# 使用fuzz testing模块测试模型安全性 [![查看源文件](https://gitee.com/mindspore/docs/raw/r1.5/resource/_static/logo_modelarts.png)](https://authoring-modelarts-cnnorth4.huaweicloud.com/console/lab?share-url-b64=aHR0cHM6Ly9vYnMuZHVhbHN0YWNrLmNuLW5vcnRoLTQubXlodWF3ZWljbG91ZC5jb20vbWluZHNwb3JlLXdlYnNpdGUvbm90ZWJvb2svbWFzdGVyL25vdGVib29rL21pbmRzcG9yZV90ZXN0X21vZGVsX3NlY3VyaXR5X2Z1enppbmcuaXB5bmI=&imageid=65f636a0-56cf-49df-b941-7d2a07ba8c8c)        [![查看源文件](https://gitee.com/mindspore/docs/raw/r1.5/resource/_static/logo_source.png)](https://gitee.com/mindspore/docs/blob/r1.5/docs/mindarmour/docs/source_zh_cn/test_model_security_fuzzing.md) ## 概述 传统软件的决策逻辑由代码逻辑决定,传统软件通过代码行覆盖率来判断当前测试是否充分,理想情况下覆盖率越高,代码测试越充分。然而,对于深度神经网络而言,程序的决策逻辑由训练数据、网络模型结构和参数通过某种黑盒机制决定,代码行覆盖率已不足以评估测试的充分性。需要根据深度网络的特点选择更为适合的测试评价准则,指导神经网络进行更为充分的测试,发现更多的边缘错误用例,从而确保模型的通用性、鲁棒性。 MindArmour的fuzz_testing模块以神经元覆盖率作为测试评价准则。神经元覆盖率,是指通过一组输入观察到的、激活的神经元数量和神经元输出值的范围。我们通过神经元覆盖率来指导输入变异,让输入能够激活更多的神经元,神经元值的分布范围更广,从而探索不同类型的模型输出结果、错误行为。 这里以LeNet模型,MNIST数据集为例,说明如何使用Fuzzer。 > 本例面向CPU、GPU、Ascend 910 AI处理器,目前仅支持GRAPH_MODE。你可以在这里下载完整的样例代码: ## 实现阶段 ### 导入需要的库文件 下列是我们需要的公共模块、MindSpore相关模块和fuzz_testing特性模块,以及配置日志标签和日志等级。 这里用的覆盖率指标是k分神经元覆盖率`KMultisectionNeuronCoverage`也可以选择支持的其他覆盖率指标:`NeuronCoverage`,`TopKNeuronCoverage`,`NeuronBoundsCoverage`,`SuperNeuronActivateCoverage`。 ```python import numpy as np from mindspore import Model from mindspore import context from mindspore import load_checkpoint, load_param_into_net from mindarmour.fuzz_testing import Fuzzer from mindarmour.fuzz_testing import KMultisectionNeuronCoverage from mindarmour.utils import LogUtil from examples.common.dataset.data_processing import generate_mnist_dataset from examples.common.networks.lenet5.lenet5_net_for_fuzzing import LeNet5 LOGGER = LogUtil.get_instance() TAG = 'Fuzz_testing' LOGGER.set_level('INFO') ``` ### 参数配置 配置必要的信息,包括环境信息、执行的模式。 ```python context.set_context(mode=context.GRAPH_MODE, device_target="Ascend") ``` 详细的接口配置信息,请参见`context.set_context`接口说明。 ### 运用Fuzz Testing 1. 建立LeNet模型,加载MNIST数据集,操作同[模型安全](https://www.mindspore.cn/mindarmour/docs/zh-CN/r1.5/improve_model_security_nad.html) ```python ... # Lenet model model = Model(net) # get training data mnist_path = "../common/dataset/MNIST/" batch_size = 32 ds = generate_mnist_dataset(os.path.join(mnist_path, "train"), batch_size, sparse=False) train_images = [] for data in ds.create_tuple_iterator(): images = data[0].asnumpy().astype(np.float32) train_images.append(images) train_images = np.concatenate(train_images, axis=0) # get test data batch_size = 32 ds = generate_mnist_dataset(os.path.join(mnist_path, "test"), batch_size, sparse=False) test_images = [] test_labels = [] for data in ds.create_tuple_iterator(): images = data[0].asnumpy().astype(np.float32) labels = data[1].asnumpy() test_images.append(images) test_labels.append(labels) test_images = np.concatenate(test_images, axis=0) test_labels = np.concatenate(test_labels, axis=0) ``` 2. Fuzzer参数配置。 设置数据变异方法及参数。支持同时配置多种方法,目前支持的数据变异方法包含三类: - 图像仿射变换方法:Translate、Scale、Shear、Rotate。 - 基于图像像素值变化的方法: Contrast、Brightness、Blur、Noise。 - 基于对抗攻击的白盒、黑盒对抗样本生成方法:FGSM、PGD、MDIIM。 数据变异方法中一定要包含基于图像像素值变化的方法。 前两种类型的图像变化方法,支持用户自定义配置参数,也支持算法随机选择参数。用户自定义参数配置范围请参考: 中对应的类方法。算法随机选择参数,则`params`设置为`'auto_param': [True]`,参数将在推荐范围内随机生成。 基于对抗攻击方法的参数配置请参考对应的攻击方法类。 下面是变异方法及其参数配置的一个例子: ```python mutate_config = [{'method': 'Blur', 'params': {'radius': [0.1, 0.2, 0.3], 'auto_param': [True, False]}}, {'method': 'Contrast', 'params': {'auto_param': [True]}}, {'method': 'Translate', 'params': {'auto_param': [True]}}, {'method': 'Brightness', 'params': {'auto_param': [True]}}, {'method': 'Noise', 'params': {'auto_param': [True]}}, {'method': 'Scale', 'params': {'auto_param': [True]}}, {'method': 'Shear', 'params': {'auto_param': [True]}}, {'method': 'FGSM', 'params': {'eps': [0.3, 0.2, 0.4], 'alpha': [0.1]}} ] ``` 初始化种子队列,种子队列中的每个种子,包含2个值:原始图片、图片标签。这里取100个样本作为初始种子队列。 ```python # make initial seeds initial_seeds = [] for img, label in zip(test_images, test_labels): initial_seeds.append([img, label]) initial_seeds = initial_seeds[:100] ``` 4. 实例化k分神经元覆盖率指标类,并计算Fuzz测试前的k分神经元覆盖率。 ```python coverage = KMultisectionNeuronCoverage(model, train_images, segmented_num=100, incremental=True) kmnc = coverage.get_metrics(test_images[:100]) print('KMNC of initial seeds is: ', kmnc) ``` 结果: ```text KMNC of initial seeds is: 0.3152149321266968 ``` 4. Fuzz测试。 ```python model_fuzz_test = Fuzzer(model) fuzz_samples, true_labels, fuzz_preds, fuzz_strategies, metrics_report = model_fuzz_test.fuzzing(mutate_config, initial_seeds, coverage, evaluate=True, max_iters=10,mutate_num_per_seed=20) ``` 5. 实验结果。 fuzzing的返回结果中包含了5个数据:fuzz生成的样本fuzz_samples、生成样本的真实标签true_labels、被测模型对于生成样本的预测值fuzz_preds、 生成样本使用的变异方法fuzz_strategies、fuzz testing的评估报告metrics_report。用户可使用这些返回结果进一步的分析模型的鲁棒性。这里只展开metrics_report,查看fuzz testing后的各个评估指标。 ```python if metrics: for key in metrics: LOGGER.info(TAG, key + ': %s', metrics[key]) ``` Fuzz测试后结果如下: ```text Accuracy: 0.445 Attack_success_rate: 0.375 coverage_metrics: 0.43835972850678734 ``` Fuzz测试前种子的KMNC神经元覆盖率为31.5%,Fuzz后,KMNC神经元覆盖率为43.8%,神经元覆盖率提升,样本的多样性提升。Fuzz后,模型对于Fuzz生成样本的准确率为44.5%,使用了对抗攻击方法的样本,攻击成功率为37.5%。由于初始化种子、变异方法和相应的参数均为随机选择的,结果有一定的浮动是正常的。 原始图片: ![fuzz_seed](./images/fuzz_seed.png) Fuzz生成的变异图片: ![fuzz_res](./images/fuzz_res.png)