对抗训练NLP

于 2023-09-25 11:09:41 发布
阅读量84 收藏
点赞数
文章标签: 自然语言处理 深度学习 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43896398/article/details/123509615
版权

文章目录

对抗训练是一种引入噪声的训练方式,可以对参数进行正则化,提升模型鲁棒性和泛化能力。

也就是在输入的层次增加扰动,根据扰动产生的样本,来做一次反向传播。
对抗样本一般需要具有两个特点

  • 相对于原始输入,所添加的扰动是微小的;
  • 能使模型犯错。

用一句话形容对抗训练的思路,就是在输入上进行梯度上升(增大loss)(使得输入尽可能跟原来不一样),在参数上进行梯度下降(减小loss)(使得模型尽可能能够正确识别)。由于输入会进行embedding lookup,所以实际的做法是在embedding table上进行梯度上升

接下来介绍不同的方法,后续方法优化的主要方向有两点得到更优的扰动 & 提升训练速度

一、FGSM (Fast Gradient Sign Method): ICLR2015

FGSM的全称是Fast Gradient Sign Method(快速梯度下降法)
https://www.cnblogs.com/tangweijqxx/p/10615950.html
是由Goodfellow提出对抗训练时的方法,假设对于输入的梯度为:
在这里插入图片描述

那扰动肯定是沿着梯度的方向往损失函数的极大值走:
在这里插入图片描述
FGSM作者的想法很简单,就是将扰动( r a d v r_adv radv)加到参数中,这样就能使得损失值越来越大,模型将输入图像错分类成正确类别以外的其他任何一个类别都算攻击成功(即加入扰动,使模型分类错误)。其论文是通过对损失函数做一个梯度,然后对梯度取sign,其中sign是个分段函数,>0 为1,小于0为-1,等于0为0。缺点: 但是存在一个问题,就是会改变梯度的方向。

二、FGM (Fast Gradient Method): ICLR2017

FSGM是每个方向上都走相同的一步,Goodfellow后续提出的FGM则是根据具体的梯度进行scale,得到更好的对抗样本:

在这里插入图片描述

伪代码:

对于每个x:
  1.计算x的前向loss、反向传播得到梯度
  2.根据embedding矩阵的梯度计算出r,并加到当前embedding上,相当于x+r
  3.计算x+r的前向loss,反向传播得到对抗的梯度,累加到(1)的梯度上
  4.将embedding恢复为(1)时的值
  5.根据(3)的梯度对参数进行更新


# 初始化
fgm = FGM(model)
for batch_input, batch_label in data:
    # 正常训练
    loss = model(batch_input, batch_label)
    loss.backward() # 反向传播,得到正常的grad
    # 对抗训练
    fgm.attack() # 在embedding上添加对抗扰动
    loss_adv = model(batch_input, batch_label)
    loss_adv.backward() # 反向传播,并在正常的grad基础上,累加对抗训练的梯度
    fgm.restore() # 恢复embedding参数
    # 梯度下降,更新参数
    optimizer.step()
    model.zero_grad()

FGM实现代码

import torch
class FGM():
    def __init__(self, model):
        self.model = model
        self.backup = {}
 
    def attack(self, epsilon=1., emb_name='emb.'):
        # emb_name这个参数要换成你模型中embedding的参数名
        for name, param in self.model.named_parameters():
            if param.requires_grad and emb_name in name:
                self.backup[name] = param.data.clone()
                norm = torch.norm(param.grad)
                if norm != 0 and not torch.isnan(norm):
                    r_at = epsilon * param.grad / norm
                    param.data.add_(r_at)
 
    def restore(self, emb_name='emb.'):
        # emb_name这个参数要换成你模型中embedding的参数名
        for name, param in self.model.named_parameters():
            if param.requires_grad and emb_name in name: 
                assert name in self.backup
                param.data = self.backup[name]
        self.backup = {}

三、PGD (Projected Gradient Descent): ICLR2018

FGM直接通过epsilon参数一下子算出了对抗扰动,这样得到的可能不是最优的。因此PGD进行了改进,多迭代几次,慢慢找到最优的扰动。
FGM简单粗暴的“一步到位”,可能走不到约束内的最优点。PGD则是“小步走,多走几步”,如果走出了扰动半径为epsilon的空间,就映射回“球面”上,以保证扰动不要过大
在这里插入图片描述

在这里插入图片描述

伪代码:

对于每个x:
  1.计算x的前向loss、反向传播得到梯度并备份
  对于每步t:
    2.根据embedding矩阵的梯度计算出r,并加到当前embedding上,相当于x+r(超出范围则投影回epsilon内)
    3.t不是最后一步: 将梯度归0,根据1的x+r计算前后向并得到梯度
    4.t是最后一步: 恢复(1)的梯度,计算最后的x+r并将梯度累加到(1)5.将embedding恢复为(1)时的值
  6.根据(4)的梯度对参数进行更新

可以看到,在循环中r是逐渐累加的,要注意的是最后更新参数只使用最后一个x+r算出来的梯度

四、FreeAT (Free Adversarial Training): NIPS2019

从FGSM到PGD,主要是优化对抗扰动的计算,虽然取得了更好的效果,但计算量也一步步增加。对于每个样本,FGSM和FGM都只用计算两次,一次是计算x的前后向,一次是计算x+r的前后向。而PGD则计算了K+1次,消耗了更多的计算资源。因此FreeAT被提了出来,在PGD的基础上进行训练速度的优化。

FreeAT的思想是在对每个样本x连续重复m次训练,计算r时复用上一步的梯度,为了保证速度,整体epoch会除以m。r的更新公式为:
在这里插入图片描述
伪代码:

初始化r=0
对于epoch=1...N/m:
  对于每个x:
    对于每步m:
      1.利用上一步的r,计算x+r的前后向,得到梯度
      2.根据梯度更新参数
      3.根据梯度更新r

缺点: FreeLB指出,FreeAT的问题在于每次的r对于当前的参数都是次优的(无法最大化loss),因为当前r是由r(t-1)和theta(t-1)计算出来的,是对于theta(t-1)的最优。

Greeksilverfir
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
面向NLP自然语言处理的深度学习对抗样本综述.pdf
04-21
面向NLP自然语言处理的深度学习对抗样本综述.pdf 深度学习模型被证明存在脆弱性并容易遭到对抗样本的攻击,但目前对于对抗样本的研究主要集中在计算机视觉领域而忽略了自然语言处理模型的安全问题。针对自然语言处理...
对抗训练
Fan9_的博客
05-17 8983
文章目录1、定义2、对抗训练:从CV到NLP2.1 CV中的数据格式2.2 NLP中数据格式3、对抗样本与数据增强样本4 如何确定微小扰动4.1 Fast Gradient Sign Method(FGSM)4.2 Fast Gradient Method(FGM)4.3 Projected Gradient Descent(PGD)5 实验结果6 实现6.1 pytorch实现[2]6.2 keras实现[3] 1、定义 对抗样本:对输入增加微小扰动得到的样本。旨在增加模型损失。 对抗训练训练模型去区分
NLP中的对抗训练
HUSTHY的博客
01-19 6866
NLP中的对抗训练 FGM PGD FreeLB SMART import torch class FGM(): ''' Example # 初始化 fgm = FGM(model,epsilon=1,emb_name='word_embeddings.') for batch_input, batch_label in data: # 正常训练 loss = model(batch_input, batch_label)
对抗训练方法:保卫人工智能的盾牌
Chaos的博客
05-12 1148
在当今人工智能技术迅猛发展的时代,保护模型的鲁棒性和安全性变得尤为重要。对抗训练方法应运而生,作为一种有效的防御手段,能够使模型在面对各种攻击和噪声时保持高度的稳定性和准确性。本文将详细介绍对抗训练方法的原理,结合代码讲解,同时探讨其在NLP领域的应用,以及面临的挑战和解决方案。
NLPNLP中的对抗训练
fengdu78的博客
11-08 783
作者|王嘉宁@华师数据学院整理|NewBeeNLPhttps://blog.csdn.net/qq_36426650/article/details/122807916对抗训练本质是为了提高模型的鲁棒性,一般情况下在传统训练的基础上,添加了对抗训练是可以进一步提升效果的,在比赛打榜、调参时是非常重要的一个trick。对抗训练在CV领域内非常常用,那么在NLP领域如何使用呢?本文简单...
对抗训练NLP中的应用实验报告1
08-04
1.背景GAN 之父 Ian Goodfellow 在 15 年的 ICLR[1]第一次提出了对抗训练这个概念,简而言之,就是在原始输入样本上加一个扰动,得到对
如何提高NLP模型鲁棒性和泛化能力?对抗训练论文综述.rar
10-18
如何提高NLP模型鲁棒性和泛化能力?对抗训练论文综述.rar
AtNRE:神经关系提取的对抗训练
05-15
2017年自然语言处理中的经验方法会议(EMNLP),丹麦哥本哈根。 有关数据,请参考我们论文中的参考文献,并从数据集的原始来源下载。 NYT原始数据集(,) 原始的NAACL数据集(,) 对于我们的结果的可重复性,...
对抗样本与对抗训练
热门推荐
cdpac的博客
12-07 3万+
本文将会介绍对抗样本与对抗训练的相关知识(请将此对抗训练与Ian Goodfellow的生成对抗网络区别开来)。综合Ian Goodfelow在Burkeley CS 294-131的deeplearning topic上面的讲义,我将从以下几个方面介绍: 什么是对抗样本? 它们是怎么出现的? 它们是怎么危害到机器学习系统? 有什么办法防范? 怎样使用对抗样本训练机器学习?
对抗学习总结:FGSM->FGM->PGD->FreeAT, YOPO ->FreeLb->SMART->LookAhead->VAT
weixin_36378508的博客
04-25 9555
对抗训练基本思想——Min-Max公式 中括号里的含义为我们要找到一组在样本空间内、使Loss最大的的对抗样本(该对抗样本由原样本x和经过某种手段得到的扰动项r_adv共同组合得到)。这样一组样本组成的对抗样本集,它们所体现出的数据分布,就是该中括号中所体现的。 外层min()函数指的则是,我们面对这种数据分布的样本集,要通过对模型参数的更新,使模型在该对抗样本集上的期望loss最小 对抗训练的核心步骤是: 用被对抗性样本污染过的训练样本来训练模型,直到模型能学习到如此类型的抵抗。从而保证模型的安全.
炼丹之道 | NLP中的对抗训练
zenRRan的博客
11-08 324
每天给你送来NLP技术干货!作者|王嘉宁@华师数据学院整理|NewBeeNLPhttps://blog.csdn.net/qq_36426650/article/details/122807916对抗训练本质是为了提高模型的鲁棒性,一般情况下在传统训练的基础上,添加了对抗训练是可以进一步提升效果的,在比赛打榜、调参时是非常重要的一个trick。对抗训练在CV领域内非常常用,那么在N...
NLP几种常用的对抗训练方法
夏栀的博客
02-07 7125
NLP几种常用的对抗训练方法   对抗训练本质是为了提高模型的鲁棒性,一般情况下在传统训练的基础上,添加了对抗训练是可以进一步提升效果的,在比赛打榜、调参时是非常重要的一个trick。对抗训练在CV领域内非常常用,那么在NLP领域如何使用呢?本文简单总结几种常用的对抗训练方法。   对抗训练旨在对原始输入样本 xxx 上施加扰动 radvr_{adv}radv​,得到对抗样本后用其进行训练: 公式理解: 最大化扰动:挑选一个能使得模型产生更大损失(梯度较大)的扰动量,作为攻击; 最小化损失:根据最大
FGM对抗训练
pythonwyq的博客
06-26 4889
对抗训练无论是在CV领域还是在NLP领域都具有举足轻重的地位,在NLP比赛中,抗训练确确实实能够提升模型在具体任务上的泛化性能。 ​
adversarial training-FreeAT_CSDN
qq_32925101的博客
12-17 2564
Adversarial Training for Free adversarial training for free, NeurIPS 2019 Introduction 首先是鲁棒性的定义:A robust classifier is one that correctly labels adversarially perturbed images. 其次是实现鲁棒性的方法: 检测并剔除对抗样本(detecting and rejecting Adv. Examp.) 然后是对抗训练的问题, 首
BERT模型—6.对抗训练原理与代码实现
柳杰的博客
07-29 5230
文章目录引言一、对抗训练一般原理1.对抗样本二、对抗训练的经典算法三、对抗训练代码实现1.FGM2.PGD 引言   对抗训练对于NLP来说,是一种非常好的上分利器,所以,非常有必要加深对对抗训练的认识。 一、对抗训练一般原理   小学语文课上,我们都学习过《矛与盾》这篇课文, 从辩证唯物史观角度来看,矛与盾并没有严格意义上的谁更厉害,谁一直占优。矛盾着的双方又同一又斗争,双方力量此长彼消,不断前进,从而推动事物发展。这也就是对抗训练。 1.对抗样本   两句话,只是部分英文单词发生了改变,但是在我们看来
CS231n 笔记- 对抗模型和对抗训练
iwill323的博客
08-27 1251
CS231n 笔记 Adversarial Training
对抗训练(Adversarial training)
rocsoft
09-03 3803
对抗训练最大最小化公式: min⁡θE(x,y)∼D[max⁡Δx∈ΩL(x+Δx,y;θ)] \min_{\theta}\mathbb{E}_{(x,y)\sim\mathcal{D}}\left[\max_{\Delta x\in\Omega}L(x+\Delta x, y;\theta)\right] θmin​E(x,y)∼D​[Δx∈Ωmax​L(x+Δx,y;θ)] D\mathcal{D}D表示训练数据,xxx表示输入,yyy表示标签,θ\thetaθ表示模型参数,L(⋅)L(·)L(⋅)表
关于对抗训练的记录
u013453936的专栏
08-12 1350
最近看了一些关于对抗训练的论文,作一些笔记以备以后可以查看回顾。 现实中的时间序列或图像,往往都是连续的。而我们输入到模型中的数据,往往是不连续的。连续的输入往往能产生较好的模型泛化能力。因此,有人提出在输入中加入微小扰动试图使模型更好的对抗噪声扰动。[1]提出fast gradient sign method来生成对抗样本,将对抗样本的损失加入到原有的损失函数,进行训练,可以使模型更好的对抗扰...
bert ner对抗训练
最新发布
11-02
BERT(Bidirectional Encoder Representations from Transformers,双向编码器表示转换器模型)是一种用于预训练自然语言处理任务的深度双向Transformer模型。NER(Named Entity Recognition,命名实体识别)是自然...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值