[论文解读] Batch Normalization is a Cause of Adversarial Vulnerability
本论文表明批量归一化会增加对对抗扰动的易受攻击性并降低对噪声的鲁棒性,证明移除批量归一化或添加 L2 权重衰减在不显著牺牲干净准确率的前提下可以提高鲁棒性。
Batch normalization (batch norm) is often used in an attempt to stabilize and accelerate training in deep neural networks. In many cases it indeed decreases the number of parameter updates required to achieve low training error. However, it also reduces robustness to small adversarial input perturbations and noise by double-digit percentages, as we show on five standard datasets. Furthermore, substituting weight decay for batch norm is sufficient to nullify the relationship between adversarial vulnerability and the input dimension. Our work is consistent with a mean-field analysis that found that batch norm causes exploding gradients.
研究动机与目标
- 在神经网络中激发对鲁棒性的关注并研究降低鲁棒性的因素,聚焦于批量归一化(BN)。
- 通过实证评估 BN 如何影响在常用数据集和模型上的对抗鲁棒性和对噪声的鲁棒性。
- 探究 BN 的存在是否能解释输入维度与脆弱性之间的观测关系。
- 检验是否可以通过替代正则化(如 L2 权重衰减)在不牺牲精度的前提下恢复鲁棒性。
提出的方法
- 回顾并分析批量归一化的机制及其对前激活的影响。 (Eq. 1)
- 在 MNIST、SVHN、CIFAR-10 和 ImageNet 上,针对 PGD 攻击(l_infty 和 l2)及高斯噪声,实证比较带 BN 与不带 BN 的模型。
- 使用 CIFAR-10-C 和 ImageNet 预训练模型评估在不同污染类型下的鲁棒性。
- 研究批量大小和网络深度对 BN 鲁棒性的作用,包括互信息近似 I(X;T) 和 I(T;Y)。
- 证明用 L2 权重衰减替换 BN 可以在对抗扰动和噪声下恢复鲁棒性。
实验结果
研究问题
- RQ1批量归一化是否本质上会降低对抗扰动和噪声的鲁棒性?
- RQ2是否可以通过使用 L2 权重衰减替代批量归一化来提升鲁棒性,而不过度影响干净准确率?
- RQ3批量大小、深度和正则化如何与 BN 交互,从而影响对抗脆弱性和表征信息?
- RQ4观察到的脆弱性是否与输入维度相关,是否可以通过正则化解耦?
- RQ5在对抗扰动下,受 BN 影响的模型在常见污染基准(CIFAR-10-C)和预训练 ImageNet 模型上的表现如何?
主要发现
- BN 在某些数据集上提高了干净准确率,但降低了对加性噪声和 PGD 扰动的鲁棒性(如 CIFAR-10、SVHN、ImageNet)。
- 将 BN 替换为权重衰减可以消除对抗脆弱性与输入维度之间的关系,在对抗和噪声条件下提高鲁棒性。
- 对于 CIFAR-10 和 CIFAR-10.1,与未标准化模型相比,BN 在 PGD 鲁棒性方面有显著下降,且在不同架构上效果各异。
- 在 CIFAR-10-C 上,BN 通常提高了对噪声型污染的平均损坏误差,跨越所测试的模型。
- ImageNet 的结果显示 BN 在某些噪声指标上有提升,但在对 PGD 的鲁棒性方面始终下降,且对对抗扰动的绝对下降更大。
- 互信息分析表明 BN 压缩了表示(I(X;T) 较低),与鲁棒性变化相关,深度放大了 BN 引起的压缩。
- 引入 L2 权重衰减可以通过补偿 BN 引起的对输入维度脆弱性关系的丧失来恢复鲁棒性。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。