[论文解读] Geometry-aware Instance-reweighted Adversarial Training
GAIRAT 根据对抗样本与决策边界的接近程度为实例分配权重,从而在几乎不损失准确率的情况下提升鲁棒性;与 FAT 结合时,可以同时提升鲁棒性和标准准确率。
In adversarial machine learning, there was a common belief that robustness and accuracy hurt each other. The belief was challenged by recent studies where we can maintain the robustness and improve the accuracy. However, the other direction, whether we can keep the accuracy while improving the robustness, is conceptually and practically more interesting, since robust accuracy should be lower than standard accuracy for any model. In this paper, we show this direction is also promising. Firstly, we find even over-parameterized deep networks may still have insufficient model capacity, because adversarial training has an overwhelming smoothing effect. Secondly, given limited model capacity, we argue adversarial data should have unequal importance: geometrically speaking, a natural data point closer to/farther from the class boundary is less/more robust, and the corresponding adversarial data point should be assigned with larger/smaller weight. Finally, to implement the idea, we propose geometry-aware instance-reweighted adversarial training, where the weights are based on how difficult it is to attack a natural data point. Experiments show that our proposal boosts the robustness of standard adversarial training; combining two directions, we improve both robustness and accuracy of standard adversarial training.
研究动机与目标
- 在模型容量有限的情况下,训练时不应将对抗数据一视同仁。
- 提出一种几何感知的实例重权目标,强调靠近决策边界、易被攻击的数据。
- 证明 GAIRAT 能缓解鲁棒性过拟合,在几乎不损失准确率的前提下提高鲁棒性。
- 展示 GAIRAT 与现有对抗训练变体的兼容性及在标准基准上取得的经验性提升。
提出的方法
- 通过引入带实例权重的损失来提出 GAIRAT:min_theta (1/n) sum_i w(x_i,y_i) ell(f_theta(x_i~), y_i),其中 x_i~ 为对抗变体。
- 用使当前模型被打败所需的最少 PGD 迭代次数 κ(x,y) 来近似数据几何特征。
- 基于 κ 定义权重函数 w(例如 κ 的非增函数),以强调靠近边界的数据。
- 在训练中使用 GA-PGD 生成对抗样本并计算 κ(算法 1)。
- 在现有的 AT 框架内应用 GAIRAT(AT、FAT、TRADES),得到 GAIR-AT、GAIR-FAT 与 GAIR-TRADES 变体。
实验结果
研究问题
- RQ1基于几何距离到决策边界的实例级重权是否能够在不牺牲标准准确率的前提下提升鲁棒性?
- RQ2GAIRAT 能否缓解在极小极大对抗训练中观察到的鲁棒性过拟合?
- RQ3GAIRAT 如何与现有的对抗训练方法(如 AT、FAT、TRADES)相互作用并带来改进?
- RQ4与基线相比,在标准基准(如 Wide ResNet 的 CIFAR-10)上 GAIRAT 的经验提升是多少?
主要发现
| 防御 | 自然(最佳) | 差值(最佳) | PGD-20(最佳) | 差值(最佳) | PGD+(最佳) | 差值(最佳) | 自然(末尾) | 差值(末尾) | PGD-20(末尾) | 差值(末尾) | PGD+(末尾) | 差值(末尾) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AT | 86.92 ±0.24 | - | 51.96 ±0.21 | - | 51.28 ±0.23 | - | 86.62 ±0.22 | - | 46.73 ±0.08 | - | 46.08 ±0.07 | - |
| FAT | 89.16 ±0.15 | +2.24 | 51.24 ±0.14 | -0.72 | 46.14 ±0.19 | -5.14 | 88.18 ±0.19 | +1.56 | 46.79 ±0.34 | +0.06 | 45.80 ±0.16 | -0.28 |
| GAIRAT | 85.75 ±0.23 | -1.17 | 57.81 ±0.54 | +5.85 | 55.61 ±0.61 | +4.33 | 85.49 ±0.25 | -1.13 | 53.76 ±0.49 | +7.03 | 50.32 ±0.48 | +4.24 |
| GAIR-FAT | 88.59 ±0.12 | +1.67 | 56.21 ±0.52 | +4.25 | 53.50 ±0.60 | +2.22 | 88.44 ±0.10 | +1.82 | 50.64 ±0.56 | +3.91 | 47.51 ±0.51 | +1.43 |
- GAIRAT 缓解鲁棒性过拟合并在对抗鲁棒性上有所提升,同时对自然准确率的下降很小。
- GAIR-FAT(GAIR 增强的 FAT)在鲁棒性和准确性方面均优于 FAT 和 AT 的基线。
- 在 Wide ResNet-32-10 的 CIFAR-10 上,GAIRAT 与 GAIR-FAT 在 PGD-20 与 PGD+ 评估中对 AT 和 FAT 展现出显著的鲁棒性提升。
- GAIRAT 在保持可比自然准确度的同时实现更好的对抗鲁棒性,挑战鲁棒性-准确性权衡。
- GAIRAT 与 FAT 与 TRADES 兼容,能够实现组合效果(GAIR-FAT、GAIR-TRADES)。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。