Revisiting Adversarial Training at Scale:一种针对大模型进行加速对抗训练的方法

已于 2024-03-02 11:42:09 修改
阅读量1.1k 收藏 24
点赞数 24
文章标签: 机器学习 人工智能 安全 深度学习
于 2024-02-13 17:15:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/v1716836592/article/details/136104257
版权
本文介绍了一种名为AdvXL的高效对抗训练方法,针对大模型和大规模数据集,通过两阶段训练降低计算成本,实现在ImageNet-1K上的最强鲁棒性。研究还探讨了如何利用CLIP文本编码器处理弱标签数据,以及预训练和微调策略,显著提高了模型的鲁棒性和计算效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

论文: Revisiting Adversarial Training at Scale

代码: https://github.com/UCSC-VLAA/AdvXL

1. 前人缺点和本文贡献

先前的对抗训练仅针对小模型和小数据,比如说ResNet-50模型和CIFAR-10这样小并且低分别率的数据集,对抗训练针对大模型和大数据集的效果还不明朗。并且对抗训练是出了名的资源密集型,限制了它的可扩展性。为了应对这一挑战,研究人员一直在寻求更有效的对抗训练方法。例子包括Free Adversarial Training[51]和Fast Adversarial Training[58],两者都旨在降低训练成本,同时保持模型的鲁棒性对此作者提出以下贡献

(1)引入一种高效的对抗训练方法advXL,使用两段对抗训练(twostage efficient adversarial training),以可承受的计算成本,针对大模型和大数据集(web-scale data)进行对抗性训练,实验表明advXL在ImageNet-1K+AutoAttack下建立了最强的鲁棒性,通过在DataComp-1B数据集上进行训练,我们的AdvXL使一个普通的ViT-g模型大大超过了之前对抗训练在l∞,l2-和L1 下的鲁棒精度记录,分别提高了11.4%,14.2%和12.9%。

                        

(2)使用CLIP的text encoder作为工具让我们学习弱标签图片(web-crawled images),这种训练图片

对于规模化的对抗性训练,通常缺少精确的标签,但有相应的文本描述

2. 论文前置知识

参考笔记:https://blog.csdn.net/weixin_41712499/article/details/110878322

对抗训练基本思想——Min-Max公式

最低0.47元/天 解锁文章
SORA大模型的一点分析与理解
pku_langzi的博客
02-18 421
简要分析SORA的技术博客
论文阅读汇总(1)-【篇数:50】
scu-liu的博客
02-03 3543
这一篇文章作为精读/泛读论文的一个汇总贴。 2021-2-3开始,期待刷到100篇的那一天。 交通大数据 20210203-《Long short-term memory neural network for traffic speed prediction using remote microwave sensor data》 主要内容:利用LSTM NN,先以历史道路速度数据为输入来预测未来的交通速度;然后又以道路速度和交通流量作为输入来预测未来的交通速度。并且通过与多种其他方法进行对比,来展示LST
大模型对抗攻击与防御
whaosoft143ai的博客
11-21 470
事实上,拒绝不被允许的内容类别(比如犯罪建议)是 GPT-4 内置的一个重要的安全措施。Wallace et al. (2019) 的论文《Universal Adversarial Triggers for Attacking and Analyzing NLP》提出了一种在 token 上进行梯度引导式搜索的方法,可以找到诱使模型输出特定预测结果的短序列,这个短序列被称为 Universal Adversarial Triggers (UAT,通用对抗触发器)。原因是所学习到的触发器往往是毫无意义的。
diff-PGD:基于DM改进的PGD攻击
v1716836592的博客
01-15 1874
论文:Diffusion-Based Adversarial Sample Generation for Improved Stealthiness and Controllability。
Boosting Fast Adversarial Training with Learnable Adversarial Initialization
weixin_49171105的博客
11-27 852
为了提高训练效率,在fast AT 中采用快速梯度符号法FGSM,只计算一次梯度,但是鲁棒性不能令人满意。一个原因是可能来自初始化方式,现有的fast AT通常使用随机样本的不可知初始化,这虽然促进了运行效率,但是阻碍了进一步改进鲁棒性。 在本文中以图像分类为重点,提出了一种基于样本的对抗性初始化来增强基于FGSM的快速AT,称为FGSM-SDI,依赖于样本的初始化由生成网络计算,生成网络不仅基于良性图像(该良性图像是指没有对抗性扰动的原始干净图像)还基于目标网络的有符号梯度。良性图像提供了损失景观中的位置
论文阅读笔记2:基于自适应攻击强度的对抗训练
m0_69331164的博客
09-13 1927
这是最近发布在《计算机应用》期刊上的一篇论文。对抗训练的基本思想是通过引入对抗样本来提高模型的鲁棒性。一般分为以下步骤:1、生成对抗样本:一般使用投影梯度下降(PGD)生成对抗样本2、训练模型:使用生成的对抗样本和原始样本一起来训练模型。3、重复迭代:重复执行上述两个步骤,生成新的对抗样本和训练模型,以提高模型的鲁棒性。
对抗训练
欢迎来到道的世界
04-06 696
对抗训练的最初想法最初是由Szegedy等人提出的,其中神经网络是在对抗和干净例子的混合上训练的。Goodfellow等人(2015)更进一步,提出FGSM在训练中产生对抗性例子。然而,他们训练的模型仍然容易受到迭代攻击[Tram` er等人,2018],因为这些方法利用线性函数来近似损失函数,导致相应深度模型的决策表面上的数据点附近的尖锐曲率,这也被称为梯度掩蔽[Papernot等人,2017]。 ...
科研篇(11):ICLR20 分类整理-对抗样本&Meta-Learning
weixin_38316806的博客
05-13 1968
文章目录一、对抗样本1.1Enhancing Transformation-Based Defenses Against Adversarial Attacks with a Distribution Classifier .1.2 Implicit Bias of Gradient Descent based Adversarial Training on Separable Data1.3 Mixup Inference: Better Exploiting Mixup to Defend Advers
【AI视野·今日NLP 自然语言处理论文速览 第八十期】Fri, 1 Mar 2024
TomRen
03-04 1900
AI视野·今日CS.NLP 自然语言处理论文速览 Fri, 1 Mar 2024 Totally 67 papers 👉上期速览✈更多精彩请移步主页 Daily Computation and Language Papers Loose LIPS Sink Ships: Asking Questions in Battleship with Language-Informed Program Sampling Authors Gabriel Grand, Valerio Pepe, Jaco
Understanding and Increasing Efficiency of Frank-Wolfe Adversarial Training
weixin_49171105的博客
12-18 538
我们开发了一个使用 FW 优化 (FW-AT) 进行对抗训练的理论框架,揭示了损失情况与 ℓ∞ FW 攻击的 ℓ2 失真之间的几何联系。我们分析表明,FW 攻击的高失真相当于攻击路径上的小梯度变化。然后在各种深度神经网络架构上通过实验证明,针对鲁棒模型的 ℓ∞ 攻击实现了接近最大的失真,而标准网络具有较低的失真。实验表明,灾难性过拟合与 FW 攻击的低失真密切相关。这种数学透明度将 FW 与投影梯度下降 (PGD) 优化区分开来。为了证明我们的理论框架的实用性,我们开发了 FW-AT-Adapt,这是一种
adversarial training-FreeAT_CSDN
qq_32925101的博客
12-17 3345
Adversarial Training for Free adversarial training for free, NeurIPS 2019 Introduction 首先是鲁棒性的定义:A robust classifier is one that correctly labels adversarially perturbed images. 其次是实现鲁棒性的方法: 检测并剔除对抗样本(detecting and rejecting Adv. Examp.) 然后是对抗训练的问题, 首
学习Fast Adversarial Training with Adaptive Step Size
最新发布
zwz1287164143的博客
05-15 1737
然而,这些单步方法会出现灾难性的过拟合,在训练过程中,针对PGD攻击的准确率突然下降到接近0%,破坏了网络的鲁棒性。但是,由于每次梯度下降的步长相同,因此该过程可能会非常缓慢,从而导致对抗训练的效率低下。本文主要研究了在单步快速对抗训练方法中的灾难性过拟合问题,并提出了一种自适应训练方法ATAS),该方法将内部最大化的步长与输入梯度范数成反比,以防止灾难性过拟合并保持攻击的强度。具体来说,该技术使用了一种称为AdamW的自适应步长算法,通过对模型的参数进行修正来适应不同的数据分布和训练过程。
对抗训练的理论工作添砖加瓦:选择"核心子集"进行训练,大大缩短训练时间...
我爱计算机视觉
01-12 674
关注公众号,发现CV技术之美▊引言深度神经网络极易受到对抗样本的攻击。防御对抗样本攻击一个直观有效的方式就是对抗训练比如Free adversarial training 和Fast a...
Understanding and Improving Fast Adversarial Training
weixin_49171105的博客
03-30 523
我们表明,在FGSM中添加一个随机步长并不能防止灾难性过拟合,而且随机性本身并不重要——它的主要作用只是降低扰动的大小。基于这一观察结果,我们提出了一种新的正则化方法GradAlign,该方法通过显式地最大化摄动集中的梯度对齐来防止灾难性过拟合,并提高了FGSM解决方案的质量。引理表明,对于随机初始化的具有足够多的图像补丁k和滤波器m的cnn,梯度对齐不能小于0.5。我们注意到0.5的下界是相当悲观的,因为它适用于任意大的ε。在所有可能的'∞-范数ε扰动中,具有较小' 2-范数的扰动受益于更好的线性逼近。
BAG OF TRICKS FOR ADVERSARIAL TRAINING
u013775900的博客
10-09 571
对抗训练是最有效的用于提升模型鲁棒性的策略之一。 但是在AT上的许多改进不如简单地提前停止训练过程有效。 基础参数设置的不同对模型的鲁棒性有很大的影响。 本文对基础训练技巧和超参数的设置在对抗训练模型的影响提供了综合性的评估。 十篇文章中的实现细节: ...
LAS-AT阅读笔记
weixin_49171105的博客
07-26 758
LAS-AT:学习自动生成与样本相关的攻击策略来生成对抗样本,整体框架由目标网络和策略网络构成
对抗学习总结:FGSM->FGM->PGD->FreeAT, YOPO ->FreeLb->SMART->LookAhead->VAT
热门推荐
weixin_36378508的博客
04-25 1万+
对抗训练基本思想——Min-Max公式 中括号里的含义为我们要找到一组在样本空间内、使Loss最大的的对抗样本(该对抗样本由原样本x和经过某种手段得到的扰动项r_adv共同组合得到)。这样一组样本组成的对抗样本集,它们所体现出的数据分布,就是该中括号中所体现的。 外层min()函数指的则是,我们面对这种数据分布的样本集,要通过对模型参数的更新,使模型在该对抗样本集上的期望loss最小 对抗训练的核心步骤是: 用被对抗性样本污染过的训练样本来训练模型,直到模型能学习到如此类型的抵抗。从而保证模型的安全.
Fast is better than free: Revisiting adversarial training
weixin_46782905的博客
12-07 2132
2021.12.7 第四篇(ICLR2020) 半精读
revisiting knowledge distillation: an inheritance and exploration framework
12-02
这篇论文回顾了知识蒸馏的概念,并提出了一个继承和探索的框架。知识蒸馏是一种模型压缩的技术,它通过将复杂模型的知识传递给简化的模型来提高模型的性能和效率。在这篇论文中,作者们指出知识蒸馏不仅仅是一种模型压缩的方法,而且还可以作为一种知识传承的方式,帮助理解和解释模型的行为。 在继承和探索的框架中,作者们提出了一种新的知识蒸馏方法,旨在充分利用先前模型中蕴含的知识,使得模型的表现和训练效果更加优秀。该框架还将知识蒸馏与迁移学习和领域自适应等方法相结合,为模型的进一步性能提升提供了可能。 此外,论文还对知识蒸馏的未来发展进行了展望,指出这一框架可以进一步扩展到更广泛的领域,如自然语言处理、计算机视觉和强化学习等方面。这将为研究者们提供更多的可能性和挑战,推动知识蒸馏技术在实际应用中的深入发展。 总的来说,这篇论文通过提出继承和探索的框架,对知识蒸馏的概念进行了重新探讨,并为未来的研究和发展方向提供了新的思路和方法。它为知识蒸馏技术的应用和扩展打开了新的可能性,对学术界和工业界都具有重要意义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值