Attribute-Guided Adversarial Training for Robustness to Natural Perturbation
目录
Attribute-Guided Adversarial Training for Robustness to Natural Perturbation
Attribute-Guided Adversarial Training (AGAT)
摘要
- 现有对抗训练中的轻微扰动难以满足真实世界中存在的扰动。对于现实世界的扰动,通常知道扰动的特征/语义/类型,但没有具体的数据;
- 本文提出一种对抗训练方法,用于产生属性空间上使分类器期望最大的样本。
- 它本质上是一个min-max优化问题,最大化产生对抗扰动,最小化用于优化模型参数;
- 本文可以在三种自然扰动上使用:(1)object-related shifts;(2)geometric transformations;(3)common image corruptions;
- 在MNIST、CIFAR-10和CLEVR dataset上的实验证明了本方法的有效性
方法
图片除label外还存在属性标签α,例如:(1)image formation (lighting, viewing, angle, position);(2)abstract semantic information (color, shape, size, etc.)。
本文致力于对某些自然扰动α鲁棒(相对于普通鲁棒任务,attribute-guided知道测试的属性语义信息)。问题可以表达为N个属性的最糟情况:
代理函数
当前问题是不知道属性空间在哪里,因此无法求导。本文提出使用代理函数(Surrogate Functions):使用可导的代理方程来表示属性变化:
具体来说,(1)对Semantic Object-Level Perturbations:使用AttGAN作为代理函数;(2)对于几何变化:使用Spatial Transformer Networks作为代理函数,α是一个2x3的仿射矩阵,控制rotation, translation, and scale;(3)对于Common Image Corruptions: 使用高斯噪声和高斯模糊滤波,如下图:
Attribute-Guided Adversarial Training (AGAT)
考虑分类器Hθ,训练样本xs,以及对应的预测类别y^和中间特征z,代理函数F以及属性变量α。AGAT有两个目标:(1)最小化分类损失;(2)最大化训练样本和生成扰动之间的差异。因此要最大化训练样本和扰动图片间:(1)属性α的距离(2)特征z的距离。
为了保证扰动图片和训练样本属于同一类,因此存在下列限制:
整体损失表示为:
整体来看,AGAT首先在源样本xs上训练Npre epochs,然后开始增强过程,属性向量更新M次:
具体算法如下:
实验
Common Image Corruptions
- 数据集CIFAR10和CIFAR10-C,其中CIFAR10-C仅测试highest severity腐蚀;
- Baseline包括:(1)Test-Time Training (TTT):训练时仅使用source data,推理时使用测试数据; (2)Adversarial Logit Pairing:防对抗扰动;(3)MADA:像素级别的域增强技巧;(4)GUD;(5)ResNet-26,with group normalization;(6)考虑分类器,有角度预测自监督任务的分类器。
- 本文考虑了三个版本:(1)Additive noise;(2)Gaussian filtering;(3)Composition of Gaussian filter and noise。Npre=100,batch-size=128,M=15,Naug=2 epochs,λ1=0.5;λ2=0.5;β=0.25.
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
