可对任意图片基于白盒模型进行对抗样本生成
该简例提供了resnet、alexnet的模型,以及其对imagenet的训练参数,可放置任意图片进行对抗样本生成。target方式还可指定生成样本的可信度。
提供如下攻击算法的实例:
- FGSM (no target)
- CW (target)
example ├── images │ ├── cat_example.png │ └── mytest_list.txt ├── models │ ├── alexnet.py │ ├── __init__.py │ └── resnet.py ├── parameters │ ├── alexnet │ └── resnet_50 ├── imagenet_example_cw.py ├── imagenet_example_fgsm.py ├── reader.py └── utility.py 例子中包括几部分:
images目录:放置被攻击的原始图片,可以是多张。mytest_list.txt中记录了需要进行样本生成的该图片名称
models目录:模型文件
parameters目录:需要下载,用于models内模型的训练参数
imagenet_example_cw.py:用例应用主文件,使用CW攻击算法,当前仅支持target方式
imagenet_example_fgsm.py:用例应用主文件,使用FGSM攻击算法,当前仅支持非target方式
reader.py:读取原始图片处理
utility.py:命令行参数及输出处理
本例中已提供resnet、alexnet的模型及其预训练参数下载,也可以另行下载任意模型,但需要按要求进行修改调整(参见:特别提示)
模型文件放入
example/models/ 训练参数文件放入
example/parameters/ 图片放入
example/images/ 更新图片配置文件
example/images/mytest_list.txt 将所有需要攻击的图片名称加入其中 输入命令
python imagenet_example_cw.py --log_debug=True --target=560 具体参数 --use_gpu:(BOOL) 是否使用GPU --class_dim:(INT) 输出类别个数 --image_shape:(STR) 输入数据形状 --pretrained_model:(STR) 模型参数路径 --model:(STR) 模型指定 --target:(INT) 指定target的分类,不指定为非target方式 --log_debug:(BOOL) 是否开启调试 --inference:(BOOL) 是否仅做预测,不生成对抗样本 注:可信度没有提供成参数,需要在代码中指定,名称confidence_level,畎认设置为0.9,表示90%可信度 执行输出
root:/AdvBox/example# python imagenet_example_cw.py --use_gpu=True --log_debug=True --target=560 ----------- Configuration Arguments ----------- batch_size: 256 class_dim: 1000 image_shape: 3,224,224 inference: False log_debug: False model: ResNet50 pretrained_model: ./parameters/resnet_50/115 target: 560 use_gpu: 1 ------------------------------------------------ --------------------inference------------------- Test-0-score: 0.380188554525, class 282, name=./images/cat_example.png --------------------adversary------------------- guess img before preprocess:282 expect:560 Checking if 10.000000 is a successful c. label:560 softmax:0.980241060257 L2:1338.22021484 Checking if 5.005000 is a successful c. label:560 softmax:0.990494728088 L2:463.381530762 Checking if 2.507500 is a successful c. label:560 softmax:0.921321153641 L2:183.302642822 Checking if 1.258750 is a successful c. label:560 softmax:0.90595304966 L2:90.1555404663 Checking if 0.634375 is a unsuccessful c. Checking if 0.946562 is a unsuccessful c. Checking if 1.102656 is a unsuccessful c. predict label: 560 softmax: 0.90595305 attack success, original_label=282, adversarial_label=560, count=1 -------------------------------------------------- cw attack done 对原图片cat_example.png生成的对抗样本保存在./output目录下
1_adversary-560-by-CW.png 1_diff-x-by-CW.png 1_original-282-by-CW.png adv字样的为攻击样本,diff为在原图中扰动的部分,orig为原图
验证样本的实际效果,可以先将输出的样本拷贝到images目录下,在mytest_list.txt中增加这个图片名称
cp .output/imagenet/1_adversary-560-by-CW.png ./images/ vi ./images/mytest_list.txt 再次以inference方式运行example
root:/AdvBox/example# python imagenet_example_cw.py --use_gpu=True --inference=True ----------- Configuration Arguments ----------- batch_size: 256 class_dim: 1000 image_shape: 3,224,224 inference: 1 log_debug: False model: ResNet50 pretrained_model: ./parameters/resnet_50/115 target: 560 use_gpu: 1 ------------------------------------------------ --------------------inference------------------- Test-0-score: 0.380188554525, class 282, name=./images/cat_example.png Test-1-score: 0.903945684433, class 560, name=./images/1_adversary-560-by-CW.png 
-
关于CW算法的使用:
1、因为该算法需要在IMG数据前进行一系列的计算,当前paddle又无法使用非Data的占位符,所以model要一起被带入CW中执行
2、已经训练好的参数如果只想导入一次,需要在model内对每个conv2d、bn、fc等参数位置指定名称,这样在主进程导入时,可以只导一次,并提供给CW和主框架同时使用
3、应用主进程内,创建攻击类要提前,导入参数要放置在最后 -
原始图片相关
本例中仅生成大小为224*224的攻击样本,会对原始图片进行缩放和裁剪,所以输出并不是原图比例 -
使用GPU运行
如果需要使用GPU,命令行需要加--use_gpu=True ,另外还要提前设置环境变量export WITH_GPU=1