首页 > 其他分享 >李宏毅机器学习2023-HW10-Adversarial Attack

李宏毅机器学习2023-HW10-Adversarial Attack

时间:2024-09-27 23:24:07浏览次数:10  
标签:HW10 adv plt predict 李宏毅 boldsymbol FGSM Adversarial logit

文章目录

Task

黑箱攻击(Blackbox Attack)

采用CIFAR-10数据集经助教筛选,黑箱攻击的核心是:如果你有目标网络的训练数据,你可以训练一个proxy network,用这个proxy network生成attacked objects。

Baseline

  • Simple baseline (acc <= 0.70)
    • Hints: FGSM
    • Expected running time: 1.5 mins on T4
  • Medium baseline (acc <= 0.50)
    • Hints: Ensemble Attack + ensemble random few model + IFGSM
    • Expected running time: 5 mins on T4
  • Strong baseline (acc <= 0.25)
    • Hints: Ensemble Attack + ensemble many models + MIFGSM
    • Expected running time: 5.5 mins on T4
  • Boss baseline (acc <= 0.10)
    • Hints: Ensemble Attack + ensemble many models + DIM-MIFGSM
    • Expected running time: 8 mins on T4

主要就是以下这几个方法,具体的理论写在ipynb中了

Implement non-targeted adversarial attack method

a. FGSM
b. I-FGSM
c. MI-FGSM

Increase attack transferability by Diverse input (DIM)

Attack more than one proxy model - Ensemble attack

FGSM (Fast Gradient Sign Method (FGSM)

$$
x{adv}的目标是J(x{real},y)最大\

x^{adv} = x^{real} + ϵ ⋅ sign(\frac{\partial{J(x^{real},y)}}{\partial{x}0})
$$

I-FGSM(Iterative Fast Gradient Sign Method)

x 0 a d v = x r e a l f o r   t = 1   t o   n u m _ i t e r : x t + 1 a d v = x ∗ t a d v + α ⋅ s i g n ( ∇ ∗ x J ( x t a d v , y ) ) c l i p   x t a d v \begin{aligned}&\boldsymbol{x}_0^{adv}=\boldsymbol{x}^{real}\\&\mathrm{for~t=1~to~num\_iter:}\\&\boxed{\boldsymbol{x}_{t+1}^{adv}=\boldsymbol{x}*_t^{adv}+\alpha\cdot\mathrm{sign}(\nabla_*{\boldsymbol{x}}J(\boldsymbol{x}_t^{adv},y))}\\&\mathrm{clip~}\boldsymbol{x}_t^{adv}\end{aligned} ​x0adv​=xrealfor t=1 to num_iter:xt+1adv​=x∗tadv​+α⋅sign(∇∗​xJ(xtadv​,y))​clip xtadv​​

其中, α \alpha α是step size

MI-FGSM(Momentum Iterative Fast Gradient Sign Method)

使用momentum来稳定更新方向,并摆脱糟糕的局部最大值
KaTeX parse error: Got function '\boldsymbol' with no arguments as subscript at position 112: …t+\frac{\nabla_\̲b̲o̲l̲d̲s̲y̲m̲b̲o̲l̲{x}J(\boldsymbo…
其中 g g g是momentum

M-DI2-FGSM(Diverse Input Momentum Iterative Fast Gradient Sign Method)

T ( X n a d v ; p ) = { T ( X n a d v )  with probability  p X ∗ n a d v  with probability  1 − p e.g. DIM + MI-FGSM g ∗ n + 1 = μ ⋅ g n + ∇ X L ( T ( X n a d v ; p ) , y t r u e ; θ ) ∣ ∣ ∇ X L ( T ( X n a d v ; p ) , y t r u e ; θ ) ∣ ∣ 1 T(X_n^{adv};p)=\begin{cases}T(X_n^{adv})&\text{ with probability }p\\X*_n^{adv}&\text{ with probability }1-p\end{cases}\\\text{e.g. DIM + MI-FGSM}\\g_*{n+1}=\mu\cdot g_n+\frac{\nabla_XL(T(X_n^{adv};p),y^{\mathrm{true}};\theta)}{||\nabla_XL(T(X_n^{adv};p),y^{\mathrm{true}};\theta)||_1} T(Xnadv​;p)={T(Xnadv​)X∗nadv​​ with probability p with probability 1−p​e.g. DIM + MI-FGSMg∗​n+1=μ⋅gn​+∣∣∇X​L(T(Xnadv​;p),ytrue;θ)∣∣1​∇X​L(T(Xnadv​;p),ytrue;θ)​

这里的L可以用CrossEntropyLoss求解

Report

fgsm attack

# original image
path = f'dog/dog2.png'
im = Image.open(f'./data/{path}')
logit = model(transform(im).unsqueeze(0).to(device))[0]
predict = logit.argmax(-1).item()
prob = logit.softmax(-1)[predict].item()
plt.title(f'benign: dog2.png\n{classes[predict]}: {prob:.2%}')
plt.axis('off')
plt.imshow(np.array(im))
plt.tight_layout()
plt.show()

# adversarial image
adv_im = Image.open(f'./fgsm/{path}')
logit = model(transform(adv_im).unsqueeze(0).to(device))[0]
predict = logit.argmax(-1).item()
prob = logit.softmax(-1)[predict].item()
plt.title(f'adversarial: dog2.png\n{classes[predict]}: {prob:.2%}')
plt.axis('off')
plt.imshow(np.array(adv_im))
plt.tight_layout()
plt.show()

在这里插入图片描述

Jepg Compression

import imgaug.augmenters as iaa

# pre-process image
x = transforms.ToTensor()(adv_im)*255
x = x.permute(1, 2, 0).numpy()
x = x.astype(np.uint8)

# TODO: use "imgaug" package to perform JPEG compression (compression rate = 70)
compressed_x = iaa.JpegCompression(compression=70)(image=x)

logit = model(transform(compressed_x).unsqueeze(0).to(device))[0]
predict = logit.argmax(-1).item()
prob = logit.softmax(-1)[predict].item()
plt.title(f'JPEG adversarial: dog2.png\n{classes[predict]}: {prob:.2%}')
plt.axis('off')


plt.imshow(compressed_x)
plt.tight_layout()
plt.show()

在这里插入图片描述

Code Link

代码在Github

标签:HW10,adv,plt,predict,李宏毅,boldsymbol,FGSM,Adversarial,logit
From: https://blog.csdn.net/qq_42875127/article/details/142580527

相关文章

  • 论文阅读:Unsupervised Representation Learning with Deep Convolutional Generative
    Abstract背景:希望能缩小CNN在监督学习和无监督学习之间成功应用的差距。贡献:引入了一类称为深度卷积生成对抗网络(DCGAN)的CNN。结果:DCGAN在生成器和判别器中都能从对象到场景学习表示层次结构。1.Introduction贡献:提出DCGAN用于图像分类任务,展示其性能对滤波器......
  • 论文阅读:Generative Adversarial Nets
    Abstract本文贡献:提出GAN:生成模型 G,生成模型用来捕获数据的分布;辨别模型D,辨别模型用来判断样本是来自于训练数据还是生成模型生成的。在任意函数空间里,存在唯一解,G能找出训练数据的真实分布,而D的预测概率为......
  • 【生成对抗网络GAN】最全的关于生成对抗网络Generative Adversarial Networks,GAN的介
    【生成对抗网络GAN】最全的关于生成对抗网络GenerativeAdversarialNetworks,GAN的介绍!!【生成对抗网络GAN】最全的关于生成对抗网络GenerativeAdversarialNetworks,GAN的介绍!!文章目录【生成对抗网络GAN】最全的关于生成对抗网络GenerativeAdversarialNetworks,GAN的......
  • Improving Weakly-Supervised Object Localization Using Adversarial Erasing and Ps
    一、背景        CAM的方法通常只定位了对象中最具判别性的部分(训练过程中缺乏详细的位置信息),后续一些先进的方法定位目标区域包括:利用多个特征映射;采用对抗性擦除;合并伪标签;设计替换架构;引入额外处理或者利用单独的网络或者伪标签生成器等    这篇论文专注......
  • transformer(李宏毅笔记)
    transformerEncoder之前的Self-attention其实已经提到过transformer,而且transformer和后面的bert也有很大关系,transformer就是一个sequencetosequence的model这些都是输出不定长的例子,语音识别+机器翻译=语音翻译吗,有些语言可能没有文字,或者说某些方言训练这样的模型,你就......
  • Datawhale X李宏毅苹果书AI夏令营 第五期 深度学习入门 task3
      本次任务主要是了解模型在训练集或测试集上损失较大时的几大原因,了解改进的方向一、模型偏差   模型过于简单,未知参数函数的所有可能性的集合太小,让损失变低的函数不在模型可以描述的范围内;或者是模型的灵活性不够。这个时候重新设计一个模型,给模型更大的灵活性,将......
  • Datawhale X 李宏毅苹果书 AI夏令营(进阶Task03)
    批量归一化为什么不同的参数在更新时其梯度变化如此之大?首先,对于模型中w1,w2两个参数,可以看到其w1参数的梯度变化较为平滑,w2梯度变化较为陡峭,原因是x1较小时,当w1变化较大,由于x1较小,其整体乘积较小,对损失值影响不大;x2较大时,w2发生变化,其乘积较大,其对损失值变化很大,影响较大。......
  • Datawhale X 李宏毅苹果书AI夏令营 Task3打卡
    3.7批量归一化批量归一化的核心思想在于把误差函数图像的“山铲平”,在某些误差表面上不同参数方向的变化率可能差别很大,此时在损失函数上找到临界点会比较困难比如对一个简单的线性函数\(y=\sigma(w_1\timesx_1+w_2\timesx_2+b)\)来说,我们考虑对于参数\(w_1,w_2\)来说,......
  • 第二天学习笔记:Datawhale X 李宏毅苹果书 AI夏令营
    今天学的有些小兴奋,终于解锁了很多熟悉但不明就里的术语。天呢,原来ReLU是“修正线性单元”的意思!RectifiedLinearUnit!但是呢,也有不大对付的地方:好几个地方前言不搭后语。容我一一道来。今天就顺序边读边记:线性模型(linearmodel)==把模型输入的特征x乘上一个权重,再加......
  • 2、实践方法论(Datawhale X 李宏毅苹果书 AI 夏令营)
    2、实践方法论(DatawhaleX李宏毅苹果书AI夏令营)在应用机器学习算法时,实践方法论能够帮助我们更好地训练模型。如果在Kaggle上的结果不太好,虽然Kaggle上呈现的是测试数据的结果,但要先检查训练数据的损失。2.1模型偏差有时候把模型设置的太过简单,使得函数的集合太小了,没......