# CARLINI WAGNER #

Ricordati di cambiare le cartelle del test set.

#### *Import* 

In [1]:
import os
import re
import numpy as np
from matplotlib import pyplot as plt
from PIL import Image
from torchvision import transforms
import torch
from torch.nn import CrossEntropyLoss
import torch.nn as nn
from art.estimators.classification import PyTorchClassifier
import tensorflow as tf
from matplotlib import pyplot as plt
# Import all L-distance based attacks
from art.attacks.evasion import CarliniL2Method, CarliniL0Method, CarliniLInfMethod
from RESNET import ResNet
from utils import get_labels
from utils import load_state_dict
from utils import load_image_NN1
from utils import load_test_image_NN2

device = torch.device('cuda' if torch.cuda.is_available() else 'cpu')
device = str(device)

  from .autonotebook import tqdm as notebook_tqdm


In [2]:
if device in 'cuda':
    print("Import Inception.Inception")
    import inception
    nn1 = inception.InceptionResnetV1(pretrained='vggface2').eval()
elif device == "cpu":
    print("Import Facenet.Inception")
    from facenet_pytorch import Inceptionnn1V1
    nn1 = InceptionResnetV1(pretrained='vggface2').eval()

Import Inception.Inception


#### Inizializzazione

In [3]:
# ----------------------------nn1-----------------------
nn1.classify = True
nn1.to(device)
fpath = tf.keras.utils.get_file('rcmalli_vggface_labels_v2.npy',
                             "https://github.com/rcmalli/keras-vggface/releases/download/v2.0/rcmalli_vggface_labels_v2.npy",
                             cache_subdir="./")
model_nn1 = PyTorchClassifier(nn1,input_shape=[224,224], loss=CrossEntropyLoss(),nb_classes=8631, device_type=device) #This class implements a classifier with the PyTorch framework.

# ---------------------nn2-----------------------------
nn2 = ResNet.resnet50(num_classes=8631, include_top=True)
load_state_dict(nn2,'resnet50_scratch_weight.pkl')
nn2.eval()
nn2.to(device)
model_nn2 = PyTorchClassifier(nn2,input_shape=[224,224], loss=CrossEntropyLoss(),nb_classes=8631, device_type=device)

#--------------------------------------------------------
LABELS = get_labels()

def load_image(filename):
    img = Image.open(filename)
    rsz = img.resize((160, 160))
    tns = transforms.ToTensor()(rsz)
    tns.to(device)
    return tns


#### SIGNIFICATO PARAMETRI 


Il metodo Carlini and Wagner L_0 Attack è un attacco iterativo che mira a trovare un esempio avversario minimizzando il numero di caratteristiche modificate (norma L_0). Ecco una spiegazione dettagliata del metodo e dei suoi parametri:

Metodo Carlini and Wagner L_0 Attack
Parametri del Metodo __init__

classifier (CLASSIFIER_CLASS_LOSS_GRADIENTS_TYPE):
Un classificatore addestrato che implementa i metodi per calcolare le perdite e i gradienti delle perdite rispetto agli input.

confidence (float = 0.0):
La fiducia degli esempi avversari: un valore più alto produce esempi che sono più lontani dall'input originale ma classificati con maggiore fiducia come la classe target. Questo parametro bilancia la necessità di modificare l'input originale con la certezza che l'output sia nella classe avversaria desiderata.

targeted (bool = False):
Indica se l'attacco è mirato a una specifica classe (True) o meno (False). In un attacco mirato, l'obiettivo è far classificare l'input avversario come una classe specifica scelta dall'attaccante. In un attacco non mirato, l'obiettivo è semplicemente far classificare l'input in una classe diversa da quella corretta.

learning_rate (float = 0.01):
Il tasso di apprendimento iniziale per l'algoritmo di attacco. Valori più piccoli producono risultati migliori ma convergono più lentamente.

binary_search_steps (int = 10):
Numero di volte in cui regolare la costante con la ricerca binaria (valore positivo). Se binary_search_steps è grande, l'algoritmo non è molto sensibile al valore di initial_const. Questo parametro controlla quante volte la costante di trade-off viene aggiustata per trovare il miglior equilibrio tra la distanza e la fiducia.

max_iter (int = 10):
Il numero massimo di iterazioni per l'attacco.

initial_const (float = 0.01):
La costante di trade-off iniziale c per regolare l'importanza relativa tra la distanza e la fiducia. Se binary_search_steps è grande, il valore iniziale di questa costante non è critico.

mask (ndarray | None = None):
Le caratteristiche iniziali che possono essere modificate dall'algoritmo. Se non specificato, l'algoritmo utilizza l'intero set di caratteristiche. Questo parametro può essere utilizzato per limitare l'attacco a modificare solo determinate parti dell'input.

warm_start (bool = True):
Invece di iniziare la discesa del gradiente in ogni iterazione dall'immagine iniziale, si inizia la discesa del gradiente dalla soluzione trovata nell'iterazione precedente. Questo parametro può accelerare la convergenza.

max_halving (int = 5):
Numero massimo di passi di dimezzamento nella ricerca lineare di ottimizzazione. Questo parametro controlla quante volte la dimensione del passo viene dimezzata durante la ricerca di un passo ottimale.

max_doubling (int = 5):
Numero massimo di passi di raddoppiamento nella ricerca lineare di ottimizzazione. Questo parametro controlla quante volte la dimensione del passo viene raddoppiata durante la ricerca di un passo ottimale.
batch_size (int = 1):

La dimensione del batch su cui vengono generati i campioni avversari. Questo parametro determina quanti campioni vengono processati contemporaneamente durante l'attacco.

verbose (bool = True):
Mostra barre di avanzamento. Se impostato su True, verranno visualizzati i progressi dell'attacco durante l'esecuzione.

### *Attacco* **NON TARGETED**

In [5]:
dataset_dir = "test_set_cropped_piccolo/" 
binary_search_steps = 3
confidence = 0.5
max_iter = [1,5]
learning_rate = [0.05,0.2,0.5,0.7,1]
initial_const = [500]


correct_predictions_nn1 = 0
accuracy_for_learning_rate_nn1 = np.zeros((len(max_iter),len(initial_const),len(learning_rate)))        #riga
perturbation_for_learning_rate_nn1 = np.zeros((len(max_iter),len(initial_const),len(learning_rate)))

correct_predictions_nn2 = 0
accuracy_for_learning_rate_nn2 = np.zeros((len(max_iter),len(initial_const),len(learning_rate)))       #riga
#perturbation_for_learning_rate_nn2 = np.zeros((len(initial_const),len(learning_rate)))

total_images = 0
print("Inizio Attacco CARLINI-WAGNER NON-TARGETED")

for z in range(len(max_iter)):
    for i in range(len(initial_const)):
            for j in range(len(learning_rate)):   #Se qualcosa funziona strano controllare questo zip
                correct_predictions_nn1 = 0
                correct_predictions_nn2 = 0
                total_images = 0
                perturbation = []
                
                attack = CarliniL2Method(classifier=model_nn1, binary_search_steps=binary_search_steps, confidence=confidence, max_iter=max_iter[0], learning_rate=learning_rate[j], initial_const=initial_const[i], targeted=False)
                
                print("<---> Attacco con learning rate = {} e initial cost = {} <--->".format(learning_rate[j],initial_const[i]))
                for filename in os.listdir(dataset_dir):
                    if filename.endswith(".jpg") or filename.endswith(".jpeg"):
                        person_path = os.path.join(dataset_dir, filename)
                        test_img = load_image_NN1(person_path,device)
                        test_img = test_img.numpy()
                        
                        test_images_adv = attack.generate(test_img)
                        nn1_predictions = model_nn1.predict(test_images_adv)

                        test_images_NN2 = load_test_image_NN2(test_images_adv)
                        nn2_predictions = model_nn2.predict(test_images_NN2)

                        correct_label = re.sub(r'_\d+_face_0\.jpg$', '', filename)
                        #print("Etichetta corretta:", correct_label)   
                        perturbation.append(np.mean(np.abs((test_images_adv - test_img))))  #Salvo le perturbazioni applicate su ogni immagine
                
                        predicted_label_nn1 = LABELS[np.array(nn1_predictions.argmax())]
                        predicted_label_nn2 = LABELS[np.array(nn2_predictions.argmax())]
                        #print("Predetto {} con probabilità {} e con perturbazione {}".format(predicted_label,model_predictions[0][model_predictions.argmax()],perturbation[-1]))
                        total_images+=1
                        
                        predicted_label_nn1 = str(predicted_label_nn1)  # da togliere ?
                        predicted_label_nn2 = str(predicted_label_nn2)
                        
                        if correct_label in predicted_label_nn1:
                            correct_predictions_nn1+=1

                        #print("Adversarial Sample misclassificati correttamente attuale: {}%".format((100-(accuracy*100))))
                        accuracy_nn1 = correct_predictions_nn1/total_images

                        if correct_label in predicted_label_nn2:
                            correct_predictions_nn2+=1

                        accuracy_nn2 = correct_predictions_nn2/total_images


                        if total_images == 500:
                            print("Sei a 500 Immagini initial_cost:{} | learning_rate:{}".format(initial_const[i], learning_rate[i]))

                if total_images != 0:    
                    if len(perturbation) == total_images:
                        perturbazione_media = sum(perturbation)/total_images   # In media quanta pertubazione è stata applicata su ogni immagine 
                        perturbation_for_learning_rate_nn1[z][i][j] = perturbazione_media 
                        #print("----------- Perturbazione media aggiunta a tutte le immagini ---> {}% ----------------".format(learning,perturbazione_media))
                        
                        
                    final_accuracy_nn1 = correct_predictions_nn1/total_images          # Accuracy su tutte le immagini
                    accuracy_for_learning_rate_nn1[z][i][j] = final_accuracy_nn1
                    #print("----------- Accuracy sugli adversarial Sample equivale a ---> {}% ----------------".format(learning,final_accuracy))
                    final_accuracy_nn2 = correct_predictions_nn2/total_images
                    accuracy_for_learning_rate_nn2[z][i][j] = final_accuracy_nn2
                else:
                    print("ERRORE TOTAL IMAGE == 0 ERRORE")
                        
            learning_contatore = 0
            print("--------------------------------------------------------------------------------------------------------------------------------------------------------------------lllllllllllllllllll")
            print("")

Inizio Attacco CARLINI-WAGNER NON-TARGETED
<---> Attacco con learning rate = 0.05 e initial cost = 300 <--->


C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.35s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.18s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.26s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.23s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.20s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.18s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.08s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.12s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.10s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.15s/it]


<---> Attacco con learning rate = 0.2 e initial cost = 300 <--->


C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.10s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.34s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.44s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.24s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.16s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.27s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.09s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.19s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.22s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.29s/it]


<---> Attacco con learning rate = 0.5 e initial cost = 300 <--->


C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.32s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.35s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.34s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.34s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.27s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.37s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.26s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.37s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.35s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.28s/it]


<---> Attacco con learning rate = 0.7 e initial cost = 300 <--->


C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.34s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.38s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.35s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.52s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.34s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.35s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.26s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.38s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.40s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.28s/it]


<---> Attacco con learning rate = 1 e initial cost = 300 <--->


C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.44s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.34s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.35s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.46s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.43s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.52s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.34s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.27s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.26s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.27s/it]


--------------------------------------------------------------------------------------------------------------------------------------------------------------------lllllllllllllllllll

<---> Attacco con learning rate = 0.05 e initial cost = 300 <--->


C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.08s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.10s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.15s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.11s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.11s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.09s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.11s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.06s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.04s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.04s/it]


<---> Attacco con learning rate = 0.2 e initial cost = 300 <--->


C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.09s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.34s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.39s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.29s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.17s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.14s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.07s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.17s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.22s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.29s/it]


<---> Attacco con learning rate = 0.5 e initial cost = 300 <--->


C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.31s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.36s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.45s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.43s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.36s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.42s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.42s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.50s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.39s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.26s/it]


<---> Attacco con learning rate = 0.7 e initial cost = 300 <--->


C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.32s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.34s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.34s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.45s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.38s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.35s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.28s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.39s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.40s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.30s/it]


<---> Attacco con learning rate = 1 e initial cost = 300 <--->


C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.40s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.39s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.38s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.48s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.41s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.47s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.32s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.26s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.27s/it]
C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.31s/it]


--------------------------------------------------------------------------------------------------------------------------------------------------------------------lllllllllllllllllll



In [7]:
#matrice righe = iterazione, colonne = learning rate
print(accuracy_for_learning_rate_nn1)


[[[0.  0.  0.2 0.2 0.4]]

 [[0.  0.  0.2 0.2 0.4]]]


In [None]:

# plot accuracy/Attack strength

fig, ax = plt.subplots()
ax.plot(learning_rate, perturbation_for_learning_rate[0], 'b-', label='Perturbazione')
ax.plot(learning_rate, accuracy_for_learning_rate[0], 'r-', label='Accuracy')
#ax.plot(np.array(learning_rate), np.array(perturbation_for_learning_rate[1]), 'r-', label='max_iter == 2')
#ax.plot(np.array(learning_rate), np.array(perturbation_for_learning_rate[2]), 'g-.', label='max_iter == 4')

legend = ax.legend(loc='upper center', shadow=True, fontsize='large')
legend.get_frame().set_facecolor('#00FFCC')

plt.ylabel('Perturbation')
plt.xlabel('Learning Rate')



plt.tight_layout()

plt.show()

#### Grafico Accuracy media a ogni iterazione

In [None]:


# plot accuracy/Attack strength

fig, ax = plt.subplots()
ax.plot(learning_rate, np.array(accuracy_for_learning_rate[0]), 'b--', label='initial cost == 1')
ax.plot(learning_rate, np.array(accuracy_for_learning_rate[1]), 'r-', label='initial cost == 300')
ax.plot(learning_rate, np.array(accuracy_for_learning_rate[2]), 'g-', label='initial cost == 700')

legend = ax.legend(loc='upper center', shadow=True, fontsize='large')
legend.get_frame().set_facecolor('#00FFCC')

plt.ylabel('Accuracy')
plt.xlabel('Learning Rate')


plt.show()

#### Grafico Accuracy media/Perturbazione media



In [None]:
fig, ax = plt.subplots()
ax.plot(np.array(accuracy_for_max_iter), np.array(perturbation_for_max_iter), 'b--', label='NN1')

legend = ax.legend(loc='upper center', shadow=True, fontsize='large')
legend.get_frame().set_facecolor('#00FFCC')

plt.xlabel('Attack strength (eps)')
plt.ylabel('Accuracy')
plt.show()

### *Attacco* **TARGETED**

In [39]:
dataset_dir = "test_set_cropped_piccolo/" 
binary_search_steps = 3
confidence = 0.7
max_iter = [2]
learning_rate = [0.3,0.5,1]
initial_const = [300,700]

correct_predictions_nn1 = 0
correct_misclassified_nn1 = 0
accuracy_for_learning_rate_targeted_nn1 = np.zeros((len(max_iter),len(initial_const),len(learning_rate)))        #riga-colonna
perturbation_for_learning_rate_targeted_nn1 = np.zeros((len(max_iter),len(initial_const),len(learning_rate)))
accuracy_misclassified_for_learning_rate_targeted_nn1 = np.zeros((len(max_iter),len(initial_const),len(learning_rate)))

correct_predictions_nn2 = 0
correct_misclassified_nn2 = 0
accuracy_for_learning_rate_targeted_nn2 = np.zeros((len(max_iter),len(initial_const),len(learning_rate)))        #riga
accuracy_misclassified_for_learning_rate_targeted_nn2 = np.zeros((len(max_iter),len(initial_const),len(learning_rate)))
#perturbation_for_learning_rate_nn2 = np.zeros((len(initial_const),len(learning_rate)))

target_class = 10
etichetta_target = LABELS[target_class]
print("ETICHETTA TARGET: ", etichetta_target)

targeted_labels = target_class*np.ones(LABELS.size)
one_hot_targeted_labels = tf.keras.utils.to_categorical(targeted_labels, num_classes = 8631)


print("Inizio Attacco CARLINI-WAGNER TARGETED")
for z in range(len(max_iter)):
    for i in range(len(initial_const)):
            for j in range(len(learning_rate)):   #Se qualcosa funziona strano controllare questo zip
                correct_predictions_nn1 = 0
                correct_predictions_nn2 = 0
                correct_misclassified_nn1 = 0
                correct_misclassified_nn2 = 0
                total_images = 0
                perturbation = []
                
                attack = CarliniL2Method(classifier=model_nn1,
                                          binary_search_steps=binary_search_steps,
                                            confidence=confidence, max_iter=max_iter[z],
                                              learning_rate=learning_rate[j],
                                                initial_const=initial_const[i],
                                                  targeted=True)
                
                print("<---> Attacco con max_iter = {}| learning rate = {} | initial cost = {} <--->".format(max_iter[z],learning_rate[j],initial_const[i]))
                for filename in os.listdir(dataset_dir):
                    person_path = os.path.join(dataset_dir, filename)
                    test_img = load_image_NN1(person_path,device)
                    test_img = test_img.numpy()
                    test_images_adv = attack.generate(test_img,one_hot_targeted_labels)
                    nn1_predictions = model_nn1.predict(test_images_adv)
                    perturbation.append(np.mean(np.abs((test_images_adv - test_img))))
                    
                    test_images_NN2 = load_test_image_NN2(test_images_adv)
                    nn2_predictions = model_nn2.predict(test_images_NN2)

                    correct_label = re.sub(r'_\d+_face_0\.jpg$', '', filename)  
                      #Salvo le perturbazioni applicate su ogni immagine
            
                    predicted_label_nn1 = LABELS[np.array(nn1_predictions.argmax())]
                    predicted_label_nn2 = LABELS[np.array(nn2_predictions.argmax())]
                    print("Etichetta Corretta: {} | Predetto: {}  probabilità {} perturbazione applicata {}".format(correct_label,predicted_label_nn1,nn1_predictions[0][nn1_predictions.argmax()],perturbation[-1]))
                    total_images+=1
                    
                    predicted_label_nn1 = str(predicted_label_nn1)  # da togliere ?
                    predicted_label_nn2 = str(predicted_label_nn2)
                    
                    if correct_label in predicted_label_nn1:
                        correct_predictions_nn1+=1

                    #print("Adversarial Sample misclassificati correttamente attuale: {}%".format((100-(accuracy*100))))
                    accuracy_nn1 = correct_predictions_nn1/total_images
                    
                    if correct_label in predicted_label_nn2:
                        correct_predictions_nn2+=1

                    accuracy_nn2 = correct_predictions_nn2/total_images
                            
                    if etichetta_target in predicted_label_nn1:  
                        correct_misclassified_nn1 += 1   #Se il modello predice l'etichetta target allora è correttamente misclassificato

                    accuracy_misclassified_nn1 = correct_misclassified_nn1/total_images

                    if etichetta_target in predicted_label_nn2:   #se Attacco su NN2 Correttamente riuscito
                        correct_misclassified_nn2 += 1   

                    accuracy_misclassified_nn2 = correct_misclassified_nn2/total_images
                    
                    #print("Adversarial Sample misclassificati correttamente attualmente: {}%".format((accuracy_misclassified)))
                    #print("Accuracy attuale: {}%".format((correct_predictions/total_images)*100))
                
                    if total_images == 500:
                        print("Sei a 500 Immagini initial_cost:{} | learning_rate:{}".format(initial_const[i], learning_rate[i]))

            if total_images != 0:    
                if len(perturbation) == total_images:
                      # In media quanta pertubazione è stata applicata su ogni immagine
                    perturbation_for_learning_rate_targeted_nn1[z][i][j] = (sum(perturbation)/total_images)
                    
                
   
                      
                final_accuracy_nn1 = correct_predictions_nn1/total_images          # Accuracy su tutte le immagini
                accuracy_for_learning_rate_targeted_nn2[z][i][j] = final_accuracy_nn1

                accuracy_misclassified_nn1 = correct_misclassified_nn1/total_images
                accuracy_misclassified_for_learning_rate_targeted_nn1[z][i][j] = accuracy_misclassified_nn1

                #print("----------- Accuracy sugli adversarial Sample equivale a ---> {}% ----------------".format(learning,final_accuracy))
                final_accuracy_nn2 = correct_predictions_nn2/total_images
                accuracy_for_learning_rate_nn2[z][i][j] = final_accuracy_nn2

                accuracy_misclassified_nn2 = correct_misclassified_nn2/total_images
                accuracy_misclassified_for_learning_rate_targeted_nn2[z][i][j] = accuracy_misclassified_nn2
            else:
                print("ERRORE TOTAL IMAGE == 0 ERRORE")
        
    print("--------------------------------------------------------------------------------------------------------------------------------------------------------------------")
    print("")
    
                

ETICHETTA TARGET:   Aaron_Hernandez
Inizio Attacco CARLINI-WAGNER TARGETED
<---> Attacco con max_iter = 2| learning rate = 0.3 | initial cost = 300 <--->


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.76s/it]


Etichetta Corretta: Andrea_Pirlo | Predetto:  Andrea_Pirlo  probabilità 12.725250244140625 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.38s/it]


Etichetta Corretta: Antonio_Cassano | Predetto:  Branch_Warren  probabilità 10.506441116333008 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.49s/it]


Etichetta Corretta: Ariana_Grande | Predetto:  Ariana_Grande  probabilità 11.170966148376465 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.65s/it]


Etichetta Corretta: Ashley_Scott | Predetto:  Ashley_Scott  probabilità 13.896852493286133 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:01<00:00,  1.98s/it]


Etichetta Corretta: Boris_Johnson | Predetto:  Boris_Johnson  probabilità 13.323941230773926 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.18s/it]


Etichetta Corretta: Brad_Pitt | Predetto:  Brad_Pitt  probabilità 13.206241607666016 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.08s/it]


Etichetta Corretta: Christian_De_Sica | Predetto:  Christian_De_Sica  probabilità 13.7531156539917 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.04s/it]


Etichetta Corretta: Christopher_Nolan | Predetto:  Christopher_Nolan  probabilità 12.074438095092773 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.23s/it]


Etichetta Corretta: Cristiano_Ronaldo | Predetto:  Cristiano_Ronaldo  probabilità 12.945646286010742 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.23s/it]


Etichetta Corretta: Diego_Maradona | Predetto:  Diego_Maradona  probabilità 12.622477531433105 perturbazione applicata 0.0
<---> Attacco con max_iter = 2| learning rate = 0.5 | initial cost = 300 <--->


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.37s/it]


Etichetta Corretta: Andrea_Pirlo | Predetto:  Andrea_Pirlo  probabilità 12.725250244140625 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.20s/it]


Etichetta Corretta: Antonio_Cassano | Predetto:  Branch_Warren  probabilità 10.506441116333008 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.30s/it]


Etichetta Corretta: Ariana_Grande | Predetto:  Ariana_Grande  probabilità 11.170966148376465 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.29s/it]


Etichetta Corretta: Ashley_Scott | Predetto:  Ashley_Scott  probabilità 13.896852493286133 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.80s/it]


Etichetta Corretta: Boris_Johnson | Predetto:  Boris_Johnson  probabilità 13.323941230773926 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.27s/it]


Etichetta Corretta: Brad_Pitt | Predetto:  Brad_Pitt  probabilità 13.206241607666016 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.29s/it]


Etichetta Corretta: Christian_De_Sica | Predetto:  Christian_De_Sica  probabilità 13.7531156539917 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.10s/it]


Etichetta Corretta: Christopher_Nolan | Predetto:  Christopher_Nolan  probabilità 12.074438095092773 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.21s/it]


Etichetta Corretta: Cristiano_Ronaldo | Predetto:  Cristiano_Ronaldo  probabilità 12.945646286010742 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.29s/it]


Etichetta Corretta: Diego_Maradona | Predetto:  Diego_Maradona  probabilità 12.622477531433105 perturbazione applicata 0.0
<---> Attacco con max_iter = 2| learning rate = 1 | initial cost = 300 <--->


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.51s/it]


Etichetta Corretta: Andrea_Pirlo | Predetto:  Andrea_Pirlo  probabilità 12.725250244140625 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.16s/it]


Etichetta Corretta: Antonio_Cassano | Predetto:  Branch_Warren  probabilità 10.506441116333008 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.24s/it]


Etichetta Corretta: Ariana_Grande | Predetto:  Ariana_Grande  probabilità 11.170966148376465 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.37s/it]


Etichetta Corretta: Ashley_Scott | Predetto:  Ashley_Scott  probabilità 13.896852493286133 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.18s/it]


Etichetta Corretta: Boris_Johnson | Predetto:  Boris_Johnson  probabilità 13.323941230773926 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.23s/it]


Etichetta Corretta: Brad_Pitt | Predetto:  Brad_Pitt  probabilità 13.206241607666016 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.39s/it]


Etichetta Corretta: Christian_De_Sica | Predetto:  Christian_De_Sica  probabilità 13.7531156539917 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.17s/it]


Etichetta Corretta: Christopher_Nolan | Predetto:  Christopher_Nolan  probabilità 12.074438095092773 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.21s/it]


Etichetta Corretta: Cristiano_Ronaldo | Predetto:  Cristiano_Ronaldo  probabilità 12.945646286010742 perturbazione applicata 0.0


C&W L_2: 100%|██████████| 1/1 [00:02<00:00,  2.16s/it]


Etichetta Corretta: Diego_Maradona | Predetto:  Diego_Maradona  probabilità 12.622477531433105 perturbazione applicata 0.0


TypeError: 'numpy.float64' object does not support item assignment

In [None]:
print('Matrice Accuracy' + str(learning_rate))
for row_name, row_data in zip(initial_const, accuracy_for_learning_rate_targeted_nn1[0]):
    print(f'        {row_name }   ' + '  '.join(map(str, row_data)))


print('Matrice Perturbation' + str(learning_rate))
for row_name, row_data in zip(initial_const, perturbation_for_learning_rate_targeted):
    print(f'        {row_name}         ' + '  '.join(map(str, row_data)))


print('Matrice Misclassificazione' + str(learning_rate))
for row_name, row_data in zip(initial_const, accuracy_misclassified_for_learning_rate):
    print(f'        {row_name}         ' + '  '.join(map(str, row_data)))




In [16]:
print(accuracy_for_learning_rate_targeted_nn1[0])

print(accuracy_for_learning_rate_targeted_nn2[0])

print(accuracy_misclassified_for_learning_rate_targeted_nn2[0])

[[0. 0. 0.]
 [0. 0. 0.]]
[[0.  0.  0.9]
 [0.  0.  0.9]]
[[0. 0. 0.]
 [0. 0. 0.]]


In [None]:
# plot accuracy/Attack strength

fig, ax = plt.subplots()
ax.plot(learning_rate, perturbation_for_learning_rate_targeted[0], 'b-', label='Perturbazione')
ax.plot(learning_rate, accuracy_for_learning_rate_targeted[0], 'r-', label='Accuracy')
#ax.plot(np.array(learning_rate), np.array(perturbation_for_learning_rate[1]), 'r-', label='max_iter == 2')
#ax.plot(np.array(learning_rate), np.array(perturbation_for_learning_rate[2]), 'g-.', label='max_iter == 4')

legend = ax.legend(loc='upper center', shadow=True, fontsize='large')
legend.get_frame().set_facecolor('#00FFCC')

plt.ylabel('Perturbation')
plt.xlabel('Learning Rate')



plt.tight_layout()

plt.show()

#### Caricamento di una sola immagine per i test

In [None]:
filename = "test_set_cropped/Brad_Pitt_1_face_0.jpg"
test_img = load_image(filename)

print(test_img.shape)
print(test_img.size)
test_img = test_img.unsqueeze(0)
print(test_img.shape)
print(test_img.size)
test_img = test_img.numpy()
print(test_img.shape)
print(type(test_img))

In [None]:
binary_search_steps = 5
confidence = 0.7
max_iter = 7
learning_rate = 0.001
initial_const = 350

target_class = 100
etichetta_target = LABELS[target_class]
print("ETICHETTA TARGET: ", etichetta_target)

targeted_labels = target_class*np.ones(LABELS.size)
one_hot_targeted_labels = tf.keras.utils.to_categorical(targeted_labels, num_classes = 8631)

attack = CarliniL2Method(classifier=classifier, binary_search_steps=binary_search_steps, confidence=confidence, max_iter=max_iter, learning_rate=learning_rate, initial_const=initial_const, targeted=True)
test_images_adv = attack.generate(test_img, one_hot_targeted_labels)
model_predictions = classifier.predict(test_images_adv)
correct_label = re.sub(r'_\d+_face_0\.jpg$', '', filename)   
perturbation.append(np.mean(np.abs((test_images_adv - test_img))))  
predicted_label = LABELS[np.array(model_predictions[0].argmax())]
print("Etichetta reale:{} || Predetto: {} con probabilità: {} e con perturbazione: {}".format(correct_label,predicted_label,model_predictions[0][model_predictions.argmax()],perturbation[-1]))
                    

In [None]:
# Prepara le immagini per la visualizzazione
# Rimuovi la dimensione batch extra e converti nel formato channels-last

test_images_adv = np.squeeze(test_images_adv, axis=0)
test_images_adv = np.transpose(test_images_adv, (1, 2, 0))

# Converti le immagini in uint8 per la visualizzazione
if test_img.dtype != np.uint8:
    test_img_numpy = (test_img * 255).astype(np.uint8)
    test_img_numpy = np.squeeze(test_img_numpy, axis=0)  # Rimuovi la dimensione batch extra
    test_img_numpy = np.transpose(test_img_numpy, (1, 2, 0))

if test_images_adv.dtype != np.uint8:
    test_images_adv = (test_images_adv * 255).astype(np.uint8)

# Visualizza le immagini affiancate con Matplotlib


In [None]:
fig, (ax1, ax2) = plt.subplots(1, 2, figsize=(10, 5))

# Mostra l'immagine originale
ax1.imshow(test_img_numpy)
ax1.set_title('Original Image')
ax1.axis('off')

# Mostra l'immagine avversaria
ax2.imshow(test_images_adv)
ax2.set_title(f'Adversarial Image\nPredicted: {predicted_label}')
ax2.axis('off')

# Mostra la figura
plt.suptitle("DeepFool Adversarial Images")
plt.show()