# ML-Leaks Paper implementation:

>This is an implementation of adversary 1 scenario of the paper (ML-Leaks)[https://arxiv.org/pdf/1806.01246.pdf]

## I. General Idea of the paper:

As machine learning as a service (Mlaas) is getting widely used, privacy issues in this setting are also getting a lot of attention. One of the most famous attacks that a depolyed machine learning model can be victim of is "the membership inference attack". This attack allows an adversary to know if a particular data point was used to trained a given model. In case of a model trained on highly private data, this attack can be a real danger.

Early demos of memebership infrence attacks assumed the following :

- Knowledge of the target model architecture.

- Using multiple shadow models.

- Having shadow models trained on datasets that are from the same distribution of the dataset used to train the target model itself.

Despite the high performance of such attacks, the existence of these assumptions made it unrealistic to be deployed in real world. In this paper, the authors relaxed these assumptions and suggested some effective defense strategies , namely : Dropout and model stacking.

The authors designed 3 adversary strategies :

- Adversary 1 : Used only one shadow model + no knowledge of the classification algorithm used. ==> The usage of only one shadow model resulted in a similar performance compared to using many shadow models. This can make the attacks much more computationally efficient.

- Adversary 2 : The data sued to train the shadow model isn't necessarily from the same distribution of the data used to train the target model ==> This makes the attack more powerful and realistic.

- Adversary 3 : No shadow models are used + an attack in an unsupervised attack ==> despite the drop of the performance for this attck it is still effective.

> In this notebook we are implementing the Adversary 1 and testing on Mnist dataset and Cifar10.

### Table of Content:

In [1]:
# Importing necessary packages 
from models.models import *
import dataloaders as loader
import training_utils as TU


from torch.optim import *
from datasets.data_utils import *
from datasets.attack_dataset import *  

## II. Case 1 : Same model architecture for the shadow and the target

### 1.1 Mnist classifier:

#### 1.1.1 Load data :

In [2]:
loaders = loader.get_dataloaders(batch_size=128,dataset_name="mnist")

In [3]:
loaders.keys()

dict_keys(['DShadow_train', 'DShadow_out', 'target_train', 'target_eval', 'test_loader'])

#### 1.1.2 train and evaluate the target model:

In [3]:
target_model = Mnist_classifier()

In [4]:
train_dataloader = loaders['target_train']
optimizer = Adam(target_model.parameters(), lr=0.0001)
epochs = 30
checkpoint_path = "./checkpoints/mnistTarget.pth"
target_train_loss_scores = TU.train(train_dataloader=train_dataloader, 
                                    optimizer=optimizer,
                                    model=target_model,
                                    n_epochs=epochs,
                                    model_path=checkpoint_path)

Epoch 1 - Training loss: 1.7336031607652114
Epoch 2 - Training loss: 0.6991646052417109
Epoch 3 - Training loss: 0.43768555153224425
Epoch 4 - Training loss: 0.3306552916765213
Epoch 5 - Training loss: 0.2674894731933788
Epoch 6 - Training loss: 0.22669988011909745
Epoch 7 - Training loss: 0.19536167168516225
Epoch 8 - Training loss: 0.17107124607694352
Epoch 9 - Training loss: 0.15237095478480145
Epoch 10 - Training loss: 0.13591645995817953
Epoch 11 - Training loss: 0.12330653928851677
Epoch 12 - Training loss: 0.1126803884251138
Epoch 13 - Training loss: 0.10286486606602951
Epoch 14 - Training loss: 0.09479775257661181
Epoch 15 - Training loss: 0.08915792882316194
Epoch 16 - Training loss: 0.08216708196106098
Epoch 17 - Training loss: 0.07772603141680612
Epoch 18 - Training loss: 0.0728833022195909
Epoch 19 - Training loss: 0.06714723495987512
Epoch 20 - Training loss: 0.0630572308012742
Epoch 21 - Training loss: 0.059463714375713114
Epoch 22 - Training loss: 0.055863706426600275
Ep

In [5]:
# eval
acc = TU.eval_model(target_model,loaders['test_loader'])


Average Val Loss: 0.0004, Val Accuracy: 9846/10000 (98.460%)



In [6]:
#Save results 
TU.save_training_loss(target_train_loss_scores,"case1/target_model_train_scores.csv")

#### 1.1.2 train and evaluate the shadow model:

In [7]:
shadow_model = Mnist_classifier()

In [8]:
train_dataloader = loaders['DShadow_train']
optimizer = Adam(shadow_model.parameters(), lr=0.0001)
epochs = 30
checkpoint_path = "./checkpoints/mnistShadow.pth"
shadow_train_loss_scores = TU.train(train_dataloader=train_dataloader, 
                                    optimizer=optimizer,
                                    model=shadow_model,
                                    n_epochs=epochs,
                                    model_path=checkpoint_path)

Epoch 1 - Training loss: 1.650734110403869
Epoch 2 - Training loss: 0.6618791730222056
Epoch 3 - Training loss: 0.4201601612365852
Epoch 4 - Training loss: 0.31804574590365764
Epoch 5 - Training loss: 0.25947067652971056
Epoch 6 - Training loss: 0.22189391688522647
Epoch 7 - Training loss: 0.19272407453696608
Epoch 8 - Training loss: 0.16948357173952006
Epoch 9 - Training loss: 0.15162894909538455
Epoch 10 - Training loss: 0.13634572556968463
Epoch 11 - Training loss: 0.12467115845973209
Epoch 12 - Training loss: 0.1144538798953517
Epoch 13 - Training loss: 0.1062625774766429
Epoch 14 - Training loss: 0.09781695144661402
Epoch 15 - Training loss: 0.09179458075787052
Epoch 16 - Training loss: 0.08455126115389294
Epoch 17 - Training loss: 0.07867810913061692
Epoch 18 - Training loss: 0.07313994658416358
Epoch 19 - Training loss: 0.06843136344105005
Epoch 20 - Training loss: 0.06478635789984363
Epoch 21 - Training loss: 0.061030569454749765
Epoch 22 - Training loss: 0.05771656714821771
Ep

In [9]:
acc_shadow = TU.eval_model(shadow_model,loaders['test_loader'])


Average Val Loss: 0.0004, Val Accuracy: 9825/10000 (98.250%)



In [10]:
#Save results 
TU.save_training_loss(shadow_train_loss_scores,"case1/shadow_model_train_scores.csv")

#### 1.1.3 train and evaluate the attack model:

##### 1.1.3.1 Create dataset of the attack model:

In [12]:
# The dataset is already created and saved in data/data/attack_dataset.csv so there s no need 
# to run this cell 
train_file_path='data/attack_train_dataset.csv'
test_file_path='data/attack_test_dataset.csv'
result = get_attack_trainset(shadow_model=shadow_model,
                             shadow_train_loader=loaders['DShadow_train'], 
                             shadow_out_loader=loaders['DShadow_out'],
                             file_path=train_file_path)
result = get_attack_trainset(shadow_model=shadow_model,
                             shadow_train_loader=loaders['target_train'], 
                             shadow_out_loader=loaders['target_eval'],
                             file_path=test_file_path)

In [9]:
train_file_path='data/attack_train_dataset.csv'
test_file_path='data/attack_test_dataset.csv'
attack_loaders = loader.get_attack_train_test_loaders(dataset_train_path=train_file_path,
                                                      dataset_test_path=test_file_path,
                                                        batch_size=256)

##### 1.1.3.2 train the attack model:

In [10]:
attack_model = Attack_classifier(3)

In [11]:
train_dataloader = attack_loaders['train_loader']


In [14]:
optimizer = Adam(attack_model.parameters(), lr=0.0001)

train_scores= TU.train(train_dataloader, 
                    optimizer,
                    model=attack_model,
                    n_epochs=50, 
                    model_path="./checkpoints/attack_model.pth")

Epoch 1 - Training loss: 0.6924071635230112
Epoch 2 - Training loss: 0.692303795935744
Epoch 3 - Training loss: 0.6922948405904285
Epoch 4 - Training loss: 0.6922981804710323
Epoch 5 - Training loss: 0.6923744769419654
Epoch 6 - Training loss: 0.6923428359678236
Epoch 7 - Training loss: 0.6922927160384291
Epoch 8 - Training loss: 0.6922402179847329
Epoch 9 - Training loss: 0.6923606390670195
Epoch 10 - Training loss: 0.692326648255526
Epoch 11 - Training loss: 0.6922906167426351
Epoch 12 - Training loss: 0.6922555424399295
Epoch 13 - Training loss: 0.6922784114288072
Epoch 14 - Training loss: 0.6923447741290271
Epoch 15 - Training loss: 0.6922330346147892
Epoch 16 - Training loss: 0.6923109474828688
Epoch 17 - Training loss: 0.6922908107102927
Epoch 18 - Training loss: 0.692303105936212
Epoch 19 - Training loss: 0.6922808734037108
Epoch 20 - Training loss: 0.6922209469948785
Epoch 21 - Training loss: 0.6922403472965046
Epoch 22 - Training loss: 0.6924198446637493
Epoch 23 - Training lo

In [13]:
acc_attack,_ = eval_model(attack_model,attack_loaders['test_loader'])


Average Val Loss: 0.0027, Val Accuracy: 14970/30000 (49.900%)



In [30]:
test_ds = Attack_dataset('data/attack_test_dataset.csv')


tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.

tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.

tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.

tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.

tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.

tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.

tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.

tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.

tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.

tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.

tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.])
tensor([1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.,
        1., 1., 1., 1., 1., 1., 1., 1., 1., 1., 1.

In [7]:
def eval_model(model, data_loader):
    """
    Evaluate the trained model on a test set
    INPUT:
        model (nn.Module) : the model to be eveluated
        dataloader (Dataloader) : the loader of the test set

    OUTPUT:
       accuracy (float) : accuracy on test set
    """
    model.eval()
    loss = 0
    correct = 0
    criterion = nn.CrossEntropyLoss()
    model = model.cpu()
    
    y_test = []

    for i , (data, target) in enumerate(data_loader):
        target = target.long()
        y_test.append(target)
        data = data.float()
        #if torch.cuda.is_available():
            #data = data.cuda()
            #target = target.cuda()
        data = data.cpu()
        output = model(data)
        target = target.cpu()
       
        loss += criterion(output, target)
        result = torch.eq(torch.argmax(output, dim=1), target)
        correct += result.sum().item()
       
        t = target
    
    accuracy = 100. * correct / len(data_loader.dataset)
    loss /= len(data_loader.dataset)
        
    print('\nAverage Val Loss: {:.4f}, Val Accuracy: {}/{} ({:.3f}%)\n'.format(
        loss, correct, len(data_loader.dataset),
        accuracy))
    return accuracy,y_test

In [18]:
print(len(df2))

3


In [13]:
df1 = df1.append(df2)

In [14]:
len(df1)

14

In [9]:
len(loaders['target_train']) + len(loaders['target_eval'])

708

In [13]:
import pandas as pd
df = pd.DataFrame(columns=['top1','top2','top3','label'])
df

Unnamed: 0,top1,top2,top3,label


In [18]:
import torch.nn.functional as F
k = next(iter(loaders['test_loader']))
print(k[0].shape)
print(k[1].shape)
out = shadow_model(k[0])
ll = F.softmax(out,dim=-1)
print(ll.shape)
sor, indices  = torch.sort(ll,descending=True)
print(sor.shape)

torch.Size([128, 1, 28, 28])
torch.Size([128])
torch.Size([128, 10])
torch.Size([128, 10])


In [80]:
print(k[1])

tensor([7, 2, 1, 0, 4, 1, 4, 9, 5, 9, 0, 6, 9, 0, 1, 5, 9, 7, 3, 4, 9, 6, 6, 5,
        4, 0, 7, 4, 0, 1, 3, 1, 3, 4, 7, 2, 7, 1, 2, 1, 1, 7, 4, 2, 3, 5, 1, 2,
        4, 4, 6, 3, 5, 5, 6, 0, 4, 1, 9, 5, 7, 8, 9, 3, 7, 4, 6, 4, 3, 0, 7, 0,
        2, 9, 1, 7, 3, 2, 9, 7, 7, 6, 2, 7, 8, 4, 7, 3, 6, 1, 3, 6, 9, 3, 1, 4,
        1, 7, 6, 9, 6, 0, 5, 4, 9, 9, 2, 1, 9, 4, 8, 7, 3, 9, 7, 4, 4, 4, 9, 2,
        5, 4, 7, 6, 7, 9, 0, 5])


In [44]:
soor = torch.narrow(sor,dim=1,start=0,length=3)
print(soor.shape)
#print(soor)
prink = [soor,torch.ones(soor.shape[0])*0]
#prink
soor[:,0].shape

torch.Size([128, 3])


torch.Size([128])

In [85]:
for idx, (x, y) in enumerate(loaders['test_loader']):
    print(idx)
    print(x.shape)
    print(y.shape)
    break

0
torch.Size([128, 1, 28, 28])
torch.Size([128])


In [97]:
import pandas as pd
  
# creating a DataFrame
data = {'1' : [0, 'e', 'e'], 
        '2' : [1, 's', 'f'], 
        '3' : [6, 'r', 'g'], 
        '4' : [8, 'e', 'k']}
df = pd.DataFrame(data)
print("Original DataFrame")
display(df)
  
print("Value of row 1")
classy = df.iloc[0].tolist()
print(classy)
print(classy[:-1])

Original DataFrame


Unnamed: 0,1,2,3,4
0,0,1,6,8
1,e,s,r,e
2,e,f,g,k


Value of row 1
[0, 1, 6, 8]
[0, 1, 6]


In [72]:
 torch.narrow(x, 1, 1, 2)

tensor([[2, 3],
        [5, 6],
        [8, 9]])

#### 1.1.3 Train and evaluate the attack model:

In [28]:
loaders.keys()

dict_keys(['DShadow_train', 'DShadow_out', 'target_train', 'target_eval', 'test_loader'])

### 1.2 Cifar10 classifier :

## II. Case 2 : Shadow model's architecture different than the target model's architecture:

### 2.1 Mnist classifier :

### 2.2 Cifar 10 classifier :