本文探讨了Adversarial Visual Robustness通过Causal Intervention增强模型对抗攻击的稳定性。传统对抗学习存在稳定性问题,容易受到混淆梯度攻击。通过对因果图的分析,指出数据增强、生成式分类和去噪声等方法的局限性。作者提出了一种新的因果优化方法,尝试通过消除混杂因子影响来提高鲁棒性,但实验表明该方法在面对混淆梯度攻击时表现不足。文章还比较了不同论文中对抗学习损失函数的差异,并展示了实现这些方法的代码细节。
Adversarial Visual Robustness by Causal Intervention
| 符号 | 含义 |
|---|---|
| R | 工具变量,视网膜采样 |
| C | 混杂因子 |
| X | 输入特征 |
| Y | 预测结果 |
| ϵ\epsilonϵ | 扰动 |
| N | 样本数量 |
| r | 采样次数 |
解决问题
对抗学习的稳定性问题、应对针对混淆梯度的攻击
传统的对抗学习训练:
maxδ∈DϵP(Y=yˉ∣X=x+δ)∝∑iy^ilnefi(x+δ)∑jefj(x+δ) \begin{aligned} \displaystyle \max_{\delta \in D_\epsilon}P(Y=\bar{y}|X=x+\delta) \propto \sum_i \hat{y}_i \ln \frac{e^{f_i(x+\delta)}}{\sum_j e^{f_j(x+\delta)}} \end{aligned} δ∈DϵmaxP(Y=yˉ∣X=x+δ)∝i∑y^iln∑jefj(x+δ)efi(x+δ)
对其他方法的因果图分析
X到Y的因果路径(我们期望得到的)存在混杂因子C,因此会有CXY的因果图
对抗攻击的过程是使得无法通过X来得到正确的Y(我们期望的X->Y)的过程,这相当于阻断X到Y的因果路径
对抗训练(公式1)生成训练样本的过程和对抗攻击的方法如出一辙,对抗训练防止了混杂因子对Y的影响,因此阻断了C到Y的因故路径
最低0.47元/天 解锁文章
扫一扫
534
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
