查看原文
其他

【源头活水】从样本对抗到模型对抗:Worst-Case Perturbations (WCP) 对抗模型

“问渠那得清如许,为有源头活水来”,通过前沿领域知识的学习,从其他研究领域得到启发,对研究问题的本质有更清晰的认识和理解,是自我提高的不竭源泉。为此,我们特别精选论文阅读笔记,开辟“源头活水”专栏,帮助你广泛而深入的阅读科研文献,敬请关注。

作者:知乎—齐国君

地址:https://www.zhihu.com/people/qi-guo-jun-99

为了验证模型的鲁棒性,我们可以通过设计能够最大干扰模型输出的对抗样本来检验和debug模型,从而测试和优化模型的可靠性。本文介绍一种更加直接地对模型本身进行对抗的方法,通过对模型的参数进行WCP的加性干扰(additive perturbations)或者对模型结构进行dropConnect型WCP的干扰,直接来测试和优化模型的鲁棒性,并测试了在半监督下这两种方法的效果。
相关论文发表在CVPR 2020上: CVPR 2020 Open Access Repository相关论文发表在CVPR 2020上:
https://openaccess.thecvf.com/content_CVPR_2020/html/Zhang_WCP_Worst-Case_Perturbations_for_Semi-Supervised_Deep_Learning_CVPR_2020_paper.html
源代码:maple-research-lab/WCP源代码:
https://github.com/maple-research-lab/WCP


01

两种针对模型的对抗
文章引入了两种对模型进行WCP(Worst-Case Perturbations)对抗的方法。


02

对模型参数的加性对抗
第一类是针对模型参数的对抗。这里一个自然的选择是寻找可以直接加在模型参数上对模型进行最大干扰的加性干扰
这里的  是加在模型参数  上的噪声。通过简化和进一步的优化,上面的优化问题可以简化成一个二次优化的问题
其中的二次型矩阵是
这样我们可以得到一个WCP意义下的最大加性对抗模型。具体推导和优化的解可以参考论文。


03

对模型结构的dropConnect对抗
在验证和优化模型鲁棒性的时候,仅仅考虑模型参数的鲁棒性是不够的。为此,我们还考虑了模型结构在对抗性干扰下的鲁棒性。为此,我们去寻找一种可以对模型造成最大干扰的结构。这个结构对抗性的干扰会把一些神经网络中的链接去掉,即dropConnect,是的最后的输出被改变最大。
为了找到WCP意义下的最大干扰,具体的优化目标是
这里的  表示是否把一个模型对应的某个链接去掉。为此,对需要进行一个约束,来给出去掉的链接的比例
这个优化问题相对来说需要用到BQP(Binary Quadratic Programming)来解。具体解法论文中给出的详细的过程。

04

实验结果
最后,为了验证两种WCP模型对抗干扰能够有效提高模型的鲁棒性,特别是在半监督下的性能,我们在CIFAR和SVHN上给出了实验结果

本文目的在于学术交流,并不代表本公众号赞同其观点或对其内容真实性负责,版权归原作者所有,如有侵权请告知删除。


“源头活水”历史文章


更多源头活水专栏文章,

请点击文章底部“阅读原文”查看



分享、在看,给个三连击呗!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存