定制化对抗训练Customized Adversarial Training

CAT: Customized Adversarial Training for Improved Robustness
Minhao Cheng, Qi Lei, Pin-Yu Chen, Inderjit Dhillon, Cho-Jui Hsieh
arXiv preprint arXiv:2002.06789

作者提出定制化对抗训练（Customized Adversarial Training, CAT），通过解决 $\epsilon$ 和one-hot的问题改善对抗训练。

Auto-tuning $\epsilon$ for adversarial training
$\epsilon$ 的问题：不应该为每个样本分配相同的较大的 $\epsilon$ 。一些样本与决策边界非常近，他们应该使用较小的 $\epsilon$ ，否则对抗训练将放弃这些样本。
解决方案：在训练过程中为每个样本 $x_i$ 分配一个合适的 $ϵ_i$
$\epsilon_{i}=\underset{\epsilon}{\operatorname{argmin}}\left\{\max _{\boldsymbol{x}_{i}^{\prime} \in \mathcal{B}\left(\boldsymbol{x}_{i}, \epsilon\right)} f_{\theta}\left(\boldsymbol{x}_{i}^{\prime}\right) \neq y_{i}\right\}$
Adaptive label uncertainty for adversarial training
One-hot的问题：对抗训练的损失促使预测匹配one-hot label（例如，二分类的[1, 0]）。如果一个样本被扰动，则预测不应该保持one-hot。例如，如果一个样本被干扰到决策边界上，那么预测应该为[0.5, 0.5]，而不是[1, 0]。
解决方案：adaptive label smoothing。给定one-hot标签 $y$ ，对其做平滑
$\tilde{y}=(1-\alpha) y+\alpha u$
其中， $\alpha \in[0,1]$ 。设 $\alpha=c*\epsilon_i$ ， $u=Dirichlet(1)$ ，则
$\tilde{y}_{i}=\left(1-c \epsilon_{i}\right) y_{i}+c \epsilon_{i} Dirichlet (1)$
the final objective function
$\min _{\theta} \frac{1}{n} \sum_{i=1}^{n} \max _{\boldsymbol{x}_{i}^{\prime} \in \mathcal{B}\left(\boldsymbol{x}_{i}, \epsilon_{i}\right)} \ell\left(f_{\theta}\left(\boldsymbol{x}_{i}^{\prime}\right), \tilde{y}_{i}\right)$
s.t. $\epsilon_{i}=\underset{\boldsymbol{\epsilon}}{\operatorname{argmin}}\left\{\max _{\boldsymbol{x}_{i}^{\prime} \in \mathcal{B}\left(\boldsymbol{x}_{i}, \epsilon\right)} f_{\theta}\left(\boldsymbol{x}_{i}^{\prime}\right) \neq y_{i}\right\}$
CAT algorithm

CAT algorithm