论文方法
?作者分析了过拟合训练和训练中使用的对抗样本之间的关系。在分析的基础上,作者提出了基于多阶段优化的对抗训练(MOAT\mathrm{MOAT}MOAT)方法,通过允许使用干净样本、单步对抗样本和多步对抗样本来增强模型的对抗鲁棒行,并提供了改进的MOAT\mathrm{MOAT}MOAT变体,又名为IMOAT\mathrm{IMOAT}IMOAT。
过拟合和对抗样本之间的关系
?先前的工作表明,在对抗训练中使用单步对抗样本会导致模型过拟合,这对对抗训练来说是一个非常关键挑战。在对抗训练中采用多步对抗样本进行训练就不会存在这样的问题。为了更深入地了解对抗训练中模型过拟合的问题,作者分析模型过拟合和对抗训练强度之间的关系,并试图回答以下问题:
如何选择一个足够大的KKK值,当模型训练的KKK步对抗样本时,以避免模型训练过程中过拟合现象?
作者在CIFAR?10\mathrm{CIFAR-10}CIFAR?10和CIFAR?100\mathrm{CIFAR-100}CIFAR?100数据集上记录了单步对抗训练(FGSM?AT\mathrm{FGSM-AT}FGSM?AT)和KKK步对抗训练PGDK?AT\mathrm{PGDK-AT}PGDK?AT的鲁棒性测试精度。最大扰动?\epsilon?训练中使用值的固定为8/2558/2558/255,PGDK?AT\mathrm{PGDK-AT}PGDK?AT步长α\alphaα的值固定为max?(?/4,?/K)\max(\epsilon/4,\epsilon/K)max(?/4,?/K)。为了验证稳健的测试精度,作者使用PGD7\mathrm{PGD7}PGD7攻击的扰动大小为?=8/255\epsilon= 8/255?=8/255,步长为α=2/255\alpha= 2/255α=2/255。
?如下图所示作者列举了各种对抗训练方法(即FGSM?AT\mathrm{FGSM-AT}FGSM?AT、PGD2?AT\mathrm{PGD2-AT}PGD2?AT、PGD4?AT\mathrm{PGD4-AT}PGD4?AT和PGD8?AT\mathrm{PGD8-AT}PGD8?AT)在每个训练时期的鲁棒性测试精度。可以清楚地观察到单步对抗训练FGSM?AT\mathrm{FGSM-AT}FGSM?AT模型出现了过拟合,其中在CIFAR?10\mathrm{CIFAR-10}CIFAR?10数据集上训练191919轮后,针对PGD7\mathrm{PGD7}PGD7攻击的鲁棒测试精度突然下降到几乎为零,在CIFAR?100\mathrm{CIFAR-100}CIFAR?100数据集上也发生了类似的现象。另外可以发现,在整个训练过程中,任何KKK步对抗训练(K≥2K\ge 2K≥2)都不会出现过拟合现象,KKK值越大,鲁棒性精度越高。
基于多阶段优化的对抗训练
?基于上述观察,作者考虑采用多步对抗样本来避免单步对抗训练中模型过拟合。对抗训练的训练开销与反向传播次数呈线性关系,在训练时采用KKK步对抗样本时,反向传播的总次数与(K+1)T(K + 1)T(K+1)T成正比,其中TTT为训练轮数。单步对抗训练FGSM?AT\mathrm{FGSM-AT}FGSM?AT的训练开销为2T2T2T,而多步对抗训练PGD2?AT\mathrm{PGD2-AT}PGD2?AT的训练开销为3T3T3T,比FGSM?AT\mathrm{FGSM-AT}FGSM?AT大约慢1.51.51.5倍。
?为了平衡引入多步对抗样本的高训练开销,作者提出了一种基于多阶段优化的对抗训练方法,该方法在干净样本、单步对抗样本和多步对抗样本上逐阶段周期性地训练模型。MOAT\mathrm{MOAT}MOAT背后的直觉是每个阶段找到的解可以作为下一阶段的先验(即每个阶段优化的模型参数可以作为下一阶段的预训练模型参数),可以提高模型的泛化能力,降低整体训练开销。
?在MOAT\mathrm{MOAT}MOAT的初始阶段,对干净样本的学习旨在提高模型的标准泛化能力,并且花费更少的训练开销。在标准泛化能力很强的模型基础上,在MOAT\mathrm{MOAT}MOAT测试的第二阶段,单步对抗样本的学习旨在用较少的反向传播的训练一个鲁棒模型。在MOAT\mathrm{MOAT}MOAT测试的第三阶段,利用多步对抗样本的学习用更多的反向传播的来防止模型出现过拟合的问题。通过这种方式,MOAT\mathrm{MOAT}MOAT将减少整体训练开销,同时避免整个训练过程中模型过拟合的现象,从而以更少的训练开销获得更健壮的模型。
?如下算法所示,概述了MOAT\mathrm{MOAT}MOAT的实现细节。
