Improving the Adversarial Robustness of Transfer Learning via Noisy Feature Distillation

arXiv 2020.2

https://github.com/ cmu-enyac/Renofeation

基于预训练模型的微调方法容易受到对抗示例的攻击(源于预训练模型和finetuning模型的相似性),经过随机初始化训练的模型对此类攻击的鲁棒性更高,尽管这类模型在测试集上的准确率较低,因此本文提出noisy feature distillation,在随机初始化的情况下训练网络,同时通过finetuning获得干净的数据性能,其对于对抗攻击的鲁棒性可与随机初始化数据训练的模型相媲美。

Transfer learning

问题定义,Eq.(1):

优化目标

\theta 是神经网络除开最后一层全连接层参数\theta_{linear}之外的网络参数,\theta_{0}表示预训练模型除开最后一层全连接层之外的模型参数。R,R_{linear}表示正则化项,n,x_{i},y_{i}代表样本数量,训练数据以及标签。R_{linear}(\theta _{linear})=\beta ||\theta _{linear}||_{2}^{2}

Linear Classifier:

只通过更新\theta_{linear}来最小化损失函数,R(\theta _{0},\theta,x_{i})为常数,\theta被初始化为θ_{0}。意即将预训练模型当做特征提取器,只更新全连接层。

Fine-tuning:

通过更新\theta_{linear},\theta来最小化损失函数,R(\theta _{0},\theta,x_{i})为常数,\theta被初始化为θ_{0},意即更新整个预训练网络。

L2SP:

通过更新\theta_{linear},\theta来最小化损失函数,\theta被初始化为θ_{0},意即更新整个预训练网络,同时尽可能保持权重不变。


正则化项

DELTA:

通过更新\theta_{linear},\theta来最小化损失函数,\theta被初始化为θ_{0}

正则化项

K代表除开最后一层全连接层的层数,n_{l}表示第l层激活的输出分量数,f_{l}用于评估第l层激活。意即更新整个预训练网络,同时尽可能保持每层输出激活值不变。

Re-training:

随机初始化网络参数,一般作为Baseline。

一般的对抗攻击,敌人可以获得网络模型结构和参数,但是不能获得训练数据。

attack定义:

对抗攻击目标

K是倒数第二层,t是目标向量,表示为一个常数乘以one-hot向量,目的是找到一个足够小的抖动δ使得倒数第二层的激活值在某一个神经元很大,但是其他的为零,该过程用projected gradient descent(PGD)优化,如下图。

adversarial attack

评价网络对抗鲁棒性的指标:

攻击成功率ASR:

评价指标

实验发现,transferd model和pretrained model之间的权重L2距离(L2SP)和特征图之间的L2距离(DELTA)越大,ASR越大。

几种transfer learning的效果对比

效果对比

最简单的想法是结合Retraining和DELTA,同时保持两者的优点DELTA_R

右边是对抗攻击ASR,左边是clean data accuracy

DELTA-R

但是DELTA_R相对于Retraining而言ASR还是很高,尽管clean data accuracy没有多少损失。

加入正则化可以提高模型的鲁棒性,Dropout(Spatial-dropout drops chan- nels randomly during training)和Stochastic Weight Averaging (SWA)(average numerous local optima to form the final solution)

Re-training with noisy feature distillation(Renofeation)

It re-initializes the network weights and trains them with feature distillation and both dropout and SWA. Both dropout and SWA are used to alleviate over-fitting the features to the pre-trained model and improve robustness, hence the name noisy feature distillation.


Renofeation

结果:

Renofeation

与ADV training相比:

与对抗训练对比
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,539评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,911评论 3 391
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,337评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,723评论 1 290
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,795评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,762评论 1 294
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,742评论 3 416
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,508评论 0 271
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,954评论 1 308
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,247评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,404评论 1 345
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,104评论 5 340
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,736评论 3 324
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,352评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,557评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,371评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,292评论 2 352