本文介绍了一种利用低温蒸馏(Low-temperature Distillation)策略来增强神经网络对抗样本鲁棒性的方法。通过使用软标签替代硬标签训练,减少对抗样本间的决策边界,作者在Chen和Lee的预印本arXiv:2111.02331中详细探讨了这一技术。研究还包括对批量采样和批归一化(BN)行为的深入分析。提问者质疑是否尝试过在对抗训练(Adversarial Training, AT)中应用该方法,但未找到显著创新点。
概
本文利用distillation来提高网络鲁棒性.
主要内容
如上图所示, 作者认为, 如果我们用one-hot的标签进行训练, 结果会导致图(b)中的情形, 于是两个分布中间的空袭部分均可以作为分类边界, 从而导致存在大量的对抗样本的存在. 解决的方案要么更加密集的采样(即增加样本), 或者使用soft-label即本文的策略.
本文的目标即:
L
L
T
D
=
L
c
e
(
p
s
(
x
;
T
=
1
)
,
p
t
(
x
;
T
=
τ
)
)
+
β
K
L
(
p
s
(
x
;
T
=
1
)
∥
p
s
(
x
′
;
T
=
1
)
)
,
\mathcal{L}_{LTD} = \mathcal{L}_{ce}(p^s(x; T=1), p^t(x;T=\tau)) + \beta \mathrm{KL}(p^s(x;T=1)\|p^s(x';T=1)),
LLTD=Lce(ps(x;T=1),pt(x;T=τ))+βKL(ps(x;T=1)∥ps(x′;T=1)),
其中
p
s
p^s
ps表示学生网络得到的概率向量, 而
p
t
p^t
pt是在普通数据上训练好的教师网络得到的概率向量(且注意其temperature不为1, 根据作者的消融实验,
T
=
5
T=5
T=5对于WRN是一个不错的选择).
可以发现, 上述目标与普通的TRADES仅仅差别与第一项改用了soft-label.
作者还额外讨论了BN的作用, 如果单独使用干净或者对抗样本进行更新, 网络几乎是不收敛的. 而先更新干净或者对抗样本对最后的结果影响不大. 这个还挺有意思的, 我也做过类似的东西, 会不会是被kill了?
问?
不晓得作者有没有试过AT的distillation, 因为感觉没有特别的创新点, 难不成AT上不起作用?
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
