FGSM攻击机器学习模型

FGSM技术

对抗攻击技术，因为网络的深层，很少的改变就有可能改变网络中激活函数的方向，进而直接大量改变输出。因此，从模型中得到特殊的输入X就能让模型产生严重的误判，这种就是神经网络攻击技术。
我们希望得到和原输入类似的输入，但是与此同时尽可能让输出发生尽可能大的改变。这个优化问题写成把训练时的loss function加负号，再加正则项的无约束优化。迭代就可以得到X
写成算法就是Fast Gradient Sign Method(FGSM)，这里使用无穷范数约束正则化目标函数

取符号函数是一个快速的技巧，因为我们取inf-norm，在更新时的操作是把超过阈值的X clip到边缘，这样其实不需要一般梯度法的小步长，可以允许只给定方向进行更新，一次就更新到阈值。

实现

我这里给出一个算法攻击CNN的例子，当然FGSM也可以用在其他模型上

import os
import sys
import argparse
import numpy as np
from PIL import Image
import matplotlib.pyplot as plt
import torch
import torch.nn as nn
import torch.nn.functional as F
from torch.optim import Adam
from torch.utils.data import Dataset
import torch.utils.data as Data
import torchvision.transforms as transforms
import torchvision
from skimage.segmentation import slic
from pdb import set_trace

EPOCH=10
BATCH_SIZE=50
LR=0.001

train_data=torchvision.datasets.CIFAR10(
    root='C:/Users/Administrator/DL/cifar10',
    train=True,
    transform=torchvision.transforms.ToTensor()
)
train_loader = Data.DataLoader(
    dataset=train_data,
    batch_size=BATCH_SIZE,
    shuffle=True
)
test_data=torchvision.datasets.CIFAR10(
    root='C:/Users/Administrator/DL/cifar10',
    train=False,
    transform=torchvision.transforms.ToTensor()
)
test_loader = torch.utils.data.DataLoader(test_data, batch_size=BATCH_SIZE,
                                         shuffle=False)

class Net(nn.Module):
    def __init__(self):
        super(Net, self).__init__()
        self.conv1 = nn.Conv2d(3, 64, 3, padding = 1)