基于adversarial-robustness-toolbox(ART)包进行AI对抗攻击ZOO攻击方法报错
傅涵忍
环境
ART版本:1.14.0
项目github:adversarial-robustness-toolbox
在使用ART包进行ZOO黑盒攻击时,使用BlackBoxClassifier封装黑盒模型,实现代码如下:
# 定义黑盒分类器
def black_box_predict(x):
# 这里需要将你的模型的预测输出替换为黑盒预测函数
# 该函数接受一个输入张量并返回一个输出张量
# 示例函数仅返回随机噪声
return demo.model(x)
classifier = BlackBoxClassifier(predict_fn=model_func, input_shape=input_shape, nb_classes=class_num, clip_values=(0, 255))
attack = ZooAttack(classifier=classifier, max_iter=max_iter, learning_rate=learning_rate, initial_const=initial_const)
# 生成对抗样本
x_test_adv = attack.generate(x=x_test)
上述代码运行报错:
AttributeError: 'BlackBoxClassifier' object has no attribute 'channels_first'
问题分析
- 从报错信息内明显可以看出BlackBoxClassifier分类器缺少channels_first成员变量,所以首先想到的解决方案是修改ART的源代码,在BlackBoxClassifier中添加成员变量,但是报其他错误,方案不可行。
- 重新排查了ART项目代码结构,发现BlackBoxClassifier不能直接用于攻击
问题解决
使用BlackBoxClassifierNeuralNetwork类代替BlackBoxClassifier类
classifier = BlackBoxClassifierNeuralNetwork(predict_fn=model_func, input_shape=input_shape, nb_classes=class_num, clip_values=(0, 255), channels_first=False)
attack = ZooAttack(classifier=classifier, max_iter=max_iter, learning_rate=learning_rate, initial_const=initial_const)
x_test_adv = attack.generate(x=x_test)
这里特别注意,在使用BlackBoxClassifierNeuralNetwork类封装黑盒模型时,注意输入张量是否为channel_first,并配置好属性
ZooAttack类使用扩展
Art库中ZooAttack算法的参数调整可以对攻击效果产生很大的影响,以下是一些常用的参数及其调整方法:
- batch_size: 批量大小,即每次生成对抗样本的数量。可以根据你的硬件性能和数据集的大小来调整。一般来说,较大的批量大小可以提高生成对抗样本的效率,但也可能导致生成的对抗样本质量下降。你可以通过增加迭代次数来弥补这个问题。默认值为10。
- learning_rate: 学习率,即算法更新每个像素的步长大小。你可以根据你的模型和数据集来调整学习率。一般来说,较小的学习率可以产生更精细的对抗样本,但也可能导致生成速度变慢。默认值为1e-2。
- max_iter: 最大迭代次数,即算法运行的最大次数。可以根据你的模型和数据集来调整。一般来说,较大的迭代次数可以产生更好的对抗样本,但也会导致生成时间变长。默认值为10。
- binary_search_steps: 二分查找的最大次数。可以根据你的模型和数据集来调整。一般来说,较大的二分查找次数可以产生更好的对抗样本,但也可能导致生成时间变长。默认值为9。
- initial_const: 初始对抗强度,即算法开始时生成对抗样本的程度。可以根据你的模型和数据集来调整。一般来说,较小的初始对抗强度可以产生更接近原始样本的对抗样本,但也可能导致生成时间变长。默认值为1e-3。
- abort_early: 是否在找到最优解之前停止算法。可以根据你的硬件性能和数据集大小来调整。默认值为True。
- use_resize: 是否在每次迭代后使用双三次插值进行缩放。可以根据你的硬件性能和数据集大小来调整。默认值为True。
- use_importance: 是否使用重要性权重来平衡对抗样本和原始样本之间的距离。可以根据你的数据集和攻击目标来调整。默认值为True。
类似资料: