李宏毅作业六 Adversarial Attack对抗攻击

最新推荐文章于 2025-04-13 20:48:32 发布
最新推荐文章于 2025-04-13 20:48:32 发布
阅读量1.8k 收藏 23
点赞数 5
分类专栏: 李宏毅 Colab pytorch 文章标签: 深度学习 机器学习 神经网络 pytorch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43605708/article/details/109318307
版权

系列文章目录

李宏毅作业十 Generative Adversarial Network生成对抗网络(代码)
李宏毅作业九 Anomaly Detection异常检测
李宏毅作业八unsupervised无监督聚类学习
李宏毅作业七其三 Network Compression (Network Pruning)
李宏毅作业七其二 Network Compression (Knowledge Distillation)
李宏毅作业七其一 Network Compression (Architecuture Design)

作业六 Adversarial Attack对抗攻击

前言


作业里,不仅有原始注释,还有我自己附加的注释,有不对的地方还请大家多多指教

运行环境是cloab
python3

一、下载资料并解压缩

# 下載資料
!gdown --id '14CqX3OfY9aUbhGp4OpdSHLvq2321fUB7' --output data.zip
# 解壓縮
!unzip -qq -u data.zip
# 確認目前的檔案
!ls

二、创建环境

1.引入库

import os
# 讀取 label.csv
import pandas as pd
# 讀取圖片
from PIL import Image
import numpy as np

import torch
# Loss function
import torch.nn.functional as F
# 讀取資料
import torchvision.datasets as datasets
from torch.utils.data import Dataset, DataLoader
# 載入預訓練的模型
import torchvision.models as models
# 將資料轉換成符合預訓練模型的形式
import torchvision.transforms as transforms
# 顯示圖片
import matplotlib.pyplot as plt

device = torch.device("cuda")

2.读取资料

# 實作一個繼承 torch.utils.data.Dataset 的 Class 來讀取圖片
class Adverdataset(Dataset):
    def __init__(self, root, label, transforms):


        # 圖片所在的資料夾
        self.root = root
        # 由 main function 傳入的 label
        self.label = torch.from_numpy(label).long()
        # 由 Attacker 傳入的 transforms 將輸入的圖片轉換成符合預訓練模型的形式
        self.transforms = transforms
        # 圖片檔案名稱的 list
        self.fnames = []

        for i in range(200):
            self.fnames.append("{:03d}".format(i))

    def __getitem__(self, idx):

      
        # 利用路徑讀取圖片
        img = Image.open(os.path.join(self.root, self.fnames[idx] + '.png'))
        # 將輸入的圖片轉換成符合預訓練模型的形式
        img = self.transforms(img)
        # 圖片相對應的 label
        label = self.label[idx]
        return img, label
    
    def __len__(self):
        # 由於已知這次的資料總共有 200 張圖片 所以回傳 200
        return 200

三、载入模型

lass Attacker:
    def __init__(self, img_dir, label):

        # 讀入預訓練模型 vgg16
        self.model = models.vgg16(pretrained = True)
        self.model.cuda()
        self.model.eval()
        self.mean = [0.485, 0.456, 0.406]
        self.std = [0.229, 0.224, 0.225]
        # 把圖片 normalize 到 0~1 之間 mean 0 variance 1
        # 在作业三已经提及了,注释过了该方法的具体内容
        self.normalize = transforms.Normalize(self.mean, self.std, inplace=False)
        transform = transforms.Compose([                
                        transforms.Resize((224, 224), interpolation=3),
                        transforms.ToTensor(),
                        self.normalize
                    ])
        
        # 利用 Adverdataset 這個 class 讀取資料,将标签值和训练值给dataset
        self.dataset = Adverdataset('./data/images', label, transform)
        
        # __init__中的几个重要的输入:1、dataset,这个就是PyTorch已有的数据读取接口
        #(比如torchvision.datasets.ImageFolder)或者自定义的数据接口的输出,
        # 该输出要么是torch.utils.data.Dataset类的对象,要么是继承自torch.utils.data.Dataset类的自定义类的对象。
        # 2、batch_size,根据具体情况设置即可。3、shuffle(打乱数据),一般在训练数据中会采用
        self.loader = torch.utils.data.DataLoader(
                self.dataset,
                batch_size = 1,
                shuffle = False)
        

    # FGSM 攻擊
    def fgsm_attack(self, image, epsilon, data_grad):#epsilon是后面自己设置数,体现噪声的强度

        # 找出 gradient 的方向
        sign_data_grad = data_grad.sign()
        # 將圖片加上 gradient 方向乘上 epsilon 的 noise
        perturbed_image = image + epsilon * sign_data_grad#生成有噪音的图片
        return perturbed_image
    
    def attack(self, epsilon):

        # 存下一些成功攻擊後的圖片 以便之後顯示
        adv_examples = []
        wrong, fail, success = 0, 0, 0
        for (data, target) in self.loader:
            data, target = data.to(device), target.to(device)#把数据转化为cpu,或者GPU的数据类型
            data_raw = data;
            data.requires_grad = True#自动计算梯度

            # 將圖片丟入 model 進行測試 得出相對應的 class
            output = self.model(data)
            init_pred = output.max(1, keepdim=True)[1]

            # 如果 class 錯誤 就不進行攻擊
            if init_pred.item() != target.item():
                wrong += 1
                continue
            
            # 如果 class 正確 就開始計算 gradient 進行 FGSM 攻擊
            loss = F.nll_loss(output, target)
            self.model.zero_grad()#梯度置零,防止叠加
            loss.backward()
            data_grad = data.grad.data
            perturbed_data = self.fgsm_attack(data, epsilon, data_grad)

            # 再將加入 noise 的圖片丟入 model 進行測試 得出相對應的 class        
            output = self.model(perturbed_data)
            final_pred = output.max(1, keepdim=True)[1]
          
            if final_pred.item() == target.item():
                # 辨識結果還是正確 攻擊失敗
                fail += 1
            else:
                # 辨識結果失敗 攻擊成功
                success += 1
                # 將攻擊成功的圖片存入
                if len(adv_examples) < 5:
                  adv_ex = perturbed_data * torch.tensor(self.std, device = device).view(3, 1, 1) + torch.tensor(self.mean, device = device).view(3, 1, 1)
                  adv_ex = adv_ex.squeeze().detach().cpu().numpy() 
                  #squeeze 数据的维度进行压缩,去掉维数为1的的维度,比如是一行或者一列这种,一个一行三列(1,3)的数去掉第一个维数为一的维度之后就变成(3)行


                  data_raw = data_raw * torch.tensor(self.std, device = device).view(3, 1, 1) + torch.tensor(self.mean, device = device).view(3, 1, 1)
                  data_raw = data_raw.squeeze().detach().cpu().numpy()
                  adv_examples.append( (init_pred.item(), final_pred.item(), data_raw , adv_ex) )        
        final_acc = (fail / (wrong + success + fail))
        
        print("Epsilon: {}\tTest Accuracy = {} / {} = {}\n".format(epsilon, fail, len(self.loader), final_acc))
        return adv_examples, final_acc

四、运行成果

if __name__ == '__main__':
    # 讀入圖片相對應的 label
    df = pd.read_csv("./data/labels.csv")
    df = df.loc[:, 'TrueLabel'].to_numpy()
    label_name = pd.read_csv("./data/categories.csv")
    label_name = label_name.loc[:, 'CategoryName'].to_numpy()
    # new 一個 Attacker class
    attacker = Attacker('./data/images', df)
    # 要嘗試的 epsilon
    epsilons = [0.1, 0.01]

    accuracies, examples = [], []

    # 進行攻擊 並存起正確率和攻擊成功的圖片
    for eps in epsilons:
        ex, acc = attacker.attack(eps)
        accuracies.append(acc)
        examples.append(ex)

五、生成攻击后的图片

cnt = 0
plt.figure(figsize=(30, 30))
for i in range(len(epsilons)):#遍历之前eps里的元素,idx值为0,1

    for j in range(len(examples[i])):#遍历样本值,
        cnt += 1

        #subplot(nrows, ncols, plot_number)
        #或者写成subplot(nrows ncols plot_number)也行(中间不用逗号,前提是只能是三位数)
        #这个函数用来表示把figure分成nrows*ncols的子图表示,
        #nrows:子图的行数
        #ncols:子图的列数
        #plot_number 索引值,表示把图画在第plot_number个位置(从左下角到右上角)
        plt.subplot(len(epsilons),len(examples[0]) * 2,cnt)
        plt.xticks([], [])#坐标轴变名用法
        plt.yticks([], [])
        if j == 0:
            plt.ylabel("Eps: {}".format(epsilons[i]), fontsize=14)

        orig,adv,orig_img, ex = examples[i][j]

        # plt.title("{} -> {}".format(orig, adv))
        plt.title("original: {}".format(label_name[orig].split(',')[0]))
        orig_img = np.transpose(orig_img, (1, 2, 0))#转置(0,1,2)->(1, 2, 0)
        plt.imshow(orig_img)
        cnt += 1
        plt.subplot(len(epsilons),len(examples[0]) * 2,cnt)
        plt.title("adversarial: {}".format(label_name[adv].split(',')[0]))
        ex = np.transpose(ex, (1, 2, 0))
        plt.imshow(ex)
plt.tight_layout()
plt.show()

总结

在前几个作业的学习下,这次程序基本都能看懂。

李宏毅2020机器学习作业6-Adversarial Attack对抗攻击(更新中)
12-01 3299
本次任务给你一些图像和它们的标签,用一个预训练的神经网络模型来分类图像,并用对抗攻击算法来攻击分类模型。
李宏毅机器学习——对抗攻击Adversarial Attack
iwill323的博客
10-27 3426
李宏毅机器学习——对抗攻击Adversarial Attack
李宏毅机器学习》课程笔记(作业对抗攻击
如花美眷,似水流年~
05-12 805
为了将机器学习在实际生活中应用上,需要考虑一些恶意攻击。 无目标攻击:攻击的时候,固定模型参数,希望调整输入数据,使得效果越差越好 有目标攻击:不仅跟原来的答案越远越好,而且要跟希望的错误答案越接近越好 限制是我们输入的攻击的数据跟正常的数据非常接近。 那么怎么找输入数据呢?还是用梯度下降。考虑距离限制以后需要一个修改版的梯度下降,每次做了梯度下降以后判断是否符合距离条件,如果不符合等比例缩小就可以了。 FGSM是一种很简单的方法,直接对输入数据x做梯度下降,然后对每一个维度取梯度的signal作
Adversarial Attack对抗攻击--李宏毅机器学习笔记
最新发布
knofrab的博客
04-13 1093
李老师系统介绍了对抗攻击的黑箱与白箱方法,进一步涵盖了如One Pixel Attack、Universal AttackAdversarial Reprogramming与Backdoor Attack等高级攻击策略,并强调其在图像、语音、文本甚至物理世界中的实际威胁。同时,提出了被动防御(如模糊化、JPEG压缩、随机变换)与主动防御(如对抗训练)两大类应对策略,指出对抗训练兼具“数据增强 + 梯度抗性”的特性,是当前最有效的主动安全手段之一。整体内容展现了深度学习模型在安全性方面的脆弱性与应对挑战。
李宏毅机器学习adversarial attack 对抗攻击
发现问题,并解决问题,批判性思维
10-13 2683
对抗攻击:DL算法存在着严重的安全隐患,攻击者可以通过给良性样本添加特定噪声而轻易地欺骗DL模型,并且通常不会被人发现。攻击者利用人的视觉/听觉无法感知的扰动,足以使正常训练的模型输出置信度很高的错误预测。被认为是在生产中部署DL模型之前的巨大障碍。 根据威胁模型可以将现有的对抗性攻击分为白盒、灰盒和黑盒攻击。这3种模型之间的差异在于攻击者了解的信息。 在白盒攻击的威胁模型中,假定攻击者具有关于其目标模型的完整知识,包括模型体系结构和参数。因此攻击者可以通过任何方式直接在目标模型上制作对抗性样本。 在灰盒威
机器学习李宏毅——Adversarial Attack对抗攻击
FavoriteStar的博客
09-21 6630
本文主要介绍了Adversarial Attack对抗攻击)当前的研究现状,包括如何攻击、攻击的类别,以及原始模型如何进行防御等相关知识点。
李宏毅机器学习作业10——Adversarial Attack,FGSM,IFGSM
iwill323的博客
11-25 4982
李宏毅机器学习作业10——Adversarial Attack FGSM I-FGSM MI-FGSM Diverse Input (DIM)
Adversarial Attack.pdf
06-27
首先,“Adversarial Attack”即对抗性攻击是机器学习领域中,尤其在深度学习和模型安全方面研究的一个热点问题。对抗性攻击利用了模型尤其是深度学习模型的脆弱性,通过对输入数据进行精心设计的微小扰动,使得模型...
LHY_DL_homework_2020:李宏毅2020深度学习作业
05-21
李宏毅2020深度学习作业解析与学习指南》 李宏毅教授的深度学习课程因其深入浅出的讲解而备受赞誉,其2020年的深度学习作业(LHY_DL_homework_2020)为学生提供了一次宝贵的实践机会,通过解决实际问题来巩固和...
李宏毅深度学习task6
weixin_46714700的博客
07-24 298
CNN-卷积神经网络 卷积神经网络(Convolutional Neural Network, CNN)是一种前馈神经网络,它的人工神经元可以响应一部分覆盖范围内的周围单元,对于大型图像处理有出色表现。 卷积神经网络由一个或多个卷积层和顶端的全连通层(对应经典的神经网络)组成,同时也包括关联权重和池化层(pooling layer) CNN 解决了什么问题? 在 CNN 出现之前,图像对于人工智能来说是一个难题,有2个原因: 1、图像需要处理的数据量太大,导致成本很高,效率很低 2、图像在数字化的过程中很难
对抗攻击笔记02:李宏毅对抗攻击视频课P3P4-how to attack
tuanzi2809的博客
05-25 244
how to attack 目标:找到一个x*使得与原x0的差距越小越好,同时还要让f(x)与原结果远离的越远越好 方法:通过梯度下降方法,以x0为初始值不断迭代x生成新的x‘ ,同时如果x‘的变动大于我们设置的阈值的时候对x‘进行修正 修正函数:fix(x‘)在规定区域中寻找与x’最接近的那个点作为修正后的x‘ Attack Approaches FGSM:原论文不迭代,一次攻击成功 每个像素点在各个方向上取反,(一拳超人),最后获得的结果就是原图像的攻击结果,使用范数降改动后的x1拉回范数范围。
adv_attack
02-15
adv_attack
李宏毅【课件PPT】
12-07
此压缩包包含李宏毅老师的机器学习所有课件,都是在李宏毅老师个人主页下载整理的,建议配合B站李宏毅老师的Machine Learning 视频一块使用,里面的公式最好推导一下,效果更佳!
李宏毅机器学习作业6-使用GAN生成动漫人物脸
iwill323的博客
11-17 2947
使用GAN生成动漫人物脸
21机器学习李宏毅作业——HW6(GAN)
LareinaLiang的博客
07-29 2149
HW6--GAN作业要求GAN是什么代码部分前期的环境和数据集啥的该import的内容设置点随机种子来处理下数据来吧,展示下我们的图模型训练其他的一些代码参考 作业要求   为这些给出的动漫头像生成一个GAN GAN是什么   GAN——generative adversarial network,中文名是生成式对抗网络,它是深度学习模型的一种。   GAN的基本原理这样来说:   以生成图片为例,假设我们有两个网络,G(Generator)和D(Discriminator),和他们的名字一样:     G
李宏毅机器学习Attack and Defense
loserChen的博客
06-09 1033
李宏毅机器学习Attack and Defense 机器训练出来的模型不光性能要强,还要能够对抗人类的恶意、攻击 通过人为地对图片加上噪声,使得分类产生错误。 无目标的攻击:就是使得结果与事实的距离越远越好 有目标的攻击:输出与答案距离越远越好的同时,还与指定的输出越接近越好 Constraint的限制可以简单理解为人眼看不出差别,但是机器可以给出完全不同的答案 一般对于限制的选择就是...
台大李宏毅
weixin_41078740的博客
11-26 636
1:Regression-Case Study 为什么在Loss function中,只考虑对w的正则化,而不考虑对b的正则化? 因为b是一条水平线,b对Loss function是否平滑几乎不产生影响。   1-Regression Demo Ada-Gradient时会详细讲解这个技巧:小的learning rate导致要很多次迭代才能达到最优解,大的learning rate有可能...
Hung-Yi Lee homework[6]:Adversarial Attack
CRR的博客
06-22 249
Hung-Yi Lee homework[6]:Adversarial Attack(一)作业描述(二)作业实现 (一)作业描述   使用FGSM得到攻击图像。   算法地址 (二)作业实现 import os import pandas as pd from PIL import Image import numpy as np import torch import torch.nn.functional as F import torchvision.datasets as datasets fro
李宏毅-机器学习HW3
terky
08-24 1855
利用CNN解决7分类的问题,模型直接套用的是之前实验的简单模型,2convs,2maxpoolings,2Fc,softamx import tensorflow as tf from sklearn.model_selection import train_test_split import numpy as np import pandas as pd import cv2 # 修改为tr...
李宏毅机器学习对抗攻击作业讲解
03-04
### 李宏毅机器学习课程中的对抗攻击作业讲解 #### 对抗样本生成方法 FGSM (Fast Gradient Sign Method) 为了理解如何完成对抗攻击作业,了解快速梯度符号法(FGSM)至关重要。该方法通过向输入数据添加微小扰动来创建对抗样本,这些扰动旨在误导模型做出错误预测[^2]。 ```python import torch from torchvision import models, transforms from PIL import Image def fgsm_attack(image, epsilon, data_grad): sign_data_grad = data_grad.sign() perturbed_image = image + epsilon * sign_data_grad perturbed_image = torch.clamp(perturbed_image, 0, 1) return perturbed_image ``` 此代码片段展示了如何实现FGSM算法。`epsilon`参数控制着扰动的强度,而`data_grad`则是损失函数相对于输入图像的梯度。 #### 黑盒攻击策略 除了白盒场景下的直接攻击外,在实际环境中更常见的是黑盒攻击。在这种情况下,攻击者无法访问目标模型的具体结构或权重信息。一种常见的做法是从源模型迁移已知的有效扰动至目标模型上测试其有效性。 #### 防御机制概述 针对上述提到的各种类型的攻击手段,可以采取两种不同的防御措施: - **被动防御(Passive defense)**:这种方法不会修改原始模型架构本身,而是试图检测并过滤掉潜在的对抗样例。 - **主动防御(Proactive defense)**:涉及对现有网络进行调整优化使其更加鲁棒,比如采用对抗训练等方式提高泛化性能面对未知威胁时的表现. #### 实验设计建议 当准备提交作业成果报告时,应该考虑以下几个方面来进行实验验证: - 测试集的选择应当具有代表性; - 尝试多种不同大小的ε值观察效果变化规律; - 分析各类防御方案对于特定类型攻击的实际抵御效能差异。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值