In [None]:
!pip install facenet-pytorch
!pip install Pillow
!pip install -q tensorflow==2.0.0
!pip install adversarial-robustness-toolbox[all]
!pip install matplotlib

In [None]:
# LIBRERIE UTILI
import warnings
warnings.filterwarnings('ignore')

import tensorflow as tf
tf.compat.v1.disable_eager_execution()

import numpy as np
from matplotlib import pyplot as plt
import art

if tf.__version__[0] != '2':
    raise ImportError('This notebook requires TensorFlow v2.')

print("GPU Available: ", tf.test.is_gpu_available())

In [None]:
from facenet_pytorch import InceptionResnetV1
from PIL import Image
from torchvision import transforms
from torch.nn import CrossEntropyLoss
from art.estimators.classification import PyTorchClassifier
resnet = InceptionResnetV1(pretrained='vggface2').eval()
resnet.classify = True



fpath = tf.keras.utils.get_file('rcmalli_vggface_labels_v2.npy',
                             "https://github.com/rcmalli/keras-vggface/releases/download/v2.0/rcmalli_vggface_labels_v2.npy",
                             cache_subdir="./")
LABELS = np.load(fpath)

def load_image(filename):
    img = Image.open(filename)
    rsz = img.resize((160, 160))
    tns = transforms.ToTensor()(rsz)
    return tns

model = PyTorchClassifier(resnet,input_shape=[224,224], loss=CrossEntropyLoss(),nb_classes=8631) #This class implements a classifier with the PyTorch framework.

# **FSGM ATTACK**

In [None]:
# Import the attack
from art.attacks.evasion import FastGradientMethod
from torch.nn import CrossEntropyLoss
from art.estimators.classification import PyTorchClassifier
from torchvision import transforms
from PIL import Image

def load_image(filename):
    img = Image.open(filename)
    rsz = img.resize((160, 160))
    tns = transforms.ToTensor()(rsz)
    return tns

model = PyTorchClassifier(resnet,input_shape=[224,224], loss=CrossEntropyLoss(),nb_classes=8631) #This class implements a classifier with the PyTorch framework.

test_img = load_image("test_set_cropped/Antonio_Cassano_8_face_0.jpg")

print(test_img.shape)
print(test_img.size)
test_img = test_img.unsqueeze(0)
print(test_img.shape)
print(test_img.size)
test_img = test_img.numpy()
print(test_img.shape)
print(type(test_img))

**NON TARGETED**

In [None]:
#FSGM generic Attack for single sample

epsilon = 0.0005
attack = FastGradientMethod(estimator=model, eps=epsilon, targeted=False)
batch_size = test_img.shape[0]
targeted_labels = np.array([2] * batch_size)   #Al posto di 2 ci va l'indice della label della persona
one_hot_targeted_labels = tf.keras.utils.to_categorical(targeted_labels, num_classes=8631)   #Creazione attacco
test_images_adv = attack.generate(test_img)                                 # Generazione campione avversario
model_predictions = model.predict(test_images_adv)
loss = model.compute_loss(test_images_adv,one_hot_targeted_labels)                          # Predizione
perturbation = np.mean(np.abs((test_images_adv - test_img)))
predicted_label = LABELS[np.array(model_predictions[0].argmax())]
print("{} con probabilità {}".format(predicted_label,model_predictions[0][model_predictions.argmax()]))


In [None]:
import os
import re

dataset_dir = "test_set_cropped"

#FSGM generic Attack for all samples

correct_predictions = 0
total_images = 0
eps_range = [0.001, 0.005, 0.007, 0.01, 0.05, 0.07, 0.1, 0.5, 0.7]
accuracy_plot = []
for epsilon in eps_range:
    correct_predictions = 0
    total_images = 0
    attack = FastGradientMethod(estimator=model, eps=epsilon, targeted=False)

    for filename in os.listdir(dataset_dir):
        if filename.endswith(".jpg") or filename.endswith(".jpeg"):
            person_path = os.path.join(dataset_dir, filename)
            test_img = load_image(person_path)
            test_img = test_img.unsqueeze(0)
            test_img = test_img.numpy()
            test_images_adv = attack.generate(test_img)
            model_predictions = model.predict(test_images_adv)
            correct_label = re.sub(r'_\d+_face_0\.jpg$', '', filename)
            print("Etichetta corretta:", correct_label)   
            perturbation = np.mean(np.abs((test_images_adv - test_img)))
            predicted_label = LABELS[np.array(model_predictions[0].argmax())]
            print("Predetto {} con probabilità {}".format(predicted_label,model_predictions[0][model_predictions.argmax()]))
            total_images+=1
            
            predicted_label = str(predicted_label)

            if correct_label in predicted_label:
                correct_predictions+=1

            accuracy = correct_predictions/total_images
            print("Accuracy sugli adversarial Sample: {}%".format((100-(accuracy*100))))
        

    if total_images != 0:
        final_accuracy = correct_predictions/total_images
        accuracy_plot.append(final_accuracy)
        print("----------- Accuracy FINALE sugli adversarial Sample: {}\% ----------------".format(final_accuracy))

In [None]:
from matplotlib import pyplot as plt

fig, ax = plt.subplots()
ax.plot(np.array(eps_range), np.array(accuracy_plot), 'b--', label='NN1')

legend = ax.legend(loc='upper center', shadow=True, fontsize='large')
legend.get_frame().set_facecolor('#00FFCC')

plt.xlabel('Attack strength (eps)')
plt.ylabel('Accuracy')
plt.show()

NOTA: da inserire --> FSGM specific Attack for all samples

**TARGETED ATTACK**

In [None]:
#FSGM specif Attack for single sample

target_class = 555
epsilon = 10000
attack = FastGradientMethod(estimator=model, eps=epsilon, targeted=True)

# Trasformazione etichetta categorica
targeted_labels = target_class*np.ones(LABELS.size)
one_hot_targeted_labels = tf.keras.utils.to_categorical(targeted_labels, num_classes = 8631)
test_images_adv = attack.generate(test_img, one_hot_targeted_labels)

#loss_test, accuracy_test = model.evaluate(test_images_adv, test_labels)
#print('Accuracy on adversarial test data: {:4.2f}%'.format(accuracy_test * 100))
model_predictions = model.predict(test_images_adv)
perturbation = np.mean(np.abs((test_images_adv - test_img)))
print('Average perturbation: {:4.2f}'.format(perturbation))
#targeted_attack_loss, targeted_attack_accuracy = model.evaluate(test_images_adv, targeted_labels)
#print('Targeted attack accuracy: {:4.2f}'.format(targeted_attack_accuracy))
print("Etichetta target:{}".format(LABELS[target_class]))
print(model_predictions)
predicted_label = LABELS[np.array(model_predictions.argmax())]
print("{} con probabilità {}".format(predicted_label,model_predictions[0][model_predictions.argmax()]))


# **PGD ATTACK**

https://adversarial-robustness-toolbox.readthedocs.io/en/latest/modules/attacks/evasion.html#fast-gradient-method-fgm

In [None]:
# Import attack
from torch.nn import CrossEntropyLoss
from art.attacks.evasion import ProjectedGradientDescentPyTorch
from art.estimators.classification import PyTorchClassifier

#Impostare l'input shape
classifier = PyTorchClassifier(resnet,input_shape=[224,224], loss=CrossEntropyLoss(),nb_classes=8631) #This class implements a classifier with the PyTorch framework.


**NON-TARGETED ATTACK**

In [None]:
epsilon = 0.1
eps_step = 0.1
max_iter = 1 

attack = ProjectedGradientDescentPyTorch(estimator=classifier, eps = epsilon, eps_step=eps_step, targeted=False, max_iter = max_iter)

In [None]:
# PGD generic Attack for single sample

test_images_adv = attack.generate(test_img)  # Utilizzare generate per generare i campion
model_predictions = classifier.predict(test_images_adv) # Classifier
predicted_label = LABELS[np.array(model_predictions.argmax())] 
print("{} con probabilità {}".format(predicted_label,model_predictions[0][model_predictions.argmax()]))

IDEA: Bloccare solo la massima epsilon e far variare solo le max_iter e gli eps_step.

In [None]:
# PGD generic Attack for all samples
import os
import re

dataset_dir = "test_set_cropped_piccolo/" 
#eps_step = [0.0002, 0.0002, 0.0002, 0.001, 0.002, 0.002, 0.01, 0.02, 0.05] #La dimensione del passo della variazione dell'input a ogni iterazione. Questo parametro definisce quanto grande sarà ogni passo nella direzione del gradiente. #La dimensione del passo della variazione dell'input per il calcolo della perturbazione minima. Questo parametro è utilizzato quando minimal è impostato su True.
eps_step = [0.0002,0.002]
max_iter = [1,2,5,7]  # Il numero massimo di iterazioni. Questo parametro determina quante volte l'attacco iterativo sarà eseguito.
#eps_range = [0.001, 0.005, 0.007, 0.01, 0.05, 0.07, 0.1, 0.5, 0.7] #Questo valore determina l'ampiezza massima della perturbazione aggiunta agli input originali. Può essere un valore singolo (int o float) o un array numpy (ndarray).
eps_range = 0.7

accuracy_for_eps = []
accuracy_for_max_iter = []
perturbation_for_eps = []
perturbation_for_max_iter = []
correct_predictions = 0
total_images = 0
print("Inizio Attacco PGD NON-TARGETED")
for i in range(len(max_iter)):
        print("**** Attacco con max_iter {} **** ".format(max_iter[i]))
        for step in eps_step:   #Se qualcosa funziona strano controllare questo zip
            correct_predictions = 0
            total_images = 0
            perturbation = []
            
            attack = ProjectedGradientDescentPyTorch(estimator=classifier, eps = eps_range, eps_step=step, targeted=False, max_iter = max_iter[i])
            
            print("**** Attacco con eps:{} con step a {} ****".format(eps_range,step))
            for filename in os.listdir(dataset_dir):
                if filename.endswith(".jpg") or filename.endswith(".jpeg"):
                    person_path = os.path.join(dataset_dir, filename)
                    test_img = load_image(person_path)
                    test_img = test_img.unsqueeze(0)
                    test_img = test_img.numpy()
                    test_images_adv = attack.generate(test_img)
                    model_predictions = model.predict(test_images_adv)
                    correct_label = re.sub(r'_\d+_face_0\.jpg$', '', filename)
                    print("Etichetta corretta:", correct_label)   
                    perturbation.append(np.mean(np.abs((test_images_adv - test_img))))  #Salvo le perturbazioni applicate su ogni immagine
                    predicted_label = LABELS[np.array(model_predictions[0].argmax())]
                    print("Predetto {} con probabilità {} e con perturbazione {}".format(predicted_label,model_predictions[0][model_predictions.argmax()],perturbation[-1]))
                    total_images+=1
                    
                    predicted_label = str(predicted_label)

                    if correct_label in predicted_label:
                        correct_predictions+=1

                    accuracy = correct_predictions/total_images
                    print("Adversarial Sample misclassificati correttamente attuale: {}%".format((100-(accuracy*100))))
            

            if total_images != 0:    #Per ogni epsilon impostata salvo in accuracy plot
                if len(perturbation) == total_images:
                    perturbazione_media = sum(perturbation)/total_images    #Calcolo la media delle perturbazioni applicate su tutte le immagini per una determinata epsilon
                    perturbation_for_eps.append(perturbazione_media)
                    print("----------- Perturbazione media aggiunta a tutte le immagini per eps_Step: {} equivale a {}% ----------------".format(step,perturbazione_media))

                final_accuracy = correct_predictions/total_images
                accuracy_for_eps.append(final_accuracy)
                print("----------- Accuracy sugli adversarial Sample per eps_step: {} equivale a {}% ----------------".format(step,final_accuracy))

            #Per ogni epsilon impostata salvo in accuracy plot
        if True:#len(perturbation_for_eps) == len(eps_range):
            perturbazione_media_per_max_iter = sum(perturbation_for_eps)/len(eps_step) # Calcolo la perturbazione media dopo aver provato tutte le epsilon,quindi la media delle perturbazioni per eps_range
            perturbation_for_max_iter.append(perturbazione_media_per_max_iter)
            print("----------- Perturbazione media con iterazione {} sugli adversarial Sample: {}\% ----------------".format(max_iter[i],perturbation_for_max_iter[i]))
            perturbation_for_eps = []
        if True:#len(accuracy_for_eps) == len(eps_range):
            accuracy_media_per_max_iter = sum(accuracy_for_eps)/len(eps_step) # Calcolo l'accuracy media dopo aver provato tutte le epsilon,quindi la media dell'accuracy per ogni eps_range
            accuracy_for_max_iter.append(accuracy_media_per_max_iter)
            print("----------- Accuracy media con iterazione {} sugli adversarial Sample: {}\% ----------------".format(max_iter[i],accuracy_for_max_iter[i]))
            accuracy_for_eps = []
        print("--------------------------------------------------------------------------------------------------------------------------------------------------------------------")

# correct_predictions = 0
# total_images = 0
# for filename in os.listdir(dataset_dir):
#     if filename.endswith(".jpg") or filename.endswith(".jpeg"):
#         person_path = os.path.join(dataset_dir, filename)
#         print("Immagine:", filename)
#         test_img = load_image(person_path)
#         test_img = test_img.unsqueeze(0)
#         test_img = test_img.numpy()
#         test_images_adv = attack.generate(test_img)
#         model_predictions = model.predict(test_images_adv)
#         correct_label = re.sub(r'_\d+_face_0\.jpg$', '', filename)
#         print("Etichetta corretta:", correct_label)   
#         perturbation = np.mean(np.abs((test_images_adv - test_img)))
#         predicted_label = LABELS[np.array(model_predictions[0].argmax())]
#         print("Predetto {} con probabilità {}".format(predicted_label,model_predictions[0][model_predictions.argmax()]))
#         total_images+=1

#         if predicted_label == correct_label:
#             correct_predictions+=1

#         accuracy = correct_predictions/total_images
#         print("Accuracy sugli adversarial Sample: {}%".format((100-(accuracy*100))))
        

# if total_images != 0:
#     final_accuracy = correct_predictions/total_images
#     print("----------- Accuracy FINALE sugli adversarial Sample: {}\% ----------------".format(final_accuracy))

**TARGETED ATTACK**

In [35]:
epsilon = 1
eps_step = 0.1
max_iter = 1 

attack = ProjectedGradientDescentPyTorch(estimator=classifier, eps = epsilon, eps_step= eps_step, targeted=True, max_iter = max_iter)

In [None]:
#PGD specific Attack for single sample

target_class = 10 

batch_size = test_img.shape[0]
targeted_labels = np.array([target_class] * batch_size)
one_hot_targeted_labels = tf.keras.utils.to_categorical(targeted_labels, num_classes=8631)

print(one_hot_targeted_labels.shape)
test_images_adv = attack.generate(test_img, one_hot_targeted_labels)


model_predictions = model.predict(test_images_adv)
perturbation = np.mean(np.abs((test_images_adv - test_img)))
print('Average perturbation: {:4.2f}'.format(perturbation))
#targeted_attack_loss, targeted_attack_accuracy = model.evaluate(test_images_adv, targeted_labels)
#print('Targeted attack accuracy: {:4.2f}'.format(targeted_attack_accuracy))
print("Etichetta target:{}".format(LABELS[target_class]))
print(model_predictions)
predicted_label = LABELS[np.array(model_predictions.argmax())]
print("{} con probabilità {}".format(predicted_label,model_predictions[0][model_predictions.argmax()]))

In [36]:
#PGD specific Attack for all samples
import os
import re

dataset_dir = "test_set_cropped_piccolo/" 
#eps_step = [0.0002, 0.0002, 0.0002, 0.001, 0.002, 0.002, 0.01, 0.02, 0.05] #La dimensione del passo della variazione dell'input a ogni iterazione. Questo parametro definisce quanto grande sarà ogni passo nella direzione del gradiente. #La dimensione del passo della variazione dell'input per il calcolo della perturbazione minima. Questo parametro è utilizzato quando minimal è impostato su True.
eps_step = [0.0002,0.002]
max_iter = [1,2,5,7]  # Il numero massimo di iterazioni. Questo parametro determina quante volte l'attacco iterativo sarà eseguito.
#eps_range = [0.001, 0.005, 0.007, 0.01, 0.05, 0.07, 0.1, 0.5, 0.7] #Questo valore determina l'ampiezza massima della perturbazione aggiunta agli input originali. Può essere un valore singolo (int o float) o un array numpy (ndarray).
eps_range = 0.7

accuracy_misclassified_for_eps = []
accuracy_misclassified_for_max_iter = []
accuracy_for_eps = []
accuracy_for_max_iter = []
perturbation_for_eps = []
perturbation_for_max_iter = []
correct_misclassified = 0
total_images = 0

target_class = 10
etichetta_target = LABELS[0]
print("ETICHETTA TARGET: ", LABELS[10])
batch_size = test_img.shape[0]
targeted_labels = np.array([target_class] * batch_size)
one_hot_targeted_labels = tf.keras.utils.to_categorical(targeted_labels, num_classes=8631)

print("Inizio Attacco PGD NON-TARGETED")
for i in range(len(max_iter)):
        print("**** Attacco con max_iter {} **** ".format(max_iter[i]))
        for step in eps_step:   #Se qualcosa funziona strano controllare questo zip
            correct_predictions = 0
            total_images = 0
            perturbation = []
            
            attack = ProjectedGradientDescentPyTorch(estimator=classifier, eps = eps_range, eps_step=step, targeted=True, max_iter = max_iter[i])
            
            print("**** Attacco con eps:{} con step a {} ****".format(eps_range,step))
            for filename in os.listdir(dataset_dir):
                if filename.endswith(".jpg") or filename.endswith(".jpeg"):
                    person_path = os.path.join(dataset_dir, filename)
                    test_img = load_image(person_path)
                    test_img = test_img.unsqueeze(0)
                    test_img = test_img.numpy()
                    test_images_adv = attack.generate(test_img, one_hot_targeted_labels)
                    model_predictions = model.predict(test_images_adv)
                    correct_label = re.sub(r'_\d+_face_0\.jpg$', '', filename)
                    print("Etichetta corretta:", correct_label)   
                    perturbation.append(np.mean(np.abs((test_images_adv - test_img))))  #Salvo le perturbazioni applicate su ogni immagine
                    predicted_label = LABELS[np.array(model_predictions[0].argmax())]
                    print("Predetto {} con probabilità {} e con perturbazione {}".format(predicted_label,model_predictions[0][model_predictions.argmax()],perturbation[-1]))
                    total_images+=1
                    
                    predicted_label = str(predicted_label)

                    if correct_label in predicted_label:
                        correct_predictions+=1
                        
                    if etichetta_target in predicted_label:  
                        correct_misclassified = correct_misclassified+1   #Se il modello predice l'etichetta target allora è correttamente misclassificato

                    accuracy_misclassified = correct_misclassified/total_images
                    print("Adversarial Sample misclassificati correttamente attualmente: {}%".format((accuracy_misclassified)))
                    print("Accuracy attuale: {}%".format((correct_predictions/total_images)*100))
            

            if total_images != 0:    #Per ogni epsilon impostata salvo in accuracy plot
                if len(perturbation) == total_images:
                    perturbazione_media = sum(perturbation)/total_images    #Calcolo la media delle perturbazioni applicate su tutte le immagini per una determinata epsilon
                    perturbation_for_eps.append(perturbazione_media)
                    print("----------- Perturbazione media aggiunta a tutte le immagini per eps_Step: {} equivale a {}% ----------------".format(step,perturbazione_media))

                final_accuracy = correct_predictions/total_images
                accuracy_for_eps.append(final_accuracy)
                print("----------- Accuracy sugli adversarial Sample per eps_step: {} equivale a {}% ----------------".format(step,final_accuracy))
                
                accuracy_misclassified = correct_misclassified/total_images
                accuracy_misclassified_for_eps.append(accuracy_misclassified)
                print("----------- Adversarial Sample misclassificati correttamente: {}% -----------".format((accuracy_misclassified)))

            #Per ogni epsilon impostata salvo in accuracy plot
        if True:#len(perturbation_for_eps) == len(eps_range):
            perturbazione_media_per_max_iter = sum(perturbation_for_eps)/len(eps_step) # Calcolo la perturbazione media dopo aver provato tutte le epsilon,quindi la media delle perturbazioni per eps_range
            perturbation_for_max_iter.append(perturbazione_media_per_max_iter)
            print("----------- Perturbazione media con iterazione {} sugli adversarial Sample: {}\% ----------------".format(max_iter[i],perturbation_for_max_iter[i]))
            perturbation_for_eps = []
        if True:#len(accuracy_for_eps) == len(eps_range):
            accuracy_media_per_max_iter = sum(accuracy_for_eps)/len(eps_step) # Calcolo l'accuracy media dopo aver provato tutte le epsilon,quindi la media dell'accuracy per ogni eps_range
            accuracy_for_max_iter.append(accuracy_media_per_max_iter)
            print("----------- Accuracy media con iterazione {} sugli adversarial Sample: {}\% ----------------".format(max_iter[i],accuracy_for_max_iter[i]))
            accuracy_for_eps = []

        if True:
            accuracy__misclassified_media_per_max_iter = sum(accuracy_misclassified_for_eps)/len(eps_step) # Calcolo l'accuracy media dopo aver provato tutte le epsilon,quindi la media dell'accuracy per ogni eps_range
            accuracy_misclassified_for_max_iter.append(accuracy__misclassified_media_per_max_iter)
            print("----------- Accuracy MISCLASSIFIED media con iterazione {} sugli adversarial Sample: {}\% ----------------".format(max_iter[i],accuracy_misclassified_for_max_iter[i]))
            accuracy_misclassified_for_eps = []


        print("--------------------------------------------------------------------------------------------------------------------------------------------------------------------")


# correct_predictions = 0
# total_images = 0
# target_class = 10
# print("ETICHETTA TARGET: ", LABELS[10])
# batch_size = test_img.shape[0]
# targeted_labels = np.array([target_class] * batch_size)
# one_hot_targeted_labels = tf.keras.utils.to_categorical(targeted_labels, num_classes=8631)

# for filename in os.listdir(dataset_dir):
#     if filename.endswith(".jpg") or filename.endswith(".jpeg"):
#         person_path = os.path.join(dataset_dir, filename)
#         print("Immagine:", filename)
#         test_img = load_image(person_path)
#         test_img = test_img.unsqueeze(0)
#         test_img = test_img.numpy()
#         test_images_adv = attack.generate(test_img, one_hot_targeted_labels)
#         model_predictions = model.predict(test_images_adv)
#         correct_label = re.sub(r'_\d+_face_0\.jpg$', '', filename)
#         print("Etichetta corretta:", correct_label)   
#         perturbation = np.mean(np.abs((test_images_adv - test_img)))
#         predicted_label = LABELS[np.array(model_predictions[0].argmax())]
#         print("Predetto {} con probabilità {}".format(predicted_label,model_predictions[0][model_predictions.argmax()]))
#         total_images+=1

#         if predicted_label == correct_label:
#             correct_predictions+=1

#         accuracy = correct_predictions/total_images
#         print("Accuracy sugli adversarial Sample: {}%".format((100-(accuracy*100))))
        

# if total_images != 0:
#     final_accuracy = correct_predictions/total_images
#     print("----------- Accuracy FINALE sugli adversarial Sample: {}\% ----------------".format(final_accuracy))

ETICHETTA TARGET:   Aaron_Hernandez
Inizio Attacco PGD NON-TARGETED
**** Attacco con max_iter 1 **** 
**** Attacco con eps:0.7 con step a 0.0002 ****


                                                            

Etichetta corretta: Andrea_Pirlo
Predetto  Andrea_Pirlo con probabilità 12.624496459960938 e con perturbazione 0.00019256384985055774
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 100.0%


                                                            

Etichetta corretta: Antonio_Cassano
Predetto  Branch_Warren con probabilità 10.477907180786133 e con perturbazione 0.00019255444931332022
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 50.0%


                                                            

Etichetta corretta: Ariana_Grande
Predetto  Ariana_Grande con probabilità 11.011987686157227 e con perturbazione 0.0001925574179040268
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 66.66666666666666%


                                                            

Etichetta corretta: Ashley_Scott
Predetto  Ashley_Scott con probabilità 13.64526081085205 e con perturbazione 0.00019255466759204865
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 75.0%


                                                            

Etichetta corretta: Boris_Johnson
Predetto  Boris_Johnson con probabilità 13.201183319091797 e con perturbazione 0.00019255338702350855
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 80.0%


                                                            

Etichetta corretta: Brad_Pitt
Predetto  Brad_Pitt con probabilità 13.073992729187012 e con perturbazione 0.00019256114319432527
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 83.33333333333334%


                                                            

Etichetta corretta: Christian_De_Sica
Predetto  Christian_De_Sica con probabilità 13.62385082244873 e con perturbazione 0.00019256342784501612
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 85.71428571428571%


                                                            

Etichetta corretta: Christopher_Nolan
Predetto  Christopher_Nolan con probabilità 11.956990242004395 e con perturbazione 0.00019256648374721408
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 87.5%


                                                            

Etichetta corretta: Cristiano_Ronaldo
Predetto  Cristiano_Ronaldo con probabilità 12.877860069274902 e con perturbazione 0.0001925573596963659
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 88.88888888888889%
----------- Perturbazione media aggiunta a tutte le immagini per eps_Step: 0.0002 equivale a 0.00019255913179626482% ----------------
----------- Accuracy sugli adversarial Sample per eps_step: 0.0002 equivale a 0.8888888888888888% ----------------
----------- Adversarial Sample misclassificati correttamente: 0.0% -----------
**** Attacco con eps:0.7 con step a 0.002 ****


                                                            

Etichetta corretta: Andrea_Pirlo
Predetto  Andrea_Pirlo con probabilità 11.713798522949219 e con perturbazione 0.001925696968100965
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 100.0%


                                                            

Etichetta corretta: Antonio_Cassano
Predetto  Branch_Warren con probabilità 10.133880615234375 e con perturbazione 0.0019256871892139316
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 50.0%


                                                            

Etichetta corretta: Ariana_Grande
Predetto  Qin_Lan con probabilità 9.557074546813965 e con perturbazione 0.0019256907980889082
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 33.33333333333333%


                                                            

Etichetta corretta: Ashley_Scott
Predetto  Ashley_Scott con probabilità 11.546121597290039 e con perturbazione 0.001925688236951828
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 50.0%


                                                            

Etichetta corretta: Boris_Johnson
Predetto  Boris_Johnson con probabilità 12.12099838256836 e con perturbazione 0.001925686956383288
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 60.0%


                                                            

Etichetta corretta: Brad_Pitt
Predetto  Brad_Pitt con probabilità 11.947136878967285 e con perturbazione 0.0019256945233792067
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 66.66666666666666%


                                                            

Etichetta corretta: Christian_De_Sica
Predetto  Christian_De_Sica con probabilità 12.394708633422852 e con perturbazione 0.0019256965024396777
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 71.42857142857143%


                                                            

Etichetta corretta: Christopher_Nolan
Predetto  Christopher_Nolan con probabilità 10.674184799194336 e con perturbazione 0.0019256992964074016
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 75.0%


                                                            

Etichetta corretta: Cristiano_Ronaldo
Predetto  Cristiano_Ronaldo con probabilità 12.105785369873047 e con perturbazione 0.0019256905652582645
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 77.77777777777779%
----------- Perturbazione media aggiunta a tutte le immagini per eps_Step: 0.002 equivale a 0.0019256923373581634% ----------------
----------- Accuracy sugli adversarial Sample per eps_step: 0.002 equivale a 0.7777777777777778% ----------------
----------- Adversarial Sample misclassificati correttamente: 0.0% -----------
----------- Perturbazione media con iterazione 1 sugli adversarial Sample: 0.0010591257345772141\% ----------------
----------- Accuracy media con iterazione 1 sugli adversarial Sample: 0.8333333333333333\% ----------------
----------- Accuracy MISCLASSIFIED media con iterazione 1 sugli adversarial Sample: 0.0\% ----------------
-------------------------------------------------------------------------------------------------

                                                            

Etichetta corretta: Andrea_Pirlo
Predetto  Andrea_Pirlo con probabilità 12.525548934936523 e con perturbazione 0.00036978963180445135
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 100.0%


                                                            

Etichetta corretta: Antonio_Cassano
Predetto  Branch_Warren con probabilità 10.447824478149414 e con perturbazione 0.0003685738774947822
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 50.0%


                                                            

Etichetta corretta: Ariana_Grande
Predetto  Ariana_Grande con probabilità 10.844030380249023 e con perturbazione 0.00036221527261659503
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 66.66666666666666%


                                                            

Etichetta corretta: Ashley_Scott
Predetto  Ashley_Scott con probabilità 13.392444610595703 e con perturbazione 0.00036759517388418317
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 75.0%


                                                            

Etichetta corretta: Boris_Johnson
Predetto  Boris_Johnson con probabilità 13.074150085449219 e con perturbazione 0.0003673844039440155
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 80.0%


                                                            

Etichetta corretta: Brad_Pitt
Predetto  Brad_Pitt con probabilità 12.94344711303711 e con perturbazione 0.0003668366698548198
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 83.33333333333334%


                                                            

Etichetta corretta: Christian_De_Sica
Predetto  Christian_De_Sica con probabilità 13.494535446166992 e con perturbazione 0.00036704412195831537
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 85.71428571428571%


                                                            

Etichetta corretta: Christopher_Nolan
Predetto  Christopher_Nolan con probabilità 11.828234672546387 e con perturbazione 0.0003649822610896081
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 87.5%


                                                            

Etichetta corretta: Cristiano_Ronaldo
Predetto  Cristiano_Ronaldo con probabilità 12.80964469909668 e con perturbazione 0.0003681209054775536
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 88.88888888888889%
----------- Perturbazione media aggiunta a tutte le immagini per eps_Step: 0.0002 equivale a 0.0003669491464582582% ----------------
----------- Accuracy sugli adversarial Sample per eps_step: 0.0002 equivale a 0.8888888888888888% ----------------
----------- Adversarial Sample misclassificati correttamente: 0.0% -----------
**** Attacco con eps:0.7 con step a 0.002 ****


                                                            

Etichetta corretta: Andrea_Pirlo
Predetto  Andrea_Pirlo con probabilità 10.86684513092041 e con perturbazione 0.0033454580698162317
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 100.0%


                                                            

Etichetta corretta: Antonio_Cassano
Predetto  Branch_Warren con probabilità 9.641264915466309 e con perturbazione 0.0032446086406707764
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 50.0%


                                                            

Etichetta corretta: Ariana_Grande
Predetto  Mai_Phương_Thúy con probabilità 8.751479148864746 e con perturbazione 0.002959980396553874
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 33.33333333333333%


                                                            

Etichetta corretta: Ashley_Scott
Predetto  Ashley_Scott con probabilità 9.610486030578613 e con perturbazione 0.00310289254412055
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 50.0%


                                                            

Etichetta corretta: Boris_Johnson
Predetto  Boris_Johnson con probabilità 10.887496948242188 e con perturbazione 0.003230649745091796
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 60.0%


                                                            

Etichetta corretta: Brad_Pitt
Predetto  Brad_Pitt con probabilità 10.772238731384277 e con perturbazione 0.0032018085476011038
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 66.66666666666666%


                                                            

Etichetta corretta: Christian_De_Sica
Predetto  Christian_De_Sica con probabilità 10.907533645629883 e con perturbazione 0.0032041037920862436
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 71.42857142857143%


                                                            

Etichetta corretta: Christopher_Nolan
Predetto  Don_Mattingly con probabilità 9.52874755859375 e con perturbazione 0.003085931297391653
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 62.5%


                                                            

Etichetta corretta: Cristiano_Ronaldo
Predetto  Cristiano_Ronaldo con probabilità 11.130279541015625 e con perturbazione 0.0032271139789372683
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 66.66666666666666%
----------- Perturbazione media aggiunta a tutte le immagini per eps_Step: 0.002 equivale a 0.0031780607791410554% ----------------
----------- Accuracy sugli adversarial Sample per eps_step: 0.002 equivale a 0.6666666666666666% ----------------
----------- Adversarial Sample misclassificati correttamente: 0.0% -----------
----------- Perturbazione media con iterazione 2 sugli adversarial Sample: 0.0017725049627996569\% ----------------
----------- Accuracy media con iterazione 2 sugli adversarial Sample: 0.7777777777777777\% ----------------
----------- Accuracy MISCLASSIFIED media con iterazione 2 sugli adversarial Sample: 0.0\% ----------------
-------------------------------------------------------------------------------------------------

                                                            

Etichetta corretta: Andrea_Pirlo
Predetto  Andrea_Pirlo con probabilità 12.233460426330566 e con perturbazione 0.0009002640726976097
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 100.0%


                                                            

Etichetta corretta: Antonio_Cassano
Predetto  Branch_Warren con probabilità 10.365880966186523 e con perturbazione 0.0008897681254893541
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 50.0%


                                                            

Etichetta corretta: Ariana_Grande
Predetto  Ariana_Grande con probabilità 10.22774887084961 e con perturbazione 0.0008581688744015992
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 66.66666666666666%


                                                            

Etichetta corretta: Ashley_Scott
Predetto  Ashley_Scott con probabilità 12.663758277893066 e con perturbazione 0.0008847329881973565
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 75.0%


                                                            

Etichetta corretta: Boris_Johnson
Predetto  Boris_Johnson con probabilità 12.699227333068848 e con perturbazione 0.0008925177389755845
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 80.0%


                                                            

Etichetta corretta: Brad_Pitt
Predetto  Brad_Pitt con probabilità 12.558758735656738 e con perturbazione 0.0008884602575562894
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 83.33333333333334%


                                                            

Etichetta corretta: Christian_De_Sica
Predetto  Christian_De_Sica con probabilità 13.075329780578613 e con perturbazione 0.0008859499357640743
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 85.71428571428571%


                                                            

Etichetta corretta: Christopher_Nolan
Predetto  Christopher_Nolan con probabilità 11.419236183166504 e con perturbazione 0.0008808440761640668
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 87.5%


                                                            

Etichetta corretta: Cristiano_Ronaldo
Predetto  Cristiano_Ronaldo con probabilità 12.576398849487305 e con perturbazione 0.0008884893613867462
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 88.88888888888889%
----------- Perturbazione media aggiunta a tutte le immagini per eps_Step: 0.0002 equivale a 0.0008854661589591868% ----------------
----------- Accuracy sugli adversarial Sample per eps_step: 0.0002 equivale a 0.8888888888888888% ----------------
----------- Adversarial Sample misclassificati correttamente: 0.0% -----------
**** Attacco con eps:0.7 con step a 0.002 ****


                                                            

Etichetta corretta: Andrea_Pirlo
Predetto  Andrea_Pirlo con probabilità 9.385053634643555 e con perturbazione 0.0072548468597233295
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 100.0%


                                                            

Etichetta corretta: Antonio_Cassano
Predetto  J._J._Watt con probabilità 9.374737739562988 e con perturbazione 0.006906532216817141
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 50.0%


                                                            

Etichetta corretta: Ariana_Grande
Predetto  Park_Ji-yeon con probabilità 8.610766410827637 e con perturbazione 0.0063079530373215675
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 33.33333333333333%


                                                            

Etichetta corretta: Ashley_Scott
Predetto  Gloria_Hunniford con probabilità 9.213035583496094 e con perturbazione 0.006548205390572548
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 25.0%


                                                            

Etichetta corretta: Boris_Johnson
Predetto  Vladimir_Petković con probabilità 9.043011665344238 e con perturbazione 0.00677533308044076
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 20.0%


                                                            

Etichetta corretta: Brad_Pitt
Predetto  Brad_Pitt con probabilità 8.547547340393066 e con perturbazione 0.006757651921361685
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 33.33333333333333%


                                                            

Etichetta corretta: Christian_De_Sica
Predetto  Christian_De_Sica con probabilità 8.696069717407227 e con perturbazione 0.0065552121959626675
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 42.857142857142854%


                                                            

Etichetta corretta: Christopher_Nolan
Predetto  Don_Mattingly con probabilità 8.938997268676758 e con perturbazione 0.006556002888828516
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 37.5%


                                                            

Etichetta corretta: Cristiano_Ronaldo
Predetto  Aaron_Hernandez con probabilità 12.940411567687988 e con perturbazione 0.006814409047365189
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 33.33333333333333%
----------- Perturbazione media aggiunta a tutte le immagini per eps_Step: 0.002 equivale a 0.006719571848710378% ----------------
----------- Accuracy sugli adversarial Sample per eps_step: 0.002 equivale a 0.3333333333333333% ----------------
----------- Adversarial Sample misclassificati correttamente: 0.0% -----------
----------- Perturbazione media con iterazione 5 sugli adversarial Sample: 0.003802519003834782\% ----------------
----------- Accuracy media con iterazione 5 sugli adversarial Sample: 0.611111111111111\% ----------------
----------- Accuracy MISCLASSIFIED media con iterazione 5 sugli adversarial Sample: 0.0\% ----------------
-------------------------------------------------------------------------------------------------------

                                                            

Etichetta corretta: Andrea_Pirlo
Predetto  Andrea_Pirlo con probabilità 12.041487693786621 e con perturbazione 0.0012414194643497467
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 100.0%


                                                            

Etichetta corretta: Antonio_Cassano
Predetto  Branch_Warren con probabilità 10.299530029296875 e con perturbazione 0.0012227041879668832
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 50.0%


                                                            

Etichetta corretta: Ariana_Grande
Predetto  Ariana_Grande con probabilità 9.798932075500488 e con perturbazione 0.0011665180791169405
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 66.66666666666666%


                                                            

Etichetta corretta: Ashley_Scott
Predetto  Ashley_Scott con probabilità 12.219887733459473 e con perturbazione 0.001209998270496726
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 75.0%


                                                            

Etichetta corretta: Boris_Johnson
Predetto  Boris_Johnson con probabilità 12.43992805480957 e con perturbazione 0.0012263270327821374
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 80.0%


                                                            

Etichetta corretta: Brad_Pitt
Predetto  Brad_Pitt con probabilità 12.325526237487793 e con perturbazione 0.0012184862280264497
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 83.33333333333334%


                                                            

Etichetta corretta: Christian_De_Sica
Predetto  Christian_De_Sica con probabilità 12.776395797729492 e con perturbazione 0.0012154795695096254
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 85.71428571428571%


                                                            

Etichetta corretta: Christopher_Nolan
Predetto  Christopher_Nolan con probabilità 11.142376899719238 e con perturbazione 0.001206394867040217
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 87.5%


                                                            

Etichetta corretta: Cristiano_Ronaldo
Predetto  Cristiano_Ronaldo con probabilità 12.406646728515625 e con perturbazione 0.0012219460913911462
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 88.88888888888889%
----------- Perturbazione media aggiunta a tutte le immagini per eps_Step: 0.0002 equivale a 0.0012143637545199858% ----------------
----------- Accuracy sugli adversarial Sample per eps_step: 0.0002 equivale a 0.8888888888888888% ----------------
----------- Adversarial Sample misclassificati correttamente: 0.0% -----------
**** Attacco con eps:0.7 con step a 0.002 ****


                                                            

Etichetta corretta: Andrea_Pirlo
Predetto  Andrea_Pirlo con probabilità 8.55380630493164 e con perturbazione 0.009248747490346432
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 100.0%


                                                            

Etichetta corretta: Antonio_Cassano
Predetto  Aaron_Hernandez con probabilità 9.24515151977539 e con perturbazione 0.00870292354375124
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 50.0%


                                                            

Etichetta corretta: Ariana_Grande
Predetto  Aaron_Hernandez con probabilità 8.852758407592773 e con perturbazione 0.008067630231380463
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 33.33333333333333%


                                                            

Etichetta corretta: Ashley_Scott
Predetto  Aaron_Hernandez con probabilità 9.67587947845459 e con perturbazione 0.008425431326031685
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 25.0%


                                                            

Etichetta corretta: Boris_Johnson
Predetto  Vladimir_Petković con probabilità 8.49439525604248 e con perturbazione 0.008581671863794327
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 20.0%


                                                            

Etichetta corretta: Brad_Pitt
Predetto  Sergio_Goyri con probabilità 8.982304573059082 e con perturbazione 0.008608371019363403
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 16.666666666666664%


                                                            

Etichetta corretta: Christian_De_Sica
Predetto  Aaron_Hernandez con probabilità 10.330480575561523 e con perturbazione 0.008369944989681244
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 14.285714285714285%


                                                            

Etichetta corretta: Christopher_Nolan
Predetto  Aaron_Hernandez con probabilità 12.09616470336914 e con perturbazione 0.008310322649776936
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 12.5%


                                                            

Etichetta corretta: Cristiano_Ronaldo
Predetto  Aaron_Hernandez con probabilità 15.280435562133789 e con perturbazione 0.008631637319922447
Adversarial Sample misclassificati correttamente attualmente: 0.0%
Accuracy attuale: 11.11111111111111%
----------- Perturbazione media aggiunta a tutte le immagini per eps_Step: 0.002 equivale a 0.008549631159338687% ----------------
----------- Accuracy sugli adversarial Sample per eps_step: 0.002 equivale a 0.1111111111111111% ----------------
----------- Adversarial Sample misclassificati correttamente: 0.0% -----------
----------- Perturbazione media con iterazione 7 sugli adversarial Sample: 0.004881997456929336\% ----------------
----------- Accuracy media con iterazione 7 sugli adversarial Sample: 0.5\% ----------------
----------- Accuracy MISCLASSIFIED media con iterazione 7 sugli adversarial Sample: 0.0\% ----------------
---------------------------------------------------------------------------------------------------------------------



#  **CARLINI WAGNER **ATTACK****

In [None]:
# Import all L-distance based attacks
from art.attacks.evasion import CarliniL2Method, CarliniL0Method, CarliniLInfMethod

Il metodo Carlini and Wagner L_0 Attack è un attacco iterativo che mira a trovare un esempio avversario minimizzando il numero di caratteristiche modificate (norma L_0). Ecco una spiegazione dettagliata del metodo e dei suoi parametri:

Metodo Carlini and Wagner L_0 Attack
Parametri del Metodo __init__
classifier (CLASSIFIER_CLASS_LOSS_GRADIENTS_TYPE):

Un classificatore addestrato che implementa i metodi per calcolare le perdite e i gradienti delle perdite rispetto agli input.
confidence (float = 0.0):

La fiducia degli esempi avversari: un valore più alto produce esempi che sono più lontani dall'input originale ma classificati con maggiore fiducia come la classe target. Questo parametro bilancia la necessità di modificare l'input originale con la certezza che l'output sia nella classe avversaria desiderata.
targeted (bool = False):

Indica se l'attacco è mirato a una specifica classe (True) o meno (False). In un attacco mirato, l'obiettivo è far classificare l'input avversario come una classe specifica scelta dall'attaccante. In un attacco non mirato, l'obiettivo è semplicemente far classificare l'input in una classe diversa da quella corretta.
learning_rate (float = 0.01):

Il tasso di apprendimento iniziale per l'algoritmo di attacco. Valori più piccoli producono risultati migliori ma convergono più lentamente.
binary_search_steps (int = 10):

Numero di volte in cui regolare la costante con la ricerca binaria (valore positivo). Se binary_search_steps è grande, l'algoritmo non è molto sensibile al valore di initial_const. Questo parametro controlla quante volte la costante di trade-off viene aggiustata per trovare il miglior equilibrio tra la distanza e la fiducia.
max_iter (int = 10):

Il numero massimo di iterazioni per l'attacco.
initial_const (float = 0.01):

La costante di trade-off iniziale c per regolare l'importanza relativa tra la distanza e la fiducia. Se binary_search_steps è grande, il valore iniziale di questa costante non è critico.
mask (ndarray | None = None):

Le caratteristiche iniziali che possono essere modificate dall'algoritmo. Se non specificato, l'algoritmo utilizza l'intero set di caratteristiche. Questo parametro può essere utilizzato per limitare l'attacco a modificare solo determinate parti dell'input.
warm_start (bool = True):

Invece di iniziare la discesa del gradiente in ogni iterazione dall'immagine iniziale, si inizia la discesa del gradiente dalla soluzione trovata nell'iterazione precedente. Questo parametro può accelerare la convergenza.
max_halving (int = 5):

Numero massimo di passi di dimezzamento nella ricerca lineare di ottimizzazione. Questo parametro controlla quante volte la dimensione del passo viene dimezzata durante la ricerca di un passo ottimale.
max_doubling (int = 5):

Numero massimo di passi di raddoppiamento nella ricerca lineare di ottimizzazione. Questo parametro controlla quante volte la dimensione del passo viene raddoppiata durante la ricerca di un passo ottimale.
batch_size (int = 1):

La dimensione del batch su cui vengono generati i campioni avversari. Questo parametro determina quanti campioni vengono processati contemporaneamente durante l'attacco.

verbose (bool = True):
Mostra barre di avanzamento. Se impostato su True, verranno visualizzati i progressi dell'attacco durante l'esecuzione.

**NON-TARGETED ATTACK**

In [None]:
#Numero di volte in cui regolare la costante con la ricerca binaria (valore positivo). Se binary_search_steps è grande, l'algoritmo non è molto sensibile al valore di initial_const. Questo parametro controlla quante volte la costante di trade-off viene aggiustata per trovare il miglior equilibrio tra la distanza e la fiducia.
binary_search_steps = 1
#La fiducia degli esempi avversari: un valore più alto produce esempi che sono più lontani dall'input originale ma classificati con maggiore fiducia come la classe target. Questo parametro bilancia la necessità di modificare l'input originale con la certezza che l'output sia nella classe avversaria desiderata.
confidence = 0.5
warm_start = False #Invece di iniziare la discesa del gradiente in ogni iterazione dall'immagine iniziale, si inizia la discesa del gradiente dalla soluzione trovata nell'iterazione precedente. Questo parametro può accelerare la convergenza.
max_iter = 10
learning_rate = 0.01 #Il tasso di apprendimento iniziale per l'algoritmo di attacco. Valori più piccoli producono risultati migliori ma convergono più lentamente.
initial_const = 1000 #La costante di trade-off iniziale c per regolare l'importanza relativa tra la distanza e la fiducia. Se binary_search_steps è grande, il valore iniziale di questa costante non è critico.

attack = CarliniL2Method(classifier=classifier, binary_search_steps=binary_search_steps, confidence=confidence, max_iter=max_iter, learning_rate=learning_rate, initial_const=initial_const, targeted=False)


In [None]:
# Carlini Wagner generic attack on single sample

test_images_adv = attack.generate(test_img)

#loss_test, accuracy_test = model.evaluate(test_images_adv, test_labels)
model_predictions = model.predict(test_images_adv)
perturbation = np.mean(np.abs((test_images_adv - test_img)))
#print('Accuracy on adversarial test data: {:4.2f}%'.format(accuracy_test * 100))
print('Average perturbation: {:4.2f}'.format(perturbation))
print(LABELS[target_class])
print(model_predictions)
predicted_label = LABELS[np.array(model_predictions.argmax())]
print("{} con probabilità {}".format(predicted_label,model_predictions[0][model_predictions.argmax()]))

DA ADATTARE ANCORA

In [None]:
# Carlini Wagner generic attack on all samples
import os
import re

dataset_dir = "test_set_cropped_piccolo/" 
binary_search_steps = 1
confidence = 0.5
max_iter = 10
learning_rate = 0.01
initial_const = 1000

accuracy_for_eps = []
accuracy_for_max_iter = []
perturbation_for_eps = []
perturbation_for_max_iter = []
correct_predictions = 0
total_images = 0
print("Inizio Attacco PGD NON-TARGETED")
for i in range(len(max_iter)):
        print("**** Attacco con max_iter {} **** ".format(max_iter[i]))
        for step in eps_step:   #Se qualcosa funziona strano controllare questo zip
            correct_predictions = 0
            total_images = 0
            perturbation = []
            
            attack = CarliniL2Method(classifier=classifier, binary_search_steps=binary_search_steps, confidence=confidence, max_iter=max_iter, learning_rate=learning_rate, initial_const=initial_const, targeted=False)
            
            print("**** Attacco con eps:{} con step a {} ****".format(eps_range,step))
            for filename in os.listdir(dataset_dir):
                if filename.endswith(".jpg") or filename.endswith(".jpeg"):
                    person_path = os.path.join(dataset_dir, filename)
                    test_img = load_image(person_path)
                    test_img = test_img.unsqueeze(0)
                    test_img = test_img.numpy()
                    test_images_adv = attack.generate(test_img)
                    model_predictions = model.predict(test_images_adv)
                    correct_label = re.sub(r'_\d+_face_0\.jpg$', '', filename)
                    print("Etichetta corretta:", correct_label)   
                    perturbation.append(np.mean(np.abs((test_images_adv - test_img))))  #Salvo le perturbazioni applicate su ogni immagine
                    predicted_label = LABELS[np.array(model_predictions[0].argmax())]
                    print("Predetto {} con probabilità {} e con perturbazione {}".format(predicted_label,model_predictions[0][model_predictions.argmax()],perturbation[-1]))
                    total_images+=1
                    
                    predicted_label = str(predicted_label)

                    if correct_label in predicted_label:
                        correct_predictions+=1

                    accuracy = correct_predictions/total_images
                    print("Adversarial Sample misclassificati correttamente attuale: {}%".format((100-(accuracy*100))))
            

            if total_images != 0:    #Per ogni epsilon impostata salvo in accuracy plot
                if len(perturbation) == total_images:
                    perturbazione_media = sum(perturbation)/total_images    #Calcolo la media delle perturbazioni applicate su tutte le immagini per una determinata epsilon
                    perturbation_for_eps.append(perturbazione_media)
                    print("----------- Perturbazione media aggiunta a tutte le immagini per eps_Step: {} equivale a {}% ----------------".format(step,perturbazione_media))

                final_accuracy = correct_predictions/total_images
                accuracy_for_eps.append(final_accuracy)
                print("----------- Accuracy sugli adversarial Sample per eps_step: {} equivale a {}% ----------------".format(step,final_accuracy))

            #Per ogni epsilon impostata salvo in accuracy plot
        if True:#len(perturbation_for_eps) == len(eps_range):
            perturbazione_media_per_max_iter = sum(perturbation_for_eps)/len(eps_step) # Calcolo la perturbazione media dopo aver provato tutte le epsilon,quindi la media delle perturbazioni per eps_range
            perturbation_for_max_iter.append(perturbazione_media_per_max_iter)
            print("----------- Perturbazione media con iterazione {} sugli adversarial Sample: {}\% ----------------".format(max_iter[i],perturbation_for_max_iter[i]))
            perturbation_for_eps = []
        if True:#len(accuracy_for_eps) == len(eps_range):
            accuracy_media_per_max_iter = sum(accuracy_for_eps)/len(eps_step) # Calcolo l'accuracy media dopo aver provato tutte le epsilon,quindi la media dell'accuracy per ogni eps_range
            accuracy_for_max_iter.append(accuracy_media_per_max_iter)
            print("----------- Accuracy media con iterazione {} sugli adversarial Sample: {}\% ----------------".format(max_iter[i],accuracy_for_max_iter[i]))
            accuracy_for_eps = []
        print("--------------------------------------------------------------------------------------------------------------------------------------------------------------------")


# correct_predictions = 0
# total_images = 0
# for filename in os.listdir(dataset_dir):
#     if filename.endswith(".jpg") or filename.endswith(".jpeg"):
#         person_path = os.path.join(dataset_dir, filename)
#         print("Immagine:", filename)
#         test_img = load_image(person_path)
#         test_img = test_img.unsqueeze(0)
#         test_img = test_img.numpy()
#         test_images_adv = attack.generate(test_img)
#         model_predictions = model.predict(test_images_adv)
#         correct_label = re.sub(r'_\d+_face_0\.jpg$', '', filename)
#         print("Etichetta corretta:", correct_label)   
#         perturbation = np.mean(np.abs((test_images_adv - test_img)))
#         predicted_label = LABELS[np.array(model_predictions[0].argmax())]
#         print("Predetto {} con probabilità {}".format(predicted_label,model_predictions[0][model_predictions.argmax()]))
#         total_images+=1

#         if predicted_label == correct_label:
#             correct_predictions+=1

#         accuracy = correct_predictions/total_images
#         print("Accuracy sugli adversarial Sample: {}%".format((100-(accuracy*100))))
        

# if total_images != 0:
#     final_accuracy = correct_predictions/total_images
#     print("----------- Accuracy FINALE sugli adversarial Sample: {}\% ----------------".format(final_accuracy))

**TARGETED ATTACK**


In [None]:
binary_search_steps = 1
confidence = 0.5
max_iter = 10
learning_rate = 0.01
initial_const = 1000
target_class = 6

attack = CarliniL2Method(classifier=classifier, binary_search_steps=binary_search_steps, confidence=confidence, max_iter=max_iter, learning_rate=learning_rate, initial_const=initial_const, targeted=True)


In [None]:
# Carlini Wagner specific attack on single sample


# Trasformazione del dato categorico
targeted_labels = target_class*np.ones(LABELS.size)
one_hot_targeted_labels = tf.keras.utils.to_categorical(targeted_labels, num_classes = 8631)
test_images_adv = attack.generate(test_img, one_hot_targeted_labels)

model_predictions = model.predict(test_images_adv)
perturbation = np.mean(np.abs((test_images_adv - test_img)))
print('Average perturbation: {:4.2f}'.format(perturbation))
#targeted_attack_loss, targeted_attack_accuracy = model.evaluate(test_images_adv, targeted_labels)
#print('Targeted attack accuracy: {:4.2f}'.format(targeted_attack_accuracy))
print(LABELS[target_class])
print(model_predictions)
predicted_label = LABELS[np.array(model_predictions.argmax())]
print("{} con probabilità {}".format(predicted_label,model_predictions[0][model_predictions.argmax()]))

In [None]:
# Carlini Wagner specific attack on all samples


correct_predictions = 0
total_images = 0
target_class = 10

targeted_labels = target_class*np.ones(LABELS.size)
one_hot_targeted_labels = tf.keras.utils.to_categorical(targeted_labels, num_classes = 8631)
test_images_adv = attack.generate(test_img, one_hot_targeted_labels)

for filename in os.listdir(dataset_dir):
    if filename.endswith(".jpg") or filename.endswith(".jpeg"):
        person_path = os.path.join(dataset_dir, filename)
        print("Immagine:", filename)
        test_img = load_image(person_path)
        test_img = test_img.unsqueeze(0)
        test_img = test_img.numpy()
        test_images_adv = attack.generate(test_img, one_hot_targeted_labels)
        model_predictions = model.predict(test_images_adv)
        correct_label = re.sub(r'_\d+_face_0\.jpg$', '', filename)
        print("Etichetta corretta:", correct_label)   
        perturbation = np.mean(np.abs((test_images_adv - test_img)))
        print('Average perturbation: {:4.2f}'.format(perturbation))
        predicted_label = LABELS[np.array(model_predictions[0].argmax())]
        print("Predetto {} con probabilità {}".format(predicted_label,model_predictions[0][model_predictions.argmax()]))
        
        total_images+=1

        if predicted_label == correct_label:
            correct_predictions+=1

        accuracy = correct_predictions/total_images
        print("Accuracy sugli adversarial Sample: {}%".format((100-(accuracy*100))))
        

if total_images != 0:
    final_accuracy = correct_predictions/total_images
    print("----------- Accuracy FINALE sugli adversarial Sample: {}\% ----------------".format(final_accuracy))

# CODICE PLOT IMMAGINI

In [None]:
#Show one original example
plt.figure()
plt.matshow(test_images[0])
plt.title("Original Label: {}".format(test_labels[0]))
plt.show()

#Show the corresponding adversarial example
plt.figure()
plt.matshow(test_images_adv[0])
plt.title("Model Prediction: {}".format(np.argmax(model_predictions[0])))
plt.show()