【对抗性训练】FGM、AWP

于 2024-08-13 17:40:53 发布
阅读量1k 收藏 30
点赞数 41
分类专栏: # 模型 深度学习 文章标签: 模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a13545564067/article/details/141168425
版权

FGM(Fast Gradient Method)和 AWP(Adversarial Weight Perturbation)是两种与对抗训练相关的技术,旨在提高深度学习模型的鲁棒性和防御能力。它们主要应用于对抗攻击(adversarial attacks)背景下,以增强模型对对抗样本的抵抗能力。以下是对这两种方法的详细解释。

一、 FGM (Fast Gradient Method)

概述

FGM 是一种快速生成对抗样本的方法,通过对输入样本施加小的扰动,使得模型在原始样本上的预测信心大幅下降,从而产生对抗样本。FGM 的目标是找到一个微小的扰动,使得模型对样本的预测结果发生改变。

FGM 是 FGSM(Fast Gradient Sign Method)的简化版本,它的原理相同,但省去了符号函数的应用。

工作原理

假设有一个输入样本 x ,其标签为 y ,损失函数为 L(θ, x, y) ,其中 θ 表示模型参数。FGM 通过对输入样本 x 添加一个微小的扰动 η 来生成对抗样本 x’ :

在这里插入图片描述
其中:

  • ∇x​L(θ,x,y) 是损失函数关于输入 x 的梯度。
  • ϵ 是控制扰动大小的参数。
  • ||⋅||2​ 表示 L2​ 范数。

这个扰动沿着损失函数的梯度方向施加,目的是使得模型对 x’ 的预测发生明显的变化。

应用

FGM 常用于对抗训练,即在训练过程中不仅使用正常样本,还使用对抗样本来训练模型,以提高模型的鲁棒性。通过 FGM 生成的对抗样本可以有效地暴露模型的脆弱性,从而在训练中进行修正。

应用举例:图像分类中的对抗训练

在图像分类任务中,深度学习模型容易受到对抗攻击的影响,攻击者可以通过微小的扰动使得模型在测试时产生错误的分类结果。FGM 可以用于生成对抗样本,并将这些对抗样本用于训练,以增强模型的鲁棒性。

假设我们在 CIFAR-10 数据集上训练一个卷积神经网络(CNN)。在训练过程中,我们使用 FGM 生成对抗样本并将它们加入到训练集中,以增强模型的对抗鲁棒性。

import tensorflow as tf

# 定义生成对抗样本的 FGM 方法
def generate_adversarial_example(model, x, y, epsilon=0.1):
    with tf.GradientTape() as tape:
        tape.watch(x)
        prediction = model(x)
        loss = tf.keras.losses.sparse_categorical_crossentropy(y, prediction)
    gradient = tape.gradient(loss, x)
    perturbation = epsilon * tf.sign(gradient)
    adversarial_example = x + perturbation
    adversarial_example = tf.clip_by_value(adversarial_example, 0, 1)  # 保持输入在合法范围内
    return adversarial_example

# 在训练过程中加入对抗样本
for epoch in range(epochs):
    for images, labels in train_dataset:
        adversarial_images = generate_adversarial_example(model, images, labels)
        combined_images = tf.concat([images, adversarial_images], axis=0)
        combined_labels = tf.concat([labels, labels], axis=0)

        # 使用原始样本和对抗样本一起训练模型
        with tf.GradientTape() as tape:
            predictions = model(combined_images)
            loss = tf.keras.losses.sparse_categorical_crossentropy(combined_labels, predictions)
        gradients = tape.gradient(loss, model.trainable_variables)
        optimizer.apply_gradients(zip(gradients, model.trainable_variables))

# 训练后的模型将对对抗攻击更加鲁棒

效果
通过使用 FGM 生成对抗样本并在训练中加入这些样本,模型可以学习到如何抵抗对抗攻击,从而在面对对抗样本时表现得更加鲁棒。这种方法通常会显著提高模型在对抗样本上的准确性。

二、 AWP (Adversarial Weight Perturbation)

概述

AWP 是一种通过扰动模型参数来提升模型鲁棒性的方法。与 FGM 不同,AWP 并不直接在输入样本上施加扰动,而是在模型参数空间中引入扰动。AWP 的核心思想是:如果一个模型在权重参数上具有一定的鲁棒性,那么它对输入的对抗样本也会更加鲁棒。

AWP 被用作一种正则化手段,使得模型不仅在训练数据上表现良好,同时也对各种潜在的扰动具有更强的抵抗能力。

工作原理

AWP 的目标是通过优化过程找到一个对抗性的权重扰动 δ,使得模型的训练过程对该扰动具有鲁棒性。具体来说,AWP 在每个训练步骤中执行以下操作:

  1. 计算模型权重的梯度。
  2. 在权重空间中引入扰动 δ,并计算扰动后的损失。
  3. 优化模型参数,使得模型在这个对抗性扰动下的损失最小。

AWP 的损失函数定义为:
在这里插入图片描述
其中:

  • δ 是对抗性权重扰动。
  • ϵ 是控制扰动大小的参数。
  • L(θ+δ,x,y) 是加入扰动后模型的损失函数。

通过优化这个损失函数,模型可以在权重扰动下保持性能,从而提高整体鲁棒性。

应用

AWP 可以用于对抗训练和常规训练中,以增强模型对权重扰动的鲁棒性。这种方法特别适用于需要高鲁棒性和抗对抗攻击能力的任务,如图像分类、语音识别等。

应用举例:自然语言处理中的文本分类

在自然语言处理(NLP)任务中,特别是文本分类任务中,模型的参数可能容易受到扰动的影响。通过在训练过程中引入对抗性权重扰动(AWP),可以提高模型的参数鲁棒性,使得模型在面对权重扰动或微小输入变化时依然保持较好的性能。

我们以一个简单的文本分类任务为例,假设我们使用 BERT 模型对 IMDB 电影评论数据集进行情感分类。我们可以在训练过程中使用 AWP 来增强模型的鲁棒性。

import tensorflow as tf

# 定义 AWP 的实现
def apply_awp(model, x, y, epsilon=0.01):
    with tf.GradientTape() as tape:
        tape.watch(model.trainable_variables)
        predictions = model(x, training=True)
        loss = tf.keras.losses.sparse_categorical_crossentropy(y, predictions)
    gradients = tape.gradient(loss, model.trainable_variables)
    
    # 添加权重扰动
    perturbed_weights = [w + epsilon * g for w, g in zip(model.trainable_variables, gradients)]
    
    # 应用扰动并重新计算损失
    for var, perturbed_var in zip(model.trainable_variables, perturbed_weights):
        var.assign(perturbed_var)
    
    # 再次计算损失并更新权重
    with tf.GradientTape() as tape:
        predictions = model(x, training=True)
        loss = tf.keras.losses.sparse_categorical_crossentropy(y, predictions)
    gradients = tape.gradient(loss, model.trainable_variables)
    optimizer.apply_gradients(zip(gradients, model.trainable_variables))
    
    # 恢复原始权重
    for var, original_var in zip(model.trainable_variables, perturbed_weights):
        var.assign(original_var)

# 在训练过程中使用 AWP
for epoch in range(epochs):
    for batch in train_dataset:
        texts, labels = batch
        apply_awp(model, texts, labels)

# 训练后的模型对参数扰动将更加鲁棒

效果
通过在训练过程中应用 AWP,模型会对权重空间中的小扰动更加不敏感,从而提高其对抗攻击和输入扰动的抵抗能力。AWP 通常可以提高模型的泛化能力,尤其是在测试数据中包含噪声或攻击时表现得更加稳定。

总结

  • FGM 是一种通过输入空间中的扰动生成对抗样本的技术,用于提高模型的鲁棒性,主要通过对输入进行微小扰动,使得模型的预测发生显著变化。
  • AWP 是一种通过参数空间中的扰动来优化模型的技术,通过在权重参数上引入扰动,使得模型在权重变化下依然表现稳定,从而提升整体鲁棒性。

两者都是提高深度学习模型鲁棒性的有效手段,特别是在对抗攻击背景下,它们的应用能显著增强模型的抗攻击能力,广泛应用于需要高安全性和可靠性的任务中。
这些技术的应用不仅提高了模型的鲁棒性,还增强了其在真实世界中面对不确定性和恶意攻击时的稳定性。这些方法已被广泛用于安全敏感领域和需要高可靠性的任务中,如自动驾驶、金融预测和医学诊断等。

藓类少女
关注
专栏目录
FGMAWP有什么区别
AlphaFinance
06-07 303
FGM (Fast Gradient Sign Method) and AWP (Adversarial Weight Perturbation) are two different techniques used in adversarial attacks and defenses in deep learning models.FGM (Fast Gradient Sign Method): FGM is a simple but effective method for generating adv
再战FGM!Tensorflow2.0 自定义模型训练实现NLP中的FGM对抗训练 代码实现
weixin_45839693的博客
12-08 2473
TF版本2.2及以上 def creat_FGM(epsilon=1.0): @tf.function def train_step(self, data): ''' 计算在embedding上的gradient 计算扰动 在embedding上加上扰动 重新计算loss和gradient 删除embedding上的扰动,并更新参数 ''' data = data_adapter.expand_1d(data)
BERT模型—6.对抗训练原理与代码实现
柳杰的博客
07-29 5643
文章目录引言一、对抗训练一般原理1.对抗样本二、对抗训练的经典算法三、对抗训练代码实现1.FGM2.PGD 引言   对抗训练对于NLP来说,是一种非常好的上分利器,所以,非常有必要加深对对抗训练的认识。 一、对抗训练一般原理   小学语文课上,我们都学习过《矛与盾》这篇课文, 从辩证唯物史观角度来看,矛与盾并没有严格意义上的谁更厉害,谁一直占优。矛盾着的双方又同一又斗争,双方力量此长彼消,不断前进,从而推动事物发展。这也就是对抗训练。 1.对抗样本   两句话,只是部分英文单词发生了改变,但是在我们看来
文本中的对抗训练
WeiXy的博客
06-11 2974
文本中的对抗训练基本概念对抗扰动对抗训练对抗扰动的两个特点测度方式对抗攻击参考文献 附上链接添加链接描述 基本概念 对抗扰动 早在 2014 年,Szegedy et al.发现只要对深度学习模型的输入添加一些微小的扰动就能轻易改变模型的预测结果。后续的研究将该种扰动称之为对抗扰动,扰动后的输入称为对抗样本,将输入对抗样本误导模型的这一过程称为对抗攻击。 对抗训练 对抗训练指的是在模型训练过程中...
FGM-对抗训练
iZYL_的博客
09-26 1244
FGM对抗训练
FGM对抗训练
pythonwyq的博客
06-26 5167
​对抗训练无论是在CV领域还是在NLP领域都具有举足轻重的地位,在NLP比赛中,抗训练确确实实能够提升模型在具体任务上的泛化性能。 ​
对抗训练
Fan9_的博客
05-17 9357
文章目录1、定义2、对抗训练:从CV到NLP2.1 CV中的数据格式2.2 NLP中数据格式3、对抗样本与数据增强样本4 如何确定微小扰动4.1 Fast Gradient Sign Method(FGSM)4.2 Fast Gradient Method(FGM)4.3 Projected Gradient Descent(PGD)5 实验结果6 实现6.1 pytorch实现[2]6.2 keras实现[3] 1、定义 对抗样本:对输入增加微小扰动得到的样本。旨在增加模型损失。 对抗训练训练模型去区分
FGM对抗训练应用于NLP任务
qq_41898761的博客
05-28 1449
一、基础概念 为什么需要对抗训练: 在CV领域,我们需要通过对模型的对抗攻击和防御来增强模型的稳健型,比如在自动驾驶系统中,要防止模型因为一些随机噪声就将红灯识别为绿灯。在NLP领域,类似的对抗训练也是存在的,不过NLP中的对抗训练更多是作为一种正则化手段来提高模型的泛化能力 对抗: 一个是生成对抗网络(Generative Adversarial Networks,GAN),代表着一大类先进的生成模型; 另一个则是跟对抗攻击、对抗样本相关的领域,它跟GAN相关,但又很不一样,它主要关心的是模型在小扰动下
Tensorflow2.0 + Transformers 实现Bert FGM对抗训练惩罚梯度损失函数
weixin_45839693的博客
10-29 2856
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 Tensorflow2.0 + Transformers 实现Bert FGM训练惩罚梯度损失函数前言变种实现Transformers中的word_embeddings代码修改实验效果总结 前言 之前看了很多关于NLP中应用对抗训练的文章,测试结果都很香,所以想在自己在用的模型上试一试看看能不能提升效果,参考了一些代码找到了pytroch和keras实现,但发现对于tensorflows来说更改训练过程非常繁琐,而且容易出错,如果要配
对抗性训练(Adversarial training)
rocsoft
09-03 4116
对抗性训练最大最小化公式: min⁡θE(x,y)∼D[max⁡Δx∈ΩL(x+Δx,y;θ)] \min_{\theta}\mathbb{E}_{(x,y)\sim\mathcal{D}}\left[\max_{\Delta x\in\Omega}L(x+\Delta x, y;\theta)\right] θmin​E(x,y)∼D​[Δx∈Ωmax​L(x+Δx,y;θ)] D\mathcal{D}D表示训练数据,xxx表示输入,yyy表示标签,θ\thetaθ表示模型参数,L(⋅)L(·)L(⋅)表
对抗性训练:提高神经网络的抗扰动性
最新发布
程序员光剑
01-21 1226
1.背景介绍 在深度学习领域,神经网络的抗扰动性是一个重要的研究方向。抗扰动性是指神经网络在接受到噪声或干扰后,仍能准确地进行预测和分类的能力。在现实应用中,神经网络可能会面临各种噪声和干扰,例如图像中的噪声、语音中的背景噪音等。因此,提高神经网络的抗扰动性对于实际应用具有重要意义。 在本文中,我们将从以下几个方面进行讨论: 背景介绍 核心概念与联系 核心算法原理和具体操作步骤以及数学模型...
NLP中的对抗训练
HUSTHY的博客
01-19 7278
NLP中的对抗训练 FGM PGD FreeLB SMART import torch class FGM(): ''' Example # 初始化 fgm = FGM(model,epsilon=1,emb_name='word_embeddings.') for batch_input, batch_label in data: # 正常训练 loss = model(batch_input, batch_label)
对抗训练FGM
M_arshal_的博客
03-19 910
如何进行数据增强: https://blog.csdn.net/weixin_42001089/article/details/115458615 FGSM class FGM(object): def __init__(self, model, emb_name, epsilon=1.0): # emb_name这个参数要换成你模型中embedding的参数名 self.model = model self.epsilon = epsilon
对抗训练方法:保卫人工智能的盾牌
Chaos的博客
05-12 1307
在当今人工智能技术迅猛发展的时代,保护模型的鲁棒性和安全性变得尤为重要。对抗训练方法应运而生,作为一种有效的防御手段,能够使模型在面对各种攻击和噪声时保持高度的稳定性和准确性。本文将详细介绍对抗训练方法的原理,结合代码讲解,同时探讨其在NLP领域的应用,以及面临的挑战和解决方案。
对抗训练fgm、fgsm和pgd原理和源码分析
热门推荐
qq_40176087的博客
11-24 1万+
当前,在各大NLP竞赛中,对抗训练已然成为上分神器,尤其是fgm和pgd使用较多,下面来说说吧。对抗训练是一种引入噪声的训练方式,可以对参数进行正则化,提升模型鲁棒性和泛化能力。 fgm FGM的全称是Fast Gradient Method, 出现于Adversarial Training Methods for Semi-supervised Text Classification这篇论文,FGM是根据具体的梯度进行scale,得到更好的对抗样本: 整个对抗训练的过程如下,伪代码如下: 1.计算x的
模型训练-Tricks-提升鲁棒性(1):对抗训练FGM、PGD、FGSM、FreeLB、AWP
u013250861的博客
02-17 1525
对抗训练中关键的是需要找到对抗样本(尽量让模型预测出错的样本),通常是对原始的输入添加一定的扰动来构造,然后用来给模型训练.【炼丹技巧】功守道:NLP中的对抗训练 + PyTorch实现 - 知乎一文搞懂NLP中的对抗训练FGSM/FGM/PGD/FreeAT/YOPO/FreeLB/SMART - 知乎FGM对抗训练_Mr.奇的博客-CSDN博客对抗训练fgm、fgsm和pgd原理和源码分析_谈笑风生...的博客-CSDN博客_pgd对抗训练
fgm对抗训练算法代码
07-27
以下是一个简单的用于实现FGM(Fast Gradient Method)对抗训练的算法的代码示例: ```python import torch import torch.nn as nn def fgsm_attack(model, loss_fn, images, labels, epsilon): images.requires_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值