如何构建针对结构化数据（如表格）的对抗攻击生成器？

1. 背景：表格结构化数据攻击的挑战

传统的对抗攻击研究主要集中在图像和自然语言处理领域。然而，在金融风控、医疗诊断和商业决策等场景中，表格结构化数据上的AI模型扮演着核心角色。针对这类数据的攻击更具挑战性，因为：

1. 特征约束（Feature Constraints）: 必须保证生成的对抗样本在业务逻辑上是有效的（例如，年龄不能是负数，贷款额度不能超过某个上限）。
2. 离散性（Discreteness）: 表格数据通常包含分类或离散特征，这使得传统的基于梯度的攻击方法难以直接应用。
3. 高维稀疏性： 相较于图像，表格数据的特征维度可能更高，但特征间的关联性较弱。

本文将聚焦于如何使用最常见的投影梯度下降（Projected Gradient Descent, PGD）方法，针对表格中的连续数值特征构建高效且实操性强的攻击生成器，这是模型鲁棒性测试基础设施的关键组成部分。

2. 基础环境与模型准备

我们使用PyTorch构建一个简单的多层感知机（MLP）来模拟一个分类模型，例如用于信用评分的判断。

首先，我们创建环境并生成模拟数据：

import torch
import torch.nn as nn
import numpy as np
from sklearn.model_selection import train_test_split
from sklearn.preprocessing import StandardScaler

# 模拟数据生成：5个特征，1000个样本
np.random.seed(42)
X = np.random.rand(1000, 5) * 10 # 连续特征
# 假设分类基于特征组合，例如：(F1 + F3) > 10
y = ((X[:, 0] + X[:, 2]) > 10).astype(np.float32)

# 数据标准化
scaler = StandardScaler()
X_scaled = scaler.fit_transform(X)

# 转换为Tensor
X_tensor = torch.tensor(X_scaled, dtype=torch.float32)
y_tensor = torch.tensor(y, dtype=torch.float32).unsqueeze(1)

# 划分训练集和测试集
X_train, X_test, y_train, y_test = train_test_split(X_tensor, y_tensor, test_size=0.2)

# 定义模型 (简单的MLP)
class TabularModel(nn.Module):
    def __init__(self, input_dim):
        super(TabularModel, self).__init__()
        self.net = nn.Sequential(
            nn.Linear(input_dim, 64),
            nn.ReLU(),
            nn.Linear(64, 32),
            nn.ReLU(),
            nn.Linear(32, 1),
            nn.Sigmoid()
        )

    def forward(self, x):
        return self.net(x)

# 实例化并训练模型（省略训练代码，假设已训练好）
input_dim = X_train.shape[1]
model = TabularModel(input_dim)
model.eval() # 切换到评估模式

3. 核心技术：针对结构化数据的PGD攻击

PGD攻击是一种迭代优化技术，旨在找到满足$|\mathbf{x}’ – \mathbf{x}|_\infty \le \epsilon$约束，且能最大化模型损失的扰动 $\delta = \mathbf{x}’ – \mathbf{x}$。

在表格数据中，我们通常选择 $L_\infty$ 范数，因为它可以确保每个特征的扰动都被严格限制在一个小范围 $\epsilon$ 内，符合最小可察觉性原则。

PGD攻击的核心步骤：

1. 初始化扰动 $\delta$ (随机噪声或零)。
2. 迭代 $K$ 步：
   a. 计算当前扰动下样本的损失梯度 $\nabla_{\mathbf{x}} J(\mathbf{x} + \delta, y)$。
   b. 沿着梯度方向更新 $\delta$：$\delta \leftarrow \delta + \alpha \cdot \text{sign}(\nabla_{\mathbf{x}} J)$，其中 $\alpha$ 是步长。
   c. 投影（Projection）： 将 $\delta$ 裁剪到 $[-\epsilon, \epsilon]$ 范围内，以满足 $L_\infty$ 约束。

4. 实操代码：PGD攻击生成器实现

我们将实现一个通用的PGD函数，用于生成对抗样本。注意，这里的攻击是在标准化后的特征空间中进行的。

def pgd_attack_tabular(model, X, y, criterion, eps, alpha, steps):
    """针对表格数据的PGD对抗攻击生成器。"""
    # 1. 初始化，复制数据并启用梯度计算
    X_adv = X.clone().detach()
    X_adv.requires_grad = True

    # 2. 随机初始化扰动 (符合L_inf约束)
    initial_perturbation = torch.empty_like(X_adv).uniform_(-eps, eps)
    X_adv = X_adv + initial_perturbation
    # 裁剪到原始数据边界（虽然我们在标准化空间，但这有助于确保起始点合理）
    X_adv = torch.clamp(X_adv, X.min(), X.max())

    # 3. 迭代优化
    for _ in range(steps):
        # 清零梯度
        if X_adv.grad is not None:
            X_adv.grad.zero_()

        # 前向传播
        output = model(X_adv)
        loss = criterion(output, y)

        # 反向传播，计算梯度
        loss.backward()

        # 4. 梯度更新 (使用符号函数)
        grad_sign = X_adv.grad.sign()
        X_adv = X_adv.detach() + alpha * grad_sign

        # 5. 投影/裁剪 (核心步骤)
        # 计算相对于原始样本的扰动
        perturbation = X_adv - X.detach()
        # 裁剪扰动到L_inf约束 [-eps, eps]
        perturbation = torch.clamp(perturbation, -eps, eps)
        # 应用新的投影后的扰动
        X_adv = X.detach() + perturbation

        # 6. 确保对抗样本仍在原始数据范围附近 (可选，但推荐用于数值稳定性)
        X_adv = torch.clamp(X_adv, X.min(), X.max())

    return X_adv

# --- 攻击参数设置 ---
epsilon = 0.1     # L_inf 约束，在标准化空间中最大扰动幅度
step_size = 0.01  # PGD 步长
iterations = 40   # 迭代次数
criterion = nn.BCELoss() # 二分类交叉熵

# 选择一个批次进行攻击测试
X_sample = X_test[:10]
y_sample = y_test[:10]

# 运行攻击生成器
X_adv_sample = pgd_attack_tabular(model, X_sample, y_sample, criterion, epsilon, step_size, iterations)

# 验证原始预测与对抗预测
original_preds = (model(X_sample) > 0.5).float()
adv_preds = (model(X_adv_sample) > 0.5).float()

print(f"原始样本预测结果:\n{original_preds.squeeze().tolist()}")
print(f"对抗样本预测结果:\n{adv_preds.squeeze().tolist()}")

# 计算攻击成功率 (判断是否至少有一个样本被翻转)
flip_count = torch.sum(original_preds != adv_preds).item()
print(f"成功翻转的样本数: {flip_count}/{len(X_sample)}")

# 打印一个对抗样本的扰动大小 (标准化空间)
perturbation_example = X_adv_sample[0] - X_sample[0]
print(f"第一个样本的L_inf扰动: {torch.max(torch.abs(perturbation_example)).item():.4f}")

5. 结果验证与部署考量

运行上述代码后，如果模型易受攻击，您会观察到对抗样本的预测结果与原始样本的预测结果存在显著差异，且扰动大小 ($|\delta|_\infty$) 严格控制在 $\epsilon$ 范围内 (例如 0.1)。

部署考量：

1. 集成到 MLOps 管道： 这个生成器可以作为模型鲁棒性评估服务的一部分，定期测试生产环境中的模型，确保其在面对微小数据篡改时仍能保持高性能。
2. 离散特征处理： 对于包含离散/分类特征的表格，PGD等连续梯度方法需要结合松弛技术（如Gumbel-Softmax）或使用基于分片搜索的黑盒攻击方法。
3. 反标准化验证： 在实际部署中，生成的对抗样本 $\mathbf{x}’$ 需要通过逆标准化 (scaler.inverse_transform) 转换回原始特征空间，以验证扰动的业务合理性。