论文探讨了对抗训练过程中模型过拟合的现象,指出大梯度范数样本可能导致过拟合。提出ATAS方法,通过自适应步长调整,根据样本梯度范数来增强攻击,防止过拟合。ATAS在CIFAR10、CIFAR100和ImageNet上表现出更高的模型鲁棒性,且避免了灾难性过拟合,训练效率接近FGSM-RS和ATTA。
©PaperWeekly 原创 · 作者 | 鬼谷子
引言
该论文是关于对抗训练理论分析性的文章,目前对抗训练及其变体已被证明是抵御对抗攻击的最有效防御手段,但对抗训练的过程极其缓慢使其难以扩展到像 ImageNet 这样的大型数据集上,而且在对抗训练的过程中经常会出现模型过拟合现象。在该论文中,作者从训练样本的角度研究了这一现象,研究表明模型过拟合现象是依赖于训练样本,并且具有较大梯度范数的训练样本更有可能导致灾难性过拟合。因此,作者提出了一种简单但有效的方法,即自适应步长对抗训练 (ATAS)。
ATAS 学习调整与其梯度范数成反比的训练样本自适应步长。理论分析表明,ATAS 比常用的非自适应算法收敛得更快,在对各种对抗扰动进行评估时,ATAS 始终可以减轻模型的过拟合现象,并且该算法在 CIFAR10、CIFAR100和ImageNet 等数据集上实现更高的模型鲁棒性。
论文标题:
Fast Adversarial Training with Adaptive Step Size
论文链接:
https://arxiv.org/abs/2206.02417
背景知识
FreeAT 首先提出了一种快速对抗训练的方法,通过批量重复训练并同时优化模型参数和对抗扰动。YOPO 采用了类似的策略来优化对抗损失函数。后来,单步法被证明比 FreeAT 和 YOPO 更有效。如果仔细调整超参数,带随机启动的 FGSM(FGSM-RS)可用于一步生成对抗扰动,来训练鲁棒网络模型。ATTA 方法则是利用对抗样本的可迁移性,使用干净样本作为对抗样本的初始化,具体的优化形式如下所示:
其中, 表示在第 轮中第 个样本 生成的对抗样本。ATTA 显示出与 FGSM-RS 相当的鲁棒精度。SLAT 与 FGSM 同时扰动输入和潜在值,确保更可靠的性能。这些单步方法会产生灾难性的过拟合现象,这意味着模型对 PGD 攻击的鲁棒性精度会突然下降到接近 0,而对 FGSM 攻击的鲁棒精度迅速提高。
为了防止模型过拟合现象,FGSM-GA 添加了一个正则化器,用于对齐输入梯度的方向。另一项工作从损失函数的角度研究这一现象,发现模型过度现象是损失面高度扭曲的结果,并提出了一种通过沿梯度方向检查损失值来解决模型过拟合的新算法。然而,这两种算法都需要比 FGSM-RS 和 ATTA 更多的计算量。
论文算法
由之前的研究可知,对抗训练目标函数中内部最大化的步长对单步攻击方法的性能起着重要作用。过大的步长会将所有 FGSM 对抗扰动吸引到分类边界附近,导致灾难性过拟合现象,因此 PGD 多步攻击下的分类器对抗鲁棒性精度将降至零。然而,又不能简单地减小步长,因为如下图的第一张图和第二张图所示可以发现,增大步长可以增强对抗攻击并且能提高模型鲁棒性。
为了尽可能加强攻击并避免灾难性的过拟合现象,对于具有大梯度范数的样本,作者使用小步长来加强攻击防止模型过拟合现象;对于具有小梯度范数的样本,作者使用大步长来加强攻击。所以,作者使用梯度范数的移动平均值:
其中 是预定义的学习率, 是一个防止 过大的常数。作者将自适应步长 与 FGSM-RS 相结合,FGSM-RS 在内部最大化攻击中随机初始化对抗扰动。由上图的第三张子图可以发现,自适应步长不会发生过拟合现象。此外,自适应步长方法的平均步长甚至比 FGSM-RS 中的固定步长还要大,因此具有更强的攻击性和更好的对抗鲁棒性。
随机初始化限制了步长较小的样本的对抗扰动,从而削弱了对抗攻击的强度。结合之前的初始化方法,论文提出的方法 ATAS 不需要大的 来达到整个 范数球。对于每个样本,作者使用自适应步长 并执行以下内部最大化以获得对抗样本:
最低0.47元/天 解锁文章
扫一扫
447
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
