CIFAR10 对抗样本挑战赛

最近，针对神经网络的对抗性攻击取得了许多进展，例如 CleverHans 库以及 Carlini 和 Wagner 的代码。我们现在通过为 CIFAR10 数据集 提出一项 攻击挑战 来补充这些进展，该挑战遵循我们之前 MNIST 挑战 的格式。我们已经训练了一种鲁棒网络，目标是找到一组对抗样本，使得该网络在这些样本上的准确率极低。为了训练这种对抗鲁棒网络，我们采用了近期论文中的方法：

迈向对抗攻击防御的深度学习模型
Aleksander Madry, Aleksandar Makelov, Ludwig Schmidt, Dimitris Tsipras, Adrian Vladu
https://arxiv.org/abs/1706.06083。

作为挑战的一部分，我们公开了训练代码和网络架构，但保留了网络权重的秘密。我们邀请所有研究人员提交针对我们模型的攻击（详见下文说明）。未来两个月内，我们将维护最佳攻击排行榜，随后公布我们的秘密网络权重。

与我们的 MNIST 挑战类似，本次挑战的目标是明确 CIFAR10 上对抗鲁棒性的最新技术水平。此外，我们希望未来的防御机制研究也能采用类似的挑战形式，以提高可重复性和实验比较的可靠性。

更新 2017-12-10：我们已发布秘密模型。您可以通过运行 python fetch_model.py secret 下载该模型。自 12 月 10 日起，我们不再接受黑盒挑战提交。我们已为白盒攻击（针对现已发布的秘密模型）设立了排行榜，提交格式与之前相同。我们计划在可预见的未来继续评估提交内容并维护排行榜。

黑盒排行榜（原始挑战）

攻击	提交者	准确率	提交日期
针对对抗训练的公开网络，在交叉熵损失上使用 PGD	（初始条目）	63.39%	2017年7月12日
针对对抗训练的公开网络，在 CW 损失上使用 PGD	（初始条目）	64.38%	2017年7月12日
针对对抗训练的公开网络，在 CW 损失上使用 FGSM	（初始条目）	67.25%	2017年7月12日
针对自然训练的公开网络，在 CW 损失上使用 FGSM	（初始条目）	85.23%	2017年7月12日

白盒排行榜

攻击	提交者	准确率	提交日期
引导局部攻击	Siyuan Yi	43.95%	2021年8月2日
EWR-PGD	Ye Liu	43.96%	2020年9月8日
输出多样化初始化的 PGD 攻击	Yusuke Tashiro	43.99%	2020年2月15日
多目标攻击	Sven Gowal	44.03%	2019年8月28日
FAB：快速自适应边界攻击	Francesco Croce	44.51%	2019年6月7日
分布对抗攻击	Tianhang Zheng	44.71%	2018年8月21日
在交叉熵损失上进行 20 步 PGD，并随机重启 10 次	Tianhang Zheng	45.21%	2018年8月24日
在交叉熵损失上进行 20 步 PGD	（初始条目）	47.04%	2017年12月10日
在 CW 损失上进行 20 步 PGD	（初始条目）	47.76%	2017年12月10日
在 CW 损失上使用 FGSM	（初始条目）	54.92%	2017年12月10日
在交叉熵损失上使用 FGSM	（初始条目）	55.55%	2017年12月10日

格式与规则

挑战的目标是寻找对我们的 CIFAR10 模型有效的黑盒（迁移）攻击。允许攻击将输入图像的每个像素在 0–255 的像素范围内最多扰动 epsilon=8.0。为确保攻击确实是黑盒性质，我们公开了训练代码和模型架构，但保留了实际的网络权重秘密。

我们诚邀所有感兴趣的研究人员提交针对我们模型的攻击。最成功的攻击将被列入上述排行榜。作为参考，我们已在排行榜中预置了一些标准攻击的结果。

CIFAR10 模型

我们使用本仓库中发布的代码，训练了一个用于 CIFAR10 分类的对抗鲁棒模型。该模型是一个残差卷积神经网络，由五个残差单元和一个全连接层组成。此架构源自 TensorFlow 模型库 中的“w32-10 wide”变体。该网络是在迭代对抗环境下训练的，允许对手对每个像素的最大扰动幅度为 epsilon=8.0。

用于训练的随机种子以及训练好的网络权重将被保密。

我们模型文件的 sha256() 摘要如下：

555be6e892372599380c9da5d5f9802f9cbd098be8a47d24d96937a002305fd4

我们将于 2017 年 9 月 15 日发布对应的模型文件，这大约是在本次竞赛开始后的两个月。编辑：应大家要求，我们将提交攻击的截止日期延长至 10 月 15 日。

攻击模型

我们关注的是基于 CIFAR10 测试集生成的对抗性输入。每个像素在其初始值的基础上，可在 0–255 的像素范围内最多扰动 epsilon=8.0。所有像素可以独立扰动，因此这是一种 l_infinity 范数下的攻击。

提交攻击

每个攻击应由 CIFAR10 测试集的扰动版本组成。该测试集中的每张扰动图像都应遵循上述攻击模型。

对抗性测试集应以 NumPy 数组的形式呈现，每行为一个样本，每一行包含一个 32×32×3 的像素数组。因此，整体维度为 10,000×32×32×3。每个像素的取值范围必须在 [0, 255] 内。请参阅脚本 pgd_attack.py，其中实现了一种生成此格式对抗性测试集的攻击方法。

要提交您的攻击，请使用 numpy.save 将包含对抗样本的矩阵保存下来，并将生成的文件发送至 cifar10.challenge@gmail.com。随后，我们将对您的文件运行 run_attack.py 脚本，以验证攻击的有效性，并评估我们的秘密模型在您提供的样本上的准确率。之后，我们会回复您关于我们模型对每个样本的预测结果以及模型在您评估集上的总体准确率。

如果攻击有效且性能优于排行榜上所有现有攻击，则该攻击将显示在排行榜顶部。即使某些新型攻击并未取得最佳效果，也可能被纳入排行榜。

我们强烈鼓励您公开您的攻击方法。我们很乐意在排行榜中添加指向您代码的链接。

代码概述

代码由七份 Python 脚本和一个名为 config.json 的配置文件组成，后者包含了各种参数设置。

代码运行说明

• python train.py：训练网络，并在训练过程中保存检查点。
• python eval.py：无限循环的评估程序，会在新检查点生成时立即处理并记录摘要信息。该脚本通常与 train.py 并行运行。
• python pgd_attack.py：对 CIFAR10 评估集应用攻击，并将生成的对抗性评估集保存为 .npy 文件。此文件符合我们挑战赛的有效攻击格式。
• python run_attack.py：在 config.json 中指定的 .npy 文件所包含的样本上评估模型，同时确保这些对抗性样本确实构成有效的攻击。该脚本还会将模型预测结果保存到 pred.npy 文件中。
• python fetch_model.py name：下载指定名称的预训练模型（目前支持 adv_trained 和 natural），打印其 SHA-256 哈希值，并将其放置在 models 目录中。
• cifar10_input.py 提供用于加载 CIFAR10 数据集的实用函数和类。

config.json 中的参数

模型配置：

• model_dir：当前正在训练或评估的模型目录路径。

训练配置：

• tf_random_seed：用于初始化网络权重的随机数生成器种子。
• numpy_random_seed：用于以随机顺序遍历数据集的随机数生成器种子。
• max_num_training_steps：最大训练步数。
• num_output_steps：每多少步在标准输出中打印一次进度。
• num_summary_steps：每多少步存储一次 TensorBoard 摘要。
• num_checkpoint_steps：每多少步保存一次模型检查点。
• training_batch_size：训练批次大小。

评估配置：

• num_eval_examples：用于评估模型的 CIFAR10 样本数量。
• eval_batch_size：评估批次大小。
• eval_on_cpu：强制 eval.py 脚本在 CPU 上运行，以避免与 train.py 脚本争夺 GPU 资源。

对抗性样本配置：

• epsilon：每个像素允许的最大扰动幅度。
• k：攻击者使用的 PGD 迭代次数。
• a：PGD 攻击步长。
• random_start：指定攻击者是从原始样本开始迭代，还是从其随机扰动版本开始。
• loss_func：用于执行 PGD 的损失函数。xent 对应标准交叉熵损失，cw 对应 Carlini 和 Wagner 提出的损失函数。
• store_adv_path：存储对抗性样本的文件路径。此参数适用于 pgd_attack.py 和 run_attack.py 脚本。

使用示例

克隆仓库后，您可以选择训练新网络，也可以评估或攻击我们提供的预训练网络。

训练新网络

• 启动训练：

python train.py

• （可选）同时运行以下命令以记录评估摘要：

python eval.py

下载预训练网络

• 对于对抗训练的网络，运行：

python fetch_model.py adv_trained

并修改 config.json 文件，将 "model_dir": "models/adv_trained"。

• 对于自然训练的网络，运行：

python fetch_model.py natural

并修改 config.json 文件，将 "model_dir": "models/naturally_trained"。

测试网络

• 通过运行以下命令创建攻击文件：

python pgd_attack.py

• 然后使用以下命令评估网络：

python run_attack.py

CIFAR10 对抗样本挑战快速上手指南

本指南帮助开发者快速部署 cifar10_challenge 项目，用于复现对抗训练模型或生成对抗样本以测试模型鲁棒性。

环境准备

在开始之前，请确保您的开发环境满足以下要求：

• 操作系统: Linux 或 macOS (Windows 需配置兼容环境)
• Python: 推荐 Python 3.6+ (基于原始代码库的 TensorFlow 版本兼容性)
• 核心依赖:
  • TensorFlow (建议版本 1.x，参考原项目 requirements.txt 或根据报错调整)
  • NumPy
  • Pillow (用于图像处理)
• 硬件: 推荐使用 NVIDIA GPU 进行训练和攻击生成，CPU 仅适用于评估或小规模测试。

安装依赖命令：

pip install -r requirements.txt
# 如果项目中没有 requirements.txt，可手动安装核心包：
pip install tensorflow-gpu==1.12.0 numpy pillow

提示：国内用户可使用清华源加速安装：pip install -i https://pypi.tuna.tsinghua.edu.cn/simple ...

安装步骤

1. 克隆仓库 从 GitHub 获取源代码：

   git clone https://github.com/MadryLab/cifar10_challenge.git
   cd cifar10_challenge
   

2. 下载预训练模型 项目提供了两种预训练权重：对抗训练模型 (adv_trained) 和自然训练模型 (natural)。运行以下脚本下载（会自动验证 SHA256 哈希值）：

   • 下载对抗训练模型（挑战用目标模型）：

     python fetch_model.py adv_trained
     

   • 下载自然训练模型（基准对比）：

     python fetch_model.py natural
     

3. 配置模型路径 打开 config.json 文件，根据下载的模型修改 model_dir 字段。

   • 若使用对抗训练模型，设置为："model_dir": "models/adv_trained"
   • 若使用自然训练模型，设置为："model_dir": "models/naturally_trained"

基本使用

以下是生成对抗样本并评估模型准确率的最简流程。

1. 生成对抗样本

使用 PGD (Projected Gradient Descent) 算法针对当前配置的模型生成对抗测试集。生成的文件将保存为 .npy 格式。

python pgd_attack.py

执行成功后，将在 store_adv_path 指定的路径（默认为 adv_examples.npy）生成对抗样本矩阵 (10000x32x32x3)。

2. 评估模型准确率

使用生成的对抗样本文件评估模型的鲁棒性。该脚本会验证样本是否符合扰动限制（$\epsilon \le 8.0$），并输出模型在这些样本上的预测结果及整体准确率。

python run_attack.py

运行结束后，查看终端输出的准确率数据，同时会在目录下生成 pred.npy 包含具体预测标签。

3. (可选) 从头训练模型

如果您希望复现训练过程而非使用预训练权重：

# 启动训练
python train.py

# (并行运行) 启动评估监控
python eval.py