注意

点击 here 下载完整的示例代码

对抗样本生成

创建日期：2018年8月14日 | 最后更新：2024年8月27日 | 最后验证：未验证

如果你正在阅读这篇文章，希望你能体会到一些机器学习模型的有效性。研究不断推动ML模型变得更快、更准确、更高效。然而，设计和训练模型时常常被忽视的一个方面是安全性和鲁棒性，尤其是在面对希望欺骗模型的对手时。

本教程将提高您对机器学习模型安全漏洞的认识，并深入探讨对抗性机器学习这一热门话题。您可能会惊讶地发现，对图像添加难以察觉的扰动可以导致模型性能的显著不同。鉴于这是一个教程，我们将通过图像分类器的示例来探讨这一主题。具体来说，我们将使用最早且最流行的攻击方法之一，快速梯度符号攻击（FGSM），来欺骗MNIST分类器。

威胁模型

为了理解上下文，存在多种类型的对抗攻击，每种攻击都有不同的目标和攻击者知识的假设。然而，总的来说，总体目标是在输入数据中添加最少的扰动，以导致所需的错误分类。关于攻击者知识的假设有几种，其中两种是：白盒和黑盒。白盒攻击假设攻击者拥有对模型的完全知识和访问权限，包括架构、输入、输出和权重。黑盒攻击假设攻击者只能访问模型的输入和输出，而对底层架构或权重一无所知。还有几种类型的目标，包括错误分类和源/目标错误分类。错误分类的目标意味着对手只希望输出分类是错误的，但不关心新的分类是什么。源/目标错误分类意味着对手希望改变原本属于特定源类的图像，使其被分类为特定的目标类。

在这种情况下，FGSM攻击是一种白盒攻击，目标是错误分类。有了这些背景信息，我们现在可以详细讨论这种攻击。

快速梯度符号攻击

迄今为止，最早且最流行的对抗攻击之一被称为快速梯度符号攻击（FGSM），并由Goodfellow等人在解释和利用对抗样本中进行了描述。这种攻击非常强大且直观。它旨在通过利用神经网络学习的方式——梯度——来攻击神经网络。其思想很简单，不是通过基于反向传播的梯度调整权重来最小化损失，而是基于相同的反向传播梯度调整输入数据以最大化损失。换句话说，攻击使用损失相对于输入数据的梯度，然后调整输入数据以最大化损失。

在我们深入代码之前，让我们看一下著名的 FGSM 熊猫示例并提取一些符号。

从图中可以看出， $\mathbf{x}$ 是原始输入图像，被正确分类为“熊猫”， $y$ 是 $\mathbf{x}$ 的真实标签， $\mathbf{\theta}$ 表示模型参数， $J(\mathbf{\theta}, \mathbf{x}, y)$ 是用于训练网络的损失函数。攻击通过反向传播梯度回到输入数据来计算 $\nabla_{x} J(\mathbf{\theta}, \mathbf{x}, y)$ 。然后，它在最大化损失的方向（即 $sign(\nabla_{x} J(\mathbf{\theta}, \mathbf{x}, y))$ ）上对输入数据进行小幅调整（图中的 $\epsilon$ 或 $0.007$ ）。生成的扰动图像 $x'$ 随后被目标网络错误分类为“长臂猿”，而它仍然明显是一只“熊猫”。

希望现在这个教程的动机已经明确，让我们直接进入实现部分。

import torch
import torch.nn as nn
import torch.nn.functional as F
import torch.optim as optim
from torchvision import datasets, transforms
import numpy as np
import matplotlib.pyplot as plt

实现

在本节中，我们将讨论教程的输入参数，定义受攻击的模型，然后编写攻击代码并运行一些测试。

输入

本教程只有三个输入，定义如下：

epsilons - 用于运行的epsilon值列表。在列表中保留0很重要，因为它表示模型在原始测试集上的性能。此外，直观上我们期望epsilon越大，扰动越明显，但在降低模型准确性方面攻击效果也越强。由于这里的数据范围是 $[0,1]$ ，所以epsilon值不应超过1。
pretrained_model - 预训练的MNIST模型的路径，该模型是使用 pytorch/examples/mnist训练的。为简化操作，可以在此处下载预训练模型 here。
use_cuda - 布尔标志，用于在需要且可用时使用CUDA。请注意，本教程中拥有CUDA的GPU并不是关键，因为CPU不会花费太多时间。

epsilons = [0, .05, .1, .15, .2, .25, .3]
pretrained_model = "data/lenet_mnist_model.pth"
use_cuda=True
# Set random seed for reproducibility
torch.manual_seed(42)

<torch._C.Generator object at 0x7fce85f71b30>

模型受到攻击

如前所述，受到攻击的模型与pytorch/examples/mnist中的MNIST模型相同。您可以训练并保存自己的MNIST模型，也可以下载并使用提供的模型。这里的Net定义和测试数据加载器是从MNIST示例中复制的。本节的目的是定义模型和数据加载器，然后初始化模型并加载预训练的权重。

# LeNet Model definition
class Net(nn.Module):
    def __init__(self):
        super(Net, self).__init__()
        self.conv1 = nn.Conv2d(1, 32, 3, 1)
        self.conv2 = nn.Conv2d(32, 64, 3, 1)
        self.dropout1 = nn.Dropout(0.25)
        self.dropout2 = nn.Dropout(0.5)
        self.fc1 = nn.Linear(9216, 128)
        self.fc2 = nn.Linear(128, 10)

    def forward(self, x):
        x = self.conv1(x)
        x = F.relu(x)
        x = self.conv2(x)
        x = F.relu(x)
        x = F.max_pool2d(x, 2)
        x = self.dropout1(x)
        x = torch.flatten(x, 1)
        x = self.fc1(x)
        x = F.relu(x)
        x = self.dropout2(x)
        x = self.fc2(x)
        output = F.log_softmax(x, dim=1)
        return output

# MNIST Test dataset and dataloader declaration
test_loader = torch.utils.data.DataLoader(
    datasets.MNIST('../data', train=False, download=True, transform=transforms.Compose([
            transforms.ToTensor(),
            transforms.Normalize((0.1307,), (0.3081,)),
            ])),
        batch_size=1, shuffle=True)

# Define what device we are using
print("CUDA Available: ",torch.cuda.is_available())
device = torch.device("cuda" if use_cuda and torch.cuda.is_available() else "cpu")

# Initialize the network
model = Net().to(device)

# Load the pretrained model
model.load_state_dict(torch.load(pretrained_model, map_location=device, weights_only=True))

# Set the model in evaluation mode. In this case this is for the Dropout layers
model.eval()

Downloading http://yann.lecun.com/exdb/mnist/train-images-idx3-ubyte.gz
Failed to download (trying next):
HTTP Error 403: Forbidden

Downloading https://ossci-datasets.s3.amazonaws.com/mnist/train-images-idx3-ubyte.gz
Downloading https://ossci-datasets.s3.amazonaws.com/mnist/train-images-idx3-ubyte.gz to ../data/MNIST/raw/train-images-idx3-ubyte.gz

  0%|          | 0.00/9.91M [00:00<?, ?B/s]
100%|##########| 9.91M/9.91M [00:00<00:00, 130MB/s]
Extracting ../data/MNIST/raw/train-images-idx3-ubyte.gz to ../data/MNIST/raw

Downloading http://yann.lecun.com/exdb/mnist/train-labels-idx1-ubyte.gz
Failed to download (trying next):
HTTP Error 403: Forbidden

Downloading https://ossci-datasets.s3.amazonaws.com/mnist/train-labels-idx1-ubyte.gz
Downloading https://ossci-datasets.s3.amazonaws.com/mnist/train-labels-idx1-ubyte.gz to ../data/MNIST/raw/train-labels-idx1-ubyte.gz

  0%|          | 0.00/28.9k [00:00<?, ?B/s]
100%|##########| 28.9k/28.9k [00:00<00:00, 42.7MB/s]
Extracting ../data/MNIST/raw/train-labels-idx1-ubyte.gz to ../data/MNIST/raw

Downloading http://yann.lecun.com/exdb/mnist/t10k-images-idx3-ubyte.gz
Failed to download (trying next):
HTTP Error 403: Forbidden

Downloading https://ossci-datasets.s3.amazonaws.com/mnist/t10k-images-idx3-ubyte.gz
Downloading https://ossci-datasets.s3.amazonaws.com/mnist/t10k-images-idx3-ubyte.gz to ../data/MNIST/raw/t10k-images-idx3-ubyte.gz

  0%|          | 0.00/1.65M [00:00<?, ?B/s]
100%|##########| 1.65M/1.65M [00:00<00:00, 75.8MB/s]
Extracting ../data/MNIST/raw/t10k-images-idx3-ubyte.gz to ../data/MNIST/raw

Downloading http://yann.lecun.com/exdb/mnist/t10k-labels-idx1-ubyte.gz
Failed to download (trying next):
HTTP Error 403: Forbidden

Downloading https://ossci-datasets.s3.amazonaws.com/mnist/t10k-labels-idx1-ubyte.gz
Downloading https://ossci-datasets.s3.amazonaws.com/mnist/t10k-labels-idx1-ubyte.gz to ../data/MNIST/raw/t10k-labels-idx1-ubyte.gz

  0%|          | 0.00/4.54k [00:00<?, ?B/s]
100%|##########| 4.54k/4.54k [00:00<00:00, 24.2MB/s]
Extracting ../data/MNIST/raw/t10k-labels-idx1-ubyte.gz to ../data/MNIST/raw

CUDA Available:  True

Net(
  (conv1): Conv2d(1, 32, kernel_size=(3, 3), stride=(1, 1))
  (conv2): Conv2d(32, 64, kernel_size=(3, 3), stride=(1, 1))
  (dropout1): Dropout(p=0.25, inplace=False)
  (dropout2): Dropout(p=0.5, inplace=False)
  (fc1): Linear(in_features=9216, out_features=128, bias=True)
  (fc2): Linear(in_features=128, out_features=10, bias=True)
)

FGSM攻击

现在，我们可以定义通过扰动原始输入来创建对抗样本的函数。fgsm_attack 函数接受三个输入，image 是原始的干净图像（ $x$ ），epsilon 是像素级的扰动量（ $\epsilon$ ），data_grad 是损失相对于输入图像的梯度（ $\nabla_{x} J(\mathbf{\theta}, \mathbf{x}, y)$ ）。然后，该函数创建扰动图像如下：

perturbed\_image = image + epsilon*sign(data\_grad) = x + \epsilon * sign(\nabla_{x} J(\mathbf{\theta}, \mathbf{x}, y))

最后，为了保持数据的原始范围，扰动图像被裁剪到范围 $[0,1]$ 。

# FGSM attack code
def fgsm_attack(image, epsilon, data_grad):
    # Collect the element-wise sign of the data gradient
    sign_data_grad = data_grad.sign()
    # Create the perturbed image by adjusting each pixel of the input image
    perturbed_image = image + epsilon*sign_data_grad
    # Adding clipping to maintain [0,1] range
    perturbed_image = torch.clamp(perturbed_image, 0, 1)
    # Return the perturbed image
    return perturbed_image

# restores the tensors to their original scale
def denorm(batch, mean=[0.1307], std=[0.3081]):
    """
    Convert a batch of tensors to their original scale.

    Args:
        batch (torch.Tensor): Batch of normalized tensors.
        mean (torch.Tensor or list): Mean used for normalization.
        std (torch.Tensor or list): Standard deviation used for normalization.

    Returns:
        torch.Tensor: batch of tensors without normalization applied to them.
    """
    if isinstance(mean, list):
        mean = torch.tensor(mean).to(device)
    if isinstance(std, list):
        std = torch.tensor(std).to(device)

    return batch * std.view(1, -1, 1, 1) + mean.view(1, -1, 1, 1)

测试函数

最后，本教程的核心结果来自test函数。每次调用此测试函数都会在MNIST测试集上执行完整的测试步骤，并报告最终准确率。然而，请注意，此函数还接受一个epsilon输入。这是因为test函数报告的是受到强度为 $\epsilon$ 的对手攻击的模型的准确率。更具体地说，对于测试集中的每个样本，该函数计算损失相对于输入数据的梯度（ $data\_grad$ ），使用fgsm_attack创建扰动图像（ $perturbed\_data$ ），然后检查扰动后的示例是否具有对抗性。除了测试模型的准确率外，该函数还保存并返回一些成功的对抗性示例，以便稍后可视化。

def test( model, device, test_loader, epsilon ):

    # Accuracy counter
    correct = 0
    adv_examples = []

    # Loop over all examples in test set
    for data, target in test_loader:

        # Send the data and label to the device
        data, target = data.to(device), target.to(device)

        # Set requires_grad attribute of tensor. Important for Attack
        data.requires_grad = True

        # Forward pass the data through the model
        output = model(data)
        init_pred = output.max(1, keepdim=True)[1] # get the index of the max log-probability

        # If the initial prediction is wrong, don't bother attacking, just move on
        if init_pred.item() != target.item():
            continue

        # Calculate the loss
        loss = F.nll_loss(output, target)

        # Zero all existing gradients
        model.zero_grad()

        # Calculate gradients of model in backward pass
        loss.backward()

        # Collect ``datagrad``
        data_grad = data.grad.data

        # Restore the data to its original scale
        data_denorm = denorm(data)

        # Call FGSM Attack
        perturbed_data = fgsm_attack(data_denorm, epsilon, data_grad)

        # Reapply normalization
        perturbed_data_normalized = transforms.Normalize((0.1307,), (0.3081,))(perturbed_data)

        # Re-classify the perturbed image
        output = model(perturbed_data_normalized)

        # Check for success
        final_pred = output.max(1, keepdim=True)[1] # get the index of the max log-probability
        if final_pred.item() == target.item():
            correct += 1
            # Special case for saving 0 epsilon examples
            if epsilon == 0 and len(adv_examples) < 5:
                adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
                adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )
        else:
            # Save some adv examples for visualization later
            if len(adv_examples) < 5:
                adv_ex = perturbed_data.squeeze().detach().cpu().numpy()
                adv_examples.append( (init_pred.item(), final_pred.item(), adv_ex) )

    # Calculate final accuracy for this epsilon
    final_acc = correct/float(len(test_loader))
    print(f"Epsilon: {epsilon}\tTest Accuracy = {correct} / {len(test_loader)} = {final_acc}")

    # Return the accuracy and an adversarial example
    return final_acc, adv_examples

运行攻击

实现的最后一部分是实际运行攻击。在这里，我们为epsilons输入中的每个epsilon值运行一个完整的测试步骤。对于每个epsilon，我们还保存了最终的准确性和一些成功的对抗样本，以便在接下来的部分中进行绘制。请注意，随着epsilon值的增加，打印的准确性如何下降。此外，请注意 $\epsilon=0$ 情况表示原始测试准确性，没有攻击。

accuracies = []
examples = []

# Run test for each epsilon
for eps in epsilons:
    acc, ex = test(model, device, test_loader, eps)
    accuracies.append(acc)
    examples.append(ex)

Epsilon: 0      Test Accuracy = 9912 / 10000 = 0.9912
Epsilon: 0.05   Test Accuracy = 9605 / 10000 = 0.9605
Epsilon: 0.1    Test Accuracy = 8743 / 10000 = 0.8743
Epsilon: 0.15   Test Accuracy = 7111 / 10000 = 0.7111
Epsilon: 0.2    Test Accuracy = 4877 / 10000 = 0.4877
Epsilon: 0.25   Test Accuracy = 2717 / 10000 = 0.2717
Epsilon: 0.3    Test Accuracy = 1418 / 10000 = 0.1418

结果

准确率与Epsilon

第一个结果是准确率与epsilon的关系图。正如之前提到的，随着epsilon的增加，我们预计测试准确率会下降。这是因为较大的epsilon意味着我们在最大化损失的方向上迈出了更大的步伐。请注意，尽管epsilon值是线性间隔的，但曲线的趋势并不是线性的。例如， $\epsilon=0.05$ 的准确率仅比 $\epsilon=0$ 低约4%，但 $\epsilon=0.2$ 的准确率比 $\epsilon=0.15$ 低25%。此外，请注意模型的准确率在 $\epsilon=0.25$ 和 $\epsilon=0.3$ 之间达到了10类分类器的随机准确率。

plt.figure(figsize=(5,5))
plt.plot(epsilons, accuracies, "*-")
plt.yticks(np.arange(0, 1.1, step=0.1))
plt.xticks(np.arange(0, .35, step=0.05))
plt.title("Accuracy vs Epsilon")
plt.xlabel("Epsilon")
plt.ylabel("Accuracy")
plt.show()

样本对抗示例

还记得“没有免费的午餐”这个概念吗？在这种情况下，随着epsilon的增加，测试精度会降低但是扰动会变得更加明显。实际上，攻击者必须考虑精度下降和可感知性之间的权衡。在这里，我们展示了一些在每个epsilon值下成功的对抗样本的例子。图中的每一行显示不同的epsilon值。第一行是 $\epsilon=0$ 的例子，代表没有扰动的原始“干净”图像。每张图像的标题显示“原始分类 -> 对抗分类。”注意，扰动在 $\epsilon=0.15$ 时开始变得明显，在 $\epsilon=0.3$ 时非常明显。然而，在所有情况下，尽管增加了噪声，人类仍然能够识别出正确的类别。

# Plot several examples of adversarial samples at each epsilon
cnt = 0
plt.figure(figsize=(8,10))
for i in range(len(epsilons)):
    for j in range(len(examples[i])):
        cnt += 1
        plt.subplot(len(epsilons),len(examples[0]),cnt)
        plt.xticks([], [])
        plt.yticks([], [])
        if j == 0:
            plt.ylabel(f"Eps: {epsilons[i]}", fontsize=14)
        orig,adv,ex = examples[i][j]
        plt.title(f"{orig} -> {adv}")
        plt.imshow(ex, cmap="gray")
plt.tight_layout()
plt.show()

7 -> 7, 9 -> 9, 0 -> 0, 3 -> 3, 5 -> 5, 2 -> 8, 1 -> 3, 3 -> 5, 4 -> 6, 4 -> 9, 9 -> 4, 5 -> 6, 9 -> 5, 9 -> 5, 3 -> 2, 3 -> 5, 5 -> 3, 1 -> 6, 4 -> 9, 7 -> 9, 7 -> 2, 8 -> 2, 4 -> 8, 3 -> 7, 5 -> 3, 8 -> 3, 0 -> 8, 6 -> 5, 2 -> 3, 1 -> 8, 1 -> 9, 1 -> 8, 5 -> 8, 7 -> 8, 0 -> 2

接下来去哪里？

希望本教程能为您提供对抗性机器学习主题的一些见解。从这里出发，有许多潜在的方向可以探索。这种攻击代表了对抗性攻击研究的开端，自那时以来，已经有许多关于如何攻击和防御机器学习模型的想法。事实上，在NIPS 2017上有一个对抗性攻击和防御竞赛，竞赛中使用的许多方法在这篇论文中有所描述：Adversarial Attacks and Defences Competition。防御工作也引出了使机器学习模型在一般情况下更加稳健的想法，无论是对于自然扰动的输入还是对抗性制作的输入。

另一个方向是在不同领域进行对抗性攻击和防御。对抗性研究不仅限于图像领域，查看这个对语音到文本模型的攻击。但也许了解更多关于对抗性机器学习的最好方法是亲自动手。尝试实现NIPS 2017竞赛中的不同攻击，并看看它与FGSM有何不同。然后，尝试防御模型免受你自己的攻击。

根据可用资源，进一步的方向是修改代码以支持批量、并行或分布式处理工作，而不是在上述每个epsilon test()循环中一次处理一个攻击。

脚本总运行时间： (4分钟 1.060秒)

Gallery generated by Sphinx-Gallery