PGD攻击原论文地址——https://arxiv.org/pdf/1706.06083.pdf

1.PGD攻击的原理

  PGD(Project Gradient Descent)攻击是一种迭代攻击,可以看作是FGSM的翻版——K-FGSM (K表示迭代的次数),大概的思路就是,FGSM是仅仅做一次迭代,走一大步,而PGD是做多次迭代,每次走一小步,每次迭代都会将扰动clip到规定范围内。

一般来说,PGD的攻击效果比FGSM要好,那么原理是什么呢?首先,如果目标模型是一个线性模型,那么用FGSM就可以了,因为此时loss对输入的导数是固定的,换言之,使得loss下降的方向是明确的,即使你多次迭代,扰动的方向也不会改变。而对于一个非线性模型,仅仅做一次迭代,方向是不一定完全正确的,这也是为什么FGSM的效果一般的原因了。

用画图软件画了一个很丑的图,但大致能够表达我的看法,黑圈是输入样本,假设样本只有两维,那么样本可以改变的就有八个方向,坐标系中显示了loss等高线,以及可以扰动的最大范围(因为是无穷范数,所以限制范围是一个方形,负半轴的范围没有画出来),黑圈每一次改变,都是以最优的方向改变,最后一次由于扰动超出了限制,所以直接截断,如果此时迭代次数没有用完,那么就在截断处继续迭代,直到迭代次数用完。

2.PGD的代码实现

 class PGD(nn.Module):

     def __init__(self,model):

         super().__init__()

         self.model=model#必须是pytorch的model

         self.device=torch.device("cuda" if (torch.cuda.is_available()) else "cpu")

     def generate(self,x,**params):

         self.parse_params(**params)

         labels=self.y

         adv_x=self.attack(x,labels)

         return adv_x

     def parse_params(self,eps=0.3,iter_eps=0.01,nb_iter=40,clip_min=0.0,clip_max=1.0,C=0.0,

                      y=None,ord=np.inf,rand_init=True,flag_target=False):

         self.eps=eps

         self.iter_eps=iter_eps

         self.nb_iter=nb_iter

         self.clip_min=clip_min

         self.clip_max=clip_max

         self.y=y

         self.ord=ord

         self.rand_init=rand_init

         self.model.to(self.device)

         self.flag_target=flag_target

         self.C=C

     def sigle_step_attack(self,x,pertubation,labels):

         adv_x=x+pertubation

         # get the gradient of x

         adv_x=Variable(adv_x)

         adv_x.requires_grad = True

         loss_func=nn.CrossEntropyLoss()

         preds=self.model(adv_x)

         if self.flag_target:

             loss =-loss_func(preds,labels)

         else:

             loss=loss_func(preds,labels)

             # label_mask=torch_one_hot(labels)

             #

             # correct_logit=torch.mean(torch.sum(label_mask * preds,dim=1))

             # wrong_logit = torch.mean(torch.max((1 - label_mask) * preds, dim=1)[0])

             # loss=-F.relu(correct_logit-wrong_logit+self.C)

         self.model.zero_grad()

         loss.backward()

         grad=adv_x.grad.data

         #get the pertubation of an iter_eps

         pertubation=self.iter_eps*np.sign(grad)

         adv_x=adv_x.cpu().detach().numpy()+pertubation.cpu().numpy()

         x=x.cpu().detach().numpy()

         pertubation=np.clip(adv_x,self.clip_min,self.clip_max)-x

         pertubation=clip_pertubation(pertubation,self.ord,self.eps)

         return pertubation

     def attack(self,x,labels):

         labels = labels.to(self.device)

         print(self.rand_init)

         if self.rand_init:

             x_tmp=x+torch.Tensor(np.random.uniform(-self.eps, self.eps, x.shape)).type_as(x).cuda()

         else:

             x_tmp=x

         pertubation=torch.zeros(x.shape).type_as(x).to(self.device)

         for i in range(self.nb_iter):

             pertubation=self.sigle_step_attack(x_tmp,pertubation=pertubation,labels=labels)

             pertubation=torch.Tensor(pertubation).type_as(x).to(self.device)

         adv_x=x+pertubation

         adv_x=adv_x.cpu().detach().numpy()

         adv_x=np.clip(adv_x,self.clip_min,self.clip_max)

         return adv_x

PGD攻击的参数并不多,比较重要的就是下面这几个:

eps: maximum distortion of adversarial example compared to original input

eps_iter: step size for each attack iteration

nb_iter: Number of attack iterations.

我在上面代码中注释的这行代码是CW攻击的PGD形式,这个在防御论文https://arxiv.org/pdf/1706.06083.pdf中有体现,以后说到CW攻击再细说。

 # label_mask=torch_one_hot(labels)

 #

 # correct_logit=torch.mean(torch.sum(label_mask * preds,dim=1))

 # wrong_logit = torch.mean(torch.max((1 - label_mask) * preds, dim=1)[0])

 # loss=-F.relu(correct_logit-wrong_logit+self.C)

最后再提一点就是,在上面那篇防御论文中也提到了,PGD攻击是最强的一阶攻击,如果防御方法对这个攻击能够有很好的防御效果,那么其他攻击也不在话下了。

2019-03-29 20:43:40

 
												


											
3.基于梯度的攻击——PGD的更多相关文章
	

    
								
  1. 2 基于梯度的攻击——PGD
		
    PGD攻击原论文地址——https://arxiv.org/pdf/1706.06083.pdf 1.PGD攻击的原理 PGD(Project Gradient Descent)攻击是一种迭代攻击,可 ...
    
		
    2. 
						
  2. 2.基于梯度的攻击——FGSM
		
    FGSM原论文地址:https://arxiv.org/abs/1412.6572 1.FGSM的原理 FGSM的全称是Fast Gradient Sign Method(快速梯度下降法),在白盒环境 ...
    
		
    3. 
						
  3. 1 基于梯度的攻击——FGSM
		
    FGSM原论文地址:https://arxiv.org/abs/1412.6572 1.FGSM的原理 FGSM的全称是Fast Gradient Sign Method(快速梯度下降法),在白盒环境 ...
    
		
    4. 
						
  4. 4.基于梯度的攻击——MIM
		
    MIM攻击原论文地址——https://arxiv.org/pdf/1710.06081.pdf 1.MIM攻击的原理 MIM攻击全称是 Momentum Iterative Method,其实这也是 ...
    
		
    5. 
						
  5. 3 基于梯度的攻击——MIM
		
    MIM攻击原论文地址——https://arxiv.org/pdf/1710.06081.pdf 1.MIM攻击的原理 MIM攻击全称是 Momentum Iterative Method,其实这也是 ...
    
		
    6. 
						
  6. 5.基于优化的攻击——CW
		
    CW攻击原论文地址——https://arxiv.org/pdf/1608.04644.pdf 1.CW攻击的原理 CW攻击是一种基于优化的攻击,攻击的名称是两个作者的首字母.首先还是贴出攻击算法的公 ...
    
		
    7. 
						
  7. 4 基于优化的攻击——CW
		
    CW攻击原论文地址——https://arxiv.org/pdf/1608.04644.pdf 1.CW攻击的原理 CW攻击是一种基于优化的攻击,攻击的名称是两个作者的首字母.首先还是贴出攻击算法的公 ...
    
		
    8. 
						
  8. 基于梯度场和Hessian特征值分别获得图像的方向场
		
    一.​我们想要求的方向场的定义为: 对于任意一点(x,y),该点的方向可以定义为其所在脊线(或谷线)位置的切线方向与水平轴之间的夹角: 将一条直线顺时针或逆时针旋转 180°,直线的方向保持不变. 因 ...
    
		
    9. 
						
  9. C / C ++ 基于梯度下降法的线性回归法(适用于机器学习)
		
    写在前面的话: 在第一学期做项目的时候用到过相应的知识,觉得挺有趣的,就记录整理了下来,基于C/C++语言 原贴地址:https://helloacm.com/cc-linear-regression ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. [Codeforces702F]T-Shirts——非旋转treap+贪心
			
    题目链接: Codeforces702F 题目大意:有$n$种T恤,每种有一个价格$c_{i}$和品质$q_{i}$且每种数量无限.现在有$m$个人,第$i$个人有$v_{i}$元,每人每次会买他能买 ...
    
			
    2. 
						
  2. 洛谷P2634 聪明可可
			
    还是点分治 树上问题真有趣ovo,这道题统计模3为0的距离,可以把重心的子树分开统计,也可以一次性统计,然后容斥原理减掉重复的.. 其他的过程就是点分治的板子啦. #include <bits/ ...
    
			
    3. 
						
  3. 【LOJ6067】【2017 山东一轮集训 Day3】第三题 FFT
			
    [LOJ6067][2017 山东一轮集训 Day3]第三题 FFT 题目大意 给你 \(n,b,c,d,e,a_0,a_1,\ldots,a_{n-1}\),定义 \[ \begin{align}  ...
    
			
    4. 
						
  4. ICPC中国南昌国家邀请赛和国际丝绸之路规划大赛预选赛  I J
			
    I. Max answer 链接:https://nanti.jisuanke.com/t/38228 思路: 枚举最小值,单调栈确定最小值的边界,用线段树+前缀和维护最小值的左右区间 实现代码: # ...
    
			
    5. 
						
  5. Codeforces 629D Babaei and Birthday Cakes DP+线段树
			
    题目:http://codeforces.com/contest/629/problem/D 题意:有n个蛋糕要叠起来,能叠起来的条件是蛋糕的下标比前面的大并且体积也比前面的大,问能叠成的最大体积 思 ...
    
			
    6. 
						
  6. CSS伪类整理笔记
			
    0 伪元素 虚拟的一个元素,用于向已有的元素添加特殊效果,可用标签元素实现该效果. css3中规定:伪元素的由两个冒号::开头,然后是伪元素的名称.用两个冒号::是为了区别伪类和伪元素(CSS2中并没 ...
    
			
    7. 
						
  7. Dubbo2.6.5入门——管控台的安装
			
    首先去下载管控台:GitHub 然后解压到本地,截止到目前2019-01-18,最新管控台基于Dubbo2.7.0-SNAPSHOT版本,但是2.7.0还没有正式发布,不过影响不大. Dubbo Op ...
    
			
    8. 
						
  8. 网页换肤,模块换肤,jQuery的Cookie插件使用(转)
			
    具体效果如下: 第一次加载如下图: 然后点击天蓝色按钮换成天蓝色皮肤如下图: 然后关闭网页重新打开或者在打开另一个网页如下图: 因为皮肤用Cookie保存了下来,所以不会重置 具体的实现代码如下: & ...
    
			
    9. 
						
  9. HMM隐马尔科夫算法(Hidden Markov Algorithm)初探
			
    1. HMM背景 0x1:概率模型 - 用概率分布的方式抽象事物的规律 机器学习最重要的任务,是根据一些已观察到的证据(例如训练样本)来对感兴趣的未知变量(例如类别标记)进行估计和推测. 概率模型(p ...
    
			
    10. 
						
  10. Java多线程:向线程传递参数的三种方法
			
    在传统的同步开发模式下,当我们调用一个函数时,通过这个函数的参数将数据传入,并通过这个函数的返回值来返回最终的计算结果.但在多线程的异步开发模式下,数据的传递和返回和同步开发模式有很大的区别.由于线程 ...
    
			
    11.