论文那些事—SKIP CONNECTIONS MATTER: ON THE TRANSFER-ABILITY OF ADVERSARIAL EXAMPLES GENERATED WITH RESNE-优快云博客

本文链接：https://blog.youkuaiyun.com/shuweishuwei/article/details/121545460

SKIP CONNECTIONS MATTER: ON THE TRANSFER-ABILITY OF ADVERSARIAL EXAMPLES GENERATED WITH RESNETS（ICLR2020）

1、摘要

关于ResNet的介绍可以看我以往的文章，虽然刚开始写的比较烂，哈哈哈哈

https://blog.youkuaiyun.com/shuweishuwei/article/details/120151499?spm=1001.2014.3001.5501

跳接（skip connection）已经成为了目前sota神经网络不可缺少的组成部分。跳接构造了一个浅层到深层的捷径，通过连接卷积块的输入直接到它的输出（称为残差块）。虽然神经网络的不同层学习不同级别的特征，但跳接可以帮助保留低级特征并在添加更多层时避免性能下降。

DNN现在很容易受到对抗样本的攻击，于是作者考虑到跳接和对抗样本之间的关系。作者进行了实验，如下图，其中卷积层为残差块，发现经过跳接的梯度可以提高对抗样本的攻击成功率，包括白盒和黑盒。

受到上述实验的启发，作者提出了用Skip Connections Matter（SGM），使用更多的来自跳接的梯度而不是残差块的梯度。实践中，SGM利用了一个衰减因子来减少来自残差块的梯度，生成高迁移性的对抗样本。

相较于之前的工作，之前的工作都是从数据增强和扰动特征的角度去提高对抗样本的迁移性。尽管上述迁移技术是有效的，但它们要么将网络（代理模型或目标模型）视为单个组件，要么仅使用网络的中间层输出。换句话说，他们没有直接考虑不同 DNN 架构特征的影响。因此，作者利用跳接的架构特性来考虑对抗样本的可迁移性。

2、SGM算法原理

2.1跳接的梯度解耦

考虑三个连续的残差块（残差模型+相应的skip connection）， $z_{i+1}=z_{i}+f_{i+1}\left ( z_{i} \right )$ ，其中令 Z0为输入，Z3为输出，则得到如下表达式：

关于loss function相应的梯度计算如下：

推广到L个残差块，计算关于模型输入x的梯度公式如下：

2.2 Skip Gradient Method (SGM)

为了从跳接中使用更多的梯度，在这里，作者在分解的梯度中引入了一个衰减参数，以减少来自残差模块的梯度。按照上式中的分解，skip gradient是，：

其中 Z0=X ，衰减因子 [公式] 。因此，对抗样本的生成可以表述为：

SGM 是一种通用技术，可以在任何具有跳接的神经网络上轻松实现。在反向传播过程中，SGM 只是在通过残差模块时将衰减参数乘以梯度。因此，SGM 不需要任何计算开销，即使在密集连接的网络（如 DenseNets）上也能高效工作。残余梯度的减少沿着反向传播路径累积，即较低层的残余梯度将比较高层的残余梯度减少更多次。这是因为，与高层特征相比，低层特征已经被跳接很好地保留了下来。

3、实验结果

单步攻击转移性（此处SGM = FGSM + SGM）：

多步攻击转移性（此处SGM = PGD + SGM）：

对经过对抗训练的安全模型的转移攻击：

结合集成模型技术的转移攻击：

4、总结

在本文中，发现了许多最先进的类似ResNet的神经网络所使用的跳过连接的一个令人惊讶的特性，即它们可以很容易地用于生成高度可转移的对抗样本。SGM构建的攻击比现有方法构建的攻击具有更好的迁移性。当与现有技术相结合时，SGM还可以极大地提高最先进攻击的迁移性。本文认为正是利用了跳接中产生的低层特征才增强了DNN的迁移性，并且还有 $\gamma$ 来抑制高层特征的梯度比例。