最著名的对抗样本算法应该就是 *Fast Gradient Sign Attack(*FGSM)快速梯度算法,其原理是,在白盒环境下,通过求出模型对输入数据的导数,用****函数求得其梯度方向,再乘以步长,得到的就是其扰动量,将这个扰动量加在原来的输入上,就得到了在FGSM攻击下的样本,这个样本很大概率上可以使模型分类错误,这样就达到了攻击的目的。我们令原始的输入为x,输出为y。则FGSM的攻击表达式为:
(1)
由公式1可知,FGSM实质上就是一种梯度上升算法,通过细微地改变输入,到达输出的预测值与实际值相差很大的目的。假设x的维度为n,模型参数在每个维度的平均值为m,的无穷范数为,每个维度的微小修改与梯度函数方向一致(个人觉得可以理解为梯度上升),则累积的改变量就是。例如,一张[16,16,3]的图片,则维度为768,通常很小,我们取0.01,m取1,那么累计的扰动就是7.68。关于FGSM的实现主要参考对抗样本pytorch官网加上自己的理解,安装好pytorch后,下载好预训练的模型,提取码:dcr6,可直接运行。:
from __future__ import print_functionimport torchimport torch.nn as nnimport torch.nn.functional as Fimport torch.optim as optimfrom torchvision import datasets, transformsimport numpy as npimport matplotlib.pyplot as pltfrom matplotlib.ticker import FuncFormatterplt.rcParams['font.sans-serif'] = ['SimHei']plt.rcParams['axes.unicode_minus'] = False# 这里的扰动量先设定为几个值,后面可视化展示不同的扰动量影响以及成像效果epsilons = [0, .05, .1, .15, .2, .25, .3,.35,.4]# 这个预训练的模型需要提前下载,下载链接如上pretrained_model = "data/lenet_mnist_model.pth"use_cuda=True# 就是一个简单的模型结构class Net(nn.Module):def __init__(self):super(Net, self).__init__()self.conv1 = nn.Conv2d(1, 10, kernel_size=5)self.conv2 = nn.Conv2d(10, 20, kernel_size=5)self.conv2_drop = nn.Dropout2d()self.fc1 = nn.Linear(320, 50)self.fc2 = nn.Linear(50, 10)def forward(self, x):x = F.relu(F.max_pool2d(self.conv1(x), 2))x = F.relu(F.max_pool2d(self.conv2_drop(self.conv2(x)), 2))x = x.view(-1, 320)x = F.relu(self.fc1(x))x = F.dropout(x, training=self.training)x = self.fc2(x)return F.log_softmax(x, dim=1)# 运行需要稍等,这里表示下载并加载数据集test_loader = torch.utils.data.DataLoader(datasets.MNIST('../data', train=False, download=True, transform=transforms.Compose([transforms.ToTensor(),])),batch_size=1, shuffle=True)# 看看我们有没有配置GPU,没有就是使用cpuprint("CUDA Available: ",torch.cuda.is_available())device = torch.device("cuda" if (use_cuda and torch.cuda.is_available()) else "cpu")# 初始化网络model = Net().to(device)# 加载前面的预训练模型model.load_state_dict(torch.load(pretrained_model, map_location='cpu'))# 设置为验证模式.model.eval()
接着实现FGSM的功能
# FGSM attack codedef fgsm_attack(image, epsilon, data_grad):# 使用sign(符号)函数,将对x求了偏导的梯度进行符号化sign_data_grad = data_grad.sign()# 通过epsilon生成对抗样本perturbed_image = image + epsilon*sign_data_grad# 做一个剪裁的工作,将torch.clamp内部大于1的数值变为1,小于0的数值等于0,防止image越界perturbed_image = torch.clamp(perturbed_image, 0, 1)# 返回对抗样本return perturbed_image
对测试集进行预测以及对比测试集标签
def test( model, device, test_loader, epsilon ):# 准确度计数器correct = 0# 对抗样本adv_examples = []# 循环所有测试集for data, target in test_loader:# 将数据和标签发送到设备data, target = data.to(device), target.to(device)# 设置张量的requires_grad属性。重要的攻击data.requires_grad = True# 通过模型向前传递数据output = model(data)init_pred = output.max(1, keepdim=True)[1] # 得到最大对数概率的索引# 如果最初的预测是错误的,不要再攻击了,继续下一个目标的对抗训练if init_pred.item() != target.item():continue# 计算损失loss = F.nll_loss(output, target)# 使所有现有的梯度归零model.zero_grad()# 计算模型的后向梯度loss.backward()# 收集datagraddata_grad = data.grad.data# 调用FGSM攻击perturbed_data = fgsm_attack(data, epsilon, data_grad)# 对受扰动的图像进行重新分类output = model(perturbed_data)# 检查是否成功final_pred = output.max(1, keepdim=True)[1] # 得到最大对数概率的索引if final_pred.item() == target.item():correct += 1# 这里都是为后面的可视化做准备if (epsilon == 0) and (len(adv_examples) < 5):adv_ex = perturbed_data.squeeze().detach().cpu().numpy()adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )else:# 这里都是为后面的可视化做准备if len(adv_examples) < 5:adv_ex = perturbed_data.squeeze().detach().cpu().numpy()adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )# 计算最终精度final_acc = correct/float(len(test_loader))print("扰动量: {}\tTest Accuracy = {} / {} = {}".format(epsilon, correct, len(test_loader), final_acc))# 返回准确性和对抗性示例return final_acc, adv_examples
画出随着扰动量变化,准确率变化的曲线。
accuracies = []examples = []# 对每个干扰程度进行测试for eps in epsilons:acc, ex = test(model, device, test_loader, eps)accuracies.append(acc*100)examples.append(ex)plt.figure(figsize=(5,5))plt.plot(epsilons, accuracies, "*-")plt.yticks(np.arange(0, 110, step=10))plt.xticks(np.arange(0, .5, step=0.05))def to_percent(temp, position):return '%1.0f'%(temp) + '%'plt.gca().yaxis.set_major_formatter(FuncFormatter(to_percent))plt.title("准确率 vs 扰动量")plt.xlabel("扰动量")plt.ylabel("准确率")plt.show()
扰动量: 0 Test Accuracy = 9810 / 10000 = 0.981扰动量: 0.05 Test Accuracy = 9427 / 10000 = 0.9427扰动量: 0.1 Test Accuracy = 8510 / 10000 = 0.851扰动量: 0.15 Test Accuracy = 6826 / 10000 = 0.6826扰动量: 0.2 Test Accuracy = 4299 / 10000 = 0.4299扰动量: 0.25 Test Accuracy = 2084 / 10000 = 0.2084扰动量: 0.3 Test Accuracy = 872 / 10000 = 0.0872扰动量: 0.35 Test Accuracy = 352 / 10000 = 0.0352扰动量: 0.4 Test Accuracy = 167 / 10000 = 0.0167
通过上图我们可以看到随着扰动量的增加,模型预测的准确度越来越低,当增加到0.4的扰动量时,模型预测错误率已经达到了98.33%
以下代码显示通过对抗后,模型预测的结果以及增加扰动量后的图像成象样式:
# 在每个处绘制几个对抗性样本的例子cnt = 0plt.figure(figsize=(8,10))for i in range(len(epsilons)):for j in range(len(examples[i])):cnt += 1plt.subplot(len(epsilons),len(examples[0]),cnt)plt.xticks([], [])plt.yticks([], [])if j == 0:plt.ylabel("扰动: {}".format(epsilons[i]), fontsize=14)orig,adv,ex = examples[i][j]plt.title("{} -> {}".format(orig, adv))plt.imshow(ex, cmap="gray")plt.tight_layout()plt.show()
需要注意的是,A——>B,其中A为实际值,B为预测值。随着模型扰动量的增加,预测值也越来越离谱。与此同时,随着扰动量的增加,我们可以看到模型也变得越来越模糊。由于本实验是对黑白图片数字进行识别,其所具有的特征点(即维度)相对比较少,因此想要使模型预测错误率很高,扰动量也必须加到很大。如果是复杂度较高的图片,只需要增加一点扰动量便可以,使错误率增加的很大。例如,经典熊猫图,由于其图片复杂度较高,因此只需要添加0.007的扰动量,便可以使预测错误率达到99.3%。
本文转载自: https://blog.csdn.net/qq_36692187/article/details/119809091
版权归原作者 小二的安全指北 所有, 如有侵权,请联系我们删除。
版权归原作者 小二的安全指北 所有, 如有侵权,请联系我们删除。