AI安全之对抗样本入门(正文黑白印刷)[按需印刷]

1.3.7　ResNet50    20
1.3.8　InceptionV3       20
1.3.9　可视化CNN      20
1.4　常见性能衡量指标      30
1.4.1　测试数据   30
1.4.2　混淆矩阵   31
1.4.3　准确率与召回率       31
1.4.4　准确度与F1-Score    32
1.4.5　ROC与AUC     33
1.5　集成学习      34
1.5.1　Boosting算法    35
1.5.2　Bagging算法     37
1.6　本章小结      39
第2章　打造对抗样本工具箱    40
2.1　Anaconda      41
2.2　APT更新源  45
2.3　Python更新源      45
2.4　Jupyter notebook   45
2.5　TensorFlow    49
2.6　Keras     50
2.7　PyTorch 51
2.8　PaddlePaddle 52
2.9　AdvBox 52
2.10　GPU服务器       52
2.11　本章小结     55
第3章　常见深度学习平台简介       56
3.1　张量与计算图      56
3.2　TensorFlow    58
3.3　Keras     62
3.4　PyTorch 64
3.5　MXNet   67
3.6　使用预训练模型   70
3.7　本章小结      76
第4章　图像处理基础知识       77
4.1　图像格式      77
4.1.1　通道数与像素深度   77
4.1.2　BMP格式  80
4.1.3　JPEG格式 81
4.1.4　GIF格式    81
4.1.5　PNG格式   81
4.2　图像转换      81
4.2.1　仿射变换   81
4.2.2　图像缩放   83
4.2.3　图像旋转   85
4.2.4　图像平移   85
4.2.5　图像剪切   86
4.2.6　图像翻转   87
4.2.7　亮度与对比度   88
4.3　图像去噪      89
4.3.1　高斯噪声和椒盐噪声       90
4.3.2　中值滤波   91
4.3.3　均值滤波   93
4.3.4　高斯滤波   93
4.3.5　高斯双边滤波   94
4.4　本章小结      96
第5章　白盒攻击算法       97
5.1　对抗样本的基本原理   97
5.2　基于优化的对抗样本生成算法   100
5.2.1　使用PyTorch生成对抗样本    102
5.2.5　使用TensorFlow生成对抗样本      106
5.3　基于梯度的对抗样本生成算法   109
5.4　FGM/FGSM算法 110
5.4.1　FGM/FGSM基本原理      110
5.4.2　使用PyTorch实现FGM   111
5.4.3　使用TensorFlow实现FGM     112
5.5　DeepFool算法      115
5.5.1　DeepFool基本原理   115
5.5.2　使用PyTorch实现DeepFool    117
5.5.3　使用TensorFlow实现DeepFool      122
5.6　JSMA算法   124
5.6.1　JSMA基本原理 124
5.6.2　使用PyTorch实现JSMA 126
5.6.3　使用TensorFlow实现JSMA    129
5.7　CW算法       132
5.7.1　CW基本原理    132
5.7.2　使用TensorFlow实现CW       135
5.7.3　使用PyTorch实现CW     140
5.8　本章小结      142
第6章　黑盒攻击算法       143
6.1　单像素攻击算法   143
6.2　单像素攻击MNIST识别模型    146
6.3　本地搜索攻击算法      148
6.4　本地搜索攻击ResNet模型  151
6.5　迁移学习攻击算法      153
6.6　通用对抗样本      157
6.7　针对MNIST生成通用对抗样本 160
6.8　本章小结      163
第7章　对抗样本在目标检测领域的应用       164
7.1　目标检测的概念   164
7.2　目标检测在智能驾驶领域的应用      166
7.2.1　车道偏离预警   166
7.2.2　前向防碰撞预警       167
7.2.3　交通标志识别   167
7.2.4　行人防碰撞预警系统       167
7.2.5　驾驶员疲劳监测预警       168
7.2.6　自动泊车   169
7.3　目标检测在智能安防领域的应用      169
7.3.1　人脸检索   169
7.3.2　行为识别   170
7.4　边缘检测算法      171
7.4.1　Soble边缘检测  171
7.4.2　拉普拉斯边缘检测   174
7.4.3　Canny边缘检测 175
7.5　直线检测算法      176
7.6　圆形检测算法      181
7.7　RCNN系列算法   183
7.7.1　RCNN 183
7.7.2　Fast RCNN 185
7.7.3　Faster RCNN     185
7.7.4　TensorFlow目标检测库    187
7.7.5　Faster RCNN使用示例     191
7.8　YOLO算法   196
7.8.1　YOLO概述       196
7.8.2　YOLO使用示例       199
7.9　SSD算法      201
7.9.1　SSD概述   201
7.9.2　SSD使用示例   201
7.10　白盒攻击Faster RCNN      203
7.11　物理攻击YOLO概述 210
7.12　本章小结    213
第8章　对抗样本常见防御算法       214
8.1　对抗样本的鲁棒性      214
8.1.1　图像旋转对鲁棒性的影响       214
8.1.2　滤波器对鲁棒性的影响   220
8.1.3　对比度和亮度对鲁棒性的影响       225
8.1.4　噪声对鲁棒性的影响       230
8.2　抵御对抗样本攻击的常见方法   237
8.2.1　图像预处理       237
8.2.2　对抗训练   238
8.2.3　高斯数据增强   238
8.2.4　自编码器去噪   240
8.2.5　ICLR 2018提出的对抗样本抵御方法    245
8.3　本章小结      247
第9章　常见对抗样本工具箱简介    248
9.1　对抗样本常见衡量指标      248
9.1.1　l0范数       248
9.1.2　l2范数       249
9.1.3　linf范数     250
9.2　AdvBox 250
9.2.1　AdvBox简介     250
9.2.2　在AdvBox中使用FGSM算法       250
9.2.3　在AdvBox中使用DeepFool算法   252
9.2.4　在AdvBox中使用黑盒攻击算法    255
9.3　ART       257
9.3.1　ART简介   257
9.3.2　在ART中使用FGSM算法     258
9.3.3　ART下使用CW算法       260
9.4　FoolBox       262
9.4.1　FoolBox简介    262
9.4.2　在FoolBox中使用JSMA算法       263
9.4.3　在FoolBox中使用CW算法    264
9.5　Cleverhans    266
9.5.1　Cleverhans简介 266
9.5.2　在Cleverhans中使用FGSM算法   267
9.5.3　在Cleverhans中进行对抗训练       269
9.6　NIPS对抗攻击防御环境搭建     270
9.6.1　NIPS对抗攻击防御赛简介     270
9.6.2　环境搭建方法   270
9.6.3　运行测试代码   271
9.7　轻量级攻防对抗环境robust-ml  275
9.7.1　robust-ml简介   275
9.7.2　运行测试代码   276
9.8　本章小结      279

.　　White-Box Attack（见图0-7）是其中攻击难度最低的一种，前提是能够完整获取模型的结构，包括模型的组成以及隔层的参数情况，并且可以完整控制模型的输入，对输入的控制粒度甚至可以到比特级别。由于White-Box Attack前置条件过于苛刻，通常作为实验室的学术研究或者作为发起Black-Box Attack和Real-World Attack/Physical Attack的基础。
　　Black-Box Attack相对White-Box Attack攻击难度具有很大提高，Black-Box Attack完全把被攻击模型当成一个黑盒，对模型的结构没有了解，只能控制输入，通过比对输入和输出的反馈来进行下一步攻击，见图0-8。
　　Real-World
　　Attack/Physical Attack（见图0-9）是这三种攻击中难度最大的，除了不了解模型的结构，甚至对于输入的控制也很弱。以攻击图像分类模型为例（见图0-10），生成的攻击样本要通过相机或者摄像头采集，然后经过一系列未知的预处理后再输入模型进行预测。攻击中对抗样本会发生缩放、扭转、光照变化、旋转等。
　　常见检测和加固方法
　　1. 深度学习脆弱性检测
　　检测深度学习脆弱性的过程，其实就是发起攻击的过程，常见的白盒攻击算法列举如下。
　　ILCM(最相似迭代算法)
　　FGSM(快速梯度算法)
　　BIM(基础迭代算法)
　　JSMA(显著图攻击算法)
　　DeepFool(DeepFool算法)
　　C/W(C/W算法)
　　常见的黑盒攻击方法列举如下。
　　Single Pixel Attack(单像素攻击)
　　Local Search Attack(本地搜索攻击)
　　2. 深度学习脆弱性加固
　　针对深度学习脆弱性进行加固的常见方法主要包括以下几种，我们将重点介绍Adversarial training。
　　Feature squeezing(特征凝结)
　　Spatial smoothing(空间平滑)
　　Label smoothing(标签平滑)
　　Adversarial training(对抗训练)
　　Virtual adversarial
　　training (虚拟对抗训练)
　　Gaussian data
　　augmentation (高斯数据增强)
　　Adversarial training如图0-11所示，其基本思路是，常见的对抗样本生成算法是已知的，训练数据集也是已知的，那么可以通过常见的一些对抗样本工具箱，比如AdvBox 或者FoolBox，在训练数据的基础上生成对应的对抗样本，然后让深度学习模型重新学习，让它认识这些常见的对抗样本，这样新生成的深度学习模型就具有了一定的识别对抗样本的能力。
　　与Adversarial training思路类似的是Gaussian data augmentation。Gaussian data augmentation的基本原理是，对抗样本是在原始数据上叠加一定的扰动，这些扰动非常接近随机的一些噪声。Adversarial training虽然简单易于实现，但是技术上难以穷尽所有的攻击样本。Gaussian data augmentation直接在原始数据上叠加高斯噪声，如图0-12所示，k为高斯噪声的系数，系数越大，高斯噪声越强，其他参数分别表示高斯噪声的均值和标准差。Gaussian data augmentation把训练数据叠加了噪声后，重新输入给深度学习模型学习，通过增加训练轮数、调整参数甚至增加模型层数，在不降低原有模型准确度的情况下，让新生成的深度学习模型具有了一定的识别对抗样本的能力。
　　对抗样本领域的最新进展
　　对抗样本是AI安全研究的一个热点，新的攻击算法和加固方法层出不穷，而且攻击场景也从实验室中的简单图像分类，迅速扩展到智能音箱、无人驾驶等领域。百度安全实验室的最新研究报告《感知欺骗：基于深度神经网络（DNN）下物理性对抗攻击与策略》成功入选BlackHat Europe 2018。报告展现了让物体在深度学习系统的“眼”中凭空消失，在AI时代重现了大卫·科波菲尔的经典魔法。针对深度学习模型漏洞进行物理攻击可行性研究有着广泛的应用前景，在自动驾驶领域、智能安防领域、物品自动鉴定领域都有重要的实际意义。
　　如图0-13所示，在时间t0的时候，当在车后显示器中显示正常logo时，YOLOv3可以正确识别目标车辆，而在t1时，切换到扰动后的图片时，它可以立刻让目标车辆在YOLOv3面前变得无法辨识；在t2时，如图0-14所示切换回正常的图片，YOLOv3重新可以识别目标车辆。这是首次针对车辆的物理攻击的成功展示，与以往的学术论文相比，在攻击目标的大小、分辨率的高低以及物理环境的复杂性等方面，在影响和难度上都是一个巨大提升。
　　Kan Yuan和Di Tang等人在论文《Stealthy Porn: Understanding
　　Real-World Adversarial Images for Illicit Online Promotion》中介绍了黑产如何通过单色化、加噪声、增加文字、仿射变化、滤波模糊化和遮盖等方式让违规图片绕过目前主流的图片内容检测服务。这也标志着对抗样本技术已经从实验室环境真正进入了网络对抗实战。
　　国内安全人员在对抗样本领域的研究成果得到了国际的普遍认可。朱军等人指导的清华大学团队曾在NIPS 2017对抗样本攻防竞赛中夺冠，纪守领老师所在的 NESA Lab 提出了一种新型的对抗性验证码，能防范来自打码平台等黑产的破解。