​亚马逊出品:非均匀扰动的对抗鲁棒性理论分析

©PaperWeekly 原创 · 作者|孙裕道

学校|北京邮电大学博士生

研究方向|GAN图像生成、情绪对抗样本生成

引言

该论文是关于对抗训练的理论性的文章。这篇论文吸引我的点在于它详细的对对抗扰动的非均匀的几何结构进行了分析,并给出了可靠的数学依据和证明。论文中的核心思想是使非均匀对抗扰动能够在对抗训练中使得模型更具有鲁棒性。

许多安全应用程序,如恶意软件检测、信用风险预测和垃圾邮件过滤,与图像应用程序相比具有不同的属性。作者借此提出了一种新的防御机制,该机制使用非均匀扰动集进行对抗训练,并能够集成特定数据领域下的专家知识。

论文标题:

Adversarial Robustness with Non-uniform Perturbations

论文链接:

https://arxiv.org/abs/2102.12002

背景和动机

对抗训练经常会被描述成一个最小最大的优化问题,即给定一个数据集 ,其中输入样本为 ,类别为 ,对抗训练的目标函数可以定义为如下形式:
其中 表示的是神经网络, 表示的是交叉熵损失函数, 表示的是加在干净样本上的对抗扰动。
考虑一个在 2 维情况下的一个二分类问题如下图所示,在图(a)中我们可以发现,当对抗扰动的范围被限制在 时,图中的所有的红蓝点都被正确分类并且它们的约束范围也在相应的决策边界内,这说明经过 对抗训练获得的模型对对抗扰动有很好的鲁棒性;图(b)展示的是模型分类崩溃的场景,经过 的对抗训练的模型并不能把红蓝点区分开。

作者分析得出在对抗训练的过程中,一个对抗样本可能处在不同样本的约束范围内,所以解决这个问题的一个直观方法就是让不同样本的约束范围不要重叠。

图(c)展示了经上述思想指导之后约束变为 的示意图,可以发现为了能够让任意两个样本之间的约束范围没有重叠每个样本的约束范围被改造成椭圆形,跟图(a)的效果一样对抗训练获得的模型对对抗扰动有很好的鲁棒性。

提问:干净样本约束范围的重叠为什么会造成对抗训练鲁棒性能的下降?

分析:为了解答上述提问,我做了如下示意图。如下图所示,假定样本 和 属于不同类别,浅蓝色的圆形区域为样本 的对抗扰动的范围,浅红色的圆形区域是样本 的对抗扰动的范围,浅绿色区域为两个样本对抗扰动重叠的范围。对于落在浅绿色区域的扰动点 ,它既可以属于样本 的类别中,也可以属于样本 的类别中,对训练模型带来了极大的困难,也给模型分类带来了不确定性。

理论推导

在对抗训练的过程中,针对公式(1)对手的目标函数可以写成:
其中 表示的是以半径为 的 范数,这个区域为对抗扰动的可行域。标准的 PGD 的形式如下所示:
将 投影到 上最近的点为:
该投影对应于 有一个最大的 范数:

3.1 非均匀扰动集

作者引入了一个对抗扰动在不同维度上的非均匀扰动集:
其中 。 由公式 3 更新,但是它被投影到一个非均匀的范数约束 中,相应的梯度运算如下所示:
其中针对于 的选取需要依赖于特征关系的建模。
3.2 马氏距离
马氏距离最初被定义为点和分布之间的距离。它也用于测量来自同一分布的两个向量之间的相似度。向量   之间的马氏距离表示为:
是一个半正定矩阵,并且它被分解为 ,其中 。协方差为 的分布中的两个向量之间的相异度可以通过选择 来测量。当数据集的特征向量是不相关的即 ,则此时的马氏距离即为欧式距离。
在该论文中作者使用马氏距离 来度量正常样本与对抗样本之间的距离,其中扰动集合 中的 被设定为 。对抗训练模型的鲁棒性与训练期间生成的对抗样本的真实性有直接关系,为此作者引入了下面一系列的概念。
给定一个一致性阈值 且 ,则对抗样本的 一致性表示为:
其中 表示的是一个均值为 0,协方差矩阵为 的条件高斯分布。
由马氏距离约束生成的对抗样本的 一致性与 有如下的关系:
其中 , 表示的是 的维度,并且有 。
证明:已知 维的多元高斯分布的概率密度函数为:
对于在马氏距离约束下生成的对抗样本 (论文中这里是 ,应该改成 ),则有:
根据上述等式则有:
上述定理按时说明,当样本数据服从多元高斯分布时,样本的一致性与马氏距离的约束有直接的关系。

非均匀扰动的鲁棒性证明

作者证明了深度 ReLU 网络对输入的非一致对抗扰动的鲁棒性。考虑一个 层的前馈神经网络 ReLU,并且有:

其中 表示的是最后一层的输出向量的集合。

证明:具有不均匀扰动和松弛的 ReLU 的线性规划可以写成如下形式:
除了 范数那一项,每个约束对应的拉格朗日乘子分别如下所示:
根据上式得到的拉格朗日函数如下所示:
最终对偶问题可以写成:

更多阅读

#投 稿 通 道#

 让你的论文被更多人看到 

如何才能让更多的优质内容以更短路径到达读者群体,缩短读者寻找优质内容的成本呢?答案就是:你不认识的人。

总有一些你不认识的人,知道你想知道的东西。PaperWeekly 或许可以成为一座桥梁,促使不同背景、不同方向的学者和学术灵感相互碰撞,迸发出更多的可能性。

PaperWeekly 鼓励高校实验室或个人,在我们的平台上分享各类优质内容,可以是最新论文解读,也可以是学习心得技术干货。我们的目的只有一个,让知识真正流动起来。

📝 来稿标准:

· 稿件确系个人原创作品,来稿需注明作者个人信息(姓名+学校/工作单位+学历/职位+研究方向)

· 如果文章并非首发,请在投稿时提醒并附上所有已发布链接

· PaperWeekly 默认每篇文章都是首发,均会添加“原创”标志

(0)

相关推荐