人工智能安全：原理與實踐 課件 第4章 對抗樣本生成算法的安全應用(4.2基于對抗樣本生成算法的圖像對抗)

李劍博士，教授，博士生導師網(wǎng)絡空間安全學院lijian@January23,2025第4章對抗樣本生成算法的安全應用實踐4-1基于對抗樣本生成算法的圖像對抗本實踐介紹本實踐內(nèi)容主要是利用對抗樣本生成算法進行圖像對抗。實踐中使用簡單的卷積神經(jīng)網(wǎng)絡模型實現(xiàn)，模型主要用于對28*28像素的灰度圖數(shù)字圖片進行識別。使用MNIST數(shù)據(jù)集進行驗證和性能測試。在攻擊過程中，使用FGSM算法進行攻擊；在拓展實驗中，使用PGD算法進行攻擊。1.圖像對抗對抗樣本是向原始樣本中加入一些人眼無法察覺的噪聲，這樣的噪聲不會影響人類的識別，但是卻很容易欺騙所使用的神經(jīng)網(wǎng)絡，使其做出與正確答案完全不同的判定。

圖像對抗主要是在圖像識別系統(tǒng)當中，加入對抗樣本生成算法生成的噪音數(shù)據(jù)，從而使得圖像識別算法在識別圖像的訓練當中，給出錯誤的判定。圖像對抗的研究揭示了深度學習模型在面對精心設計的對抗數(shù)據(jù)時可能存在的漏洞，這對于圖像識別的安全應用（如自動駕駛、面部識別系統(tǒng)）尤為重要。2.實踐步驟圖像對抗的一般步驟如圖所示3.實踐目的1.理解圖像對抗的基本原理：通過學習圖像對抗的基本原理，研究深度學習模型（尤其是用于圖像識別的模型）對微小擾動的敏感性，了解模型的潛在脆弱性。2.熟悉生成對抗樣本的算法及實現(xiàn)：通過具體學習FGSM算法和實現(xiàn)代碼，從原理上了解對抗樣本生成的一般方法，理解算法的特點及應用場景。3.比較和分析不同算法的攻擊效能：通過動手實現(xiàn)PGD算法，比較FGSM和PGD算法在不同epsilon設置下的攻擊效果差異，直觀地了解不同對抗攻擊算法的性能，以及如何評估和優(yōu)化對抗樣本的質(zhì)量。4.實踐環(huán)境 python版本：3.10.12或更高版本 深度學習框架：torch2.2.1+cu121，torchvision0.17.1+cu121

其他庫版本：numpy1.25.2，matplotlib3.7.1

運行平臺：jupyternotebook（googlecolaboratory）5.FGSM算法生成數(shù)字灰度圖對抗樣本實驗中的被攻擊模型為pytorch/examples/mnist訓練的MNIST模型，是PyTorch官方提供的一個示例項目，本實驗提供可以本地讀取的預訓練模型，主要用于對28*28像素的灰度圖數(shù)字圖片進行識別。使用的對抗樣本生成算法為FGSM，epsilon參數(shù)選取0.05為步長、0到0.3范圍內(nèi)的所有值。第1步：定義被攻擊的白盒神經(jīng)網(wǎng)絡。5.FGSM算法生成數(shù)字灰度圖對抗樣本第2步：定義前向傳播函數(shù)。前向傳播函數(shù)主要定義了神經(jīng)網(wǎng)絡中各層是如何連接的。5.FGSM算法生成數(shù)字灰度圖對抗樣本第3步：模型及數(shù)據(jù)庫導入。將本地的模型加載到定義好的神經(jīng)網(wǎng)絡實例上，并讀取相關(guān)數(shù)據(jù)集用于后面的攻擊。5.FGSM算法生成數(shù)字灰度圖對抗樣本第4步：定義FGSM攻擊函數(shù)5.FGSM算法生成數(shù)字灰度圖對抗樣本第5步：定義測試函數(shù)測試函數(shù)主要是利用攻擊函數(shù)生成攻擊樣本，并輸入模型整理分類的正確率，并保存部分原始樣本和部分對抗樣本。5.FGSM算法生成數(shù)字灰度圖對抗樣本第6步：遍歷數(shù)據(jù)集5.FGSM算法生成數(shù)字灰度圖對抗樣本第7步；繪制圖像繪制模型準確率隨ε變化的折線圖。5.FGSM算法生成數(shù)字灰度圖對抗樣本結(jié)果：部分原樣本圖和部分噪聲引入導致模型分類錯誤的實例圖6.PGD算法生成數(shù)字灰度圖對抗樣本編寫代碼實現(xiàn)PGD算法對上述相同模型的攻擊，相比于上一個實驗，不同點在于需要修改對應的測試函數(shù)，整理攻擊效果，包括模型準確率和部分原樣本和對抗樣本。第1步：修改攻擊函數(shù)。第2步：繪制FGSM和PGD攻擊的對比折線曲線。第3步：繪制PGD算法下的部分樣本展示圖。