[论文解读] Are Perceptually-Aligned Gradients a General Property of Robust Classifiers?
论文表明,感知对齐的梯度不仅在对抗性训练的网络中出现,也出现在随机平滑(高斯)鲁棒分类器中,暗示这一现象可能是鲁棒模型的普遍属性。
For a standard convolutional neural network, optimizing over the input pixels to maximize the score of some target class will generally produce a grainy-looking version of the original image. However, Santurkar et al. (2019) demonstrated that for adversarially-trained neural networks, this optimization produces images that uncannily resemble the target class. In this paper, we show that these "perceptually-aligned gradients" also occur under randomized smoothing, an alternative means of constructing adversarially-robust classifiers. Our finding supports the hypothesis that perceptually-aligned gradients may be a general property of robust classifiers. We hope that our results will inspire research aimed at explaining this link between perceptually-aligned gradients and adversarial robustness.
研究动机与目标
- 激发对为什么在鲁棒性防御下会出现感知对齐梯度的理解。
- 调查感知对齐是否不仅限于对抗性训练,而扩展到随机平滑。
- 通过定向对抗性合成,证明平滑分类器表现出感知一致的目标类别特征。
提出的方法
- 定义并使用高斯平滑分类器 ˆ{hat{f}_{�}} 及其基础网络 f。
- 使用期望对数输出构建定向对抗目标,并通过对高斯噪声的蒙特卡洛梯度估计来优化。
- 使用投影梯度下降(PGD)为平滑网络构建大规模对抗样本。
- 比较两种基于梯度的合成损失:交叉熵(L_CE)和目标类别最大(L_TCM),在感知质量方面更偏好 L_TCM。
- 从类别特定高斯分布抽取的种子图像出发,对目标类别分数进行梯度上升,合成类条件图像。
实验结果
研究问题
- RQ1感知对齐的梯度是否也会出现在通过随机平滑构建的分类器中,除了对抗性训练的模型之外?
- RQ2梯度的感知对齐是鲁棒分类器的一般属性,还是特定防御所特有?
- RQ3平滑参数(例如 sigma)和梯度估计选项对合成图像的感知质量有何影响?
- RQ4基础网络的不同训练方法(高斯增强 vs. SmoothAdv)如何影响平滑分类器中的感知对齐?
主要发现
- 在针对特定类别构造大规模对抗样本时,在平滑网络中观察到感知对齐的梯度。
- 通过平滑分类器合成的图像在视觉上趋向于与目标类别相似,尽管可能缺乏全局连贯性。
- 在此设置中,L_TCM 损失比交叉熵损失产出更具感知连贯性的目标类别图像。
- 增大平滑尺度 sigma 往往产生更连贯、单实例的目标类别表示;较小的 sigma 则产生分散的特征。
- 在他们的实验中,使用蒙特卡罗采样(N)进行梯度估计,N 高达20,能够提供足够的感知合成质量。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。