- 1原生微信小程序全流程(基础知识+项目全流程)_微信小程序原生开发
- 2【转载】EEG中常用的功能连接指标汇总_eegx
- 3MyBatis全局配置属性_mybatis org.apache.ibatis.parsing.propertyparser.e
- 4在windows通过VS Code开发Linux内核驱动程序_vscode如何编译虚拟机的linux驱动
- 5LaTeX绘图GUI工具介绍_latex draw
- 6第一次机器学习经历_tensorflow how_many_training_steps
- 7史上最全的Unity面试题(含答案)_unity 面试题
- 8(二进制安装)k8s1.9 证书过期及开启自动续期方案.md_10250端口证书过期了怎么处理呢
- 9Android Canvas的使用_android canvas.drawcolor
- 10软考中级系统集成项目管理工程师自学好不好过,怎么备考,给点经验
对抗性的例子生成ADVERSARIAL EXAMPLE GENERATION
赞
踩
如果你正在阅读这篇文章,希望你能理解一些机器学习模型是多么有效。研究不断推动ML模型更快、更准确、更高效。然而,设计和训练模型的一个经常被忽视的方面是安全性和健壮性,特别是在面对希望愚弄模型的对手时。
本教程将提高您对ML模型的安全漏洞的认识,并将深入了解对抗性机器学习的热门话题。 大家可能会惊讶地发现,在图像中添加不可察觉的扰动会导致截然不同的模型性能。鉴于这是一个教程,我们将通过图像分类器上的示例来探讨这个主题。具体来说,我们将使用第一种也是最流行的攻击方法之一,Fast Gradient Sign Attack(FGSM)来欺骗MNIST分类器。
Threat Model
对于上下文,有许多类别的对抗性攻击,每个攻击都有不同的目标和对攻击者知识的假设。然而,总体目标是在输入数据中添加最少的扰动,以导致所需的错误分类。攻击者的知识有几种假设,其中两种是:白盒和黑盒。白盒攻击假设攻击者对模型有充分的了解和访问,包括体系结构、输入、输出和权重。黑盒攻击假设攻击者只能访问模型的输入和输出,并且对底层架构或权重一无所知。还有几种类型的目标,包括错误分类和源/目标错误分类。错误分类的目标意味着对手只希望输出分类是错误的,而不关心新分类是什么。源/目标错误分类意味着对手想要更改最初属于特定源类的图像,以便将其分类为特定的目标类。
在这种情况下,FGSM攻击是一个白盒攻击,目标是错误分类。有了这些背景信息,我们现在可以详细讨论攻击。
Fast Gradient Sign Attack
迄今为止最早和最流行的对抗性攻击之一被称为快速梯度符号攻击(FGSM),并由Goodfellow等人描述。al。在解释和利用对抗性的例子 Explaining and Harnessing Adversarial Examples. 。攻击非常强大,但也很直观。它被设计用来攻击神经网络,利用他们学习的方式,梯度。这个想法很简单,而不是通过根据反向传播梯度调整权重来最小化损失,而是攻击根据相同的反向传播梯度调整输入数据以最大化损失。也就是说,攻击使用输入数据w.r.t损失的梯度,然后调整输入数据以使损失最大化。
在我们跳入代码之前,让我们看看著名的FGSM 熊猫示例并提取一些符号。
从图中可以看出,xx是正确分类为“熊猫”的原始输入图像,yy是xx的地面真相标签,θθ表示模型参数,J(θ,x,y)J(θ,x,y)是用来训练网络的损失。攻击将梯度反向传播回输入数据,以计算∇x J(θ,x,y)∇x J(θ,x,y)。然后,它调整输入数据的一个小步骤(ϵϵ或0.0070.007在图片中)的方向(即。符号(∇x J(θ,x,y)符号(∇x J(θ,x,y)))将使损失最大化。由此产生的扰动图像x‘x’,然后被目标网络错误地归类为“长臂猿”,当它仍然是一个明显的“熊猫”。
希望现在本教程的动机是明确的,所以让我们跳入实现。
from __future__ import print_function import torch import torch.nn as nn import torch.nn.functional as F import torch.optim as optim from torchvision import datasets, transforms import numpy as np import matplotlib.pyplot as plt
Implementation
在本节中,我们将讨论教程的输入参数,定义受攻击的模型,然后对攻击进行编码并运行一些测试。
Inputs
本教程只有三个输入,定义如下:
epsilons-运行时使用的epsilon值列表。在列表中保留0是很重要的,因为它表示原始测试集上的模型性能。此外,直观地说,我们期望epsilon越大,扰动越明显,但在降低模型精度方面攻击越有效。由于这里的数据范围是[0,1][0,1]的,所以没有epsilon值应该超过1。
pretrained_model-通过 pytorch/examples/mnist.训练的预先训练的MNIST模型的路径。为了简单起见,在here下载预先训练过的模型。
use_cuda-布尔标志使用CUDA,如果需要和可用。注意,带有CUDA的GPU对于本教程并不重要,因为CPU不需要太多时间。
epsilons = [0, .05, .1, .15, .2, .25, .3] pretrained_model = "data/lenet_mnist_model.pth" use_cuda=True
Model Under Attack
如前所述,受攻击的模型是来自pytorch/examples/mnist的相同的MNIST模型。 您可以训练和保存自己的MNIST模型,也可以下载和使用所提供的模型。 这里的Net定义和测试数据处理程序已从MNIST示例中复制。 本节的目的是定义模型和数据处理程序,然后初始化模型并加载预先训练的权重。
# LeNet Model definition
class Net(nn.Module):
def __init__(self):
super(Net, self).__init__()
self.conv1 = nn.Conv2d(1, 10, kernel_size=5)
self.conv2 = nn.Conv2d(10, 20, kernel_size=5)
self.conv2_drop = nn.Dropout2d()
self.fc1 = nn.Linear(320, 50)
self.fc2 = nn.Linear(50, 10)
def forward(self, x):
x = F.relu(F.max_pool2d(self.conv1(x), 2))
x = F.relu(F.max_pool2d(self.conv2_drop(self.conv2(x)), 2))
x = x.view(-1, 320)
x = F.relu(self.fc1(x))
x = F.dropout(x, training=self.training)
x = self.fc2(x)
return F.log_softmax(x, dim=1)
# MNIST Test dataset and dataloader declaration
test_loader = torch.utils.data.DataLoader(
datasets.MNIST('../data', train=False, download=True, transform=transforms.Compose([
transforms.ToTensor(),
])),
batch_size=1, shuffle=True)
# Define what device we are using
print("CUDA Available: ",torch.cuda.is_available())
device = torch.device("cuda" if (use_cuda and torch.cuda.is_available()) else "cpu")
# Initialize the network
model = Net().to(device)
# Load the pretrained model
model.load_state_dict(torch.load(pretrained_model, map_location='cpu'))
# Set the model in evaluation mode. In this case this is for the Dropout layers
model.eval()
输出:
Downloading http://yann.lecun.com/exdb/mnist/train-images-idx3-ubyte.gz to ../data/MNIST/raw/train-images-idx3-ubyte.gz Extracting ../data/MNIST/raw/train-images-idx3-ubyte.gz to ../data/MNIST/raw Downloading http://yann.lecun.com/exdb/mnist/train-labels-idx1-ubyte.gz to ../data/MNIST/raw/train-labels-idx1-ubyte.gz Extracting ../data/MNIST/raw/train-labels-idx1-ubyte.gz to ../data/MNIST/raw Downloading http://yann.lecun.com/exdb/mnist/t10k-images-idx3-ubyte.gz to ../data/MNIST/raw/t10k-images-idx3-ubyte.gz Extracting ../data/MNIST/raw/t10k-images-idx3-ubyte.gz to ../data/MNIST/raw Downloading http://yann.lecun.com/exdb/mnist/t10k-labels-idx1-ubyte.gz to ../data/MNIST/raw/t10k-labels-idx1-ubyte.gz Extracting ../data/MNIST/raw/t10k-labels-idx1-ubyte.gz to ../data/MNIST/raw Processing... Done! CUDA Available: True
FGSM Attack
现在,我们可以定义通过扰动原始输入来创建对抗性示例的函数。 fgsm_attack函数取三个输入,图像为原始干净图像(x x),epsilon为像素级摄动量(ϵϵ),data_grad为输入图像(∇xj(θ,x,y)∇xj(x,y))损失的梯度)))。 然后函数创建扰动图像作为
perturbed_image=image+epsilon∗sign(data_grad)=x+ϵ∗sign(∇xJ(θ,x,y))
最后,为了保持数据的原始范围,将扰动图像裁剪到范围[0,1][0,1]。
# FGSM attack code
def fgsm_attack(image, epsilon, data_grad):
# Collect the element-wise sign of the data gradient
sign_data_grad = data_grad.sign()
# Create the perturbed image by adjusting each pixel of the input image
perturbed_image = image + epsilon*sign_data_grad
# Adding clipping to maintain [0,1] range
perturbed_image = torch.clamp(perturbed_image, 0, 1)
# Return the perturbed image
return perturbed_image
Testing Function
最后,本教程的中心结果来自测试函数。 对这个测试函数的每个调用在MNIST测试集上执行一个完整的测试步骤,并报告最终的准确性。 然而,请注意,此函数还接受epsilon输入。 这是因为测试函数报告了一个模型的准确性,该模型正受到来自具有强度ϵϵ的对手的攻击。 更具体地说,对于测试集中的每个样本,函数计算输入数据(data_graddata_grad)w.r.t损失的梯度,用fgsm_attack(perturbed_dataperturbed_data)创建扰动图像,然后检查扰动示例是否是对抗性的。 除了测试模型的准确性外,该函数还保存和返回一些成功的对抗性示例,以便稍后可视化。
def test( model, device, test_loader, epsilon ):
# Accuracy counter
correct = 0
adv_examples = []
# Loop over all examples in test set
for data, target in test_loader:
# Send the data and label to the device
data, target = data.to(device), target.to(device)
# Set requires_grad attribute of tensor. Important for Attack
data.requires_grad = True
# Forward pass the data through the model
output = model(data)
init_pred = output.max(1, keepdim=True)[1] # get the index of the max log-probability
# If the initial prediction is wrong, dont bother attacking, just move on
if init_pred.item() != target.item():
continue
# Calculate the loss
loss = F.nll_loss(output, target)
# Zero all existing gradients
model.zero_grad()
# Calculate gradients of model in backward pass
loss.backward()
# Collect datagrad
data_grad = data.grad.data
# Call FGSM Attack
perturbed_data = fgsm_attack(data, epsilon, data_grad)
# Re-classify the perturbed image
output = model(perturbed_data)
# Check for success
final_pred = output.max(1, keepdim=True)[1] # get the index of the max log-probability
if final_pred.item() == target.item():
correct += 1
# Special case for saving 0 epsilon examples
if (epsilon == 0) and (len(adv_examples) < 5):
adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )
else:
# Save some adv examples for visualization later
if len(adv_examples) < 5:
adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )
# Calculate final accuracy for this epsilon
final_acc = correct/float(len(test_loader))
print("Epsilon: {}\tTest Accuracy = {} / {} = {}".format(epsilon, correct, len(test_loader), final_acc))
# Return the accuracy and an adversarial example
return final_acc, adv_examples
Run Attack
实现的最后一部分是实际运行攻击。 在这里,我们为epsilon输入中的每个epsilon值运行一个完整的测试步骤。 对于每个epsilon,我们还保存了最终的准确性和一些成功的对抗性例子,将在接下来的章节中绘制。 注意印刷精度如何随着epsilon值的增加而降低。 另外,注意ϵ=0情况表示原始测试精度,没有攻击。
accuracies = []
examples = []
# Run test for each epsilon
for eps in epsilons:
acc, ex = test(model, device, test_loader, eps)
accuracies.append(acc)
examples.append(ex)
输出:
Epsilon: 0 Test Accuracy = 9810 / 10000 = 0.981 Epsilon: 0.05 Test Accuracy = 9426 / 10000 = 0.9426 Epsilon: 0.1 Test Accuracy = 8510 / 10000 = 0.851 Epsilon: 0.15 Test Accuracy = 6826 / 10000 = 0.6826 Epsilon: 0.2 Test Accuracy = 4301 / 10000 = 0.4301 Epsilon: 0.25 Test Accuracy = 2082 / 10000 = 0.2082 Epsilon: 0.3 Test Accuracy = 869 / 10000 = 0.0869
Results
Accuracy vs Epsilon
第一个结果是精度与epsilon图。 正如前面提到的,随着epsilon的增加,我们预计测试精度会降低。 这是因为较大的epsilon意味着我们朝着将损失最大化的方向迈出了更大的一步。 请注意,曲线中的趋势不是线性的,即使epsilon值是线性间隔的。 例如,ϵ=0.05ϵ=0.05的精度只比ϵ=低4%左右0ϵ0,但ϵ=0.2ϵ=0.2的精度比ϵ=0.15ϵ=0.15低25。 此外,注意模型的精度在10类分类器的随机精度介于ϵ=0.25ϵϵ=0.25和ϵ=0.3ϵϵ=0.3之间。
plt.figure(figsize=(5,5))
plt.plot(epsilons, accuracies, "*-")
plt.yticks(np.arange(0, 1.1, step=0.1))
plt.xticks(np.arange(0, .35, step=0.05))
plt.title("Accuracy vs Epsilon")
plt.xlabel("Epsilon")
plt.ylabel("Accuracy")
plt.show()
Sample Adversarial Examples
还记得没有免费午餐的想法吗? 在这种情况下,随着epsilon的增加,测试精度降低,但扰动变得更容易感知。 在现实中,攻击者必须考虑精确程度和可感知性之间的权衡。 在这里,我们展示了一些成功的对抗性例子在每个epsilon值。 图的每一行显示不同的epsilon值。 第一行是ϵ=0ϵ=0个例子,它们表示原始的“干净”图像,没有扰动。 每幅图像的标题显示了“原始分类->;对抗性分类”。注意,扰动在ϵ=0时开始变得明显。15ϵϵ=0.15,在ϵ=0时相当明显。3ϵϵ=0.3。 然而,在所有情况下,人类仍然能够识别正确的类,尽管增加了噪音。
# Plot several examples of adversarial samples at each epsilon
cnt = 0
plt.figure(figsize=(8,10))
for i in range(len(epsilons)):
for j in range(len(examples[i])):
cnt += 1
plt.subplot(len(epsilons),len(examples[0]),cnt)
plt.xticks([], [])
plt.yticks([], [])
if j == 0:
plt.ylabel("Eps: {}".format(epsilons[i]), fontsize=14)
orig,adv,ex = examples[i][j]
plt.title("{} -> {}".format(orig, adv))
plt.imshow(ex, cmap="gray")
plt.tight_layout()
plt.show()
接下来是什么?
希望本教程对对抗性机器学习的主题有一些见解。 从这里有许多潜在的方向要走。 这种攻击代表了对抗性攻击研究的开始,并且由于后续有许多关于如何攻击和保护ML模型免受对手攻击的想法。 事实上,在NIPS2017年有一个对抗性攻击和防御竞争,本文描述了竞争中使用的许多方法: Adversarial Attacks and Defences Competition.对抗性攻击和防御竞争。 在防御方面的工作也导致了这样的想法,即使机器学习模型在一般情况下更加健壮,既自然地令人不安,又有对抗性的输入。
另一个方向是不同领域的对抗性攻击和防御。 对抗性研究不限于图像领域,请查看对语音到文本模型的这种攻击。 但是,了解更多关于对抗性机器学习的最好方法可能是弄脏你的手。尝试实现与NIPS2017年竞争不同的攻击,并看看它与FGSM有何不同。 然后,试着保护模型免受你自己的攻击。
接下来,给大家介绍一下租用GPU做实验的方法,我们是在智星云租用的GPU,使用体验很好。具体大家可以参考:智星云官网: http://www.ai-galaxy.cn/,淘宝店:https://shop36573300.taobao.com/公众号: 智星AI
参考文献:
https://pytorch.org/tutorials/beginner/fgsm_tutorial.html
https://arxiv.org/pdf/1804.00097.pdf
https://arxiv.org/pdf/1801.01944.pdf
https://github.com/pytorch/examples/tree/master/mnist
https://arxiv.org/abs/1412.6572
https://drive.google.com/drive/folders/1fn83DF14tWmit0RTKWRhPq5uVXt73e0h?usp=sharing
