?PaperWeekly 原創(chuàng) ·?作者｜孫裕道

學校｜北京郵電大學博士生

研究方向｜GAN圖像生成、情緒對抗樣本生成

引言

該論文是關于對抗訓練的理論性的文章。這篇論文吸引我的點在于它詳細的對對抗擾動的非均勻的幾何結(jié)構(gòu)進行了分析，并給出了可靠的數(shù)學依據(jù)和證明。論文中的核心思想是使非均勻?qū)箶_動能夠在對抗訓練中使得模型更具有魯棒性。

許多安全應用程序，如惡意軟件檢測、信用風險預測和垃圾郵件過濾，與圖像應用程序相比具有不同的屬性。作者借此提出了一種新的防御機制，該機制使用非均勻擾動集進行對抗訓練，并能夠集成特定數(shù)據(jù)領域下的專家知識。

論文標題：

Adversarial Robustness with Non-uniform Perturbations

論文鏈接：

https://arxiv.org/abs/2102.12002

背景和動機

對抗訓練經(jīng)常會被描述成一個最小最大的優(yōu)化問題，即給定一個數(shù)據(jù)集 ，其中輸入樣本為 ，類別為 ，對抗訓練的目標函數(shù)可以定義為如下形式：

其中 表示的是神經(jīng)網(wǎng)絡， 表示的是交叉熵損失函數(shù)， 表示的是加在干凈樣本上的對抗擾動。

考慮一個在 2 維情況下的一個二分類問題如下圖所示，在圖（a）中我們可以發(fā)現(xiàn)，當對抗擾動的范圍被限制在 時，圖中的所有的紅藍點都被正確分類并且它們的約束范圍也在相應的決策邊界內(nèi)，這說明經(jīng)過 對抗訓練獲得的模型對對抗擾動有很好的魯棒性；圖（b）展示的是模型分類崩潰的場景，經(jīng)過 的對抗訓練的模型并不能把紅藍點區(qū)分開。

作者分析得出在對抗訓練的過程中，一個對抗樣本可能處在不同樣本的約束范圍內(nèi)，所以解決這個問題的一個直觀方法就是讓不同樣本的約束范圍不要重疊。

圖（c）展示了經(jīng)上述思想指導之后約束變?yōu)? 的示意圖，可以發(fā)現(xiàn)為了能夠讓任意兩個樣本之間的約束范圍沒有重疊每個樣本的約束范圍被改造成橢圓形，跟圖（a）的效果一樣對抗訓練獲得的模型對對抗擾動有很好的魯棒性。

提問：干凈樣本約束范圍的重疊為什么會造成對抗訓練魯棒性能的下降？

分析：為了解答上述提問，我做了如下示意圖。如下圖所示，假定樣本 和 屬于不同類別，淺藍色的圓形區(qū)域為樣本 的對抗擾動的范圍，淺紅色的圓形區(qū)域是樣本 的對抗擾動的范圍，淺綠色區(qū)域為兩個樣本對抗擾動重疊的范圍。對于落在淺綠色區(qū)域的擾動點 ，它既可以屬于樣本 的類別中，也可以屬于樣本 的類別中，對訓練模型帶來了極大的困難，也給模型分類帶來了不確定性。

理論推導

在對抗訓練的過程中，針對公式（1）對手的目標函數(shù)可以寫成：

其中 表示的是以半徑為 的 范數(shù)，這個區(qū)域為對抗擾動的可行域。標準的 PGD 的形式如下所示：

將 投影到 上最近的點為：

該投影對應于 有一個最大的 范數(shù)：

3.1 非均勻擾動集

作者引入了一個對抗擾動在不同維度上的非均勻擾動集：

其中 。 由公式 3 更新，但是它被投影到一個非均勻的范數(shù)約束 中，相應的梯度運算如下所示：

其中針對于 的選取需要依賴于特征關系的建模。

3.2 馬氏距離

馬氏距離最初被定義為點和分布之間的距離。它也用于測量來自同一分布的兩個向量之間的相似度。向量 ? 之間的馬氏距離表示為：

是一個半正定矩陣，并且它被分解為 ，其中 。協(xié)方差為 的分布中的兩個向量之間的相異度可以通過選擇 來測量。當數(shù)據(jù)集的特征向量是不相關的即 ，則此時的馬氏距離即為歐式距離。

在該論文中作者使用馬氏距離 來度量正常樣本與對抗樣本之間的距離，其中擾動集合 中的 被設定為 。對抗訓練模型的魯棒性與訓練期間生成的對抗樣本的真實性有直接關系，為此作者引入了下面一系列的概念。

給定一個一致性閾值 且 ，則對抗樣本的 一致性表示為：

其中 表示的是一個均值為 0，協(xié)方差矩陣為 的條件高斯分布。

由馬氏距離約束生成的對抗樣本的 一致性與 有如下的關系：

其中 ， 表示的是 的維度，并且有 。

證明：已知 維的多元高斯分布的概率密度函數(shù)為：

對于在馬氏距離約束下生成的對抗樣本 （論文中這里是 ，應該改成 ），則有：

根據(jù)上述等式則有：

上述定理按時說明，當樣本數(shù)據(jù)服從多元高斯分布時，樣本的一致性與馬氏距離的約束有直接的關系。

非均勻擾動的魯棒性證明

作者證明了深度 ReLU 網(wǎng)絡對輸入的非一致對抗擾動的魯棒性。考慮一個 層的前饋神經(jīng)網(wǎng)絡 ReLU，并且有：

其中 表示的是最后一層的輸出向量的集合。

證明：具有不均勻擾動和松弛的 ReLU 的線性規(guī)劃可以寫成如下形式：

除了 范數(shù)那一項，每個約束對應的拉格朗日乘子分別如下所示：

根據(jù)上式得到的拉格朗日函數(shù)如下所示：

最終對偶問題可以寫成：

更多閱讀

#投 稿?通 道#

?讓你的論文被更多人看到?

如何才能讓更多的優(yōu)質(zhì)內(nèi)容以更短路徑到達讀者群體，縮短讀者尋找優(yōu)質(zhì)內(nèi)容的成本呢？答案就是：你不認識的人。

總有一些你不認識的人，知道你想知道的東西。PaperWeekly 或許可以成為一座橋梁，促使不同背景、不同方向的學者和學術靈感相互碰撞，迸發(fā)出更多的可能性。?

PaperWeekly 鼓勵高校實驗室或個人，在我們的平臺上分享各類優(yōu)質(zhì)內(nèi)容，可以是最新論文解讀，也可以是學習心得或技術干貨。我們的目的只有一個，讓知識真正流動起來。

?????來稿標準：

? 稿件確系個人原創(chuàng)作品，來稿需注明作者個人信息（姓名+學校/工作單位+學歷/職位+研究方向）?

? 如果文章并非首發(fā)，請在投稿時提醒并附上所有已發(fā)布鏈接?

? PaperWeekly 默認每篇文章都是首發(fā)，均會添加“原創(chuàng)”標志

?????投稿郵箱：

? 投稿郵箱：hr@paperweekly.site?

? 所有文章配圖，請單獨在附件中發(fā)送?

? 請留下即時聯(lián)系方式（微信或手機），以便我們在編輯發(fā)布時和作者溝通

????

現(xiàn)在，在「知乎」也能找到我們了

進入知乎首頁搜索「PaperWeekly」

點擊「關注」訂閱我們的專欄吧

關于PaperWeekly

PaperWeekly 是一個推薦、解讀、討論、報道人工智能前沿論文成果的學術平臺。如果你研究或從事 AI 領域，歡迎在公眾號后臺點擊「交流群」，小助手將把你帶入 PaperWeekly 的交流群里。

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結(jié)

以上是生活随笔為你收集整理的​亚马逊出品：非均匀扰动的对抗鲁棒性理论分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。