Adversarial Weight Perturbation Helps Robust Generalization(AWP adversarial train )

原创 已于 2023-04-11 15:26:00 修改 · 1.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#深度学习 #人工智能

于 2022-07-24 12:54:16 首次发布
研究揭示了权重损失景观与对抗训练模型泛化差距的关系,并提出了Adversarial Weight Perturbation (AWP) 算法。AWP通过引入min-max-max优化问题,旨在减小训练集与测试集间的鲁棒性差距。实验表明,通过控制扰动权重的γ值,可以优化损失景观,从而提升模型的测试集鲁棒性。与随机权重扰动相比,AWP显示出了更好的性能。此外,该方法在改进现有SOTA算法如TRADES、MARK等时,也显示出增强的鲁棒性。

目录

主要创新点

与最初的PGD对抗训练相比,AWP的主要创新点在于引入了AWP(Adversarial Weight Perturbation)机制(因为Weight loss landscape是在研究正常训练模型泛化性时常用的手段,作者将其引入对抗训练模型中期望有类似的效果),将PGD的min-max问题推广为min-max-max问题,期望解决roubust generalization gap比较大(即对抗训练产生的模型对训练集的鲁棒性远优于对测试集的鲁棒性,即网络鲁棒性的泛化能力不佳)这个问题。

实验探究Weight loss landscape与robust generalization gap之间的关系

Weight loss landscape的绘制

在这里插入图片描述
第二行,先根据高斯分布随机初始化 d d d。对每层的每个filter分别进行初始化,即 d l , j d_{l,j} dl,j的方向保持不变,大小变为 ∣ ∣ w l , j ∣ ∣ F ||w_{l,j}||_{F} ∣∣wl,jF(矩阵的F范数跟向量的2范数差不多,欧氏距离)。在d确定之后得到模型 f ω + α d f_{\omega+\alpha d} fω+αd,之后基于此模型生成一批对抗样本(9-14行),并计算其平均对抗损失(15行),最后根据不同的 α \alpha α值绘制损失图即可(17行)。

在learning processing of vanilla AT中(即探究一个模型)

在这里插入图片描述
实验过程对训练集的攻击是PGD-10(2/255,8/255),对测试集的攻击保持不变,并在100与150个epoch时减小学习率,显然在使用更小的学习率后模型出现过拟合,训练集鲁棒性迅速上升而测试集鲁棒性效果不佳,甚至有所下降。
探究其规律可以发现,在100epoch之前weight loss landscape比较平,之后随着训练,gap越大,landscape越陡峭。

不同对抗训练方式最终的weight loss landscape对比(即探究多个模型)

在这里插入图片描述
显而易见,gap越大,loss weight landscape越大。
其次,观察到AT-ES的gap是最小的,但是训练正确率不是最高的,即gap小一部分原因是未充分训练,作者认为最好应该是train robustness大,gap小。

基于上述结论,作者提出,可以在训练过程中直接引入一个机制去flatten weight loss landscape

正式提出Adversarial Weight Perturbation

首先,要让Weight loss lanscape变小,一个直观的想法就是 min ⁡ ω [ ρ ( ω + v ) − ρ ( ω ) ] \min\limits_{\omega} [\rho(\omega+v)-\rho(\omega)] ωmin[ρ(ω+v)ρ(ω)]即可,原本训练的目的是 min ⁡ ω ρ ( ω ) \min\limits_{\omega} \rho(\omega) ωminρ(ω),那只要 min ⁡ ω ρ ( ω + v ) \min\limits_{\omega} \rho(\omega+v) ωminρ(ω

最低0.47元/天 解锁文章
学习笔记 | 2023 AAAI 对抗性权值扰动改善图神经网络的泛化性能
叶庭云 成为自己的光
12-13 1340
学习笔记 | 2023 AAAI 对抗性权值扰动改善图神经网络的泛化性能
Adversarial Perturbation Constraint对抗扰动约束
一季南凉的博客
06-21 720
对抗扰动约束是关于在生成对抗样本时施加的限制条件,以确保这些样本能够有效欺骗模型且满足一定的规范。理解和研究这些约束对于提升模型的安全性和鲁棒性具有重要意义。
【模型提分tricks】Adversarial Weight PerturbationAWP)对抗训练
年少的勇气已经用完,剩下的就是三思而后行
09-14 1542
在如今AI遍及各行各业的情况下,现在不论是搞科研还是做比赛,一个非常重要的问题就是提升模型的robust,让训练出来的模型能更好的泛化到一个从未见过的测试集上,以此减小线上和线下的gap。
AT-AWPAdversarial weight perturbation helps robust generalization
weixin_49171105的博客
08-09 1674
本文提出一种简单而有效的对抗权重扰动(AWP)来明确规范化权重损失图的平滑度,在对抗训练框架中形成双重扰动机制(输入扰动和权值扰动)。大量实验表明,AWP确实使权重损失图更加平缓,并且可以很容易地融入各种现有的对抗训练中,以进一步提高对抗鲁棒性。......
对抗训练:FGM和AWP
qq_45812502的博客
10-11 694
对抗训练fgm和awp代码
竞赛trick-AWP对抗训练的即插即用实现
余俊晖,NLP炼丹师,目前专注自然语言处理领域研究。曾获得国内外自然语言处理算法竞赛TOP奖项近二十项。
09-19 1620
对抗训练就是使用对抗样本去训练模型,从而通过对原始训练数据添加噪声便得到了对抗样本。在竞赛中常在BERT的embedding阶段进行扰动,常使用的对抗训练有pgd,fgm,freelb等。(缘故:在刚结束的腾讯微信大数据挑战赛-多模态短视频分类竞赛中有大幅度提升)。
Adversarial Perturbations
zhangconghh的博客
10-11 1250
这里写自定义目录标题Adversarial Perturbations新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Adversarial Perturbations 你好! 这是你第一次使用 Markdown编辑器 所
【对抗性训练】FGM、AWP
最新发布
藓类少女的博客
08-13 1937
FGM 是一种快速生成对抗样本的方法,通过对输入样本施加小的扰动,使得模型在原始样本上的预测信心大幅下降,从而产生对抗样本。FGM 的目标是找到一个微小的扰动,使得模型对样本的预测结果发生改变。FGM 是 FGSM(Fast Gradient Sign Method)的简化版本,它的原理相同,但省去了符号函数的应用。AWP 是一种通过扰动模型参数来提升模型鲁棒性的方法。与 FGM 不同,AWP 并不直接在输入样本上施加扰动,而是在模型参数空间中引入扰动。
【论文阅读】Adversarial Vertex Mixup: Toward Better Adversarially Robust Generalization#CVPR2020
qq_36965134的博客
06-25 1016
解决问题: 虽然对抗性训练是对抗性训练中最有效的防御形式之一,但不幸的是,对抗性训练中存在着测试准确性和训练准确性之间的矛盾。 总结 : 在本文中,我们发现对抗性特征过拟合(AFO)会导致对抗性鲁棒泛化能力差,并且我们证明了对抗性训练可以在鲁棒泛化方面超过最优点,从而导致我们的简单高斯模型中的AFO。考虑到这些理论结果,我们提出软标记作为一种解决AFO问题的方法。此外,我们还提出了对抗性顶点合成(AVmixup),这是一种软标记的数据增强方法,用于改进对抗性鲁棒泛化。通过对CIFAR10、CIFA..
《Universal adversarial perturbations》总结笔记
孤山的都灵族如果不会打铁怎么办
03-15 593
扰动方法概括:本文提出的算法要求的是将同分布的一批训练样本推出决策边界的最小扰动向量。 如图所示,算法通过迭代依次求出每个训练样本的推出扰动向量 算法讲解: 如上图伪码,首先X取自同一分布的训练样本,是预测标签,当通用扰动添加到X中所有样本上时,错误率达到阈值,结束while循环。 while循环内,对X中每一个样本,如果之前已经生成的通用扰动添加到该样本上时,网络仍然正确分类,则把已经生成的通用扰动向量基础上再“放大一些”,使得对而言,能被分类错误。最后将更新为最新生成的通用扰动,其实就是
SwarmWolf -- 人工狼群算法 (AWPA):人工狼群算法 (AWPA) - MATLAB 工具箱-matlab开发
06-01
AWPA 的灵感来自狼群 (WP) 在:侦察、召唤和围攻中的社会行为。 笔记: 如果运行时出错,请通过以下方式访问完整的 SwarmWolf1001 包http://1drv.ms/1sRfFgZ
AWP.iOS.Drawing.Oct.2013.pdf
05-23
AWP.iOS.Drawing.Oct.2013.pdf ios7开发的好书
Generalist: Decoupling Natural and Robust Generalization
RochesterIns的博客
05-06 1028
对鲁棒泛化的研究已经发展了相当长的一段时间,作为提高鲁棒泛化的经典算法,Generalist获得CVPR 2023 (Highlight, Top 2.5%),从个人兴趣出发,我对本文的算法做了一些简单的分析。Generalist是一个使用两个base learner的集成学习框架,是一个用于训练深度神经网络分类器的算法,旨在解决自然泛化和鲁棒泛化之间的权衡问题。
对抗训练:FGM、PGD、FreeLB、AWP
u013250861的博客
08-06 433
对抗训练:FGM、PGD、FreeLB、AWP
神经网络损失函数分布可视化神器
CV_Autobot的博客
02-07 874
作者|科技猛兽 编辑| 极市平台点击下方卡片,关注“自动驾驶之心”公众号ADAS巨卷干货,即可获取点击进入→自动驾驶之心技术交流群导读本文使用了一系列可视化方法探索了神经损失函数的结构,以及loss landscape对泛化的影响,提出了一种基于 "Filter Normalization" 的简单可视化方法。当使用这种归一化时,最小化的锐度与泛化误差有很高的相关性,这种展示的可视化结果...
【深度】北大王奕森:对抗机器学习的鲁棒、隐私和架构
BAAIBeijing的博客
03-16 4002
第九届国际学习表征大会(ICLR 2021)是深度学习领域的国际顶级会议。在正式会议召开之前,青源Seminar于2月19日-21日成功召开了ICLR 2021 中国预讲会。回放链接:hu...
探索神经网络的隐藏维度:loss-landscapes项目详解与推荐
gitblog_00054的博客
06-08 1261
探索神经网络的隐藏维度:loss-landscapes项目详解与推荐 loss-landscapes Approximating neural network loss landscapes in low-dimensional parameter subspaces for PyTorch ...
【论文阅读笔记】NeurIPS2020文章列表Part1
热门推荐
zincrain的博客
12-09 2万+
A graph similarity for deep learning An Unsupervised Information-Theoretic Perceptual Quality Metric Self-Supervised MultiModal Versatile Networks Benchmarking Deep Inverse Models over time, and the Neural-Adjoint method Off-Policy Evaluation and Learning.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值