?

0.論文摘要

? ? 本文提出了對于對抗樣本存在原因的新解釋——神經(jīng)網(wǎng)絡(luò)的線性特性，并提出了快速有效生成對抗樣本的方法以及基于對抗的模型訓練方式。

?

?

1.對抗樣本的線性解釋

? ??

? ? 考慮如上公式，其中??代表一個生成的對抗樣本，?代表權(quán)重參數(shù)，?代表在正常樣本??基礎(chǔ)上添加的擾動，其中擾動向量中每一元素的數(shù)值絕對值大小都不超過??。

? ? 當我們?nèi)??，對計算結(jié)果造成的最大影響大小為??，其中??表示向量的維數(shù)。所以當??足夠大時，即使擾動的最大范數(shù)很小，還是可以對總體結(jié)果產(chǎn)生較大影響。

?

?

2.神經(jīng)網(wǎng)絡(luò)的一種對抗樣本生成算法——FGSM

? ? 擾動關(guān)鍵公式如下：

? ? 對這個公式的理解與之前類似，就是將擾動的向量方向設(shè)置為和損失函數(shù)梯度方向一致，使得擾動造成的影響更大

? ? 使用此算法產(chǎn)生對抗樣本進行實驗，結(jié)果：

? ? 當?，淺層softmax分類模型在MNIST上錯誤率為 99.9%，對應(yīng)平均置信度為 79.3%

? ? 同樣的設(shè)定，maxout網(wǎng)絡(luò)在MNIST對抗樣本上錯誤率為 89.4%，對應(yīng)平均置信度為 97.6%

? ? 當，卷積maxout網(wǎng)絡(luò)在CIFAR-10上錯誤率為 87.15%，對應(yīng)平均置信度為 96.6%

? ? 所以這些結(jié)果也側(cè)面證明了是像之前 1 中所說——神經(jīng)網(wǎng)絡(luò)由于過于線性特性而容易受到對抗樣本攻擊

?

?

3.對抗訓練以及和權(quán)重衰減的對比

? ??

? ? 其中推導第一個公式前請注意，樣本標簽 y 為 {1,-1} 時，? ，其余步驟與普通邏輯回歸推導一致。

? ? 然后我們考慮第二個對抗訓練所用損失函數(shù)公式。其中含有L1正則化項，但是與權(quán)重衰減不同的是，此時的L1正則化項是作用在激活函數(shù)的自變量上，而不是直接乘以懲罰系數(shù)加在損失函數(shù)后。所以這一項對模型造成的損失可能會隨著訓練過程而減小消失，而權(quán)重衰減造成的影響直到最后也不會消失但是可能會造成欠擬合現(xiàn)象的加重，因為直接作用在激活函數(shù)中模型擬合的難度更大。

? ? 另外，權(quán)重衰減的系數(shù) ?的選擇比起??的選擇更為困難，往往要比??的取值小很多很多，當權(quán)重衰減系數(shù)過小雖然訓練效果更好，但是期望的正則化效果卻會達不到。

?

?

4.深層網(wǎng)絡(luò)的對抗訓練

? ? 通過這種訓練方法錯誤率也達不到 0 ， 不過可以采用增大模型參數(shù)量、在對抗性驗證集上使用early stopping的方式進一步降低錯誤率。

? ? 這種訓練方法能夠顯著降低面對FGSM生成的對抗性樣本的錯誤率，本文表示可以從 89.4% 降到 17.9%

?

?

5.關(guān)于抵抗性和對抗樣本的范化性

? ? RBF網(wǎng)絡(luò)自然地對于對抗樣本有較好的抵抗性，即當它們在對抗樣本上產(chǎn)生錯誤的分類結(jié)果時對應(yīng)的置信度很低。

? ? 關(guān)于對抗樣本的范化性：針對某個模型的對抗樣本往往會被其他模型也錯誤分類，甚至它們對于這個對抗樣本的錯誤分類結(jié)果也差不多相同。具體實驗結(jié)果見下方所示：

? ? 由上實驗結(jié)果我們可知：對抗樣本出現(xiàn)在連續(xù)的空間內(nèi)，而不是離散分布的，并且我們觀察到了結(jié)果概率變化和??之間的某種線性關(guān)系。

? ? 至于為什么不同模型的錯誤分類結(jié)果都類似，本文給出了一個假設(shè)可以概括為：基于當前的學習優(yōu)化方法，不同模型學習到的模型參數(shù)類似，學習到的重要參數(shù)的穩(wěn)定性導致了對抗樣本被分類結(jié)果的穩(wěn)定性。

?

? ??

總結(jié)

以上是生活随笔為你收集整理的【论文阅读笔记】Explaining And Harnessing Adversarial Examples的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。