# Состязательные аттаки 

Давайте представим, что мы сидим в беспилотном автомобиле, он сам едет в пункт назначения, а мы сидим и смотрим сериальчики. 
И тут, на дороге, там где должна быть разметка появляется нарисованное граффити (да не на стене, а на дороге!). 
И если у беспилотника система управления не очень умная, то он попытается изменить полосу, чтобы объехать препятствие на дороге или вообще остановится и ничего хорошего из этого не выйдет.

Но почему это так? 
Ответ заключается в том, что нейронная сеть, работающая внутри беспилотника, только что подверглась "враждебной/состязательной атаке". 

Враждебные атаки - это изображения, в которых пиксели намеренно искажены, чтобы сбить с толку и обмануть модель, но в то же время для человеческого глаза изображение может остаться таким же, как до атаки. 

Такие враждебные изображения заставляют глубокие нейронные сети делать неверные прогнозы. За счёт незаметных искажений, модель может сойти с ума. Враждебные атаки добавляют шумы в исходное изображение, тем самым сбивая с толку модель. 
При этом человек может и не заметить, что что-то изменилось в изображении, так как враждебное изображение меняет очень незначительно, всего лишь изменения пикселей на пару значений, а модели уже поплохело. 

## Что такое враждебные атаки? 

В 2014 году была опубликована статья, которая описывала "интересное" применение глубоких нейронных сетей. В этой статье описывается способ так исказить входное изображение, чтобы нейронная сеть неправильно его классифицировала. Такой тип возмущения называется атакой противника. 

Класическим примером состязательной (враждебной) атаки является пример на картинке ниже с пандой. 

<p align="center">
    <img src="https://929687.smushcdn.com/2633864/wp-content/uploads/2020/10/basic_image_adversaries_header.png?size=630x405&lossy=1&strip=1&webp=1" alt="drawing" width="500"/>
</p>

Слева у нас есть исходное входное изображение, которое нейронная сеть верно классифицирует как "панда" с уверенностью 57,7 %. 

Посередине мы видим матрицу шума, для человека она может показаться просто матрицей со случайными значениями. Однако она далеко не рандомная 😈 Пиксели в матрице шума "равны знаку элементов градиента функции потерь по отношению к входному изображению" (оригинал смотри в статье, ссылка на неё в разделе "Полезные ссылки"). 

Затем мы добавляем эту шумовую матрицу к нашему исходному изображению и получаем результат справа. Внешне, картинка как будто совсем не изменилась, но нейронная сеть теперь говорит, что на ней изображена не панда, а гиббон (это такая маленькая обезьянка) с уверенностью в 99,7%!

Жутковато, не так ли? 


На самом деле, состязательное машинное обучение - это далеко не самая новая область. В 2006 году была опубликована статья "Может ли машинное обучение быть безопасным?", в том же году было доказано, что такие модели как SVM (Support Vector Machine) и RF (Random Forest) подвержены враждебным атакам. С ростом популярности глубоких нейронных сетей, начиная с 2012 года, появилась надежда, что более сильные и хитрые модели будут меньше подвержены атакам, но не тут то было. Сетки всё ещё подвержены атакам. 



## Почему атаки - это проблема? 

Картинку с пандой мы уже обсудили. Давайте посмотрим на ещё один пример, где ошибка модели может принести ощутимые проблемы. 

<p align="center">
    <img src="https://929687.smushcdn.com/2633864/wp-content/uploads/2020/10/basic_image_adversaries_problems.png?size=630x245&lossy=1&strip=1&webp=1" alt="drawing" width="800"/>
</p>

Неприятно было бы столкнуться с такой работой модели в беспилотнике, не правда ли? 

Много кто может воспользоваться атаками, чтобы усложнить жизнь другим людям, начиная от людей, который хотят просто "пошалить" и завалить вашу почку спамом и заканчивая группой людей, которые на самом деле хотят навредить жизнями других людей. Пределы атак ограничены только вашим воображением и знаниями о модели, которую вы хотите атаковать. 


Но есть хорошая новость. От атак можно защищаться, возможно не полностью, но уменьшить их влияние на конечный результат - реально. 

In [None]:
import torch 

## Полезные ссылки 

* [Adversarial images and attacks with Keras and TensorFlow](https://pyimagesearch.com/2020/10/19/adversarial-images-and-attacks-with-keras-and-tensorflow/)
* [Статья - Explaining and Harnessing Adversarial Examples](https://arxiv.org/pdf/1412.6572.pdf)