使用对抗性攻击来提高准确性!
三个要点
✔️ 通过以减少损失的方式添加对抗性扰动来提高模型的准确性
✔️ 通过向物体添加噪声,以称为斑块的区域的形式,提高模型的准确性。
✔️ 提出一个Robust Pattern,通过去除噪声的规范约束来解释模型。
Assistive Signals for Deep Neural Network Classifiers
written by Camilo Pestana, Wei Liu, David Glance, Robyn Owens, Ajmal Mian
(Submitted on June 2021)
Comments: CVPR2021
Subjects: Computer Vision and Pattern Recognition (cs.CV)
本文所使用的图片要么来自论文、介绍性幻灯片,要么是参考这些图片制作的。
研究概况
在这项研究中,我们使用了敌意攻击的想法来提高我们模型的准确性。提高模型精度的扰动被称为辅助信号,它被添加到要识别的图像的某个部分以提高精度。辅助信号也可以被认为是表明ML模型对真实物体的特定模式(Robust Pattern)的偏爱。
研究背景
什么是敌意攻击?
对抗性攻击是一个通用术语,指的是以这样一种方式操纵输入,使机器学习模型对给定的输入产生错误的输出。事实证明,输入数据中存在足够的噪音,导致机器学习模型产生错误的输出,即使噪音小到人眼看不到。
上图是一个著名的敌意攻击的说明。通过向熊猫的输入图像添加噪音,右边的图像被转化。人眼无法看到图像之间的差异,但机器学习模型正确地将第一幅图像识别为熊猫,但将转换后的图像识别为长臂猿。这样一来,敌对的攻击会误导模型的输出。
那么,对抗性攻击是如何寻求这种噪音的呢?许多对抗性攻击是通过添加噪音来进行的,这样一来,正确分类的图像的损失就很明显。具体来说,攻击者要解决以下优化问题
其中$delta$是我们要寻找的噪声,$x$是输入数据,$y$是对应于输入数据的正确标签,$L$是损失函数。由于损失函数通常是由模型的参数、输入数据和正确标签计算出来的,攻击者修改输入数据,使其被归类到正确标签时损失更大。
什么是辅助性信号?
那么,什么是辅助信号,它使用对抗性攻击的理念来提高模型的准确性?答案很简单:对抗性攻击引入了噪音,导致模型在正确分类时损失更大,而辅助信号则引入了噪音,导致模型在正确分类时损失更小。换句话说,我们添加噪音,使模型更容易分类。这就是为什么它被称为辅助性信号。
使用案例
辅助信号要求在分类前知道输入数据的正确类别,以便引入噪声,使输入数据得到正确分类。因此,不可能有未知的数据。那么,什么是辅助信号,如何使用它?
作者设想的一个用例是识别物理空间中的物体。例如,在一个城市中识别汽车的任务。在这样的任务中,通过在汽车本身贴上某种噪音贴纸,会更容易正确识别汽车。
因此,在整个输入图像中加入噪声是不实际的,因为我们想用它来完成对现实世界物体进行正确分类的任务。因此,作者建议只在小区域,即所谓的斑块上添加噪声。通过这种方式,噪声可以用类似贴纸的东西再现,如上所述。
信号生成的算法
具体来说,以下程序用于生成辅助信号。
作者认为物理空间是一个目标,但在这种情况下,实验是在一个模拟的三维空间上进行的。因此,有一个模拟参数$Theta$。这个参数决定了照度、观察角度等。
上述程序包括对三维空间中的物体图像进行噪音操作,该图像取自一台摄像机。捕捉到图像后,我们按照损失递减的方向添加噪音,并进行预定次数的处理。为了避免将噪声应用于整个图像,在添加噪声之前使用了applyMask操作。这个操作将只在图像的一部分增加噪音。
实验
我们现在将研究辅助信号的有效性。首先,我们将比较有辅助信号和没有辅助信号的结果。
正如你在上图中所看到的,当你添加辅助信号(其中一个补丁被称为辅助补丁)时,你可以看到准确性的改善。
接下来,我们研究向整个图像添加噪声和向部分图像添加噪声之间的区别。
如上图所示,在整个图像(b)上添加噪声和在图像的一部分(c)上添加噪声,在准确性上几乎没有区别。因此,在添加噪声以提高精确度时,只需在图像的一部分添加噪声即可。
最后,我们将讨论稳健模式的概念。通常情况下,当我们添加噪声时,我们的方式是使噪声小到不能被人眼看到,但我们研究了当我们取消对噪声大小的限制时,辅助信号会发生什么。我们还考虑将噪声放在整个图像上,而不仅仅是斑块。
其结果如上图所示。结果显示,该模型从其他数据中学习了方形车灯和大型格栅,而不是从当前输入数据中学习了圆形车灯和拉长的格栅,作为识别该车为吉普车的特征。作者将这一结果称为 "稳健模式",并认为它可以为模型的可解释性提供有用的信息。
摘要
我们引入了一个叫做 "辅助信号 "的东西,它使用敌对攻击的想法来提高模型的准确性。我发现这是一个非常有趣的想法,我想看看在真实的物理空间中的实验结果。
与本文相关的类别
![Swin 变形金刚] 基于变形金刚的图像](https://aisholar.s3.ap-northeast-1.amazonaws.com/media/February2024/swin_transformer-520x300.png)
