关于Distillation as a Defense to Adversarial Perturbations against Deep Neural Networks的理解

最新推荐文章于 2023-11-20 17:00:36 发布

原创最新推荐文章于 2023-11-20 17:00:36 发布 · 3.7k 阅读

14 ·

CC 4.0 BY-SA版权

文章标签：

#对抗样本

Adversarial examples 专栏收录该内容

8 篇文章

订阅专栏

为了防御之前提出的FGSM和JSMA的攻击方式，作者根据之前hinton提出的蒸馏学习的方式，再此基础上稍作修改得到了防御蒸馏模型，并理论推导了防御有效性的原因。
蒸馏学习是原先hinton提出用来减少模型复杂度并且不会降低泛化性能的方法，具体就是在指定温度下，先训练一个教师模型，再将教师模型在数据集上输出的类别概率标记作为软标签训练学生模型。而在防御蒸馏模型中，选择两个相同的模型作为教师模型和学生模型。
missing
具体过程如下：
1、先用硬标签训练教师模型，假设温度为 $T$ ，则教师模型的softmax层的输出 $F(X)$ 为：

F (X) = [e z i ( X ) / T \sum N - 1 l = 0 e z l ( X ) / T] i \in 0 \dots N - 1

$\begin{equation}\nonumber F(X)=\Big[{e^{z_i(X)/T} \over {\sum_{l=0}^{N-1} e^{z_l(X)/T}}} \Big]_{i \in 0 \dots N-1} \end{equation}$
再此基础上应用交叉熵损失训练模型。
2、然后用教师模型输出类别概率

F(X)F(X) $F(X)$ （注意，这里还是保持了温度

TT $T$ ）实际上，这和

T = 1

$T=1$ ，即普通情况下训练模型，并没有什么太大区别，但我们还是与原文保持一致。
3、对于学生模型，我们还是利用温度

TT $T$ 下的输出

F (X)

$F(X)$ 计算交叉熵损失函数，不过类别标签应用之前教师模型输出的软标签，进而进行训练。
对于使用软标签带来的好处，主要在于使用软标签

F(X)F(X) $F(X)$ 使得神经网络能够在概率向量中找到的附加知识。这个额外的熵编码了类之间的相对差异。例如，在手写数字识别的背景下，给定一些手写数字的图像

XX $X$ ，模型

F

$F$ 可以评估数字

77 $7$ 到

F_{7} (X) = 0.6

$F_7(X)= 0.6$ 的概率以及标签

11 $1$ 到

F_{1} (X) = 0.4

$F_1(X)= 0.4$ 的概率，这表明

77 $7$ 和

1

$1$ 之间有一些结构相似性。
4、对于模型的预测输出，我们反而将温度

TT $T$ 降为

1

$1$ ，从而以高置信度来预测未知输入的类别。
实际上我们根本不需要前面的教师模型，只需要将

F(X)F(X) $F(X)$ 作为神经网络的输出来最小化交叉熵损失函数既可以达到防御FGSM和JSMA的攻击。
作者也对防御蒸馏的有效性进行的分析，对softmax层的输出求梯度可以很容易的得出：

\partial F i ( X ) \partial X j ∣ ∣ ∣ T = \partial \partial X j (e z i / T \sum N - 1 l = 0 e z l / T) = 1 g 2 ( X ) (\partial e z i ( X ) / T \partial X j g (X) - e z i (X) / T \partial g ( X ) \partial X j) = 1 g 2 ( X ) e z i / T T (\sum l = 0 N - 1 \partial z i \partial X j e z l / T - \sum l = 0 N - 1 \partial z l \partial X j e z l / T) = 1 T e z i / T g 2 ( X ) (\sum l = 0 N - 1 (\partial z i \partial X j - \partial z l \partial X j) e z l / T)

$\begin{equation}\nonumber \begin{aligned} {\partial F_i(X) \over \partial X_j}\Big|_T &= {\partial \over \partial X_j} \Big({e^{z_i/T} \over \sum_{l=0}^{N-1} e^{z_l/T}} \Big) \\ &= {1 \over g^2(X)} \Big({\partial e^{z_i(X)/T} \over \partial X_j}g(X)-e^{z_i(X)/T}{\partial g(X) \over \partial X_j} \Big) \\ &={1 \over g^2(X)}{e^{z_i/T} \over T}\Big(\sum_{l=0}^{N-1}{\partial z_i \over \partial X_j}e^{z_l/T}-\sum_{l=0}^{N-1}{\partial z_l \over \partial X_j}e^{z_l/T}\Big) \\ &={1 \over T}{e^{z_i/T} \over g^2(X)} \Big(\sum_{l=0}^{N-1}\big({\partial z_i \over \partial X_j}-{\partial z_l \over \partial X_j}\big) e^{z_l/T} \Big) \end{aligned} \end{equation}$
其中

g(X)=∑N−1l=0ezl(X)/Tg(X)=∑l=0N−1ezl(X)/T $g(X) = \sum_{l=0}^{N-1} e^{z_l(X)/T}$ ，并且我们记

zi(X)zi(X) $z_i(X)$ 为

zizi $z_i$ 。
但实际上这里的分析值得商榷，我们来重新做一个分析，首先我们假设用防御蒸馏训练得到的防御蒸馏模型类别

ii $i$ 的logits输出为

z_{i}^{'} (X)

$z_i'(X)$ （也就是softmax层的输入），而原始模型类别

ii $i$ 的logits输出为

z_{i} (X)

$z_i(X)$ 。模型训练时，为了使交叉熵损失函数足够小，我们类别输出

z′i(X)zi′(X) $z_i'(X)$ 之间的差距必须足够大，原先，我们只需要目标类别

ll $l$ 的logits输出

z_{l} (X)

$z_l(X)$ 比其余类别

zi(X),i≠lzi(X),i≠l $z_i(X),i \neq l$ 大10左右即可。(

e−10≈4.5×10−5e−10≈4.5×10−5 $e^{-10} \approx 4.5 \times 10^{-5}$ ，这是我随便选的数字)，即可使得我们要求的类别

ll $l$ 的概率输出近似为1：

\begin{aligned} P_{l} (X) & = \frac{e^{z_{l} (X)}}{\sum_{i = 0}^{N - 1} e^{z_{i} (X)}} \\ \approx \frac{1}{1 + e^{- 10} * (N - 2)} \\ \approx 1 \end{aligned}

$\begin{equation}\nonumber \begin{aligned} P_l(X) &= {e^{z_l(X)} \over \sum_{i=0}^{N-1} e^{z_i(X)}} \\ &\approx {1 \over 1+e^{-10} * (N-2)} \\ & \approx 1 \end{aligned} \end{equation}$
而训练防御蒸馏模型时，，假设我们温度选择

T=100T=100 $T = 100$ ,那么我们在该温度下要求目标类别的概率输出为

11 $1$ ，则需要满足：

\begin{aligned} P_{l} (X) & = \frac{e^{z_{l}^{'} (X) / T}}{\sum_{i = 0}^{N - 1} e^{z_{i}^{'} (X) / T}} \\ \approx \frac{1}{1 + e^{(z_{i}^{'} (X) - z_{l}^{'} (X)) / T} * (N - 2)} = 1 \end{aligned}

$\begin{equation}\nonumber \begin{aligned} P_l(X) &= {e^{z'_l(X)/T} \over \sum_{i=0}^{N-1} e^{z'_i(X)/T}} \\ & \approx {1 \over 1+e^{(z'_i(X)-z'_l(X))/T} * (N-2)} = 1 \end{aligned} \end{equation}$
此时若还按照刚才的

e−10e−10 $e^{-10}$ 的要求，则必须

z′i(X)−z′l(X)=−10∗T=−1000zi′(X)−zl′(X)=−10∗T=−1000 $z'_i(X)-z'_l(X)=-10*T=-1000$ ，而训练完毕后模型预测时温度降为

T=1T=1 $T=1$ ，此时差1000就是绝对的

00 $0$ 和

1

$1$ 了，我们用交叉熵

loss=−logFl(X)loss=−log⁡Fl(X) $loss = -\log F_l(X)$ 对

XX $X$ 求梯度可以得到：

\begin{aligned} \nabla_{X} l o s s & = - \nabla_{X} (\log \frac{e^{z_{l}^{'} (X)}}{\sum_{i = 0}^{N - 1} e^{z_{i}^{'} (X)}}) \\ = - \frac{\partial z_{l}^{'} (X)}{\partial X} + \frac{\sum_{i = 0}^{N - 1} [e^{z_{i}^{'} (X)} \frac{\partial z_{i}^{'} (X)}{\partial X}]}{\sum_{i = 0}^{N - 1} e^{z_{i}^{'} (X)}} \\ ≃ - \frac{\partial z_{l}^{'} (X)}{\partial X} + \frac{\frac{\partial z_{l}^{'} (X)}{\partial X} + 0 \dots 0}{1 + 0 \dots 0} \\ = 0 \end{aligned}

$\begin{equation}\nonumber \begin{aligned} {\nabla_X{loss}} &= - \nabla_X \Big(\log {e^{z'_l(X)} \over {\sum_{i=0}^{N-1}e^{z'_i(X)}}}\Big) \\ &= - {\partial z'_l(X) \over \partial X} + {{\sum_{i=0}^{N-1} \big[e^{z'_i(X)}{\partial z'_i(X) \over \partial X}\big]} \over {\sum_{i=0}^{N-1}e^{z'_i(X)}}} \\ &\simeq - {\partial z'_l(X) \over \partial X} + {{{\partial z'_l(X) \over \partial X} + 0 \cdots 0} \over 1+0 \cdots 0} \\ &= 0 \end{aligned} \end{equation}$
注意这里是分子分母同时除以

ez′l(X)ezl′(X) $e^{z'_l(X)}$ 近似得到的，因此蒸馏训练之后的损失函数对样本X的梯度近似等于0，我们的实验结果也是如此。
同理，我们重新分析对softmax层的输出求的梯度：

\partial F i ( X ) \partial X = \partial \partial X j (e z ' i \sum N - 1 l = 0 e z ' l) = 1 g 2 ( X ) (\partial e z ' i ( X ) \partial X g (X) - e z' i (X) \partial g ( X ) \partial X) = 1 g 2 ( X ) e z' i (\sum l = 0 N - 1 \partial z ' i \partial X e z' l - \sum l = 0 N - 1 \partial z ' l \partial X e z' l) = e z ' i g 2 ( X ) (\sum l = 0 N - 1 (\partial z ' i \partial X - \partial z ' l \partial X) e z' l) = \partial z ' l \partial X - \partial z ' l \partial X = 0

$\begin{equation}\nonumber \begin{aligned} {\partial F_i(X) \over \partial X} &= {\partial \over \partial X_j} \Big({e^{z'_i} \over \sum_{l=0}^{N-1} e^{z'_l}} \Big) \\ &= {1 \over g^2(X)} \Big({\partial e^{z'_i(X)} \over \partial X}g(X)-e^{z'_i(X)}{\partial g(X) \over \partial X} \Big) \\ &={1 \over g^2(X)}{e^{z'_i}}\Big(\sum_{l=0}^{N-1}{\partial z'_i \over \partial X}e^{z'_l}-\sum_{l=0}^{N-1}{\partial z'_l \over \partial X}e^{z'_l}\Big) \\ &={e^{z'_i} \over g^2(X)} \Big(\sum_{l=0}^{N-1}\big({\partial z'_i \over \partial X}-{\partial z'_l \over \partial X}\big) e^{z'_l} \Big) \\ &= {\partial z'_l \over \partial X} - {\partial z'_l \over \partial X} \\ &=0 \end{aligned} \end{equation}$
其中

g(X)=∑N−1l=0ez′l(X)g(X)=∑l=0N−1ezl′(X) $g(X) = \sum_{l=0}^{N-1} e^{z'_l(X)}$ ，这里也是分子分母同时除以

e2z′l(X)e2zl′(X) $e^{2z'_l(X)}$ 得到的。这也与我们的实验相符（雅可比矩阵为0）。但是实际上JSMA的攻击选择的是logits的输出，因此实际上防御蒸馏根本没办法抵抗JSMA的攻击。
防御蒸馏实际上是一个典型的梯度遮蔽的方式来防御对抗攻击，实际上我们即使不知道真正的梯度，采用近似的梯度，也能够成功攻击。C&W后来提出了一个新的攻击方式成功攻击了该防御模型。