敲重点!一文详解解决对抗性样本问题的新方法——L2正则化法

最新推荐文章于 2024-08-13 17:40:53 发布
最新推荐文章于 2024-08-13 17:40:53 发布
阅读量4.3k 收藏 7
点赞数
分类专栏: AI L2 正则化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guleileo/article/details/81074508
版权
本文深入探讨了对抗性样本现象,指出当分类边界靠近数据流形时存在对抗性样本,而L2正则化能够通过控制分类边界的倾斜角度来提高鲁棒性。通过线性分类的玩具问题和实证分析,作者展示了L2正则化如何在一定程度上缓解对抗性样本问题,尤其是在MNIST数据集上的LeNet模型实验中。然而,对于深层复杂的神经网络,L2正则化的效果有限,需要更深层次的理解和新方法来解决这一问题。
摘要由CSDN通过智能技术生成

640?wx_fmt=jpeg

 

作者 | THOMAS TANAY、LEWIS D GRIFFIN

译者 | 张建军

编辑 | 姗姗

出品 | 人工智能头条(公众号ID:AI_Thinker

 

【导读】许多研究已经证明深度神经网络容易受到对抗性样本现象(adversarial example phenomenon)的影响:到目前为止测试的所有模型都可以通过图像的微小扰动使其分类显著改变。为了解决这个问题研究人员也在不断探索新方法,L2 正则化也被引入作为一种新技术。本文中人工智能头条将从基本问题——线性分类问题开始给大家介绍解决对抗性样本现象的一些新视角。

 

前言

 

以下是由目前最先进的训练来识别名人的网络对某实例所生成的预测:

 

640?wx_fmt=jpeg

 

 

这个结果如此令人费解有两方面的原因。首先,它挑战了一个常见的想法,这个想法是,对新数据的良好泛化和对小扰动的鲁棒性应该是齐头并进的。其次,它对现实世界的应用构成了潜在的威胁。例如,麻省理工学院的研究人员最近已经成功构建了在相当多的角度和视角下都会被错误分类的 3D 物体。因此,理解这种现象并提高深度网络的鲁棒性已成为一个重要的研究目标。

 

针对这种现象,研究人员已经探索了几种方法。有些研究工作详细描述了这种现象并提供了一些理论分析。为了解决这个问题,人们尝试设计鲁棒性更强的网络结构或尝试在评估过程中检测对抗性样本。 对抗训练也被引入作为惩罚对抗方向的一种新的正则化技术。不幸的是,这个问题大部分都没有得到解决 。面对这个困难,我们建议从基本问题开始:首先关注线性分类,然后逐步增加问题复杂性。

 

玩具问题

 

在线性分类中,对抗性扰动通常被理解为高维度的点积的性质。一种普遍的直觉是:“对于高维问题,我们可以对输入进行许多无限小的改变,从而对输出进行一次大的改变” 。在这里,我们挑战这种直觉。我们认为,当分类边界靠近数据流形时,存在对抗性样本 – 并且其独立于图像空间维度。

 

▌设置

 

让我们从一个最小的玩具问题开始:一个二维图像空间,其中每个图像是 a 和 b 的函数。

640?wx_fmt=png

 

在这个简单的图像空间中,我们定义了两类图像

 

640?wx_fmt=png

 

这两类图像可以用无数个线性分类器分开。例如考虑直线 Lθ。

 

640?wx_fmt=png

 

这就提出了第一个问题:如果所有的线性分类器 Lθ 都能很好地分离 I 和 J,那么他们是否对图像扰动具有相同的鲁棒性呢?

 

▌投影和镜像图像

 

考虑类 I 中的图像640?wx_fmt=png距离x最近且属于相反类别的图像称为 640?wx_fmt=png 在 Lθ 上投影图像(projected image):

640?wx_fmt=png

 

640?wx_fmt=png 和 640?wx_fmt=png 互相非常靠近时,我们说 640?wx_fmt=png640?wx_fmt=png 的一个对抗样本。请注意,640?wx_fmt=png的分类置信度比较低(它在分类边界上),我们考虑高分类置信度的对抗样本可能会更有趣。

 

下面,让我们来看看通过 Lθ 生成 640?wx_fmt=png 的镜像图像(mirror image)。

 

640?wx_fmt=jpeg

 

通过构造,640?wx_fmt=png 和 640?wx_fmt=png 到分类边界的距离相同,而且具有相同的分类置信水平。

 

▌镜像图像作为θ的函数

 

回到我们的玩具问题上面来。我们现在可以把图像 640?wx_fmt=png 和它对应的镜像图像 640?wx_fmt=png 作为 θ 的函数画出来。

 

640?wx_fmt=jpeg

 

可以看到,640?wx_fmt=png 和 640?wx_fmt=png 之间的距离依赖于角度 θ。有两种边界情形非常值得我们关注。

 

当θ = 0;Lθ 没有遇到对抗性样本的问题。640?wx_fmt=png 以高置信度被分类为 I,而640?wx_fmt=png 以高置信度被分类为 J,这与人类的观测符合。

 

640?wx_fmt=png

 

当θ -> π / 2;Lθ 遇到强对抗性样本的问题。640?wx_fmt=png 以高置信度被分类为 I,而640?wx_fmt=png 以高置信度被分类为 J,但是从视觉上很难把 640?wx_fmt=png和 640?wx_fmt=png 进行区分。

 

640?wx_fmt=png

 

而这就提出了第二个问题:如果对抗性样本存在并且 Lθ 强烈倾斜,那么实际上是什么导致了 Lθ 倾斜的呢?

 

▌过拟合和L2正则化

 

我们的一个合理假设是,由标准线性学习算法(例如支持向量机(SVM)或逻辑回归)所定义的分类边界过拟合了训练集中的噪声数据点而导致了倾斜。有研究将鲁棒性与 SVM 中的正则化关联起来。这一假设也可以通过实验进行测试:旨在减少过拟合(如 L2 正则化)的技术有望减轻对抗性样本现象。

 

例如,我们考虑一个训练集,其中包含有一个噪声数据点 p。

 

640?wx_fmt=png

 

如果我们在这个训练数据集上训练一个 SVM 或者逻辑回归模型,我们会看到两种可能的行为。

 

没有 L2 正则化:分类边界被强烈地倾斜。要完全拟合训练数据导致分类边界的倾斜角度过大。这个例子中,数据点 p 可以被正确地分类,但是训练得到的分类器非常容易受到对抗性样本的攻击。

640?wx_fmt=png

有 L2 正则化:分类边界没有被倾斜。L2 正则化允许错误分类某些训练样本,从而减少了过拟合。当使用了足够的正则化,数据点 p 会被忽略,训练得到的分类器对对抗性样本具有强鲁棒性。

640?wx_fmt=png

 

来到这里,一个合理的问题是——位于二维图像空间中的一维数据流形与高维的自然图像有什么关系?

 

 

<
最低0.47元/天 解锁文章
csdn人工智能头条
关注
专栏目录
博弈对抗的数学理论及应用-李昂生讲解-----之学习笔记
qq_42160444的博客
10-16 1826
听国防科技大学大讲堂,随手整理一些学习笔记: 信息科学的数学原理 对抗的基本问题 公理、或定律 定义、度量、理论 信息科学的数学原理 信息处理的数学模型称为结构信息,其中信息处理机是结构熵的极小化。 给出以下定义: 大规模图:由功能模块组成,功能模块必然由一个实质结构支撑。 那么实质结构怎样定义、提取? 一般计算方法是抽象整理出数据关系,从中提取出计算机处理的对象。 大数据空间:数据观测与手机,表示、关系度量。已知其中的规律嵌入在大规模噪音中,怎么提取规律呢? 引入的观点包含
对抗攻击样本范数:L0,L2,L∞
A_John 的博客
04-06 3939
1) L0范数 : 非0 元素的个数; 对抗样本 扰动的 非0元素的个数; 2) L2范数 : 各元素的 平方和再开方; 对抗样本 扰动的 各元素的平方和再开方,针对图像数据,L2范数越小表示对抗样本人眼越难识别; 3) L∞范数 : 各元素的 绝对值 的最大值; 对抗样本 扰动的 各元素的最大值; 4) 扰动 : Original + perturbation = Adversarial ...
对抗性训练】FGM、AWP
最新发布
藓类少女的博客
08-13 1052
FGM 是一种快速生成对抗样本方法,通过对输入样本施加小的扰动,使得模型在原始样本上的预测信心大幅下降,从而产生对抗样本。FGM 的目标是找到一个微小的扰动,使得模型对样本的预测结果发生改变。FGM 是 FGSM(Fast Gradient Sign Method)的简化版本,它的原理相同,但省去了符号函数的应用。AWP 是一种通过扰动模型参数来提升模型鲁棒性的方法。与 FGM 不同,AWP 并不直接在输入样本上施加扰动,而是在模型参数空间中引入扰动。
对抗样本学习笔记:Adversarial Examples: Attacks and Defenses for Deep Learning
dream2017seek的博客
05-19 1601
一、相关优质博客 1.全面入门https://blog.csdn.net/donaldsy/article/details/94473405?utm_medium=distribute.pc_relevant.none-task-blog-baidujs-1 2.直观理解原理https://blog.csdn.net/nemoyy/article/details/81052301?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFrom
对抗样本中L0、L2、Linf范数的理解与实现
qq1803291168
06-11 1739
对抗样本中L0、L2、Linf范数的理解与实现
对抗样本的相关基础知识的介绍
ilalaaa的博客
05-07 1641
之前自己搭建了博客去写,感觉有点麻烦,于是转战CDSN。主要看中了,它可以在手机APP上写文章以及修改文章,不受时间地点限制。这一点,能够帮助我及时更内容。 从年初开始,对深度学习的对抗样本内容进行了学习。因为疫情不能返校,从二月到五月初返校,在该领域的学习也足足有三个月。有时觉得这三个月好像学得不够多,还不够深入,但也还是了解了很多东西。接下去将对学到的这些内容进行更,也算是对过去三个月的一个总结,也鼓励自己要更加努力。
​300+篇文献!一文详解基于Transformer的多模态学习最进展
Paper weekly
07-01 4718
©PaperWeekly 原创 ·作者 | Jason研究方向 | 计算机视觉论文标题:Multimodal Learning with Transformers: A Survey论文地址:https://arxiv.org/abs/2206.06488摘要Transformer 是一种很有前途的神经网络学习器,在各种机器学习任务中取得了巨大的成功。由于最近多模态应用...
一文详解BN、LN、IN、GN四种正则化方式
weixin_43850408的博客
08-27 3547
一文详解BN、LN、IN、GN四种正则化方式前言批量归一化-BN(Batch-Normalization)mini-batch 梯度下降批量归一化(Batch Normalization)的基本动机与原理是什么?在卷积神经网络中如何使用?所以BN和mini-batch的联系和区别在哪儿?快手真题选择题考察参考文章 前言 楼主前段时间真的是很巧,在面试阿里和大疆的图像算时。在提及我对网络架构进行...
一文详解sass特性——模块
凝视深渊
12-02 3489
1. 简介 2. @import的缺点 3. 模块化的核心@use 3.1 @use的基本用 3.2 @use与@import的区别 3.3 配置样式库的基础变量 4. 给库开发者使用的利器@forward 4.1 @forward的基本用 4.2 用show/hide控制成员是否可见 4.3 给不同的子模块添加前缀 5. sass内置模块 6. 兼容性 7. 迁移指南 8. 参考资料 简介 ...
一文搞定BP神经网络——从原理到应用(原理篇)
热门推荐
佐井白白的微笑
10-11 26万+
神经网络结构以及前向传播过程 损失函数和代价函数 反向传播 1 矩阵补充知识 11 矩阵求梯度 12 海塞矩阵 13 总结 2 矩阵乘积和对应元素相乘 3 反向传播原理四个基础等式 4 反向传播总结 41 单样本输入公式表 42 多样本输入公式表 本文小结 Hello,对于神经网络的原理,我入门了好多次,每次都觉得懂了,但是其实内部原理并没有理解透彻。经过不懈努力,终于茅塞顿开,遂总结此文。 本
对抗样本和对抗生成网络demo
09-30
对抗样本和对抗生成网络demo,包括一个简单的tensorflow编写的gan网络
对抗样本(相关知识整理)
Enjoy_endless
05-30 6191
最近在学习接触一些对抗样本的相关知识、论文,整理分享如下。 (未完待续) 1.什么是对抗样本: 在原有真实样本的基础上稍加处理,使原有分类器对其真实类别无判别; (比如带了一个面具之后你不认识我了,或者说是批了一个羊皮,你就识别不出来我是一个人了。) 2.对抗样本有什么用: 对于人脸识别,我带上一个特制眼镜就识别不出来我是谁了; 对于安保摄像识别人的系统,我穿了一个特制衬衫,摄像头就识别不出...
正则化项L1,L2讲解
Android_chunhui的专栏
12-21 655
使用lasso回归可以进行特征选择和降维。
NLP中的对抗训练
HUSTHY的博客
01-19 7283
NLP中的对抗训练 FGM PGD FreeLB SMART import torch class FGM(): ''' Example # 初始化 fgm = FGM(model,epsilon=1,emb_name='word_embeddings.') for batch_input, batch_label in data: # 正常训练 loss = model(batch_input, batch_label)
深度学习中的正则化技术 - 对抗训练
绎岚科技的博客
07-20 975
在深度学习这片波澜壮阔的技术海洋中,对抗训练如同一股强劲的风暴,正深刻改变着模型鲁棒性与安全性的面貌。随着人工智能技术的飞速发展,尤其是在图像识别、自然语言处理等领域的广泛应用,模型的安全性问题日益凸显。对抗样本——那些经过精心设计,能够欺骗模型做出错误预测的输入数据,成为了衡量模型健壮性的一大挑战。对抗训练应运而生,它通过在训练过程中引入对抗样本,让模型学会在“攻击”中不断成长,从而提升其抵抗恶意输入的能力,确保模型在实际应用中的稳定性和可靠性。
结构化数据 神经网络_神经结构化学习对抗正则化
weixin_26714375的博客
09-18 845
结构化数据 神经网络 介绍 (Introduction) As many of us are no doubt aware, the invariable progress made in the field of Computer Vision, has lead to some incredible achievements and broad deployment in fields fro...
对抗扰动和模型深度理解
qq_41821067的博客
08-31 1739
通过inception模块,将多组不同尺度的卷积核(3×3和1×1)进行卷积运算,最后将不同尺度的结果进行叠加,形成的多通道数据发送到下一个inception模块。,在全连接层上,为了减少参数数量,InceptionV1还执行了一个的全局平均池操作(GAP),它不需要扁平化特性映射,而是使用类似于池的操作将整个特性映射转换为单个值。 无需添加参数,直接将浅层特征放到上层,大大提高了模型的训练速度。ResNet作为检测模型的主要骨干,在VOC Pascal[36]、COCO[37]数据集和其他[38].
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值