©PaperWeekly 原創 ·作者 |鬼谷子
研究方向 |GAN圖像生成、情緒對抗樣本生成
對抗樣本對深度學習模型產生對抗行為的內部機理一直是一個研究熱點,只有更好的理解其運作機理才能更好的對對抗攻擊產生更有效的防禦策略。最近幾年有研究者通過利用數理統計中 Fisher 信息量的這一個數學工具去挖掘深度學習模型對抗行為的深層原因,並基於此提出了相應防禦方法。本文主要是總結歸納最近幾年 Fisher 信息量在對抗樣本研究中的應用,並從中選出了三篇相關代表作進行解析。
Fisher 信息是一種測量可觀測隨機變量 攜帶的未知參數 的信息量的方法,其中 的概率依賴於參數 θ。令 是一個參數為 的隨機變量 的概率密度函數。如果 隨着 的變化出現陡峭的峰谷,則說明從數據中得到了 正確的值,換句話說數據 提供了關於參數 很多的信息。如果 隨着 的變化是比較平緩的,則需要對 進行更多的採樣進而估計參數 。形式上,關於似然函數自然對數 的偏導數稱為分數,即為 。在某些規則性條件下,如果 是真參數(即為 實際分布 ,則在真參數值 處評估的分數的期望值為 0,具體推導如下所示:
Fisher 信息量則被定義為分數 的方差,具體公式如下所示:
由上公式可以發現 。攜帶高 Fisher 信息的隨機變量意味着分數的絕對值通常很高。Fisher 信息不是特定觀測值的函數,因為隨機變量 已被平均化。如果 關於 是二次可微的,則此時 Fisher 信息量可以寫為如下公式:
綜合以上兩公式可以推導出 Fisher 信息量的新形式,證畢。Cramer-Rao 界指出,Fisher 信息量的逆是 的任何無偏估計量方差的下界。考慮一個 的無偏估計,無偏估計的數學形式可以表示為:
因為這個表達式與 無關,所以它對 的偏導數也必須為 。根據乘積法則,這個偏導數也等於:
對於每個 ,似然函數是一個概率密度函數,因此 ,進而則有:
將積分中的表達式進行平方,再根據 Cauchy–Schwarz 不等式可得:
其中第二個括號內的因子被定義為 Fisher 信息量,而第一個括號內的因子是估計量 的期望均方誤差,進而則有:
由上公式可以發現估計 的精度基本上受到似然函數的 Fisher 信息量的限制。給定一個 的參數向量 ,此時 Fisher 信息量可以表示為一個 的矩陣。這個矩陣被稱為 Fisher 信息矩陣,具體形式如下所示:
Fisher 信息矩陣是一個 的半正定矩陣。在某些正則條件下,Fisher 信息矩陣又可以寫成如下形式:
在該論文中,作者從理論分析的角度研究了 Fisher 信息量在檢測對抗攻擊時的可用性,另外作者討論了與網絡大小成正比的變量有哪些,並研究了它們在對抗樣本中的行為是怎樣的,展示了它們如何突出單輸入神經元的重要性,從而為進一步分析神經網絡的不合理行為提供了可視化工具。
論文鏈接:
https://www.sciencedirect.com/science/article/abs/pii/S0925231219316546
3.1 論文方法數據集 是從 維參數向量 的分布 採樣而來的,則此時 的 Fisher 信息量如下所示:
在該論文中作者為了簡化,論文中對數似然函數估計都是足夠平滑的。Fisher 信息矩陣主要測量的是對數似然估計 的平均局部曲率。考慮一個小的 在 維向量 方向上的擾動即 ,則在 散度的泰勒展開式為:
可以被看作在參數 有多少信息量可以被獲得,如果 數值高意味着參數並沒有很好的擬合好數據樣本 ,所以可以用 用於測量不正常的樣本,比如對抗樣本。矩陣 的維度是 ,但是要計算這個矩陣 的計算量非常大。在機器學習中,經常是需要從數據中學習一個輸入到輸出的參數化映射 ,其中 包含所有的權重和偏置的參數。假定輸入樣本為 ,對應的輸出為 ,訓練中一個批次的大小為 ,機器學習的目的是找到一個 ,使得 ,其中 是一個 維的向量,並且可以寫成 ,此時關於 的 Fisher 信息矩陣可以表示為:
但是需要清楚的是,即使是一個非常小的神經網絡計算參數的 Fisher 信息矩陣 也是非常棘手的。因為該論文的關注點只是 Fisher 信息矩陣的最大特徵值,所以可以利用矩陣的跡來進行代替,具體公式如下所示:
由此可以發現使用反向傳播算法的計算量為 ,所以計算量大大減小,隨着神經網絡規模的增加計算量呈線性增長。
以上公式可以看成一個二分類問題,即屬於類別 或者不屬於類別 ,正則化之後可以得到
其中 ,以上目標函數是用於測量在點 的統計流形曲率,現實中關於 的梯度只出現在某個方向導數里,近似的計算公式為:
其中 是一個非常小的數值。為了能夠獲得更多定量信息,作者引入了一個單變量的隨機變量 ,進而則有以下公式:
其中 ,向量 跟 有相同的維度,此時關於 的 Fisher 信息量的計算公式可以表示為:
進一步正則化則有如下計算公式:
為了簡化計算量,作者在這裡採用了一個非常簡單直觀的方法,對於每一個 ,取 ,進而則有如下計算公式:
對於每個 都可以獲得一個 ,作者稱該向量為 Fisher 信息敏感度,它反映了輸入中第 個分量的重要程度,該方法通過一步後向傳遞就可以進行有效的計算。
在該論文中,作者提出了一種通過抑制 Fisher 信息矩陣的最大特徵值來防禦對抗性攻擊的方案。通過理論分析可以發現 Fisher 信息矩陣的特徵值較大,即使輸入差異較小,輸出差異也會變大,這就解釋了對抗樣本存在的原因。通過控制 Fisher 信息矩陣的特徵值,這使得對抗防禦成為可能,論文中作者由於求 Fisher 信息矩陣最大特徵值的計算成本很高,其解決方案是在原始網絡的損失函數中添加一個表示 Fisher 信息矩陣跡的項,因為最大特徵值由矩陣的軌所限定。實驗結果驗證了本論文方法的有效性。
論文鏈接:
https://arxiv.org/abs/1909.06137
給定一張 的灰度圖,分類器可以將其分為 類中的某一類別。假定將圖片從一個矩陣拉成一個長度為 的向量 ,則擾動圖片 。乾淨圖片和擾動圖片經過深度神經網絡分類,最後一層的 層的輸出分別為和 ,其中對於 , 且。令樣本 屬於第 類的概率位 ,其中 是一個 向量,則有 且 ,一般情況下, 和 的距離通過利用 散度去測量,具體公式如下所示:
其中是 的 Fisher 信息矩陣。 散度的數值變大的時候,Fisher 信息矩陣的最大特徵值 也會隨着變大。所以,對抗攻擊的現象會出現在 數值較大的時候,對抗攻擊方法 OSSA 就是利用 Fisher 信息矩陣最大特徵值構造而來,具體的公式如下所示:
其中 表示的是平方範數的擾動上界, 是損失函數。構造對抗樣本的問題可以轉化為找到 Fisher 信息矩陣最大特徵值 和對應的特徵向量 的問題,即 。當取到最小值時的解為 ,這就意味着正則化項迫使 向中心點,不會向點移動,所以一個很自然的擔心是這樣會導致深度神經網絡的分類準確率下降,在該論文中,作者表明不會出現這種狀況。最小化確實會使得 向點 移動,但是損失函數的中的第一項會使得中心點不能被到達。移向中心點趨勢並不是有害的,作者真正關心的是正確的類別 ,而不是 的取值,所以,作者不會追求更大的 值,而且使得 在所有的類別 概率值 中值最大。以上的情況說明了一個事實,一個樣本分類的高置信度的結果有時候是不可靠的,原因在於類 的高置信度意味着概率 數值是大的,其它類別 的概率值 的數值是小的。一種極端的情況是當 時,則有。總之,高置信度樣本對對抗擾動是非常敏感的,因此該樣本面對對抗攻擊也是非常脆弱的。論文中的方法和 都是會將份分類標籤平滑化,並且正確標籤依然是有最高的概率。標準的 一般分為兩步,首先是對於給定的類別 ,將 標籤修改為:
其中 是超參數, 是一個標籤分量,其中正確的類別分量對應的數值是 1,其它的分量對應的數值為 0;然後用新的標籤分量去訓練這個網絡。 方法可以使得一類的數據更加緊湊,這樣可以更有效的抵禦對抗攻擊,但是該方法的問題在於需要格外有一個先驗假設即標籤是均勻分布的。本文論文的方法是基於嚴格的數學推導,不需要這樣的假設條件,因此對比可知,該論文的方法有一個更好的解釋性。
在該論文中,作者主要對對抗擾動可以攻擊深度學習模型的對抗行為進行研究,旨在揭示深度學習模型的泛化性能與對抗行為之間的關係。作者在論文中提出了一個基於 Fisher 信息量的度量方式,該指標在信息論上可以將深度學習的損失函數分為的非魯棒性(負責對抗行為)和魯棒性的兩個成分。實驗結果表明,當前的深度學習模型在很大程度上依賴於優化非魯棒性件成分來實現較好的分類性能。
https://arxiv.org/abs/1906.02494v15.1 論文方法在之前的研究中,在測試集上預測準確率往往用於去評估深度學習模型的性能。然而,這種評估方式會隱藏模型性能和對抗行為之間的關係。在該論文中,為了建立更透明的關係和更好理解模型的對抗行為,作者提出了採用任何不同類別的數據對的平均 散度作為分類性能的度量。令 表示的是輸入的圖片, 是對應的 標籤分布, 是分類器模型, 是模型的輸出分布。 是不同類別的數據對的數目。 是 和 的 散度,論文作者提出的交叉熵 散度的公式如下所示:
由 不等式可知,從三角不等式中導出以下下界,可以用於描述交叉熵損失函數與論文中提出的目標之間的關係:
其中 表示的是 和 的 散度。 能夠更有效地表徵模型訓練過程中的行為,當訓練損失 下降的時候, 的下界會增大。從另一個視角可知,當給網絡隨機初始化的時候,深度神經網絡 沒有任何正確分類樣本的知識。因此,它不能夠區分開輸入樣本 , 以它們的輸出概率。此時,在訓練的早期階段, 是相對較小的;隨着訓練的進行,更多的標籤依賴信息被整合到模型 中,神經網絡的泛化能力也隨之加強,並且在測試集上的輸出分布 會越來越接近真實的標籤分布 ;在訓練的末期階段,模型損失 將會下降到一個相對小的數值,此時 將會足夠接近 )。本文提出的度量方法可以更好的顯示模型是如果能將不同類別的數據區分開來。如下公式所示為對抗訓練的目標函:
隨着訓練的進行,參數 會接近最優,輸出分布 能夠接近真實標籤 。在這種情況下 散度是關於第一個變量連續的,所以則有如下公式:
以上觀察可以從分布的視角下去研究模型的對抗行為。為了更好的了解對抗行為和 度量之間的聯繫,作者定義了以下對抗度量的公式:
相應對抗訓練的目標函數如下所示:
給定 ,其泰勒展開是可以表示:
其中 是 關於 的 Fisher 信息量, 是 的第 項, 是 的元素數,其中 的具體計算公式如下所示:
其中 是足夠的小,更高階的項的是接近於 ,以上公式可以簡化為:
通過設定 ,可以得到 ,其中 是矩陣 的最大特徵值。因此,則有:
需要注意的是 是 Fisher 信息矩陣 的譜範數。以上的推導展示了模型在輸入樣本 附近的對抗行為由 Fisher 信息矩陣所決定,如果 的譜範數越大,則 附近的對抗行為越嚴重。給定兩個數據標籤對 和 ,並且 ,可以將 重新整理為:
由此可知在每一個數據點的對抗行為與目標損失函數 的分數與在每個點的 Fisher 信息量有關。上文提出的對抗訓練限制了一個深度神經網絡模型的輸入輸出 Fisher 信息量,這種限制是一個好的深度模型的標準。由 Cramer-Rao 界可知:
如果嘗試使用輸出概率 到統計數據 來重建輸入 ,則方差 的不確定性由 Fisher 信息 的倒數限定。對於深度神經網絡,當它使用正確的標籤對圖像進行分類時,標籤沒有任何關於環境的信息(例如,狗是什麼顏色、狗在哪裡、對抗干擾等)。這意味着,對於一個好的深度神經網絡模型,從輸出分布 導出的任何統計量 的方差 都相對較大。鑑於 Cramer-Rao 界,這意味着深度神經網絡的 Fisher 信息量是一個相對較小的值。令 表示為,表示為 。因此,可以公式化為:
由上公式可以發現,當 和 增大時,都會使得 的值變大。 是 誘導的二階多項式, 是兩個輸入 和 之間固定的距離, 增大將會導致 的範數增大。所以可知,如果一個模型嚴重依賴 的變大來提升性能,則會 的範數也會隨之增大。又由以上的結論可知, 的範數越大,在 點附近的對抗行為越嚴重,因為可知對抗行為和模型的分類性能是有一種內在衝突的。 項可以提升分類性能但是卻不會引起對抗行為。所以,以上目標函數成功地將非魯棒元素和魯棒元素分解開來。
如何才能讓更多的優質內容以更短路徑到達讀者群體,縮短讀者尋找優質內容的成本呢?答案就是:你不認識的人。
總有一些你不認識的人,知道你想知道的東西。PaperWeekly 或許可以成為一座橋樑,促使不同背景、不同方向的學者和學術靈感相互碰撞,迸發出更多的可能性。
PaperWeekly 鼓勵高校實驗室或個人,在我們的平台上分享各類優質內容,可以是最新論文解讀,也可以是學術熱點剖析、科研心得或競賽經驗講解等。我們的目的只有一個,讓知識真正流動起來。
📝稿件基本要求:
• 文章確係個人原創作品,未曾在公開渠道發表,如為其他平台已發表或待發表的文章,請明確標註
• 稿件建議以markdown格式撰寫,文中配圖以附件形式發送,要求圖片清晰,無版權問題
• PaperWeekly 尊重原作者署名權,並將為每篇被採納的原創首發稿件,提供業內具有競爭力稿酬,具體依據文章閱讀量和文章質量階梯制結算
📬投稿通道:
• 投稿郵箱:hr@paperweekly.site
• 來稿請備註即時聯繫方式(微信),以便我們在稿件選用的第一時間聯繫作者
• 您也可以直接添加小編微信(pwbot02)快速投稿,備註:姓名-投稿
△長按添加PaperWeekly小編
🔍
現在,在「知乎」也能找到我們了
進入知乎首頁搜索「PaperWeekly」
點擊「關注」訂閱我們的專欄吧
留言列表