# Vulnerability analysis of popular CNN models to data poisoning attacks (single pixel, pixel pattern, image injection)

**Install ART framwerok**

In [1]:
!pip install adversarial-robustness-toolbox

Collecting adversarial-robustness-toolbox
  Downloading adversarial_robustness_toolbox-1.20.1-py3-none-any.whl.metadata (10 kB)
Downloading adversarial_robustness_toolbox-1.20.1-py3-none-any.whl (1.1 MB)
[?25l   [90m━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━[0m [32m0.0/1.1 MB[0m [31m?[0m eta [36m-:--:--[0m[2K   [91m━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━[0m[91m╸[0m [32m1.1/1.1 MB[0m [31m49.9 MB/s[0m eta [36m0:00:01[0m[2K   [90m━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━[0m [32m1.1/1.1 MB[0m [31m31.2 MB/s[0m eta [36m0:00:00[0m
[?25hInstalling collected packages: adversarial-robustness-toolbox
Successfully installed adversarial-robustness-toolbox-1.20.1


**Install dependecies**

In [2]:
import numpy as np
import torch
from art.estimators.classification import PyTorchClassifier
from art.attacks.poisoning import PoisoningAttackBackdoor
from art.attacks.poisoning.perturbations import add_single_bd, add_pattern_bd, insert_image
from sklearn.metrics import accuracy_score, precision_score, recall_score, f1_score
from art.utils import load_dataset

**Define poisoning attack types**

In [3]:
def poison_single_pixel(x):
    return add_single_bd(x, distance=12,)

def poison_pattern_pixel(x):
    return add_pattern_bd(x, distance=2, channels_first=True)

def poison_insert(x):
    return insert_image(
        x,
        backdoor_path='trigger.png',
        channels_first=True,
        random=False,
        x_shift=0,
        y_shift=0,
        size=(8, 8),
        mode='RGB',
        blend=0.8
    )



**Import data set and pretrained models**

In [4]:
test_models = {
    'Resnet56': lambda: torch.hub.load("chenyaofo/pytorch-cifar-models", "cifar10_resnet56", pretrained=True),
    'VGG19': lambda: torch.hub.load("chenyaofo/pytorch-cifar-models", "cifar10_vgg19_bn", pretrained=True),
    'MobileNetV2': lambda: torch.hub.load("chenyaofo/pytorch-cifar-models", "cifar10_mobilenetv2_x1_4", pretrained=True),
    'repvgg_a2': lambda: torch.hub.load("chenyaofo/pytorch-cifar-models", "cifar10_repvgg_a2", pretrained=True),
}



(x_train, y_train), (x_test, y_test), min_, max_ = load_dataset('cifar10')

x_train = np.transpose(x_train, (0, 3, 1, 2)).astype(np.float32)
x_test = np.transpose(x_test, (0, 3, 1, 2)).astype(np.float32)
y_train = np.argmax(y_train, axis=1)
y_test = np.argmax(y_test, axis=1)
mean = (0.4914, 0.4822, 0.4465)
std = (0.2023, 0.1994, 0.201)

**Poison data and evaluate models**

In [5]:


def poisoning_samples(x_to_poison, y_to_poison, poison_percent, attack_type, source_class, target_class):

  x_poison = np.copy(x_to_poison)
  y_poison = np.copy(y_to_poison)
  is_poison = np.zeros(len(x_to_poison)).astype(bool)

  indices = np.where(y_to_poison == source_class)[0]
  num_poison = int(poison_percent * len(indices))

  for i in indices[:num_poison]:
      x_poison[i], _ = attack_type.poison(x_poison[i], [])
      y_poison[i] = target_class
      is_poison[i] = True

  poison_indices = np.where(is_poison)[0]
  print('Ilość zatrutych przykładów:', np.sum(is_poison))
  return x_poison, y_poison, poison_indices


def evaluate_metrics(classifier, x_test, y_test):
  predictions = classifier.predict(x_test)
  predicted_classes = np.argmax(predictions, axis=1)
  accuracy = accuracy_score(y_test, predicted_classes)
  precision = precision_score(y_test, predicted_classes, average='macro')
  recall = recall_score(y_test, predicted_classes, average='macro')
  f1 = f1_score(y_test, predicted_classes, average='macro')

  print(f"  \nMiary dla {model_name}:")
  print(f"  Dokładność: {accuracy:.4f}")
  print(f"  Precyzja: {precision:.4f}")
  print(f"  Czułość: {recall:.4f}")
  print(f"  F1: {f1:.4f}")
  print(f"\n")



attacks_bd = [
    PoisoningAttackBackdoor(poison_single_pixel),
    PoisoningAttackBackdoor(poison_pattern_pixel),
    PoisoningAttackBackdoor(poison_insert),
]


source_class = 6
target_class = 4
poison_percent = 0.1

labels = ['samolot', 'samochód', 'ptak', 'kot', 'jeleń', 'pies', 'żaba', 'koń', 'statek', 'ciężarówka']



for model_name,  model_fn in test_models.items():
  for attack in attacks_bd:
    print(f"\nTrenowanie modelu: {model_name}")
    model = model_fn()
    optimizer = torch.optim.Adam(model.parameters(), lr=1e-3, weight_decay=5e-4)
    loss_fn = torch.nn.CrossEntropyLoss()
    classifier = PyTorchClassifier(
        model=model,
        loss=loss_fn,
        optimizer=optimizer,
        input_shape=(3, 32, 32),
        nb_classes=10,
        clip_values=(min_, max_),
        preprocessing = (mean, std)
    )
    evaluate_metrics(classifier, x_test, y_test)

    x_poisoned, y_poisoned, poisoned_indices = poisoning_samples(x_train, y_train, poison_percent, attack, source_class, target_class)
    classifier.fit(x_poisoned, y_poisoned, nb_epochs=2)
    print("Miary po zatruciu:")
    evaluate_metrics(classifier, x_test, y_test)
    print("Skuteczność ataku zatrucia:")
    x_test_poisoned, y_test_poisoned, test_poisoned_indices = poisoning_samples(x_test, y_test, 1, attack, source_class, target_class)
    predictions = classifier.predict(x_test_poisoned[test_poisoned_indices])
    predicted_classes = np.argmax(predictions, axis=1)
    accuracy = accuracy_score(np.full_like(predicted_classes, fill_value=target_class), predicted_classes)
    print(f"  Dokładność : {accuracy:.4f}")



Trenowanie modelu: Resnet56




Downloading: "https://github.com/chenyaofo/pytorch-cifar-models/zipball/master" to /root/.cache/torch/hub/master.zip
Downloading: "https://github.com/chenyaofo/pytorch-cifar-models/releases/download/resnet/cifar10_resnet56-187c023a.pt" to /root/.cache/torch/hub/checkpoints/cifar10_resnet56-187c023a.pt


100%|██████████| 3.39M/3.39M [00:00<00:00, 102MB/s]


  
Miary dla Resnet56:
  Dokładność: 0.9437
  Precyzja: 0.9436
  Czułość: 0.9437
  F1: 0.9436


Ilość zatrutych przykładów: 500
Miary po zatruciu:
  
Miary dla Resnet56:
  Dokładność: 0.8731
  Precyzja: 0.8791
  Czułość: 0.8731
  F1: 0.8730


Skuteczność ataku zatrucia:
Ilość zatrutych przykładów: 1000
  Dokładność : 0.9220

Trenowanie modelu: Resnet56


Using cache found in /root/.cache/torch/hub/chenyaofo_pytorch-cifar-models_master


  
Miary dla Resnet56:
  Dokładność: 0.9437
  Precyzja: 0.9436
  Czułość: 0.9437
  F1: 0.9436


Ilość zatrutych przykładów: 500
Miary po zatruciu:
  
Miary dla Resnet56:
  Dokładność: 0.8803
  Precyzja: 0.8828
  Czułość: 0.8803
  F1: 0.8799


Skuteczność ataku zatrucia:
Ilość zatrutych przykładów: 1000
  Dokładność : 0.9500

Trenowanie modelu: Resnet56


Using cache found in /root/.cache/torch/hub/chenyaofo_pytorch-cifar-models_master


  
Miary dla Resnet56:
  Dokładność: 0.9437
  Precyzja: 0.9436
  Czułość: 0.9437
  F1: 0.9436


Ilość zatrutych przykładów: 500
Miary po zatruciu:
  
Miary dla Resnet56:
  Dokładność: 0.8809
  Precyzja: 0.8890
  Czułość: 0.8809
  F1: 0.8823


Skuteczność ataku zatrucia:
Ilość zatrutych przykładów: 1000
  Dokładność : 0.9970

Trenowanie modelu: VGG19


Using cache found in /root/.cache/torch/hub/chenyaofo_pytorch-cifar-models_master


Downloading: "https://github.com/chenyaofo/pytorch-cifar-models/releases/download/vgg/cifar10_vgg19_bn-57191229.pt" to /root/.cache/torch/hub/checkpoints/cifar10_vgg19_bn-57191229.pt


100%|██████████| 78.5M/78.5M [00:02<00:00, 30.0MB/s]


  
Miary dla VGG19:
  Dokładność: 0.9391
  Precyzja: 0.9390
  Czułość: 0.9391
  F1: 0.9390


Ilość zatrutych przykładów: 500
Miary po zatruciu:
  
Miary dla VGG19:
  Dokładność: 0.8329
  Precyzja: 0.8540
  Czułość: 0.8329
  F1: 0.8328


Skuteczność ataku zatrucia:
Ilość zatrutych przykładów: 1000
  Dokładność : 0.9140

Trenowanie modelu: VGG19


Using cache found in /root/.cache/torch/hub/chenyaofo_pytorch-cifar-models_master


  
Miary dla VGG19:
  Dokładność: 0.9391
  Precyzja: 0.9390
  Czułość: 0.9391
  F1: 0.9390


Ilość zatrutych przykładów: 500
Miary po zatruciu:
  
Miary dla VGG19:
  Dokładność: 0.8209
  Precyzja: 0.8577
  Czułość: 0.8209
  F1: 0.8290


Skuteczność ataku zatrucia:
Ilość zatrutych przykładów: 1000
  Dokładność : 0.9250

Trenowanie modelu: VGG19


Using cache found in /root/.cache/torch/hub/chenyaofo_pytorch-cifar-models_master


  
Miary dla VGG19:
  Dokładność: 0.9391
  Precyzja: 0.9390
  Czułość: 0.9391
  F1: 0.9390


Ilość zatrutych przykładów: 500
Miary po zatruciu:
  
Miary dla VGG19:
  Dokładność: 0.8317
  Precyzja: 0.8431
  Czułość: 0.8317
  F1: 0.8282


Skuteczność ataku zatrucia:
Ilość zatrutych przykładów: 1000
  Dokładność : 0.9900

Trenowanie modelu: MobileNetV2


Using cache found in /root/.cache/torch/hub/chenyaofo_pytorch-cifar-models_master


Downloading: "https://github.com/chenyaofo/pytorch-cifar-models/releases/download/mobilenetv2/cifar10_mobilenetv2_x1_4-3bbbd6e2.pt" to /root/.cache/torch/hub/checkpoints/cifar10_mobilenetv2_x1_4-3bbbd6e2.pt


100%|██████████| 16.8M/16.8M [00:00<00:00, 40.2MB/s]


  
Miary dla MobileNetV2:
  Dokładność: 0.9421
  Precyzja: 0.9421
  Czułość: 0.9421
  F1: 0.9420


Ilość zatrutych przykładów: 500
Miary po zatruciu:
  
Miary dla MobileNetV2:
  Dokładność: 0.8893
  Precyzja: 0.8905
  Czułość: 0.8893
  F1: 0.8890


Skuteczność ataku zatrucia:
Ilość zatrutych przykładów: 1000
  Dokładność : 0.9730

Trenowanie modelu: MobileNetV2


Using cache found in /root/.cache/torch/hub/chenyaofo_pytorch-cifar-models_master


  
Miary dla MobileNetV2:
  Dokładność: 0.9421
  Precyzja: 0.9421
  Czułość: 0.9421
  F1: 0.9420


Ilość zatrutych przykładów: 500
Miary po zatruciu:
  
Miary dla MobileNetV2:
  Dokładność: 0.8717
  Precyzja: 0.8745
  Czułość: 0.8717
  F1: 0.8710


Skuteczność ataku zatrucia:
Ilość zatrutych przykładów: 1000
  Dokładność : 0.9170

Trenowanie modelu: MobileNetV2


Using cache found in /root/.cache/torch/hub/chenyaofo_pytorch-cifar-models_master


  
Miary dla MobileNetV2:
  Dokładność: 0.9421
  Precyzja: 0.9421
  Czułość: 0.9421
  F1: 0.9420


Ilość zatrutych przykładów: 500
Miary po zatruciu:
  
Miary dla MobileNetV2:
  Dokładność: 0.8818
  Precyzja: 0.8844
  Czułość: 0.8818
  F1: 0.8824


Skuteczność ataku zatrucia:
Ilość zatrutych przykładów: 1000
  Dokładność : 1.0000

Trenowanie modelu: repvgg_a2


Using cache found in /root/.cache/torch/hub/chenyaofo_pytorch-cifar-models_master


Downloading: "https://github.com/chenyaofo/pytorch-cifar-models/releases/download/repvgg/cifar10_repvgg_a2-09488915.pt" to /root/.cache/torch/hub/checkpoints/cifar10_repvgg_a2-09488915.pt


100%|██████████| 103M/103M [00:04<00:00, 22.7MB/s]


  
Miary dla repvgg_a2:
  Dokładność: 0.9527
  Precyzja: 0.9527
  Czułość: 0.9527
  F1: 0.9526


Ilość zatrutych przykładów: 500
Miary po zatruciu:
  
Miary dla repvgg_a2:
  Dokładność: 0.8073
  Precyzja: 0.8351
  Czułość: 0.8073
  F1: 0.8094


Skuteczność ataku zatrucia:
Ilość zatrutych przykładów: 1000
  Dokładność : 0.9600

Trenowanie modelu: repvgg_a2


Using cache found in /root/.cache/torch/hub/chenyaofo_pytorch-cifar-models_master


  
Miary dla repvgg_a2:
  Dokładność: 0.9527
  Precyzja: 0.9527
  Czułość: 0.9527
  F1: 0.9526


Ilość zatrutych przykładów: 500
Miary po zatruciu:
  
Miary dla repvgg_a2:
  Dokładność: 0.8165
  Precyzja: 0.8370
  Czułość: 0.8165
  F1: 0.8153


Skuteczność ataku zatrucia:
Ilość zatrutych przykładów: 1000
  Dokładność : 0.9560

Trenowanie modelu: repvgg_a2


Using cache found in /root/.cache/torch/hub/chenyaofo_pytorch-cifar-models_master


  
Miary dla repvgg_a2:
  Dokładność: 0.9527
  Precyzja: 0.9527
  Czułość: 0.9527
  F1: 0.9526


Ilość zatrutych przykładów: 500
Miary po zatruciu:
  
Miary dla repvgg_a2:
  Dokładność: 0.8547
  Precyzja: 0.8606
  Czułość: 0.8547
  F1: 0.8544


Skuteczność ataku zatrucia:
Ilość zatrutych przykładów: 1000
  Dokładność : 1.0000
