型而不影响人类的视觉感知。为了保持对抗样本和原始样本之间的可转移性,我们通常在epsilon的范围内限制扰动项的值。 最后,可以使用生成对抗样本来测试被攻击模型的鲁棒性,即观察它是否在面对对抗样本时能够准确预测。如果鲁棒性下降,说明模型可能容易受到攻击,并需要采取相应的防御措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值