Fast Gradient Sign Attack

最新推荐文章于 2023-11-30 11:30:00 发布
转载 最新推荐文章于 2023-11-30 11:30:00 发布 · 401 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://www.flyai.com/article/artc2d5aeff7778460c86bb7687
文章标签:

#机器学习 #深度学习 #MINST数据集

本文介绍了一种通过向原始数据添加细微噪声来欺骗分类器的方法,使用手写数字MNIST数据集作为案例,展示了如何实现FGSM攻击并测试其效果。

主要内容
主要讲述通过对原始数据加入细微的噪声得到一组新数据,在新旧两个数据通过人眼难以辨别的情况下,新数据可以欺骗分类器,从而使分类器做出错误的判断。这种方法可以用来攻击一些分类器,并且是完全可行的。
教程以手写数字MINST数据集为例,展示了这种方法。

首先加载包:

 
  • from __future__ import print_function
  • import torch
  • import torch.nn as nn
  • import torch.nn.functional as F
  • import torch.optim as optim
  • from torchvision import datasets, transforms
  • import numpy as np
  • import matplotlib.pyplot as plt

加载数据集:

 
  • test_loader = torch.utils.data.DataLoader(
  • datasets.MNIST('../data', train=False, download=True, transform=transforms.Compose([
  • transforms.ToTensor(),
  • ])),
  • batch_size=1, shuffle=True)

定义一个网络模型(分类器):

 
  • class Net(nn.Module):
  • def __init__(self):
  • super(Net, self).__init__()
  • self.conv1 = nn.Conv2d(1, 10, kernel_size=5)
  • self.conv2 = nn.Conv2d(10, 20, kernel_size=5)
  • self.conv2_drop = nn.Dropout2d()
  • self.fc1 = nn.Linear(320, 50)
  • self.fc2 = nn.Linear(50, 10)

 

  • def forward(self, x):
  • x = F.relu(F.max_pool2d(self.conv1(x), 2))
  • x = F.relu(F.max_pool2d(self.conv2_drop(self.conv2(x)), 2))
  • x = x.view(-1, 320)
  • x = F.relu(self.fc1(x))
  • x = F.dropout(x, training=self.training)
  • x = self.fc2(x)
  • return F.log_softmax(x, dim=1)

定义其他的参数

 
  • device = torch.device("cuda" if (use_cuda and torch.cuda.is_available()) else "cpu")#是否CUDA
  • epsilons = [0, .05, .1, .15, .2, .25, .3]#
  • pretrained_model = "data/lenet_mnist_model.pth"#模型的路径

实例化模型

 
  • model = Net()#实例化
  • model=model.to(device)#放入GPU
  • model.load_state_dict(torch.load(pretrained_model, map_location='cpu'))#将之前训练好的参数加载
  • model.eval()#转化为测试模式

定义FGSM攻击函数

 
  • def fgsm_attack(image, epsilon, data_grad):
  • #获取梯度的符号
  • sign_data_grad = data_grad.sign()
  • #在原始图片的基础上加上epsilon成符号
  • perturbed_image = image + epsilon*sign_data_grad
  • #将数值裁剪到0-1的范围内
  • perturbed_image = torch.clamp(perturbed_image, 0, 1)
  • return perturbed_image

sign()函数返回数值的符号,如果为正数返回1,如果为负数返回-1.否则返回0.

测试函数:

 
  • def test( model, device, test_loader, epsilon ):
  • correct = 0#攻击之后预测依然正确的个数
  • adv_examples = []#受攻击的样本
  • for data, target in test_loader:
  • data, target = data.to(device), target.to(device)#将数据加载进GPU
  • data.requires_grad = True#需要保存梯度
  • output = model(data)#利用分类器区分结果
  • init_pred = output.max(1, keepdim=True)[1] #获取最大概率的索引值
  • if init_pred.item() != target.item():#如果分类错误,则不攻击该样本
  • continue
  • loss = F.nll_loss(output, target)#计算损失值
  • model.zero_grad()
  • loss.backward()
  • # 抽取梯度值
  • data_grad = data.grad.data
  • #攻击样本
  • perturbed_data = fgsm_attack(data, epsilon, data_grad)
  • # 再次分类
  • output = model(perturbed_data)
  • final_pred = output.max(1, keepdim=True)[1] # 得到最终分类结果
  • if final_pred.item() == target.item():#如果最终分类结果和真实结果相同
  • correct += 1
  • # 保存epsilon为0
  • if (epsilon == 0) and (len(adv_examples) < 5):
  • adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
  • adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )
  • else:
  • # 保存其他的一些结果,用于后期的可视化操作
  • if len(adv_examples) < 5:
  • adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
  • adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )
  • #计算准确率
  • final_acc = correct/float(len(test_loader))
  • print("Epsilon: {}\tTest Accuracy = {} / {} = {}".format(epsilon, correct, len(test_loader), final_acc))
  • #返回准确率和攻击样例
  • return final_acc, adv_examples

如对于以上代码中 final_pred = output.max(1, keepdim=True)[1]有疑问,请移步至

输出准确率

 
  • #依次迭代epsilon
  • for eps in epsilons:
  • acc, ex = test(model, device, test_loader, eps)
  • accuracies.append(acc)
  • examples.append(ex)

 

  • Epsilon: 0 Test Accuracy = 9810 / 10000 = 0.981
  • Epsilon: 0.05 Test Accuracy = 9426 / 10000 = 0.9426
  • Epsilon: 0.1 Test Accuracy = 8510 / 10000 = 0.851
  • Epsilon: 0.15 Test Accuracy = 6826 / 10000 = 0.6826
  • Epsilon: 0.2 Test Accuracy = 4301 / 10000 = 0.4301
  • Epsilon: 0.25 Test Accuracy = 2082 / 10000 = 0.2082
  • Epsilon: 0.3 Test Accuracy = 869 / 10000 = 0.0869

可以发现epsilon越大,则准确度越低,且剧烈下降。

本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可,转载请附上原文出处链接和本声明。 
本文链接地址:https://www.flyai.com/article/artc2d5aeff7778460c86bb7687

mnist_data
07-19
MNIST训练样本和测试样本。总共四个文件。完全可以在http://yann.lecun.com/exdb/mnist/ 下载
基于pytorch的Fast Gradient Sign Attack (FGSM)在mnist数据集上的伪造(原理近似gan,但是是求loss在图像上的梯度来改变图像))
u012329554的博客
05-29 5329
%matplotlib inline Adversarial Example Generation Author: Nathan Inkawhich <https://github.com/inkawhich>__ If you are reading this, hopefully you can appreciate how effective some machine learning models are. Research is constantly pushing ML model
Fast Gradient Sign Attack(快速梯度符号攻击
hg_zhh
08-30 3792
本文是对https://pytorch.org/tutorials/beginner/fgsm_tutorial.html这篇教程的翻译与理解。 主要内容 主要讲述通过对原始数据加入细微的噪声得到一组新数据,在新旧两个数据通过人眼难以辨别的情况下,新数据可以欺骗分类器,从而使分类器做出错误的判断。这种方法可以用来攻击一些分类器,并且是完全可行的。 教程以手写数字MINST数据集为例,展示了这种方法...
Fast Gradient Sign AttackFGSM)算法小结
AndyViky的博客
05-26 4854
Fast Gradient Sign AttackFGSM)算法小结 对抗攻击引发了机器学习一系列的思考,训练出来的model是否拥有强大的泛化能力?模型的准确率是否真实? 在对抗攻击中添加一些肉眼无法识别的噪声可能会对识别效果产生巨大的影响。 什么是对抗攻击 对抗攻击的核心思想就是人为地制造干扰项去迷惑模型,使模型产生错误的结果。在计算机视觉中,对抗攻击就是在原图上添加一些人为无法识别的噪声...
FGSMFast Gradient Sign Method)_学习笔记+代码实现
热门推荐
Erpim的博客
06-27 5万+
FGSMFast Gradient Sign Method)算法 特点:白盒攻击、 论文原文:Explaining and Harnessing Adversarial Examples 大牛们在2014年提出了神经网络可以很容易被轻微的扰动的样本所欺骗之后,又对产生对抗样本的原因进行了分析,Goodfellow等人认为高维空间下的线性行为足以产生对抗样本。相继有许多算法被提出用来生成对抗...
Pytorch实现FGSMFast Gradient Sign Attack
08-13 1万+
目录1. 相关说明2. 相关简述3. 代码实现3.1 引入相关包3.2 输入3.3 定义被攻击的模型3.4 定义FGSM攻击函数3.5 测试函数4. 可视化结果5. 可视化对抗样本6. 预训练模型下载7. 训练模型8. 完整代码 1. 相关说明 最近在整理相关实验代码的时候,无意中需要重新梳理下对抗攻击里的FGSM,于是自己参考网上的一些资料以及自己的心得写下这篇文章,用来以后回忆。 2. 相关简述 快速梯度标志攻击FGSM),是迄今为止最早和最受欢迎的对抗性攻击之一,它由 Goodfellow 等人
请写一个500字的使用快速梯度符号攻击Fast Gradient Sign Attack(FGSM),以欺骗一个MNIST分类器的实验心得
05-27
Fast Gradient Sign Attack (FGSM) 是一种广泛应用于对抗样本攻击的方法,它通过在输入数据的梯度方向上添加一个小的扰动来欺骗分类器模型。在本文中,我将介绍如何使用 FGSM 对 MNIST 数据集中的手写数字分类器进行...
FGSMFast Gradient Sign Method)算法源码解析
Sankkl1的博客
10-28 1139
可以仔细回忆一下,在神经网络的反向传播当中,我们在训练过程时就是沿着梯度下降的方向来更新更新。之间是近似线性的,但是这个线性假设不一定正确,如果J JJ和x xx不是线性的,那么在。是将克隆的新的tensor从当前计算图中分离下来,作为叶节点,从而可以计算其梯度;于是,有学者就提出迭代的方式来找各个像素点的扰动,也就是BIM算法。,得到的“扰动”加在原来的输入 上就得到了在FGSM攻击下的样本。中大于1的部分设为1,小于0的部分设为0,防止界。:获得图像的在模型中的输出值。对输入的导数,然后用符号函数。
PyTorch模型对抗攻击:CIFAR-10与MNIST案例分析
标题中提到了一种特定的攻击技术——快速梯度符号攻击Fast Gradient Sign AttackFGSM)。这是由Ian Goodfellow等人在2014年提出的对抗性攻击方法。FGSM通过利用模型在进行预测时对输入数据的梯度信息,以一种...
FGSM对抗攻击算法实现
博主关注人工智能、强化学习、嵌入式等||985高校A+学科研究生、猿龄六年||优快云博客专家、2024年博客之星TOP33、华为云享专家、人工智能领域优质创作者。
11-30 5977
在我们进入代码之前,让我们看一下著名的 FGSM熊猫示例和摘录一些符号。上图展示了Fast adversarial examples应用在深度网络上。通过加上一个人类感知不到的小向量,向量的值为ϵ乘输入像素点关于误差的梯度值的符号值。这里 ϵ=0.007,符合经过深度网络转换为实数后8bit图像编码的最小数量级。图中加上噪声后,熊猫被识别为长臂猿,并且置信度为99.3%,所以此方法叫做fast gradient sign method,简称FGSM,我们称之为快速梯度下降法。
L0对抗攻击JSMA的算法盘点
Paper weekly
01-23 4024
©PaperWeekly 原创 ·作者|孙裕道学校|北京邮电大学博士生研究方向|GAN图像生成、情绪对抗样本生成引言JSMA 是非常著名的对抗攻击,它第首次在对抗攻击中引入了 的度量...
Threat of Adversarial Attacks on Deep Learning in Computer Vision A Survey
weixin_41466947的博客
12-29 1504
Attacks for classification Box-constrained L-BFGS Fast Gradient Sign Method (FGSM) Basic &amp;amp;amp;amp;amp;amp;amp;amp; Least-Likely-Class Iterative Methods Jacobian-based Saliency Map Attack (JSMA) One Pixel A...
FGSMFast Gradient Sign Method)生成对抗样本(32)---《深度学习
阿华Go,从现在开始的博客
12-11 1万+
利用FGSM方法生成对抗样本的基本原理如下图所示,通过对原始图片添加噪声来使得网络对生成的图片X’进行误分类,需要注意的是,生成图片X’和原始图片X很像,人的肉眼无法进行辨别,生成的图片X’即为对抗样本! 1)定向对抗样本 注意是对X’(n-1)求偏导,并非X,而且注意loss函数J中的参数是X’和Y’,而不是X和Y!这个是定向对抗样本生成的过程,f(x)是针对噪声的裁剪过程! X’(n)=...
Adversarial Machine Learning 经典算法解读(FGSM, DeepFool)
weixin_41099419的博客
06-03 1万+
asdasd
对抗样本机器学习_Note1
VisualCortex
12-05 4510
对抗样本机器学习_Note1
JMSA(Jacobian Saliency Map Attack)算法源码解析
Sankkl1的博客
11-08 645
通过显著图寻找对分类器特定输出影响程度最大的输入特征对,即每次计算得到两个特征。作者引入了显著图的概念,该概念来自于计算机视觉领域,表示不同的输入特征对分类结果的影响程度。通过如上的前向梯度,我们可以知道每个像素点对模型分类的结果的影响程度,进而利用前向梯度信息来更新干净样本。FGSM、PGD等算法生成的对抗样本的扰动方向都是损失函数的梯度方向(可以参考。的偏导,该偏导值表示不同位置的像素点对分类结果的影响程度。,生成的对抗样本就能被分类成为指定的类别。),该论文生成的对抗样本的扰动方向是。
对抗攻击方法一览
m0_56069948的博客
04-08 2067
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 背景 神经网络在过去的几年和几十年已经获得了长足的进步,神经网络的应用已经遍布我们生活的各个角落。但是与此同时,也有人发现神经网络并不像我们预期的那么具有鲁棒性,仅仅在图片中添加一个微笑的扰动就可以改变神经网络最后的预测结果,这些技术被称为对抗攻击。对抗攻击是指在干净的图片中添
【对抗攻击代码实战】对抗样本的生成——FGSM
ji_meng的博客
05-01 1万+
论文链接: 论文笔记链接: 主要讲如何用FGSM生成对抗样本 代码来源于pytorch官网:fgsm_tutoriall 基于优化的对抗样本 首先我们讲一下基于优化方法的 FGSM
生成对抗样本的方法|攻击方法
honor
07-03 9616
对抗样本 1.Biggio′s attack Biggio[22]等人首先针对传统机器学习分类器(如SVM和三层全连接神经网络)的MNIST手写数字识别数据集生成对抗样本。 它通过优化判别函数来误导分类器。 2. Szegedy′s limited-memory BFGS (L-BFGS) attack Szegedy[8]等人首次证明了可以通过对图像添加小量的人类察觉不到的扰动误导深度神经网络图像分类器做出错误的分类。他们首先尝试求解让神经网络做出误分类的最小扰动的方程。作者认为,深度神经网络所具有的强大
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值