基于偽標簽的可防御穩(wěn)定網(wǎng)絡

劉佳美，孫 涵，林 磊

(南京航空航天大學 計算機科學與技術學院/人工智能學院，江蘇 南京 211106)

0 引 言

隨著算力和數(shù)據(jù)的急劇增加，如今的計算機視覺任務都已經(jīng)獲得了較好的效果。然而大多數(shù)任務僅局限于同一分布的數(shù)據(jù)，當更換數(shù)據(jù)集時常常需要重新訓練模型，且對于新任務的標簽標記耗時費力，常常難以獲得。由此，域自適應問題應運而生。域自適應中通常包含一個有標簽數(shù)據(jù)的源域和一個無標簽數(shù)據(jù)的目標域，兩域之間數(shù)據(jù)分布相關但不同[1]。域自適應旨在克服域偏移[2]，將在源域中學習的知識遷移到目標域能夠有較好的預測。而為了解決目標域數(shù)據(jù)沒有標簽的問題，Cao等人[3]引入了半監(jiān)督學習中偽標簽的思想，采用基于原型聚類進行兩域?qū)R；Nie[4]考慮了聚類對齊與數(shù)據(jù)平衡之間的關系；Dai等人[5]則是使用基于密度聚類后通過使用對比損失解決特征表示的不連續(xù)問題。但是由于偽標簽的生成常常伴隨著噪聲，過度自信的偽標簽與真實值不符時反而對模型學習帶來更多的困難。為了解決這個問題，Zou等人[6]從正則化的角度出發(fā)，將偽標簽作為交替優(yōu)化的連續(xù)潛變量聯(lián)合優(yōu)化，通過網(wǎng)絡自訓練實現(xiàn)標簽正則化和模型正則化。另一方面，可以抵御對抗攻擊的域自適應方法也在探索中，Zhang等人[7]提出了通過代理損失最小化將干凈數(shù)據(jù)上的模型精度和魯棒性分離為兩個損失項來訓練更魯棒的模型。

受文獻[6]啟發(fā)，筆者從標簽和模型兩方面減輕偽標簽可能帶來的負面影響，通過基于概率的聚類對每個樣本生成該樣本屬于不同類別的概率，實現(xiàn)聚類時就生成軟偽標簽，減少標簽正則化的過程。再者，通過平均教師模型，讓教師網(wǎng)絡集成學生網(wǎng)絡的歷史參數(shù)，再通過一致性損失達到模型正則化的目的，有利于輸出結果更加穩(wěn)定。最后，通過訓練時增加對抗樣本，在保證模型的域自適應能力有所提升的同時，更大限度地提高其防御攻擊能力。

該文貢獻如下：

(1)提出了基于偽標簽的可防御穩(wěn)定網(wǎng)絡(pseudo-label based defensible stable network，PDSN)，在經(jīng)典域?qū)咕W(wǎng)絡框架下增加了基于概率的偽標簽生成模塊，并通過平均教師模型減輕錯誤的偽標簽帶來的噪聲，使結果更穩(wěn)定。

(2)結合抵御對抗攻擊的方法，增加訓練時的對抗樣本，在不大幅減少網(wǎng)絡遷移能力的情況下，實現(xiàn)穩(wěn)定能力和防御能力均有所提升的可靠網(wǎng)絡。

(3)在Office-31數(shù)據(jù)集上進行了實驗，與其他域自適應方法結果進行對比分析，證明了該方法的有效性。

1 相關工作

1.1 對抗判別網(wǎng)絡

對抗判別算法主要利用對抗訓練來學習域不變特征和判別能力，通過判別器判別源域或者是目標域，借此使目標域邊緣特征分布與源域?qū)R。2016年Ben-David等[8]開創(chuàng)性地提出在神經(jīng)網(wǎng)絡之上，使用對抗訓練的方法學習域不變的特征和判別能力。在此思想之上，域?qū)股窠?jīng)網(wǎng)絡算法(DANN)[9]利用標準反向傳播和隨機梯度下降的單前饋網(wǎng)絡實現(xiàn)域?qū)褂柧?。在此之后，陸續(xù)提出了更多的域?qū)褂柧毸枷氲姆椒?，如對抗判別域自適應方法(ADDA)[10]反向標記 GAN損失，將優(yōu)化器分離成兩個，用于生成器和鑒別器。

條件域?qū)咕W(wǎng)絡(CDAN)[11]則是考慮了怎樣對齊兩域之間的條件分布，利用多線性映射對特征和類別進行聯(lián)合域自適應，引入熵作為權重系數(shù)調(diào)節(jié)極大極小優(yōu)化方法。其損失由分類損失和對抗損失兩個部分組成。分類損失值即源域圖像本身擁有的真實值和經(jīng)過網(wǎng)絡產(chǎn)生的預測值之間的交叉熵損失。對抗損失即對抗網(wǎng)絡判別樣本為源域圖像還是目標域圖像的二分類交叉熵損失。以下為CDAN定義的極大極小問題。

(1)

(2)

式中，λ為權衡超參數(shù)，L(· , ·)為交叉熵損失，G為源域分類器，D指域鑒別器與類別聯(lián)合變量h的多線性映射。CDAN通過以上極大極小策略能達到對齊兩域條件分布的目的。

1.2 對抗攻擊與主動防御

自Szegedy等人[12]提出深度神經(jīng)網(wǎng)絡容易被對抗樣本欺騙產(chǎn)生錯誤的預測，越來越多的對抗攻擊和主動防御的問題被人們關注[13-14]。在圖像分類中，對抗攻擊的經(jīng)典方法有L-BFGS方法和快速梯度攻擊方法等等[15]。在對抗攻擊的方法中，通常開始擾動前，設定一定的擾動步長，迭代數(shù)次達到對原圖像產(chǎn)生足夠的干擾的目的。對抗攻擊的測試方法可分為黑盒測試和白盒測試兩種。黑盒測試因為對模型的未知，測試時主要依據(jù)的方法是輸入和輸出數(shù)據(jù)之間的關系，白盒測試則是從模型本身進行測試[16]。與對抗攻擊相對應的主動防御的方法[17]主要有修改訓練過程或樣本、修改網(wǎng)絡、使用附加網(wǎng)絡三種方式。而該文就是通過在訓練的過程中不斷增加源域的對抗樣本，以提升網(wǎng)絡的魯棒性。

2 基于偽標簽的可防御穩(wěn)定網(wǎng)絡

2.1 總體結構

如圖1所示，提出的網(wǎng)絡結構由三個部分組成。

圖1 PDSN結構

Lall=LCDAN+Lpseudo+Ltea-stu+βLadv

(4)

2.2 軟偽標簽生成

基于距離的無監(jiān)督聚類方法通常根據(jù)距每個樣本距離中心點的距離進行類別劃分，基于密度的方法將密度相連的點進行集合形成簇的聚類。不同于以上將一個樣本直接劃分為某個確定的類別，仿佛“非此即彼”這樣硬聚類的方法?；旌细咚鼓Ｐ?GMM)的聚類方法屬于軟聚類，認為每個樣本可以屬于多個類，與類協(xié)同訓練有異曲同工之妙。將數(shù)據(jù)通過GMM聚類時，每個樣本都會計算其屬于某個類別的概率值向量xK，其中K為目標域類別，計算公式為：

(5)

其中，πk是混合系數(shù)，N(·)代表其每個類別的高斯混合模型參數(shù)。該文將源域數(shù)據(jù)和目標域數(shù)據(jù)經(jīng)特征提取器后將特征輸入GMM聚類，在向量xK中選擇概率值最大且大于0.5的類別作為偽標簽。

(6)

2.3 偽標簽噪聲減弱

為了進一步減少錯誤的偽標簽可能帶來的負遷移，考慮通過讓網(wǎng)絡本身學習到更穩(wěn)定的網(wǎng)絡參數(shù)，為此使用了平均教師模型[18]。該模型使用兩個模型結構相同的網(wǎng)絡進行訓練，分別為學生網(wǎng)絡和教師網(wǎng)絡。學生網(wǎng)絡參數(shù)根據(jù)梯度下降法更新得到；教師網(wǎng)絡參數(shù)根據(jù)歷史上學生網(wǎng)絡參數(shù)通過指數(shù)移動平均方法(EMA)加權迭代并不斷反向傳播更新，讓教師網(wǎng)絡的預測訓練學生網(wǎng)絡，即通過最小化學生網(wǎng)絡的預測結果和教師網(wǎng)絡的預測結果之間的L2損失：

Ltea-stu=

(7)

式中，F(xiàn)(·)為網(wǎng)絡的特征提取部分，C(·)為網(wǎng)絡的分類器。兩者之間相互促進，形成良好的循環(huán)，達到使網(wǎng)絡輸出更穩(wěn)定，減弱偽標簽噪聲的目的。

2.4 主動防御

(8)

上述方法的目的是能夠使分類決策邊界同時遠離對抗樣本和正常樣本，減小因為擾動帶來的不確定的結果，鼓勵網(wǎng)絡變得更加可防御。這樣能夠促使網(wǎng)絡被成功攻擊的概率降低，提高網(wǎng)絡的安全性和魯棒性。

3 實驗結果與分析

3.1 實驗數(shù)據(jù)

主要在Office-31數(shù)據(jù)集下展開實驗。Office-31數(shù)據(jù)集[19]是域自適應問題中的基準數(shù)據(jù)集，其中共包含3個子數(shù)據(jù)集，每個子數(shù)據(jù)集中都擁有自行車、鍵盤、背包等31個類別的物體。如圖2所示，不同子數(shù)據(jù)集的拍攝背景和物體都各有差異。

圖2 Office-31數(shù)據(jù)集示例

Amazon域中的圖片下載自亞馬遜網(wǎng)站，背景干凈，物體拍攝視角通常為正面，畫質(zhì)清晰，分辨率為300×300，圖片數(shù)量最多；DSLR圖片域由不同攝影設置的數(shù)碼單反相機拍攝，其中的物品均放置在現(xiàn)實生活場景中，背景復雜且拍攝視角多變，不再是單一的正面視角，分辨率多為1 000×1 000，圖片數(shù)量最少；Webcam域由網(wǎng)絡攝像頭拍攝，其圖片同樣背景復雜，畫質(zhì)相比DSLR數(shù)據(jù)集較為模糊，分辨率在600×600左右。在三個兩兩組合的六對遷移域A→W，D→W，W→D，A→D，D→A和W→A中，困難程度各有不同。

3.2 實驗設置

將該方法與Source-only方法、DAN、DANN、CDAN進行實驗對比。Source-only使用Resnet-50作為骨干網(wǎng)絡，在訓練的過程中僅使用交叉熵損失，目標域數(shù)據(jù)不參與訓練，并且將其訓練模型不做任何修改在目標域數(shù)據(jù)集中進行測試。DAN是典型的基于差異的方法，使用了8層的AlexNet網(wǎng)絡，而在分類層之前增加了多個適配層，并且使用了最大平均差異(MK-MMD)的多個核變量的總和，計算在源域上的分類損失和適配層的差異損失。DANN是傳統(tǒng)與對抗網(wǎng)絡，利用標準反向傳播和隨機梯度下降的單前饋網(wǎng)絡實現(xiàn)域?qū)褂柧殹?/p>

實驗中的超參數(shù)設置主要為，骨干網(wǎng)絡使用Resnet-50，epochs=6，每個epoch迭代iters=5 000，統(tǒng)一設置batch-size為12，學習率為0.001。此外主動防御模塊擾動為0.3，步長設置為0.01。實驗中調(diào)整參數(shù)擾動步數(shù)pertub-steps=5，10，20，損失函數(shù)中β=0，0.3，0.5，0.8，1，關于生成源域?qū)箞D像的distance，與文獻[7]方法一致選擇L2或者INF。

3.3 評價標準

通過對目標域正常樣本的測試的準確率的計算來評估對模型的遷移能力：

(9)

對于算法魯棒性的定量分析，采用PGD方法(project gradient descent)進行白盒測試，評估指標為在攻擊測試時的準確率。

3.4 結果分析

3.4.1 算法結果對比

從表1中可以看出，PDSN與其他方法相比在6個域組合中都獲得了明顯的提升，相較于CDAN平均提升1.67%，在D→A和W→A兩個域組合上更為明顯。這是因為軟偽標簽的生成和平均教師模型方法讓大量的A域的數(shù)據(jù)獲得了平滑而正確的偽標簽，原本因為圖像本身導致的域偏移以及圖像數(shù)量的不平衡問題得到明顯的改善。

表1 在Office-31上不同算法的結果準確度 %

3.4.2 消融實驗與參數(shù)對比實驗

表2中，“S”表示使用軟偽標簽方法和平均教師方法，“D”表示加入了主動防御的對抗樣本損失?？梢则炞C在PDSN方法中，偽標簽和平均教師模型是改進方法中提升準確率的主要原因。而為了提高魯棒性進行主動防御加入了對抗樣本的損失，對于大部分域組合的準確率有一定程度的影響，卻能夠提高網(wǎng)絡的抗對抗性。

表2 改進技術結果準確率對比 %

圖3 不同beta取值實驗結果

圖3代表了權衡超參數(shù)β對網(wǎng)絡遷移能力和防御能力的影響，實驗為在A→W域組合中進行。

此外，對不同的distance和beta參數(shù)做了更多的實驗，測試了不同的取值，結果如表3所示。

表3 不同distance選擇實驗

續(xù)表3

4 結束語

探討了怎樣更好地提高域自適應模型的遷移能力和防御能力，提出了基于偽標簽的可防御網(wǎng)絡，采用軟偽標簽和平均教師模型使網(wǎng)絡輸出更加穩(wěn)定可靠，利用主動防御方法有效地減輕了對抗樣本攻擊的影響。在Office-31數(shù)據(jù)集上進行了對比實驗、消融實驗和參數(shù)對比實驗，驗證了此網(wǎng)絡提高魯棒能力的有效性。此外，該方法由于源域?qū)箻颖旧刹糠执嬖谟柧殨r間長的問題，未來研究中，將嘗試通過對源域數(shù)據(jù)隨機采樣來生成對抗樣本等方法解決這一問題。