需要源码请点赞关注收藏后评论区留言私信~~~
白盒攻击
根据攻击者对模型的了解程度,对抗攻击可分为白盒攻击和黑盒攻击。
白盒攻击是指攻击者掌握包括模型结构与系数在内的所有信息。
黑盒攻击是指攻击者对模型结构与参数不了解,仅能够对模型进行输入试探以获得对应的输出响应。
FGM算法
算法流程图如下
在定向攻击时,误差是用前向传播的输出与攻击目标y_target进行比较计算得到的,因此,扰动的目标是使该误差变小,因此,扰动r沿梯度的相反方向计算得到。
在非定向攻击时,误差是用前向传播的输出与实际标签进行比较计算得到的,因此,扰动的目标是使该误差变大,因此,扰动r是沿梯度的真实方向计算得到,即按所谓的梯度上升法进行优化。
记样本为x=(x^(1),x^(2),…,x^(n))。 记损失函数对样本特征变量的梯度为:g=(g^(1),g^(2),…,g^(n))
其中,g^(i)为误差对x^(i)的梯度。 FGM算法的调整样本扰动r为:
其中,‖g‖_2是g的L2范数,即进行了正则化操作。ϵ常量是步长。
输出结果如下 可见198次预测时结果为1.成功达到了扰乱模型判断能力的目的
FGSM
FGSM是在FGM的基础上,将样本特征变量的梯度g的符号作为扰动r:
加入扰动之后,对抗样本被模型错误识别为miniature_poodle类型,但实际上它是一直贵宾犬
FGSM算法比较简单,生成的样本具有迁移性好的特点。在FGSM算法的基础上,发展出了I-FGSM和MI-FGSM等算法。
DeepFool算法
DeepFool算法是一种基于梯度的可自动调整步长的对抗样本生成算法。从攻击线性二分类模型推广到攻击一般多分类模型。 在攻击线性二分类模型时,扰动r为:
在f(x)=0时表示分割空间的超平面,超平面的两侧分别表示不同的类别。在二维平面上,它是一条直线,在三维立体空间中,它是一个平面。
把扰动r写成如下形式:
f(x)/‖g‖是空间中点到平面的距离,g/‖g‖是平面的单位法向量,因此,r可看作是从点x到平面的向量,它的方向垂直于平面并指向平面,长度等于它到平面的距离。
在攻击一般的非线性二分类模型时,采用迭代求解。最终扰动是每次迭代的扰动之和。
推广到攻击线性多分类模型时,扰动r是点x到各个超平面的向量中长度最短的那个。记第k个超平面为f_k(x)=0。记点x的原始预测概率最大函数为f_k ̂(x)。可以证明点x到第k个超平面的最短向量r_k为:
最优的扰动r是所有r_k中的最小值。推广到攻击一般的非线性多分类模型时,采用迭代求解,每次迭代中,取到每个超平面的扰动r_k的模最小者作为本次迭代调整样本的扰动r。最终扰动是所有迭代的扰动之和。
运行结果如下 可见最后一次将图片识别成了8,成功达到了扰动的目的
部分代码如下
def deepfool(img, label, model, epochs=1000): #epochs = 1000 # 最大迭代次数 overshoot = 0.02 # 加大一点扰动,越过分类超平面 input_shape = [28, 28, 1] w = np.zeros(input_shape) r_tot = np.zeros(img.shape) # 记录累积扰动 orig_label = np.argmax(label) output = model(img) adv = img for epoch in range(epochs): scores = model(adv).numpy()[0] label = np.argmax(scores) print(epoch, ':', label, scores[label]) if label != orig_label: # 无定向攻击成功 break pert = np.inf grad_orig = compute_grad(tf.constant(adv), orig_label) for k in range(num_classes): if k == orig_label: continue cur_grad = compute_grad(tf.constant(adv), k) w_k = cur_grad - grad_orig f_k = (output[0, k] - output[0, orig_label]).numpy() #if np.linalg.norm(w_k) == 0: # print('norm==0', epoch, k, orig_label) pert_k = abs(f_k) / (np.linalg.norm(w_k) + 1e-5) if pert_k < pert: # 选择pert最小值 pert = pert_k w = w_k # 计算 r_i 和 r_tot r_i = (pert + 1e-8) * w / (np.linalg.norm(w) + 1e-5) # 本次迭代的扰动 r_tot = r_tot + r_i # 累积扰动 adv = img + (1 + overshoot) * r_tot # 原样本加上扰动 if epoch == epochs -1: succ = False else: succ = True return succ, adv, r_tot, epoch, label
创作不易 觉得有帮助请点赞关注收藏~~~
