?PaperWeekly 原創(chuàng) ·?作者?|?張一帆

學(xué)校?|?中科院自動(dòng)化所博士生

研究方向?|?計(jì)算機(jī)視覺

本文主要介紹對抗攻擊/防御的基本概念和一篇論文的亮點(diǎn)。

論文標(biāo)題：

Learning perturbation sets for robust machine learning

論文鏈接：

https://arxiv.org/abs/2007.08450

Overview of adversarial attacks and defenses

1.1 Adversarial attacks

對抗性攻擊通常被定義為一個(gè)優(yōu)化問題，在這個(gè)問題中，“對手”試圖在一組允許的擾動(dòng)上最大化分類器的損失。特別的，給定一個(gè)數(shù)據(jù)點(diǎn) ，一個(gè)分類器 和一個(gè)損失 ，使得 表示我們允許的擾動(dòng)集合，那么一個(gè)對抗攻擊的樣本可以寫作如下優(yōu)化問題的解：

通過定義或限制 ?可以獲得不同類型的對抗性例子。例如，我們可以定義具有一般距離度量 的對抗集合如下：

如果 ，這就是通常所說的 對抗樣本，用來捕獲“難以察覺的”非結(jié)構(gòu)化噪聲。對于圖像來說，這個(gè)距離可以由定義良好的空間轉(zhuǎn)換產(chǎn)生，例如旋轉(zhuǎn)的角度數(shù)或平移產(chǎn)生。然而對于真實(shí)世界的對抗攻擊而言， 要復(fù)雜得多。也就是說，如果 太小那么完全不足以模擬真實(shí)世界的對抗工具，但是 太大又會(huì)包含所有的樣本，因此 -ball 并不是很合適。

1.2 Adversarial defenses

對抗性防御是學(xué)習(xí)對對抗性攻擊具有魯棒性的分類器的方法，可以建模為如下的 min-max 問題：

顯然這個(gè)優(yōu)化問題也很大程度上依賴于 ，目前的工作大多數(shù)關(guān)注 是一個(gè) -ball 的簡單情況來分析 bound，設(shè)計(jì)算法等，與真實(shí)世界相距甚遠(yuǎn)。

這篇文章的亮點(diǎn)在于用生成模型建模對抗樣本集合，從而彌合了現(xiàn)實(shí)世界的攻擊和 對抗性防御之間的差距。

Defining perturbation sets with generative modeling

首先 high-level 的介紹一下作者的主要目的，給定一個(gè)訓(xùn)練集合 ，其中 是 的擾動(dòng)版本。我們的目的是訓(xùn)練一個(gè)條件生成器：

將 基于一個(gè)隱變量 映射到 ，正式定義如下：

可以看到這里 即代表了不同的擾動(dòng)。這樣一個(gè)生成模型更加復(fù)雜，也更加的有力！

我們也可以通過概率的角度理解這個(gè)事情：

擾動(dòng)集的這種表征導(dǎo)致了一個(gè)定義良好的生成過程，允許我們抽取隨機(jī)樣本，使其非常適合于一般情況下的穩(wěn)健性。

雖然看起來這東西好像很 work，但是我們不禁要問：“為什么此處的 能夠包含真實(shí)世界的擾動(dòng)？”由于定義擾動(dòng)集的生成器是從數(shù)據(jù)中學(xué)習(xí)的，我們必須仔細(xì)評估這個(gè)擾動(dòng)集的質(zhì)量。接下來我們簡要討論文中提出的兩個(gè)用于評測的標(biāo)準(zhǔn)。

Necessary subset property（NSP）

學(xué)到的擾動(dòng)集至少要是訓(xùn)練數(shù)據(jù)集的一個(gè)很接近的近似，稍微正式一點(diǎn)就是說。給定一個(gè)近似誤差 ，我們的 滿足 Necessary subset property 當(dāng)且僅當(dāng)對于任意一個(gè)數(shù)據(jù)對 ，存在一個(gè) 使得 。

換句話說，我們觀察到的擾動(dòng)集合是學(xué)到 的一個(gè)下界，那么我們在 上的 worst-case loss 就是觀察集合上的 upper-bound。而傳統(tǒng)的 -ball 永遠(yuǎn)有 0 近似損失。

Sufficient likelihood property（SLP）

但是只有上述條件還不夠，考慮 ，那么 NSP 總是滿足的（it contains everything），但是這個(gè) 本身是非常不合理的。因此第二條我們限制這個(gè)擾動(dòng)集合不要包含的太多，給定 和數(shù)據(jù) ，SLP 條件可以定義為：

為什么這個(gè)條件可以限制擾動(dòng)集不應(yīng)該包含“太多”，因?yàn)樗仨氋x予期望中的真實(shí)數(shù)據(jù)很高的可能性。這有效地限制了擾動(dòng)集的范圍，并激發(fā)了它作為一種通過從潛在空間采樣的隨機(jī)數(shù)據(jù)擴(kuò)充形式的使用。

總結(jié)一下 NSP 和 SLP 分別從上下界的形式限制了擾動(dòng)集，使得擾動(dòng)集能夠反映真實(shí)世界的擾動(dòng)。

Learning perturbation sets with conditional variational autoencoders

接下來主要看一下文章是如何利用 CVAE 來學(xué)習(xí)一個(gè)滿足上述條件的生成器的。傳統(tǒng) CVAE 的訓(xùn)練過程是這樣的，基于隱變量 和任意變量 來生成 ，而這里的話任意變量反而是 ，生成目標(biāo)是 ，所有的概率分布被建模成遵循對角方差的多元正態(tài)分布：

CVAE 的訓(xùn)練目標(biāo)即 ELBO：

所以將本文對應(yīng)的 CVAE 的生成過程公式化一下就是：

用偽代碼描述一下就是：

def?generator(X,z):?prior_params?=?cvae.prior(X)z?=?cvae.reparameterize(prior_params,?z)return?cvae.decode(X,z)

然后通過將隱空間限制在一個(gè) -ball 中我們就能得到一個(gè)擾動(dòng)集：

現(xiàn)在問題轉(zhuǎn)化為如何為擾動(dòng)集選擇一個(gè)合適的半徑 ，太小的? 會(huì)使得擾動(dòng)集太小無法建模真實(shí)擾動(dòng)，太大的話容易包含不真實(shí)的擾動(dòng)。文中通過如下方式確定 的值：

其中 是 CVAE 計(jì)算出后驗(yàn)概率分布的均值， 是先驗(yàn)概率的均值和方差。

由于 CVAE 的后驗(yàn)均值被訓(xùn)練為重構(gòu)擾動(dòng)數(shù)據(jù)，因此這種估計(jì)確保了所得到的擾動(dòng)數(shù)據(jù)包含合理的版本（訓(xùn)練數(shù)據(jù)）。為了使得這個(gè)計(jì)算不對訓(xùn)練集過擬合，一般使用 held-out 的驗(yàn)證集進(jìn)行計(jì)算。

Theory of CVAEs and perturbation sets

最后，模型已經(jīng)明晰了，作者給出兩個(gè)定理證明了在一定條件假設(shè)下，優(yōu)化 CAVE 的目標(biāo)學(xué)到的模型能夠滿足上述的兩個(gè)條件。這里不涉及具體證明細(xì)節(jié)，只說一說為什么或者證明的大概思路。

首先作者對后驗(yàn)概率和 KL 散度進(jìn)行約束，給他們一個(gè) bound。

這里可以和之前的兩個(gè)條件聯(lián)系起來，NSP 為了約束模型對數(shù)據(jù)集的擬合，加上了擾動(dòng)樣本近似誤差上界的限制，而 SLP 為了確保擾動(dòng)集“不太大”加上了對后驗(yàn)概率下界的限制，這里將 CVAE loss 的兩個(gè)部分給上 bound，因此證明方向是這樣的：

對于 NSP，我們只需要將 upper bound 使用 CVAE loss 假設(shè)的兩個(gè)值做個(gè) bound 即可。

對于 SLP，我們本應(yīng)該找 SLP 中的 值與 之間的關(guān)系，不過這里找到了他的替代——為重構(gòu)損失找個(gè)上界等價(jià)于對似然找個(gè)下界，這也是上面這個(gè)定理的與 SLP 之間的聯(lián)系。

這兩個(gè)定理的主要結(jié)論是，優(yōu)化 CVAE 目標(biāo)自然會(huì)得到一個(gè)滿足 NSP 和 SLP 的擾動(dòng)集。因此，學(xué)習(xí)的擾動(dòng)集對于對抗魯棒性是有用的，因?yàn)楸匾淖蛹再|(zhì)意味著擾動(dòng)集不會(huì)錯(cuò)過被擾動(dòng)的數(shù)據(jù)。它對于數(shù)據(jù)擴(kuò)充也很有用，因?yàn)槌浞炙迫恍再|(zhì)保證了擾動(dòng)數(shù)據(jù)以高概率發(fā)生。

Experiments

通過學(xué)習(xí)產(chǎn)生的擾動(dòng)集可以很好的提升 OOD 的性能，其效果相比于其他 baseline 堪稱驚艷。

特別鳴謝

感謝 TCCI 天橋腦科學(xué)研究院對于 PaperWeekly 的支持。TCCI 關(guān)注大腦探知、大腦功能和大腦健康。

更多閱讀

#投 稿?通 道#

?讓你的文字被更多人看到?

如何才能讓更多的優(yōu)質(zhì)內(nèi)容以更短路徑到達(dá)讀者群體，縮短讀者尋找優(yōu)質(zhì)內(nèi)容的成本呢？答案就是：你不認(rèn)識(shí)的人。

總有一些你不認(rèn)識(shí)的人，知道你想知道的東西。PaperWeekly 或許可以成為一座橋梁，促使不同背景、不同方向的學(xué)者和學(xué)術(shù)靈感相互碰撞，迸發(fā)出更多的可能性。?

PaperWeekly 鼓勵(lì)高校實(shí)驗(yàn)室或個(gè)人，在我們的平臺(tái)上分享各類優(yōu)質(zhì)內(nèi)容，可以是最新論文解讀，也可以是學(xué)術(shù)熱點(diǎn)剖析、科研心得或競賽經(jīng)驗(yàn)講解等。我們的目的只有一個(gè)，讓知識(shí)真正流動(dòng)起來。

?????稿件基本要求：

? 文章確系個(gè)人原創(chuàng)作品，未曾在公開渠道發(fā)表，如為其他平臺(tái)已發(fā)表或待發(fā)表的文章，請明確標(biāo)注?

? 稿件建議以?markdown?格式撰寫，文中配圖以附件形式發(fā)送，要求圖片清晰，無版權(quán)問題

? PaperWeekly 尊重原作者署名權(quán)，并將為每篇被采納的原創(chuàng)首發(fā)稿件，提供業(yè)內(nèi)具有競爭力稿酬，具體依據(jù)文章閱讀量和文章質(zhì)量階梯制結(jié)算

?????投稿通道：

? 投稿郵箱：hr@paperweekly.site?

? 來稿請備注即時(shí)聯(lián)系方式（微信），以便我們在稿件選用的第一時(shí)間聯(lián)系作者

? 您也可以直接添加小編微信（pwbot02）快速投稿，備注：姓名-投稿

△長按添加PaperWeekly小編

????

現(xiàn)在，在「知乎」也能找到我們了

進(jìn)入知乎首頁搜索「PaperWeekly」

點(diǎn)擊「關(guān)注」訂閱我們的專欄吧

·

總結(jié)

以上是生活随笔為你收集整理的ICLR 2021 | 使用CVAE学习干扰集，增强OOD以及对抗防御的能力的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。