Improving Adversarial Robustness via Channel-Wise Activation Suppressing

文章目录

概
主要内容
代码

Bai Y., Zeng Y., Jiang Y., Xia S., Ma X., Wang Y. Improving adversarial robustness via channel-wise activation suppressing. In International Conference on Learning Representations (ICLR), 2021.

Yan H., Zhang J., Niu G., Feng J., Tan V., Sugiyama M. CIFS: Improving adversarial robustness of CNNs via channel-wise importance-based feature selection. In International Conference on Machine Learning (ICML), 2021.

概

这两篇论文发现natural和adversarial样本在激活层的大小和分布有显著的不同.

主要内容

如上两图所示, 对抗样本的magnitude相较于干净样本要普遍大一些, 重要性的分布相较于干净分布更趋于均匀分布.
所以可以认为, 倘若我们能够恢复正常的大小以及回归正常的重要性指标, 那么就能够提高网络鲁棒性.

注: 上面的重要性分布是这么计算的: 对于固定的类, 计算每个channel对于判别为该类的贡献度是否超越一个阈值, 以统计的综合频率为最后的重要性.

对于每一个block (比如resnet中的block), 在最后的输出部分辅以重加权, 使得重要的激活层能够更加突出.
重加权是通过新的全连接层实现的, 假设特征图大小为
fl∈RH×W×K,f^l \in \mathbb{R}^{H \times W \times K}, fl∈RH×W×K,
其中KKK为channels的数目, 首先通过GAP得到:
f^kl=1H×W∑i∑jfkl(i,j).\hat{f}_k^l = \frac{1}{H \times W} \sum_i \sum_j f_k^l (i, j). f^kl=H×W1i∑j∑fkl(i,j).
再通过全连接层Ml=[M1l,⋯,MCl]∈RK×CM^l = [M_1^l, \cdots, M_C^l] \in \mathbb{R}^{K \times C}Ml=[M1l,⋯,MCl]∈RK×C重加权
f~l={fl⊗Myl,training,fl⊗My^l,test.\tilde{f}^l = \left \{ \begin{array}{ll} f^l \otimes M_y^l, & \text{training}, \\ f^l \otimes M_{\hat{y}}^l, & \text{test}. \end{array} \right . f~l={fl⊗Myl,fl⊗My^l,training,test.
其中训练时, yyy就是样本标签, 而测试时,
y^=arg⁡max⁡if^TMi,\hat{y} = \arg \max_i \hat{f}^TM_i, y^=argimaxf^TMi,
即预测值.
所以, 显然为了让MyM_yMy能够与样本标签紧密联系, 在训练的时候, 需要额外最小化一个交叉熵损失:
LCAS(p(x′,θ,M),y)=−log⁡py(x′).\mathcal{L}_{CAS}(p(x',\theta,M), y) = -\log p_y(x'). LCAS(p(x′,θ,M),y)=−logpy(x′).
这里x′x'x′表示对抗样本.

CIFS的思路是类似的, 这里不多赘述了.

代码

CAS