如何防止对抗性训练中的过度拟合？

对抗性扰动 16/04/2021

三个要点
✔️调查了正常训练和对抗性训练的错误行为差异
✔️发现过度拟合是对抗性训练的主要现象。
✔️表明，在对抗性训练中，提前停止对过度适应是有效的。

Overfitting in adversarially robust deep learning
written by Leslie Rice, Eric Wong, J. Zico Kolter
(Submitted on 26 Feb 2020 (v1), last revised 4 Mar 2020 (this version, v2))
Comments: Accepted to arXiv.
Subjects: Machine Learning (cs.LG); Machine Learning (stat.ML)

code：

首先

近年来，人们已经知道过度拟合可以通过深度学习中的Double Descent等现象来抑制。然而，在对抗性训练（Adversarial Training）这种针对对抗性扰动的鲁棒性方法中，我们发现过度拟合是一个主要的现象，这与普通深度学习不同。

如上图所示，在CIFAR-10的训练实例中，我们可以看到，在普通训练（Train standard，Test standard）中会出现Double Descent，但在Adversarial Training（Train robust。在对抗式训练（Train robust，Test robust）中，训练数据（Train robust）的损失持续减少，而测试数据（Test robust）的损失在某一时刻后增加。从这个例子中，我们可以确认，当进行对抗性训练时，会出现过拟合。

我们发现，在对抗性训练中，提前停止是处理这种过度适应的最有效方法。我们通过与其他正则化方法的比较，表明早期停止是最有效的方法。

什么是对抗性扰动？

敌意扰动

对抗性例子是设计成被判别模型误认的输入数据。这些对抗性的例子是通过在正常数据中添加噪声来创建的。这种噪音称为对抗性扰动，人们设计了各种制造噪音的方法。添加噪声的目的是使数据被误认，即增加将数据归入正确类别的误差。这可以表述为：

$$ max_{\delta \in \Delta}l(f_{\theta}(x_{i} + \delta), y_{i}) $$

其中$l$代表损失函数。如这个方程所示，我们可以通过找到一个当模型$f_{\theta}$将数据$x_{i}$与$y_{i}$识别时，损失最大化的扰动$\delta$来创建一个敌意扰动。解这个方程，我们可以建立一个对立样本，但如果样本是人眼已知的对立样本，那就不好办了，所以通常会在上述优化问题中加入约束条件，尽可能地增加小的扰动。这里衡量扰动的"小"有多种方法，但常见的是将L1规范、L2规范、L∞规范等定义为扰动的大小，在减小扰动大小的同时解决上述优化问题。

对抗性培训

对抗性训练是一种使网络对对抗性扰动具有鲁棒性的学习方法。除了正常的训练数据外，还可以在对抗性样本上训练网络，即对抗性扰动产生的数据，从而提高鲁棒性。形式上，网络的参数$\theta$由以下规则更新。$$ min_{\theta}\Sigma_{i}max_{\delta \in \Delta}l(f_{\theta}(x_{i} + \delta), y_{i}) $$内优化问题，$max_{\delta \in \Delta}l(f_{\theta}(x_{i} + \delta), y_{i})$是创建对抗性扰动时要解决的优化问题，对抗性训练这就是所谓的对抗性训练。