Revisiting Adversarial Training at Scale:一种针对大模型进行加速对抗训练的方法

已于 2024-03-02 11:42:09 修改
阅读量864 收藏 23
点赞数 24
文章标签: 机器学习 人工智能 安全 深度学习
于 2024-02-13 17:15:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/v1716836592/article/details/136104257
版权
本文介绍了一种名为AdvXL的高效对抗训练方法,针对大模型和大规模数据集,通过两阶段训练降低计算成本,实现在ImageNet-1K上的最强鲁棒性。研究还探讨了如何利用CLIP文本编码器处理弱标签数据,以及预训练和微调策略,显著提高了模型的鲁棒性和计算效率。
摘要由CSDN通过智能技术生成

论文: Revisiting Adversarial Training at Scale

代码: https://github.com/UCSC-VLAA/AdvXL

1. 前人缺点和本文贡献

先前的对抗训练仅针对小模型和小数据,比如说ResNet-50模型和CIFAR-10这样小并且低分别率的数据集,对抗训练针对大模型和大数据集的效果还不明朗。并且对抗训练是出了名的资源密集型,限制了它的可扩展性。为了应对这一挑战,研究人员一直在寻求更有效的对抗训练方法。例子包括Free Adversarial Training[51]和Fast Adversarial Training[58],两者都旨在降低训练成本,同时保持模型的鲁棒性对此作者提出以下贡献

(1)引入一种高效的对抗训练方法advXL,使用两段对抗训练(twostage efficient adversarial training),以可承受的计算成本,针对大模型和大数据集(web-scale data)进行对抗性训练,实验表明advXL在ImageNet-1K+AutoAttack下建立了最强的鲁棒性,通过在DataComp-1B数据集上进行训练,我们的AdvXL使一个普通的ViT-g模型大大超过了之前对抗训练在l∞,l2-和L1 下的鲁棒精度记录,分别提高了11.4%,14.2%和12.9%。

                        

(2)使用CLIP的text encoder作为工具让我们学习弱标签图片(web-crawled images),这种训练图片

对于规模化的对抗性训练,通常缺少精确的标签,但有相应的文本描述

2. 论文前置知识

参考笔记:https://blog.csdn.net/weixin_41712499/article/details/110878322

对抗训练基本思想——Min-Max公式


(1)中括号里的含义为,我们要找到一组在样本空间内、使Loss最大的的对抗样本(该对抗样本由原样本x和经过某种手段得到的扰动项r_adv共同组合得到)。这样一组样本组成的对抗样本集,它们所体现出的数据分布,就是该中括号中所体现的。
(2)外层min()函数指的则是,我们面对这种数据分布的样本集,要通过对模型参数的更新,使模型在该对抗样本集上的期望loss最小

主要做法为:

  • 首先先做梯度上升,找到最佳扰动r,使得loss最大;
  • 其次梯度下降,找到最佳模型参数(所有层的模型参数,这一步和正常模型更新、梯度下降无异),使loss最小。

针对内部最大化问题,作者采用了广泛认可的基于pgd的对抗训练(PGD-AT)方法来解决,该方法以其鲁棒性和计算效率而闻名,针对外部最小化问题,我们通常采用随机梯度下降(Stochastic Gradient Descent)或AdamW等优化算法[38],使用交叉熵作为损失函数L

3. advXL对抗训练的原理

3.1 基本思想

我们的对抗性训练有两个阶段的过程:轻量级的预训练阶段和密集的微调阶段。在预训练阶段,模型在较短的令牌长度( image token reduction,即图片的部分或降低分辨率后的图片)和较弱的攻击下进行训练,持续时间相对较长,然后,在随后的微调阶段,使用全分辨率和更强攻击的输入来训练模型。与普通的单阶段对抗训练管道相比,这种从粗到精、从弱到强、两阶段训练管道显著降低了总体训练成本,使其在计算上能够承受进一步的扩展

3.2  image token reduction

(1)Random Masking随机掩盖

(2)Block Masking区域掩盖,这种方法保留图像中连续大块中的令牌,同时丢弃其他令牌。这种方法利用了对象在图像中心区域的常见位置,潜在地保留了语义上有意义的标记,同时显著降低了冗长输入的计算成本。

(3)Resizing图片缩放:例如将原来224 x 224图像大小调整为112 × 112在计算上类似于将75%的掩蔽率应用于将图像大小调整为224 × 224。在我们的方法中,我们选择抗混叠双线性插值来更好地保持图像质量

3.3 Weak-to-strong training. 

另一个会影响对抗训练速度的因素是生成对抗样本所需要的梯度步骤gradient steps,一般来说增加梯度步骤的数量会导致更强的攻击并增强模型的对抗鲁棒性,但不可避免地会增加计算成本,据报道,通过对抗训练形成一个健壮的网络可能需要更长的时间,比建立一个非健壮的等效网络多3到30倍[51],先前的研究[44,51,59]提出了回收梯度信息或使用小型生成器网络等策略来减轻对抗性训练中显著的计算负担,作者在预训练阶段应用少量的PGD步骤(例如,PGD-1),随后在微调阶段增加了PGD步骤(例如,PGD-3),这种方法提供了显著的额外加速,提高了从粗到精的训练管道获得的效率(例如,高达2倍),因为解决对抗性训练的内部优化通常需要多次迭代的优化,并且非常耗时

3.4 Fine-tuning

我们发现,在短时间内使用全分辨率输入和更强的攻击对我们的模型进行进一步的对抗性训练,可以产生相当大的改进,并提供更高鲁棒性与更低时间消耗之间的权衡,与预训练阶段相比,微调阶段明显更短,通常减少一到两个数量级。因此,尽管每个样本可能需要大量的图像令牌,并且在此微调阶段需要更多的梯度步骤(例如,通过切换回强PGD-3攻击者,需要2倍),总体计算量不会显着增加

3.5 CLIP Embedding for Web-Crawled Images

先前的工作已经利用预训练CLIP文本编码器的零射击泛化能力(zero-shot generalization)[47]来帮助一系列下游任务,包括目标检测,分割,同样我们在此提出使用CLIP文本编码器在具有详细文本描述数据集上训练分类器的权重,如LAION-400M[50]和DataComp1B[18]。此外,在这些庞大的数据集上进行对抗性训练,使模型能够超越预定义的类别,并通过自然语言监督直接学习复杂的类关系.(Similarly, we hereby propose to employ CLIP text encoder to extract classifier weights when training on web-crawled large-scale datasets with open text descriptions)

损失函数

                

对抗性训练框架可以描述如下,其中ft(Text Encoder)的参数是冻结的,仅训练ft(Image Encoder)的参数(这一段还不懂在干什么,等代码)

4 实验

4.1 具体实现

数据集

ImageNet-1K,ImageNet-21K硬标签数据,LAION-400M和DataComp-1B两个从互联网上抓取的有文本描述信息的弱标签数据,我们选择的训练数据集涵盖了广泛的代表性数据集,从1M到1B个样本

训练

我们的训练从使用图像大小为112 × 112和步长为4/255的PGD-1的预训练阶段开始。随后,模型采用图像尺寸为224 × 224,步长为4/255的PGD-3进行微调阶段。我们主要关注的是ViT模型,采用了AdamW优化器[38],它具有短期线性学习率预热,然后是余弦学习率计划。对抗训练分为pre-training阶段和fine-tuning阶段,都是200epochs

评价模型鲁棒性

使用AutoAttack

advXL其他参数

这三种方法都有显著的计算速度提升。值得注意的是,在这些策略中,图像调整大小显示出更优越的性能,可能是因为它受信息丢失的影响最小,将输入图像的大小调整为112 × 112会导致总计算量减少75%,而干净精度仅略微下降2.5%,PGD-20鲁棒精度仅下降2.0%。我们选择112 × 112的图像大小作为预训练的默认设置,因为它在效率和性能之间取得了令人满意的平衡

4.2 对比现阶段SOTA模型

这是基于I∞,I2 I1下对比各个SOTA训练方式下模型鲁棒性的比较,对于每个模型,我们报告了它使用的训练集,它使用的训练样本的数量和分辨率,它是否使用预训练的权重,数据集上的“+”表示除了ImageNet-1K之外,在训练过程中使用的任何其他数据集。由于其前所未有的模型和数据规模,我们的AdvScale成功地确保了所有三个稳健性指标的最新记录

5 核心代码

coming soon

6 重要参考文献

[51]Ali Shafahi, Mahyar Najibi, Mohammad Amin Ghiasi,Zheng Xu, John Dickerson, Christoph Studer, Larry S Davis,Gavin Taylor, and Tom Goldstein. Adversarial training for
free! NeurIPS, 32, 2019

[58]Eric Wong, Leslie Rice, and J. Zico Kolter. Fast is better than free: Revisiting adversarial training. In ICLR, 2020

[59] Chaowei Xiao, Bo Li, Jun-Yan Zhu, Warren He, Mingyan Liu, and Dawn Song. Generating adversarial examples with adversarial networks. IJCAI, 2018

[44] Omid Poursaeed, Isay Katsman, Bicheng Gao, and Serge Belongie. Generative adversarial perturbations. In CVPR, 2018.

快乐的鸡农
关注
  • 24
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
revisiting_vue_front:技术访问的前端计划
03-06
一个Vue.js项目 构建设置 # install dependencies npm install # serve with hot reload at localhost:8080 npm run dev # build for production with minification npm run build 有关工作原理的详细说明,请参阅...
ismir2018-revisiting-svd:重温歌唱语音检测
05-03
具有相同的标签,训练/有效/测试集,如网站中所述。 我们使用了61首包含人声的歌曲,这些歌曲可以在medleydb_vocal_songs.txt找到。 注意:MedleyDB不提供人声注释,因此我们使用提供的乐器激活注释生成了标签。 ...
diff-PGD:基于DM改进的PGD攻击
v1716836592的博客
01-15 1261
论文:Diffusion-Based Adversarial Sample Generation for Improved Stealthiness and Controllability。
Boosting Fast Adversarial Training with Learnable Adversarial Initialization
weixin_49171105的博客
11-27 646
为了提高训练效率,在fast AT 中采用快速梯度符号法FGSM,只计算一次梯度,但是鲁棒性不能令人满意。一个原因是可能来自初始化方式,现有的fast AT通常使用随机样本的不可知初始化,这虽然促进了运行效率,但是阻碍了进一步改进鲁棒性。 在本文中以图像分类为重点,提出了一种基于样本的对抗性初始化来增强基于FGSM的快速AT,称为FGSM-SDI,依赖于样本的初始化由生成网络计算,生成网络不仅基于良性图像(该良性图像是指没有对抗性扰动的原始干净图像)还基于目标网络的有符号梯度。良性图像提供了损失景观中的位置
adversarial training-FreeAT_CSDN
qq_32925101的博客
12-17 2651
Adversarial Training for Free adversarial training for free, NeurIPS 2019 Introduction 首先是鲁棒性的定义:A robust classifier is one that correctly labels adversarially perturbed images. 其次是实现鲁棒性的方法: 检测并剔除对抗样本(detecting and rejecting Adv. Examp.) 然后是对抗训练的问题, 首
论文阅读笔记2:基于自适应攻击强度的对抗训练
m0_69331164的博客
09-13 1348
这是最近发布在《计算机应用》期刊上的一篇论文。对抗训练的基本思想是通过引入对抗样本来提高模型的鲁棒性。一般分为以下步骤:1、生成对抗样本:一般使用投影梯度下降(PGD)生成对抗样本2、训练模型:使用生成的对抗样本和原始样本一起来训练模型。3、重复迭代:重复执行上述两个步骤,生成新的对抗样本和训练模型,以提高模型的鲁棒性。
Understanding and Increasing Efficiency of Frank-Wolfe Adversarial Training
weixin_49171105的博客
12-18 487
我们开发了一个使用 FW 优化 (FW-AT) 进行对抗训练的理论框架,揭示了损失情况与 ℓ∞ FW 攻击的 ℓ2 失真之间的几何联系。我们分析表明,FW 攻击的高失真相当于攻击路径上的小梯度变化。然后在各种深度神经网络架构上通过实验证明,针对鲁棒模型的 ℓ∞ 攻击实现了接近最大的失真,而标准网络具有较低的失真。实验表明,灾难性过拟合与 FW 攻击的低失真密切相关。这种数学透明度将 FW 与投影梯度下降 (PGD) 优化区分开来。为了证明我们的理论框架的实用性,我们开发了 FW-AT-Adapt,这是一种新
javascripting-revisiting:javascripting模块简介
02-12
这个"javascripting-revisiting"项目可能是该平台的一个复习或进阶版,旨在帮助用户巩固和深化对JavaScript的理解。在深入探讨之前,让我们先了解一下JavaScript的基础知识。 JavaScript是一种轻量级的解释型编程...
视觉表征无监督学习的对比方法再探讨_Revisiting Contrastive Methods for Unsupervise
02-09
论文"Revisiting Contrastive Methods for Unsupervised Learning of Visual Representations"对这一领域进行了深入研究,探讨了现有方法在不同数据集上的表现,以及如何通过微调来提升表示学习的效果。 首先,作者...
对抗训练的理论工作添砖加瓦:选择"核心子集"进行训练,大大缩短训练时间...
我爱计算机视觉
01-12 550
关注公众号,发现CV技术之美▊引言深度神经网络极易受到对抗样本的攻击。防御对抗样本攻击一个直观有效的方式就是对抗训练比如Free adversarial training 和Fast a...
Understanding and Improving Fast Adversarial Training
weixin_49171105的博客
03-30 429
我们表明,在FGSM中添加一个随机步长并不能防止灾难性过拟合,而且随机性本身并不重要——它的主要作用只是降低扰动的大小。基于这一观察结果,我们提出了一种新的正则化方法GradAlign,该方法通过显式地最大化摄动集中的梯度对齐来防止灾难性过拟合,并提高了FGSM解决方案的质量。引理表明,对于随机初始化的具有足够多的图像补丁k和滤波器m的cnn,梯度对齐不能小于0.5。我们注意到0.5的下界是相当悲观的,因为它适用于任意大的ε。在所有可能的'∞-范数ε扰动中,具有较小' 2-范数的扰动受益于更好的线性逼近。
BAG OF TRICKS FOR ADVERSARIAL TRAINING
u013775900的博客
10-09 511
对抗训练是最有效的用于提升模型鲁棒性的策略之一。 但是在AT上的许多改进不如简单地提前停止训练过程有效。 基础参数设置的不同对模型的鲁棒性有很大的影响。 本文对基础训练技巧和超参数的设置在对抗训练模型的影响提供了综合性的评估。 十篇文章中的实现细节: ...
Fast is better than free: Revisiting adversarial training
weixin_46782905的博客
12-07 1922
2021.12.7 第四篇(ICLR2020) 半精读
#今日论文推荐# 对抗训练理论分析:自适应步长快速对抗训练
w1hsxn的博客
06-24 131
该论文是关于对抗训练理论分析性的文章。
LAS-AT阅读笔记
weixin_49171105的博客
07-26 683
LAS-AT:学习自动生成与样本相关的攻击策略来生成对抗样本,整体框架由目标网络和策略网络构成
对抗学习总结:FGSM->FGM->PGD->FreeAT, YOPO ->FreeLb->SMART->LookAhead->VAT
热门推荐
weixin_36378508的博客
04-25 1万+
对抗训练基本思想——Min-Max公式 中括号里的含义为我们要找到一组在样本空间内、使Loss最大的的对抗样本(该对抗样本由原样本x和经过某种手段得到的扰动项r_adv共同组合得到)。这样一组样本组成的对抗样本集,它们所体现出的数据分布,就是该中括号中所体现的。 外层min()函数指的则是,我们面对这种数据分布的样本集,要通过对模型参数的更新,使模型在该对抗样本集上的期望loss最小 对抗训练的核心步骤是: 用被对抗性样本污染过的训练样本来训练模型,直到模型能学习到如此类型的抵抗。从而保证模型的安全.
引领未来:在【PyCharm】中利用【机器学习】与【支持向量机】实现高效【图像识别】
最新发布
小李很执着的博客
07-12 3261
支持向量机(SVM)进行图像识别的完整过程,包括从获取并可视化MNIST数据集、进行数据标准化、划分训练和测试集、通过网格搜索优化SVM模型、评估模型性能到预测新图像的各个步骤,并在代码中添加了调试输出和计时器以便更好地跟踪和优化整个过程。
revisiting knowledge distillation: an inheritance and exploration framework
12-02
这篇论文回顾了知识蒸馏的概念,并提出了一个继承和探索的框架。知识蒸馏是一种模型压缩的技术,它通过将复杂模型的知识传递给简化的模型来提高模型的性能和效率。在这篇论文中,作者们指出知识蒸馏不仅仅是一种模型压缩的方法,而且还可以作为一种知识传承的方式,帮助理解和解释模型的行为。 在继承和探索的框架中,作者们提出了一种新的知识蒸馏方法,旨在充分利用先前模型中蕴含的知识,使得模型的表现和训练效果更加优秀。该框架还将知识蒸馏与迁移学习和领域自适应等方法相结合,为模型的进一步性能提升提供了可能。 此外,论文还对知识蒸馏的未来发展进行了展望,指出这一框架可以进一步扩展到更广泛的领域,如自然语言处理、计算机视觉和强化学习等方面。这将为研究者们提供更多的可能性和挑战,推动知识蒸馏技术在实际应用中的深入发展。 总的来说,这篇论文通过提出继承和探索的框架,对知识蒸馏的概念进行了重新探讨,并为未来的研究和发展方向提供了新的思路和方法。它为知识蒸馏技术的应用和扩展打开了新的可能性,对学术界和工业界都具有重要意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值