利用对抗变化网络进行对抗训练
Posted 鬼道2022
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了利用对抗变化网络进行对抗训练相关的知识,希望对你有一定的参考价值。
1 引言
前一段时间解读了一篇发表于CVPR2021的一篇文章《Improving the Transferability of Adversarial Samples with AdversarialTransformations》,解读文章的链接为《CVPR2021:对抗变换提高对抗样本的可迁移性》。该论文的创新点是首先对抗训练出一个对抗变换网络,该对抗变换网络的核心作用是用来抑制对抗样本攻击性,然后借助对抗变换网络生成对抗样本,最终生成的对抗样本在攻击性和可迁移性的方面能力得到了显著的提高。由此启发一个想法油然而生,如果利用论文中方法生成对抗样本对分类器模型进行对抗训练,那么是不是会使分类器模型的更加鲁棒呢?带着这个问题展开本文章的理论分析和实验验证。
2 方法描述
令
x
∈
R
n
×
1
x\\in\\mathbbR^n\\times 1
x∈Rn×1表示干净的数据样本,其对应的真实标签为
y
∈
1
,
⋯
,
k
y\\in\\1,\\cdots,k\\
y∈1,⋯,k;带有参数
θ
\\theta
θ的分类器网络为
f
θ
(
x
)
f_\\theta(x)
fθ(x),其映射为
f
θ
:
R
n
×
1
→
R
k
×
1
f_\\theta:\\mathbbR^n\\times1\\rightarrow\\mathbbR^k\\times1
fθ:Rn×1→Rk×1;带有参数
φ
\\varphi
φ的对抗变换网络
g
φ
(
x
)
g_\\varphi(x)
gφ(x),其映射为
g
φ
:
R
n
×
1
→
R
n
×
1
g_\\varphi:\\mathbbR^n\\times 1\\rightarrow \\mathbbR^n\\times 1
gφ:Rn×1→Rn×1;损失函数为
J
(
⋅
,
⋅
)
J(\\cdot,\\cdot)
J(⋅,⋅)。生成对抗样本
x
′
∈
R
n
×
1
x^\\prime\\in \\mathbbR^\\ n\\times 1
x′∈R n×1一般的优化形式为
max
x
′
J
(
f
θ
(
x
′
)
,
y
)
s
.
t
.
∥
x
′
−
x
∥
∞
≤
ε
\\beginarrayrl\\max\\limits_x^\\prime& J(f_\\theta(x^\\prime),y)\\\\\\mathrms.t. & \\|x^\\prime-x\\|_\\infty\\le \\varepsilon\\endarray
x′maxs.t.J(fθ(x′),y)∥x′−x∥∞≤ε其中
∥
⋅
∥
∞
\\|\\cdot\\|_\\infty
∥⋅∥∞表示的是无穷范数,
ε
\\varepsilon
ε表示的是对抗样本
x
′
x^\\prime
x′和干净样本
x
x
x之间的最大扰动距离。
当前常用样本数据变换的方式比较固定,比如翻转,缩放,颜色变换等。对抗变换网络的主要目的增强样本变换多样性,从而抑制对抗扰动的攻击性。在生成对抗样本的时候,则需要克服对抗变换网络削弱对抗攻击性的条件下,依然能够使得分类器模型分类出错。对抗变换网络训练与对抗样本生成的对抗目标可以用如下
min
\\min
min-
max
\\max
max公式给出
min
φ
max
x
′
J
(
f
θ
(
g
φ
(
x
′
)
)
,
y
)
s
.
t
.
∥
x
′
−
x
∥
∞
≤
ε
arg
max
f
θ
(
g
φ
(
x
)
)
=
y
\\beginarrayrl\\min\\limits_\\varphi\\max\\limits_x^\\prime&J(f_\\theta(g_\\varphi(x^\\prime)),y)\\\\\\mathrms.t.&\\left\\\\beginaligned\\|&x^\\prime-x\\|_\\infty\\le\\varepsilon\\\\&\\arg\\max f_\\theta(g_\\varphi(x))=y\\endaligned\\right.\\endarray
φminx′maxs.t.J(fθ(gφ(x′)),y)∥x′−x∥∞≤εargmaxfθ(gφ(x))=y其中对抗变换网络
g
φ
(
⋅
)
g_\\varphi(\\cdot)
gφ(⋅)可以是
C
N
N
\\mathrmCNN
CNN网络,也可以是
V
i
s
i
o
n
T
r
a
n
s
f
o
r
m
e
r
\\mathrmVision \\text Transformer
Vision Transformer,在以下的实验方法中会着重对这两种网络架构进行探讨。
借助对抗网络
g
φ
(
⋅
)
g_\\varphi(\\cdot)
gφ(⋅)生成的对抗样本
x
′
x^\\prime
x′对分类器模型
f
θ
f_\\theta
fθ进行对抗训练。此时对抗训练的目标可以由双
min
\\min
min-
max
\\max
max进行描述
min
θ
max
x
′
min
φ
max
x
′
J
(
f
θ
(
g
φ
(
x
′
)
)
,
y
)
s
.
t
.
∥
x
′
−
x
∥
∞
≤
ε
arg
max
f
θ
(
g
φ
(
x
)
)
=
y
\\beginarrayrl\\min\\limits_\\theta\\max\\limits_x^\\prime\\min\\limits_\\varphi\\max\\limits_x^\\prime&J(f_\\theta(g_\\varphi(x^\\prime)),y)\\\\\\mathrms.t.&\\left\\\\beginaligned\\|&x^\\prime-x\\|_\\infty\\le\\varepsilon\\\\&\\arg\\max f_\\theta(g_\\varphi(x))=y\\endaligned\\right.\\endarray
θminx′maxφminx′maxs.t.J(fθ(gφ(x′)),y)∥x以上是关于利用对抗变化网络进行对抗训练的主要内容,如果未能解决你的问题,请参考以下文章