adversarial training-FreeAT_CSDN

最新推荐文章于 2024-06-09 09:50:39 发布
最新推荐文章于 2024-06-09 09:50:39 发布
阅读量2.7k 收藏 8
点赞数 3
分类专栏: 对抗训练 文章标签: 神经网络 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32925101/article/details/111320619
版权

Adversarial Training for Free

adversarial training for free, NeurIPS 2019

Introduction

  • 首先是鲁棒性的定义:A robust classifier is one that correctly labels adversarially perturbed images.
  • 其次是实现鲁棒性的方法:
    • 检测并剔除对抗样本(detecting and rejecting Adv. Examp.
  • 然后是对抗训练的问题,
    • 首先,有工作表明对抗训练是目前为止仍然能有效防御住对抗攻击的少数方法之一;
    • 其次,对抗训练是一个非常耗时的过程,体现在两方面:1. 更新网络模型参数 ;2. 在每个SGD迭代步内生成对抗样本的过程。(与传统的模型训练过程相比较,计算量取决于用于生成对抗样本时梯度的计算步(迭代步),例如FGSMPGD的区别)。
  • 再然后是用于加速对抗训练的方法:
    • 使用参数化的生成网络来代替对抗训练过程中的扰动生成。但是此方法不适用复杂数据集问题(例如ImageNet),另外此方法很难生成覆盖整个图片空间的具有高度表达能力的GANs
    • 另一个比较流行的方法是使用标签平滑(label smoothing)、逻辑压缩(logit squeezing)、雅可比正则化(Jacobian regularization)对训练的loss进行正则化。但是这些方法同样没有应用到大规模问题中(ImageNet),同时,这些方法可以结合对抗训练一起使用。
  • 近期,“认证防御”(certified defenses)发展的比较迅猛。这些方法一般用于小网络、低分辨率数据集,并且扰动也较小的情况。(small networks, low-res datasets, and relatively small perturbation budgets)
    • 有随机平滑的方法;

Contributions

  • 提出了一种快速对抗训练算法来训练得到鲁棒模型,而且在训练花销和自然训练接近情况下(比标准对抗训练快3-30倍),能得到和标准训练相近(甚至更好)的鲁棒性效果;
  • 该方法的关键是在一个迭代步内(backward-propagation)同时更新模型的参数和图片的扰动;
  • 此外,本文的方法因为效率较高,因此可用于训练ImageNet模型,也是第一次用在ImageNet数据集上,在non-targetd PGD攻击下可取得40%的鲁棒性效果。

3. Adversarial Training

image-20201030210945671

  • 对抗训练是将训练集用相应地对抗训练替代并直接训练模型,模型的鲁棒效果取决于使用的对抗样本的强度;
  • 基于快速非迭代式的攻击方法(例如FGSM)对抗训练得到的模型只对非迭代式攻击方法有效,对攻击较强的攻击方法(迭代式攻击)无效。

image-20201030211150925

  • 本文基于Madry提出的鞍点问题求解,该方法已经从理论和经验上都得到了验证;
  • 该方法分为内外两层(inner-outer loop),其中内层基于模型对输入的梯度信息生成对抗样本,计算量和外层更新模型参数相当;
  • 与自然训练相比,自然训练没有内层对输入数据求梯度过程,因此最终(K-PGD)对抗训练的计算量是自然训练的K+1倍。

Motivations

image-20201015104716100

K-PGD algorithm
  • 对抗训练是目前用于提高模型鲁棒性(resistant to attacks)、研究神经网络可解释性的重要方法;
  • 然后,对抗训练是一个很耗时的过程(time-consuming),需要加速。

4 “Free” adversarial training

image-20201029200920372

Free AT-m

**简而言之:**就是同步更新扰动和模型的参数。如上图所示,在使用上升法计算扰动同时使用下降法计算模型的梯度信息。

本文与之前训练不一样的地方体现在:

  • 为了使得总的训练时间和常规网络训练时间相同(相近),将总epoch除以m
  • 在内层循环的时候,虽然是模型参数和扰动同时更新,也正因为如此得到的对抗样本也是攻击型较强的样本,因此训练效果较好(对抗训练的效果一定程度上取决于使用对抗样本的强度);
  • 关于扰动,上一个mini-batch生成的扰动会作为下一个mini-batchwarm-start

**需要特别注意:这种情况下的训练数据集都是对抗样本,没有干净样本!!!**具体可参考PGD paperTowards Deep Learning Models Resistant to Adversarial Attacks.

The effect of mini-batch replay on natural training

问题的提出:

  • 首先是,随着模型的鲁棒性提高,但是仍然希望模型对自然样本的表现不能太差,即随着算法中m的增大,模型的泛化性可能会变差;
  • 问题:那么m是如何影响泛化性的?

image-20201028205122884

image-20201028205623291

  • 训练的cost和之前的对抗训练是差不多的;
  • 使用不同的m进行训练,然后使用不同的K-ierationsPGD方法和CW方法进行攻击;
  • 红框中的数据可表示泛化性,随着m的增加,模型泛化性逐渐变差;但是鲁棒性并不是单调的(这样对m的设置就有要求);
  • 10 ≥ m > 2 10 \ge m >2 10m>2情况下和7-PGD取得的精度差不多,但是时间上却大大少于它。

image-20201028205027538

image-20201028211813309

  • 可以看出,不管是在自然图片上还是对抗图片上,free-training的方法精度都超过了K-PGD adversarial training;
  • free-ATK-PGD AT在增加迭代步上的规律是一样的,即增大mK模型的鲁棒性会增加,但是泛化性会变差;(但是对于Free AT而言,增大m并不会增加时间成本)

5 Robust models on CIFAR-10 and 100

使用PGD对抗训练得到模型的特性

  • 对抗训练得到的模型的梯度更具有解释性;
  • 使得landscape更加平坦和光滑。

6. Does “free” training behave like standard adversarial training?

即根据之前的研究分析,使用PGD作为对抗训练的时候,模型表现出来两种特性:

  • 模型梯度更具有可解释性;
  • 模型的loss surface更加的平坦。

本节分析free AT对抗训练得到的模型是否也具有这样的特性。

Generative behavior for largely perturbed examples

  • 有研究表明:强化分类器的梯度信息更具有可解释性。即从PGD对抗训练得到的模型生成的对抗样本往往看起来和误分类的类别会很像。

image-20201028214313416

  • 第二、三列是根据对抗训练得到的模型基于原始图片生成的对抗样本;(7-PGD attack8-Free AT
  • 对抗生成的图片看起来和他们分类得到的图片“很像”,Free AT训练模型得到的对抗样本更具有生成特性,即看起来集成了目标类别;(万一真就改变了labels呢?)即鲁棒的分类器似乎可以一定程度上做一些之前只有生成模型才能做到的事;
  • 鲁棒模型的梯度更具有解释性,更能代表特征。

Smooth and flattened loss surface

image-20201028215937964

  • 在防御方法中,有一类就是通过隐藏loss的gradients的方法,这样使得基于gradients的攻击方法失效(但是这种方法不怎么被认可)。
  • 对抗训练的另一个特征就是对使得loss的landscape更加平坦和光滑,及对于对抗训练而言,并不是隐藏梯度或使得landscape的梯度很乱。

image-20201028221345479

7. Robust ImageNet classifiers

本文的算法针对非目标攻击提出,有研究表明非目标攻击比目标攻击更加重要,且较目标攻击更具挑战性,基于此原因,一般选择较小的 ϵ \epsilon ϵ

为什么无目标攻击比目标攻击更具挑战性?

为什么无目标攻击就要选择较小的 ϵ \epsilon ϵ

是因为无目标攻击能提供的特征更少?

ImageNet实验中,step-size=1(1./255)

image-20201029090313223

  • 最大扰动量 ϵ = 2. / 255 \epsilon = 2./255 ϵ=2./255
  • 自然训练得到的模型易受PGD的攻击(第一行):
  • Free AT训练得到的鲁棒模型相对PGD-attack具有一定的鲁棒性;
  • 通过比较PGD-50PGD-100,一定程度后再增加PGD中的迭代步并不会再提高攻击成功率(同一行)。(因为这种实验规律性,因此对于更多PGD迭代步的攻击不再实验)

image-20201029090333619

疑问:训练和测试的攻击方法是不是一样的?

  • 每条曲线代表不同的对抗训练(m不同,m=1表示正常训练过程);
  • 对于正常的数据,所有曲线都随着 ϵ \epsilon ϵ的增加模型的精度下降;
  • 对于Free-AT方法训练得到的模型,同样随着 ϵ \epsilon ϵ的增加模型的精度下降,其中 m = 4 m=4 m=4情况下模型性能最好;
  • 对于ImageNet模型,在大的 ϵ \epsilon ϵ下很难训练得到鲁棒的模型。

疑问,为什么较大的扰动 ϵ \epsilon ϵ难以训练得到有效的鲁棒模型?

Comparison with PGD-trained models/model’s capacity

相同模型(结构和超参)、最终的bound相同的情况比较两种方法。

image-20201029110425452

  • 二者的精度相近,但是训练时间差了差不多3.46X
  • 若提高模型的容量(复杂度),则性能接近。(但是模型更复杂后,训练时间也会增加)但是ResNet-101ResNet-152的训练时间分别是ResNet501.7X2.4X下,相较于3.46X还是有差距。

比较方法的有效性: 精度和效率

Free training on models with more capacity

之前的研究已经表明,模型的capacity对对抗训练得到模型的鲁棒性有较大的影响。通过将设置 ϵ = 4. / 255 \epsilon=4./255 ϵ=4./255,比较ResNet-50、ResNet-101和ResNet-150对效果的影响。

image-20201029110439419

Conclusion

  • 对抗训练是研究神经网络可解释性和鲁棒性的重要方法;

未来的可能点:

  • 如何加速对抗训练;
  • 如何提高鲁棒模型的泛化性。

./255$,比较ResNet-50、ResNet-101和ResNet-150对效果的影响。

[外链图片转存中…(img-5rotX9Gi-1608197740002)]

Conclusion

  • 对抗训练是研究神经网络可解释性和鲁棒性的重要方法;

未来的可能点:

  • 如何加速对抗训练;
  • 如何提高鲁棒模型的泛化性。
tangagui
关注
专栏目录
Adversarial Training
weixin_30920513的博客
07-31 2136
原于2018年1月在实验室组会上做的分享,今天分享给大家,希望对大家科研有所帮助。 今天给大家分享一下对抗训练(Adversarial Training,AT)。 为何要选择这个主题呢? 我们从上图的Attention的搜索热度可以看出,Attention在出现后,不断被人们所重视,基本上现在的顶会论文都离不开Attention。 同样,AT的搜索热度也持续高涨,因此,我...
Pytorch-Adversarial-Training-CIFAR:此存储库为CIFAR-10上的对抗训练方法提供了简单的PyTorch实现
02-20
CIFAR-10的Pytorch对抗训练 该存储库为CIFAR-10上的对抗训练方法提供了简单的PyTorch实现。 该存储库显示的精度与原始论文中的精度相似。 如果您对此存储库有疑问,请给我发送电子邮件( )或提出问题。 实验设定 此存储库中使用的基本实验设置遵循使用的设置。 数据集:CIFAR-10(10个类) 攻击方式:PGD攻击 Epsilon大小: L无限边界为0.0314 Epsilon大小:绑定L2时为0.25(用于攻击)或0.5(用于训练) 培训批次大小:128 重量衰减:0.0002 动量:0.9 学习率调整 0.1代表时期[0,100) 纪元0.01 [100,150) 历时0.001 [150,200) 该存储库中使用的ResNet-18体系结构比Madry Laboratory小,但性能相似。 训练方法 1.基本训练 基本训练方法采用He
Smooth Adversarial Training
u013775900的博客
08-10 744
Smooth Adversarial Training 写了AdvProp的这些人又提了一个SAT 写AdvProp主要是朝着提升accuracy的目标去的,说是比AT更好 写SAT则以提升robustness的目标,不是AT的方法不好,是不够smooth,提了准确率又提鲁棒性,amazing 摘要 一般认为网络不能同时准确又鲁棒,获得鲁棒性就意味着失去精度。 也有一般认为除非让网络变大,否则网络架构元素在提高对抗性鲁棒性方面没有多大影响。? 我们的关键发现是广泛使用的ReLU激活函数极.
对抗性训练(Adversarial training
rocsoft
09-03 4116
对抗性训练最大最小化公式: min⁡θE(x,y)∼D[max⁡Δx∈ΩL(x+Δx,y;θ)] \min_{\theta}\mathbb{E}_{(x,y)\sim\mathcal{D}}\left[\max_{\Delta x\in\Omega}L(x+\Delta x, y;\theta)\right] θmin​E(x,y)∼D​[Δx∈Ωmax​L(x+Δx,y;θ)] D\mathcal{D}D表示训练数据,xxx表示输入,yyy表示标签,θ\thetaθ表示模型参数,L(⋅)L(·)L(⋅)表
推荐开源项目:Free Adversarial Training
最新发布
gitblog_00010的博客
06-09 242
推荐开源项目:Free Adversarial Training 项目地址:https://gitcode.com/ashafahi/free_adv_train 在深度学习领域,对抗性训练是提高模型鲁棒性的重要手段之一。而Free Adversarial Training项目,则为这一领域带来了革命性的突破,它通过高效的策略,实现了与PGD(Projected Gradient Descent)...
adversarial-master.zip_adversarial-master_对抗生成_对抗生成网络_生成对抗_生成对抗网
07-14
在"adversarial-master.zip"这个压缩包中,包含的"adversarial-master"项目,很可能是为对抗生成网络初学者设计的一个实践教程。这个项目可能包含了以下内容: 1. **代码结构**:项目可能按照标准的深度学习项目...
75. GAN应用汇总 - Double_V的博客 - CSDN博客1
08-03
风格迁移利用GANs将一种图像风格转移到另一种图像上,例如Markovian Generative Adversarial Networks可以实现实时的纹理风格迁移。 5. **未来预测** GANs还能用于预测未来,例如Age-cGAN可以预测一个人未来的...
CR-GAN-master_GaN_CR-GAN_generation_wherelgw_multi-view_
09-30
CR-GAN(Complete Representation Generative Adversarial Network)是一种深度学习模型,专为多视图生成任务设计。在这个项目“CR-GAN-master_GaN_CR-GAN_generation_wherelgw_multi-view_”中,我们主要关注如何...
Contextual-Adversarial-Patches-master_目标检测对抗样本生成_k34722\cow\\com
10-03
《基于Contextual-Adversarial-Patches的目标检测对抗样本生成技术》 在现代计算机视觉领域,目标检测技术已经取得了显著的进步,特别是在深度学习框架如YOLO(You Only Look Once)的帮助下。然而,随着技术的发展...
ESRGAN-master_heyo_ESRGAN-master_crewxbh_waterpck_zip_
09-30
ESRGAN(Enhanced Super-Resolution Generative Adversarial Networks)是一种先进的深度学习模型,用于图像超分辨率。它通过生成对抗网络(GANs)来提升低分辨率图像的质量,使其接近甚至超越原始高分辨率图像的...
深入理解深度学习——正则化(Regularization):对抗训练(Adversarial Training
热门推荐
冯·诺依曼
06-05 1万+
然而,它们在正则化的背景下很有意思,因为我们可以通过对抗训练(Adversarial Training)减少原有独立同分布的测试集的错误率——在对抗扰动的训练集样本上训练网络。不幸的是,如果一个线性函数具有许多输入,那么它的值可以非常迅速地改变。驱动这种方法的假设是,不同的类通常位于分离的流形上,并且小扰动不会使数据点从一个类的流形跳到另一个类的流形上。不使用真正的标签,而是由训练好的模型提供标签产生的对抗样本被称为虚拟对抗样本(Virtual Adversarial Example)。
论文笔记:Smooth Adversarial Training
weixin_42280069的博客
07-25 499
摘要 人们普遍认为网络不可能同时具有准确性和鲁棒性,获得鲁棒性意味着失去准确性。人们还普遍认为,除非使网络更大,否则网络架构元素在提高对抗的健壮性方面作用不大。在这里,我们提出证据,以挑战这些共同的信念,通过仔细研究对抗性训练。我们主要观察到的是,广泛使用的ReLU激活函数由于其非光滑性,显著削弱了对抗性训练。因此,我们提出平滑对抗训练(SAT),其中我们用平滑逼近代替ReLU,以加强对抗训练。SAT中平滑激活函数的目的是让它在对抗性训练中找到更困难的对抗性例子和计算更好的梯度更新。与标准对抗性训练相比
CS231n Lecture 16 | Adversarial Examples and Adversarial Training
KunBB的博客
10-19 909
Lecture 16主要讲解了什么是对抗样本,为何会发生,它们是如何破坏机器学习系统的,如何防御它们,如何利用它们来提高机器学习性能,即使没有对抗样本。 文章目录What are adversarial examples?Why do they happen?How can they be used to compromise machine learning systems?What are t...
推荐开源项目:Adversarial Training 和可视化工具
gitblog_00050的博客
06-08 417
推荐开源项目:Adversarial Training 和可视化工具 项目地址:https://gitcode.com/ylsung/pytorch-adversarial-training 在这个日益依赖深度学习的时代,模型的鲁棒性成为了研究的焦点。为此,我们向您推荐一个基于PyTorch的开源项目——Adversarial Training and Visualization。该项目专注于在M...
[论文理解]光滑对抗性训练Smooth Adversarial Training
bxdzyhx的博客
12-03 548
1.几个问题 1.1 基本信息 arVix 2020 1.2 做了什么 提出了平滑对抗性训练(standard adversarial traning, SAT) 1.3 实现方法 我们用SAT的平滑近似(一阶导数平滑)代替ReLU,由于平滑激活函数的允许鉴别器在对抗性训练中找到更难的对抗性示例,因此能计算出更好的梯度更新。 1.4 创新性 在没有额外计算开支和精度下降的情况下增强了对抗网络的鲁棒性。方法简单,效果还可以。只是论文中没有仔细阐释why it works. 2.数学部分 & 模型构建.
Virtual Adversarial Training解读
qq_33221657的博客
03-29 3536
对抗训练(Adversarial Training)和虚拟对抗训练(Virtual Adversarial Training),都可以作为正则化方法,来增强机器学习模型的鲁棒性。 一.对抗训练 GAN之父Ian Goodfellow在15年的ICLR中 第一次提出了对抗训练这个概念,简而言之,就是在原始输入样本 x 上加一个扰动 radv ,得到对抗样本后,用其进行训练。也就是说,问题可以被抽象成...
Learning from Simulated and Unsupervised Images through Adversarial Training:解析simGAN
zuber123的博客
04-17 1052
通过对抗式训练从模拟无监督图像中学习 该篇论文为苹果首篇AI论文,且为2017年cvpr的最佳论文。该论文主要通过训练一个对抗式网络,将合成图像中添加真实性的细节,最终得到一个有标签的,类似与真实图像的合成图像。本文将从以下几个方面介绍该论文。 传统GAN网络结构 训练过程 simGAN网络结构 论文创新点 未来研究方向 总结 0.传统GAN网络 对于GAN网络来说,最...
【李宏毅机器学习】adversarial attack 对抗攻击
发现问题,并解决问题,批判性思维
10-13 2198
对抗攻击:DL算法存在着严重的安全隐患,攻击者可以通过给良性样本添加特定噪声而轻易地欺骗DL模型,并且通常不会被人发现。攻击者利用人的视觉/听觉无法感知的扰动,足以使正常训练的模型输出置信度很高的错误预测。被认为是在生产中部署DL模型之前的巨大障碍。 根据威胁模型可以将现有的对抗性攻击分为白盒、灰盒和黑盒攻击。这3种模型之间的差异在于攻击者了解的信息。 在白盒攻击的威胁模型中,假定攻击者具有关于其目标模型的完整知识,包括模型体系结构和参数。因此攻击者可以通过任何方式直接在目标模型上制作对抗性样本。 在灰盒威
Adversarial Training Reconstruction读后感
ds0529的博客
12-11 497
本文思路是根据合成图像的体素重建来推理真实图像的体素重建,并利用了对抗训练。整个框架如下: 可以看到有三个encoder和decoder。分别细说。 混淆图像域: encoder是f,decoder是D_img。D_img分类器是分类合成图像和真实图像,为了实现域混淆,希望合成图像的域和真实图像的域不那么明显,也就是说分类器不能很好分类这两种图像,所以D_img分类器的参数要最大化这个分...
Generative Adversarial zero-shot
04-06
learning is a type of machine learning technique that involves training two deep neural networks: a generator network and a discriminator network. The generator network generates new data samples, such as images or text, while the discriminator network learns to differentiate between real and generated data samples. Zero-shot learning refers to the task of learning to recognize objects or concepts that are not seen during training. In other words, the model is able to recognize new objects based on their relationship to previously seen objects, without any additional training. Generative Adversarial zero-shot learning combines these two techniques to generate new data samples for unseen objects or concepts. The generator network is trained to generate samples for unseen objects, while the discriminator network is trained to recognize these new samples as belonging to the correct unseen object class. This allows the model to recognize new objects without requiring additional training data, making it a useful technique for applications such as image classification and natural language processing.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值