Skip to main content
QUICK REVIEW

[论文解读] Mixup Inference: Better Exploiting Mixup to Defend Adversarial Attacks

Tianyu Pang, Kun Xu|arXiv (Cornell University)|Sep 25, 2019
Adversarial Robustness in Machine Learning参考文献 43被引用 42
一句话总结

本文提出 Mixup Inference (MI),一种针对混合训练模型的推理阶段过程,主动利用全局线性性来缩小并转移对抗扰动,在各种威胁模型下提高鲁棒性和检测能力。

ABSTRACT

It has been widely recognized that adversarial examples can be easily crafted to fool deep networks, which mainly root from the locally non-linear behavior nearby input examples. Applying mixup in training provides an effective mechanism to improve generalization performance and model robustness against adversarial perturbations, which introduces the globally linear behavior in-between training examples. However, in previous work, the mixup-trained models only passively defend adversarial attacks in inference by directly classifying the inputs, where the induced global linearity is not well exploited. Namely, since the locality of the adversarial perturbations, it would be more efficient to actively break the locality via the globality of the model predictions. Inspired by simple geometric intuition, we develop an inference principle, named mixup inference (MI), for mixup-trained models. MI mixups the input with other random clean samples, which can shrink and transfer the equivalent perturbation if the input is adversarial. Our experiments on CIFAR-10 and CIFAR-100 demonstrate that MI can further improve the adversarial robustness for the models trained by mixup and its variants.

研究动机与目标

  • 在推理阶段激发对 mixup 训练模型鲁棒性差距并寻求利用它们的全局线性特性进行防御。
  • 引入 Mixup Inference (MI),在推理时通过与干净样本混合主动处理输入。
  • 分析两种 MI 变体(MI-PL 和 MI-OL),并给出鲁棒性提升条件(RIC)和检测差距(DG)的理论条件。
  • 证明 MI 能在 CIFAR-10/100 上提升对抗鲁棒性,且与 mixup 变体和插值对抗训练兼容。

提出的方法

  • MI 对输入与干净样本进行多次随机混合,并对分类器输出取平均(对 E_{p_s}[F(tilde{x})] 的蒙特卡洛近似)。
  • 两种 MI 变体:MI-PL 使用预测标签作为混合目标;MI-OL 使用其他标签作为混合目标。
  • 该方法依赖两种机制:输入转移(随机化、语义多样的扰动)和扰动收缩(通过 λ 放缩对抗扰动)。
  • 定义一个鲁棒性提升条件(RIC),用于量化在 MI 之后何时增加真实标签分数并降低对抗分数。
  • 定义检测指标(DG),通过 MI 之后的最高预测类别的变化来衡量 MI 标记对抗输入的能力。

实验结果

研究问题

  • RQ1在推理阶段,Mixup Inference (MI) 是否能够进一步提高 mixup 训练模型的对抗鲁棒性?
  • RQ2MI-PL 与 MI-OL 是否提供不同的鲁棒性和检测特征,在什么条件下它们满足鲁棒性提升标准和检测增益标准?
  • RQ3在 CIFAR-10/100 上,MI 如何与现有基于 mixup 的防御和插值对抗训练在实践中互作?
  • RQ4有哪些理论保证或直觉解释说明 MI 对无知型和自适应攻击者的有效性?

主要发现

  • MI 通过在推理阶段主动利用全局线性性,能够进一步提升混合训练模型的鲁棒性。
  • MI 通过与干净样本的多次混合来运行,从而实现扰动收缩和输入转移,削弱对手。
  • MI-PL 在无目标的 PGD 攻击下通常提供更强的鲁棒性和检测能力,实验结果显示相对于基线有显著的鲁棒性提升。
  • MI-OL 在某些攻击下提供更广泛的鲁棒性,并且检测差距与 MI-PL 相当,尽管在许多情况下实际性能倾向于 MI-PL。
  • 与插值对抗训练结合时,MI 仍然有效且兼容,提升鲁棒性超出仅在训练时的防御。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。