Press "Enter" to skip to content

亚马逊出品:非均匀扰动的对抗鲁棒性理论分析

本站内容均来自兴趣收集,如不慎侵害的您的相关权益,请留言告知,我们将尽快删除.谢谢.

学校|北京邮电大学博士生

 

研究方向|GAN图像生成、情绪对抗样本生成

 

 

引言

 

该论文是关于对抗训练的理论性的文章。这篇论文吸引我的点在于它详细的对对抗扰动的非均匀的几何结构进行了分析,并给出了可靠的数学依据和证明。论文中的核心思想是使非均匀对抗扰动能够在对抗训练中使得模型更具有鲁棒性。

 

许多安全应用程序,如恶意软件检测、信用风险预测和垃圾邮件过滤,与图像应用程序相比具有不同的属性。作者借此提出了一种新的防御机制,该机制使用非均匀扰动集进行对抗训练,并能够集成特定数据领域下的专家知识。

 

 

论文标题:

 

Adversarial Robustness with Non-uniform Perturbations

 

论文链接:

 

https://arxiv.org/abs/2102.12002

 

 

背景和动机

 

对抗训练经常会被描述成一个最小最大的优化问题,即给定一个数据集,其中输入样本为,类别为,对抗训练的目标函数可以定义为如下形式:

 

 

其中表示的是神经网络,表示的是交叉熵损失函数,表示的是加在干净样本上的对抗扰动。

 

考虑一个在 2 维情况下的一个二分类问题如下图所示,在图(a)中我们可以发现,当对抗扰动的范围被限制在时,图中的所有的红蓝点都被正确分类并且它们的约束范围也在相应的决策边界内,这说明经过对抗训练获得的模型对对抗扰动有很好的鲁棒性;图(b)展示的是模型分类崩溃的场景,经过的对抗训练的模型并不能把红蓝点区分开。

 

作者分析得出在对抗训练的过程中,一个对抗样本可能处在不同样本的约束范围内,所以解决这个问题的一个直观方法就是让不同样本的约束范围不要重叠。

 

图(c)展示了经上述思想指导之后约束变为的示意图,可以发现为了能够让任意两个样本之间的约束范围没有重叠每个样本的约束范围被改造成椭圆形,跟图(a)的效果一样对抗训练获得的模型对对抗扰动有很好的鲁棒性。

 

 

提问: 干净样本约束范围的重叠为什幺会造成对抗训练鲁棒性能的下降?

 

分析: 为了解答上述提问,我做了如下示意图。如下图所示,假定样本和属于不同类别,浅蓝色的圆形区域为样本的对抗扰动的范围,浅红色的圆形区域是样本的对抗扰动的范围,浅绿色区域为两个样本对抗扰动重叠的范围。对于落在浅绿色区域的扰动点,它既可以属于样本的类别中,也可以属于样本的类别中,对训练模型带来了极大的困难,也给模型分类带来了不确定性。

 

 

 

理论推导

 

在对抗训练的过程中,针对公式(1)对手的目标函数可以写成:

 

其中 表示的是以半径为 的 ,这个区域为对抗扰动的可行域。标准的 PGD 的形式如下所示:

 

 

将投影到上最近的点为:

 

该投影对应于有一个最大的范数:

 

 

3.1 非均匀扰动集

 

作者引入了一个对抗扰动在不同维度上的非均匀扰动集:

 

其中。由公式 3 更新,但是它被投影到一个非均匀的范数约束中,相应的梯度运算如下所示:

 

 

其中针对于的选取需要依赖于特征关系的建模。

 

3.2 马氏距离

 

马氏距离最初被定义为点和分布之间的距离。它也用于测量来自同一分布的两个向量之间的相似度。   之间的马氏距离表示为:

 

是一个半正定矩阵,并且它被分解为,其中。协方差为的分布中的两个向量之间的相异度可以通过选择来测量。当数据集的特征向量是不相关的即,则此时的马氏距离即为欧式距离。

 

在该论文中作者使用马氏距离来度量正常样本与对抗样本之间的距离,其中扰动集合中的被设定为。对抗训练模型的鲁棒性与训练期间生成的对抗样本的真实性有直接关系,为此作者引入了下面一系列的概念。

 

给定一个一致性阈值且,则对抗样本的一致性表示为:

 

其中表示的是一个均值为 0,协方差矩阵为的条件高斯分布。

 

由马氏距离约束生成的对抗样本的一致性与有如下的关系:

 

其中,表示的是的维度,并且有。

 

证明: 已知维的多元高斯分布的概率密度函数为:

 

 

对于在马氏距离约束下生成的对抗样本(论文中这里是,应该改成),则有:

 

 

根据上述等式则有:

 

 

上述定理按时说明,当样本数据服从多元高斯分布时,样本的一致性与马氏距离的约束有直接的关系。

 

 

非均匀扰动的鲁棒性证明

 

作者证明了深度 ReLU 网络对输入的非一致对抗扰动的鲁棒性。考虑一个层的前馈神经网络 ReLU,并且有:

 

 

其中表示的是最后一层的输出向量的集合。

 

证明: 具有不均匀扰动和松弛的 ReLU 的线性规划可以写成如下形式:

 

 

除了范数那一项,每个约束对应的拉格朗日乘子分别如下所示:

 

 

根据上式得到的拉格朗日函数如下所示:

 

 

最终对偶问题可以写成:

 

 

Be First to Comment

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注