关注公众号,发现CV技术之美

 1 引言

由中科院,腾讯AI实验室以及香港中文大学联合出品的硬核对抗训练的新作LAS-AT发表于CVPR2022。对抗训练被认为是抵御对抗攻击最有效的防御方法,它通常会被描述为求解一个极小极大问题,其性能取决于内部优化生成对抗样本的质量。

目前在对抗训练中主流采用的攻击算法是PGD攻击,该算法需要人为手动指定攻击参数,有研究表明在对抗训练的不同阶段中固定的攻击策略会对提高模型鲁棒性带来限制。

在该论文中,作者通过引入“可学习的攻击策略”(LAS-AT)的概念,并提出了一种新的对抗训练框架,该算法框架利用强化学习机制自动生成攻击策略,从而进一步提高模型的鲁棒性。

论文:https://arxiv.org/abs/2203.06616

代码:https://github.com/jiaxiaojunQAQ/LAS-AT

 2 方法概述

如下图所示为该论文的方法示意图,可以发现论文中的模型由一个目标网络和一个策略网络所组成。论文作者使用对抗样本去训练目标网络进而提高它的鲁棒性,同时策略网络生成攻击策略去生成对抗样本,由此可见这两个网络是具有竞争关系的。

目标网络:目标网络是一个用于图像分类的卷积神经网络,可以表示为,其中表示的是估计标签,是一张输入图像,是神经网络的参数。

策略网络:策略网络生成对抗攻击的策略进而去控制对抗样本的生成,其中输入的是一个样本,输出的是一个策略。由于策略网络的参数是逐步被更新的,在不同的训练阶段中,根据目标网络的鲁棒性的情况,给定相同的样本作为输入也会给出不同的策略。令表示的是一种策略,其中每个元素表示的是一个攻击参数。

表示的是策略值空间,参数有个选项,并且被编码成one-hot向量。在不同的攻击参数下每个参数选项的意义是不同的。比如对于PGD攻击来说,它有三个攻击参数,即攻击步长的大小,攻击迭代数,以及最大的攻击扰动强度。

每一个参数有个可选值,比如攻击步长的取值范围为,攻击迭代数的取值范围为。对于这些攻击参数的可选值的一个组合可以看作是一个策略。策略网络可以获得给定输入和参数的条件概率分布,其中是输入图片,是策略网络的参数。

对抗样本生成器:给定一个干净的样本,对抗样本的生成过程可以被定义为

其中表示的是一个干净的样本,表示的是其对应的对抗样本,是一个攻击策略,表示的是目标网络的参数,表示的是PGD攻击。

 3 对抗训练公式化表述

标准对抗训练有固定的攻击策略,可以表示为

其中,并且表示的是人为设定的攻击策略。是训练集,表示的是交叉熵损失函数,其用于衡量对抗样本的预测标签与真实标签之间的距离。在该论文中,作者代替使用人为设定的样本不可知攻击策略,而是使用一个策略网络去自动生成基于策略的样本。在论文中对抗训练的策略可以公式化表示为

与标准的对抗训练相比,最与众不同的地方在于对抗样本的生成方式。标准对抗训练采用的是人为设定的样本不可知的策略去求解内部优化问题。然而论文中的作者是使用策略网络根据条件概率分布去产生一个样本依赖策略,即作者提出的策略是可以学习的,其对抗样本的生成包含策略网络参数,这会导致损失函数是两个网络参数的函数。

由该论文提出的对抗训练的公式可知,目标网络和策略网络是有一种相互竞争的关系,即最小化和最大化相同的损失函数。目标网络学习调整参数去抵御对抗攻击策略生成的对抗样本,而策略网络根据给定的攻击目标网络的样本去提高攻击策略。

在一开始的训练阶段,目标网络是非常脆弱的,一个弱的攻击就可以使它分类出错,此时,策略网络可以很容易的生成有效的攻击策略,并且策略是多种多样的,因为弱的攻击策略和强的攻击策略都可以成功攻击目标网络。

随着训练过程的进行,目标网络变得越来越鲁棒,策略网络不得不去学习生成更强对抗样本的攻击策略。因此,这种博弈机制可以随着策略网络的生成策略的提高逐步促进目标网络的对抗鲁棒性。

 4 损失函数项

4.1 评估鲁棒性损失

为了引导策略网络的学习,作者提出了一种新的度量方式去评估对抗攻击,主要使用的是目标网络单步更新的鲁棒性。具体地,一个攻击策略首先被用作去创造一个对抗样本,并且该对抗样本通过一阶梯度下降法去单步调整目标网络的参数。

如果更新后的目标网络能够正确预测由其它攻击策略生成的对抗样本的标签,则此时可以说该攻击策略是有效的。比如说对于PGD攻击,最大对抗扰动强度为8,迭代步数为10,步长为2。评估鲁棒性的损失函数可以表述为

402 Payment Required

其中是更新目标网络的参数,是步长。令,是由攻击策略生成的对抗样本,其主要用于评估带有参数的目标网络的鲁棒性。被用作去评估攻击策略,需要注意的是不是要被优化的参数,由上公式可知,的值越大,意味着更新后目标模型更鲁棒。

4.1 预测干净样本损失

一个好的攻击策略应该不仅可以提高目标模型的鲁棒性也能够保持预测干净样本的准确率。在该论文中作者也考虑了单步更新目标模型在预测干净样本的性能,评估攻击策略的损失函数可以被定义为

其中是的函数,的数值越大,意味着更新后的目标模型在分类干净样本中有一个更低的损失值。结合以上两个损失函数项,该论文方法的对抗训练总损失函数可以表述为

402 Payment Required

其中和表示为和的权衡系数。

 5 优化过程

作者提出一个算法交替优化这两个网络的损失函数。给定参数,优化目标网络的子问题可以表述为

402 Payment Required

给定一个干净的样本,策略网络生成一个策略分布,从该条件分布中随机采样出一个策略,并用该策略去生成对抗样本。利用以下梯度下降法去更新目标模型的参数

402 Payment Required

其中表示的是在一个批次中的样本数量,表示的是学习率。给定,优化策略网络的参数的子问题可以描述为其中在这个优化问题中,最大的挑战在于对抗样本生成的过程是不可微的,即梯度信息不能通过对抗样本被反向传播到攻击策略的调整中。

另外,还有其它很多不可微的操作,如关系到对抗攻击中迭代次数的选择等,它们很难将梯度信息反向传播到策略网络中。在该论文中作者利用强学学习算法去解决以上不可微的问题,则可以计算目标函数关于参数的导数为

其中,从策略的条件分布中采样攻击策略生成对抗样本,关于参数的近似梯度可以表示为则策略梯度的参数可以通过梯度上升法被更新为

其中是学习率,和被交替更新,其中更新一次,更新次。

 6 收敛性分析

假定目标函数满足关于和的梯度Lipshitz条件,并且在参数空间中是-强凹的。如果是在约束下球的近似解,随机梯度的方差被约束在内,则的学习率可以表示为其中是的Lipschitz常数,并且满足如下公式

402 Payment Required

其中表示的是最大对抗训练的轮数,并且有。由上定理可知,内部最大化的过程可以获得对抗样本的近似。该论文提出的方法LAS-AT可以以学习率收敛到一个稳定点。

另外,如果是足够小的,论文中的方法可以找到一个理想带有参数的鲁棒性模型,并且有一个好的对抗样本的近似。

 7 实验结果 

如下两表所示,分别为不同对抗训练的方法在数据集CIFAR10和CIFAR100的鲁棒性的对比结果。可以直观的发现,在大多数攻击场景下,论文中三种方法对抗训练出的模型的性能都优于其它方法对抗训练出的模型,而且在很多情况下,论文中的方法不仅提高了基础模型的鲁棒性,而且提高了干净样本分类的精度。

作者将论文中方法与其他超参数搜索方法进行了比较,包括经典的超参数搜索方法(随机搜索)和两种自动超参数搜索方法。从下图可以看出,论文中方法实现了在所有攻击场景下对抗训练出的模型都达到了最佳的鲁棒性性能。

为了研究LAS-AT的工作原理,作者分析了策略网络在不同训练阶段的攻击策略分布。最大扰动强度的范围设定为3到15,如下图所示为对抗训练期间最大扰动强度的分布演变情况。

在对抗训练开始时,分布覆盖了最大扰动强度的所有可选值。每个值都有选择的机会,这确保了对抗样本的多样性。随着对抗训练的进行,小扰动强度的百分比降低。在后期,最大扰动强度的分布被几个大值占据。

这一现象表明,策略网络逐渐增加大扰动强度的百分比,以生成更强的对抗扰动,进而目标网络的鲁棒性通过使用强对抗样本进行训练而逐渐增强。

END

欢迎加入「对抗攻击交流群

CVPR 2022 中科院、腾讯提出LAS-AT,利用“可学习攻击策略”进行“对抗训练”相关推荐

  1. CVPR 2022 Oral 腾讯优图厦门大学提出无需训练的ViT结构搜索算法

    CVPR 2022 Oral  腾讯优图&厦门大学 提出无需训练的ViT结构搜索算法 Training-free Transformer Architecture Search 论文:http ...

  2. CVPR 2022 | 阿里达摩院提出ABPN:高清人像美肤模型

    点击下方卡片,关注"CVer"公众号 AI/CV重磅干货,第一时间送达 点击进入->CV微信技术交流群 一.论文&代码 论文: https://openaccess. ...

  3. CVPR 2022 | 中科院自动化所新作速览!(上)

    CASIA 解锁更多智能之美 导读 | CVPR是计算机视觉的世界三大顶会之一,2022年将在美国新奥尔良召开.本届会议自动化所共有35篇论文录用,我们将通过上下两期推文对相关研究进行简要介绍(排名不 ...

  4. CVPR 2022 | 北大腾讯开源:文字Logo生成模型!脑洞大开堪比设计师

    点击下方卡片,关注"CVer"公众号 AI/CV重磅干货,第一时间送达 转载自:机器之心 下图的每对 logo 中,一个是设计师设计的 logo,另一个是 AI 模型生成的,顺序不 ...

  5. CVPR 2022 | 腾讯AI Lab入选论文解读,关注图像理解、生成、建模及可信AI

    感谢阅读腾讯AI Lab微信号第147篇文章.本文介绍腾讯 AI Lab 被 CVPR 2022 收录的研究成果. CVPR(Conference on Computer Vision and Pat ...

  6. 面向手绘图形,涵盖多个主题,CVPR 2022 SketchDL Workshop开始征稿!

    关注公众号,发现CV技术之美 CVPR 2022 第二届面向手绘图形的深度学习研讨会. CVPR 2022, The 2nd Workshop on Sketch-Oriented Deep Lear ...

  7. CVPR 2022 ActivityNet竞赛冠军:中科院深圳先进院提出高低分双模态行为识别框架...

    来源:新智元 本文约2400字,建议阅读10+分钟本文为CVPR 2022 ActivityNet竞赛冠军的方案详解,该方案主要解决真实监控场景下的低分辨率行为识别. 前言 安防监控是智慧城市的重要组 ...

  8. CVPR 2022|处理速度仅用0.2秒!港科大腾讯AI lab开源基于GAN反演的高保真图像编辑算法...

    作者丨Tengfei Wang 来源丨港科大.腾讯 AI Lab 编辑丨极市平台 论文:https://arxiv.org/abs/2109.06590 代码:https://github.com/T ...

  9. CVPR 2022 | 阿里华科提出:针对场景文本检测的视觉语言模型预训练

    点击下方卡片,关注"CVer"公众号 AI/CV重磅干货,第一时间送达 点击进入-> CV 微信技术交流群 转载自:CSIG文档图像分析与识别专委会 本文简要介绍了发表于CV ...

最新文章

  1. 服务体系总出bug,咸鱼社交挤压,转转的综合性二手电商还好做吗?
  2. Transformer模型总结
  3. ftp服务器如何复制文件路径,ftp服务器上复制文件路径
  4. Python基础之:Python中的IO
  5. SAP Marketing 和SAP marketing Cloud的区别
  6. ABAP Development Tools的语法高亮实现原理
  7. c#时分秒毫秒微妙_你真的清楚DateTime in C#吗?
  8. web.xml中/和/*的区别
  9. 帆软填报Execl表格不定行导入
  10. hihocoder-Week195-奖券兑换
  11. SHA256算法可逆吗,SHA256算法流程步骤
  12. Elasticsearch 的内存优化
  13. 用来处理gwdac网站爬取的实验数据的python代码
  14. 【时间之外】区块链和BT的技术是孪生的吗?
  15. IDEA debug热部署配置
  16. S32K144(2)时钟配置
  17. Android 文件存储系统
  18. Ubuntu 18.04 从零开始安装显卡驱动、配置MMDetection3D环境
  19. 周边美食api 周边美食餐厅检索
  20. 机器学习-算法-有监督学习:EM(最大期望值算法)<=> MLE(最大似然估计法)【关系类似“梯度下降法”<=>“直接求导法”】【EM“梯度下降”:先初始化一个随机值,然后通过迭代不断靠近真实值】

热门文章

  1. TensorFlow第三步 :单层网络-Mnist手写数字识别
  2. Delphi 7下IGDIPlus库的使用
  3. VC2008 Windows Media Player控件的使用技巧
  4. oracle新增表单,Oracle Retail(Retek)中Form生成列表方法总结
  5. 链表中环的入口结点 python_【Github 5K星】BAT头条滴滴小米等笔试面经+深度学习/算法/NLP资源汇总!...
  6. python 参数_Python命令行参数(七)
  7. selenium+linux+python,Linux下Python+selenium自动化环境搭建
  8. c语言模拟实现库函数strcat,【C语言】模拟实现库函数strcat函数
  9. c语言编写考试程序,c语言考试编写三个程序:1.从键盘输入一些字符,逐个把它们送到磁? 爱问知识人...
  10. matlab中函数绝对值图像,ex的图像(绝对值的函数图像口诀)