點選下方卡片,關注“CVer”公眾號AI/CV重磅乾貨,第一時間送達中科院信工所/中山大學操曉春教授課題組,香港中文大學(深圳)吳保元教授課題組,騰訊AI Lab共同提出的一種基於先驗指導的對抗樣本初始化方法已被ECCV2022接收。對抗訓練是抵禦對抗樣本攻擊最有效的方法之一。標準的對抗訓練往往使用多步的方法來生成對抗樣本,如PGD。然而,這需要花費大量時間來計算梯度。為了提高對抗訓練的效率,快速對抗訓練(FAT)應運而生。但FAT往往存在災難性遺忘的問題,例如在FAT中後段,訓練模型在對抗攻擊下的魯棒準確率會突然急劇下降。針對這個問題,本文透過比較標準對抗訓練與FAT的訓練過程,發現導致FAT出現災難性遺忘的原因是FAT中產生的對抗樣本(AEs)的攻擊成功率在訓練中逐漸變低。作者透過提出一種基於先驗指導的(Prior-Guided)對抗樣本初始化方法來解決FAT中的災難性遺忘的問題,從而提升FAT的效果。
論文標題: Prior-Guided Adversarial Initialization for Fast Adversarial Training收錄會議: ECCV 2022論文連結: https://arxiv.org/pdf/2207.08859.pdf程式碼連結:https://github.com/jiaxiaojunQAQ/FGSM-PGI
1. 問題背景
傳統的對抗訓練可以歸類為一個最小最大化最佳化問題:
其中表示引數為的模型,為損失函式,表示在輸入空間上新增的對抗擾動,其大小可以被限制。從而多步的對抗攻擊方法可以被定義為:
其中表示在第次迭代時的擾動,表示攻擊步長,為將輸入影射到的投影。
儘管多步的對抗訓練方法可以有效提高模型的魯棒性,但這往往需要大量時間和計算資源來生成訓練中的對抗樣本。隨後,快速對抗訓練透過單步快速梯度符號(FGSM)的方法被提出用以提升生成對抗樣本的效率:
其中是最大擾動強度。儘管基於FGSM的對抗訓練方法起到了較好的加速效果,但是具有災難性遺忘的問題,即在使用基於FGSM的方法對抗訓練一段時間後,訓練模型的魯棒性會迅速消失,無法抵禦PGD所產生的對抗樣本的攻擊。Wong等人提出了在基於FGSM的對抗樣本生成中加入隨機初始化,即
其中表示隨機初始化,是一個高斯分佈。而Andriushchenko等人的工作表明生成對抗樣本時新增隨機初始化並不能防止災難性遺忘的發生。
2. 基本先驗指導的對抗初始化
2.1 審視災難性遺忘
對抗訓練的災難性遺忘是指在快速對抗訓練中後期模型的魯棒準確率突然降低到的現象,如下圖右所示
這種現象最先由Wong等人發現,隨後他們又發現使用FGSM生成對抗樣本時使用隨機初始化可以延緩災難性遺忘發生的時間,但是隨著訓練的進行,災難性遺忘還是無法避免。
為了研究災難性遺忘發生的原因,本文首先對基於PGD的標準對抗訓練(SAT)以及基於FGSM的快速對抗訓練(FAT)中途所生成的對抗樣本進行比較和研究。透過觀察上圖左,本文發現:(1)由標準的FGSM-AT與新增隨機初始化的FGSM-RS生成的對抗樣本的攻擊成功率(ASR)分別在第20個和第74個epoch降低到,從而導致了災難性遺忘的發生。這預示著如果對抗訓練途中生成的對抗樣本喪失了攻擊性,則模型的魯棒性會迅速降低;(2)透過比較FGSM-AT與FGSM-RS發現加入隨機初始化可以延緩災難性遺忘的發生,但是無法避免;(3)PGD-2-AT中沒有發生災難性遺忘。由於PGD-2-AT可以認為是帶有對抗初始化(adversarial initialization)的FSGM,因此對抗初始化可以提高所生成的對抗樣本的質量,儘管進行對抗初始化需要額外的梯度計算。
2.2 基於先驗指導的對抗初始化
透過上述觀察,本文作者轉而思考如何有效的得到對抗初始化而不需要額外的計算開銷。作者提出可以使用訓練過程中的歷史對抗擾動,來作為當前時刻的初始化。而這種歷史對抗擾動可以認為是不需要進行額外計算就能得到的先驗知識。本文探索了三種利用歷史對抗擾動的策略,即(1)先前batch生成的擾動;(2)先前epoch生成的擾動;(3)所有epoch產生的擾動的動量,分別命名為FGSM-BP,FGSM-EP和FGSM-MEP。
Prior From the Previous Batch (FGSM-BP): 將上一個batch所生成的對抗擾動儲存下來作為當前batch生成對抗樣本時的初始化,公式如下:
其中代表第個batch所新增的對抗擾動。
Prior From the Previous Epoch (FGSM-EP): 將上一個epoch所生成的對抗擾動儲存下來作為當前epoch生成對抗樣本時的初始化,公式如下:
其中代表第個epoch所新增的對抗擾動。
Prior From the Momentum of All Previous Epochs (FGSM-MEP): 為了充分利用整個訓練過程中的歷史對抗擾動資訊,作者提出使用使用先前所有training epoch中所生成的擾動的動量來作為當前epoch生成對抗樣本時的初始化,公式如下:
2.3 Prior-guided Initialization based Regularization
本文還提出了一種基於先驗指導初始化的正則化方法來提升模型的魯棒性。給定先驗指導下的初始化,FGSM可以產生當前時刻的對抗擾動。不論是先驗指導下的初始化還是當前時刻的擾動都可以用來生成對抗樣本。因此迫使這兩種方式生成的對抗樣本具有相同的輸出結果有助於提升所學模型函式的光滑性。所提出的正則項可以加入到訓練損失中去來更新模型引數,如下所示:
其中代表上述三種方法之一所生成的先驗指導的初始化,代表FGSM使用作為初始化所生成的對抗擾動,是一個常係數項。上述公式中第一項為對抗樣本上的交叉熵損失,第二項為與 d的輸出之差的距離。第二項的目的是使得學到的模型不僅對當前生成的對抗樣本魯棒,而且對歷史的對抗樣本也魯棒。這樣,所提出的正則項顯式的迫使模型函式在樣本週圍更加光滑,從而提升模型魯棒性。
2.4 理論分析
由於在非凸最佳化問題中梯度的範數與收斂性有關,因此更小的對抗擾動的範數上界有助於對抗訓練更快地收斂到區域性最小值。本文給出了基於先驗指導初始化所生成的對抗擾動的範數上界,即,如下圖所示,這比FGSM-RS提出的更小。
3. 實驗
3.1 實驗設定
本文共使用ResNet-18,WideResNet34-10在CIFAR-10和CIFAR-100上,PreActResNet18在Tiny ImageNet上,以及ResNet-50在ImageNet上評估所提方法的有效性。
CIFAR-10結果
CIFAR-100結果
Tiny ImageNet結果
ImageNet結果
消融實驗
為了驗證所提出的基於經驗指導的正則化方法的有效性,本文使用ResNet18在CIFAR-10上進行了消融實驗,結果如下。
4. 總結
在本文中,我們從初始化的角度研究瞭如何提高對抗樣本的質量,並提出採用歷史生成的對抗擾動來初始化對抗樣本。它可以在沒有額外計算成本的情況下生成有效的對抗樣本。此外,我們還提出了一種簡單而有效的正則化方法提高模型的魯棒性,從而防止當前擾動與先驗引導的初始化偏差太大。正則化項利用歷史和當前的對抗性擾動來指導模型學習。廣泛的實驗評估表明,所提出的方法可以防止災難性的過度擬合,並以較低的計算成本優於最先進的FAT 方法。
CVPR/ECCV 2022論文和程式碼下載
後臺回覆:CVPR2022,即可下載CVPR 2022論文和程式碼開源的論文合集
後臺回覆:ECCV2022,即可下載ECCV 2022論文和程式碼開源的論文合集
後臺回覆:Transformer綜述,即可下載最新的3篇Transformer綜述PDF
目標檢測和Transformer交流群成立
掃描下方二維碼,或者新增微信:CVer222,即可新增CVer小助手微信,便可申請加入CVer-目標檢測或者Transformer 微信交流群。另外其他垂直方向已涵蓋:目標檢測、影像分割、目標跟蹤、人臉檢測&識別、OCR、姿態估計、超解析度、SLAM、醫療影像、Re-ID、GAN、NAS、深度估計、自動駕駛、強化學習、車道線檢測、模型剪枝&壓縮、去噪、去霧、去雨、風格遷移、遙感影像、行為識別、影片理解、影像融合、影像檢索、論文投稿&交流、PyTorch、TensorFlow和Transformer等。
一定要備註:研究方向+地點+學校/公司+暱稱(如目標檢測或者Transformer+上海+上交+卡卡),根據格式備註,可更快被透過且邀請進群
▲掃碼或加微訊號: CVer222,進交流群
CVer學術交流群(知識星球)來了!想要了解最新最快最好的CV/DL/ML論文速遞、優質開源專案、學習教程和實戰訓練等資料,歡迎掃描下方二維碼,加入CVer學術交流群,已彙集數千人!
▲掃碼進群
▲點選上方卡片,關注CVer公眾號
整理不易,請點贊和在看
