Boosting Fast Adversarial Training with Learnable Adversarial Initialization

通过可学习的对抗初始化促进快速对抗训练

为了提高训练效率，在fast AT 中采用快速梯度符号法FGSM，只计算一次梯度，但是鲁棒性不能令人满意。一个原因是可能来自初始化方式，现有的fast AT通常使用随机样本的不可知初始化，这虽然促进了运行效率，但是阻碍了进一步改进鲁棒性。
在本文中以图像分类为重点，提出了一种基于样本的对抗性初始化来增强基于FGSM的快速AT，称为FGSM-SDI，依赖于样本的初始化由生成网络计算，生成网络不仅基于良性图像(该良性图像是指没有对抗性扰动的原始干净图像)还基于目标网络的有符号梯度。良性图像提供了损失景观中的位置信息。带符号的梯度提供了增加损失的粗略方向。FGSM随后使用该初始化生成用于训练的最终对抗样本

采用一个轻量级生成网络来为不同的样本输入生成不同的对抗性初始化，即特定于样本的初始化。生成网络不仅使用样本信息，还使用样本梯度信息来生成对抗性初始化。

AT方法：

AT方法采用模型梯度信息来生成对抗性扰动，然后将生成的对抗性扰动添加到原始干净样本以生成对抗样本。AT问题可以表述为一个极大极小的问题，其中内部最大化使损失最大化以生成对抗样本，外部最小化使生成的对抗样本的损失最小化以获得鲁棒模型。鲁棒性取决于内部最大化，也就是对抗样本生成，但对抗样本的产生是一个NP-hard问题。所以AT总是采用模型的梯度信息来生成对抗样本

标准的AT公式为：

 ,对抗训练的核心就是如何找到更好的对抗性扰动

PGD-based-AT

 FGSM-based-AT

fgsm-based-AT具有灾难性的过拟合问题，即目标模型在训练期间凸显失去了PGD生成的对抗样本的鲁棒性准确性。

将FGSM-based-AT于随机初始化相结合，可以缓解灾难性的过拟合，以随机初始化来执行FGSM，称为FGSM-RS：

 在FGSM-RS之后又有很多类似的算法，如FGSM-GA.FGSM-CKPT等。

FGSM-SDI

在这个框架中，由生成网络和目标网络两个网络所组成。生成网络学习生成FGSM的动态样本依赖对抗性初始化，来生成对抗样本，而不是使用随机初始化。目标网络采用生成的对抗样本进行对抗训练以提高模型的鲁棒性

整个流程可以大致描述为：来自目标网络的良性图像及其梯度信息被反馈送到生成网络，生成网络生成依赖于样本的初始化，对添加有生成的初始化的输入图像执行FGSM，来生成对抗样本。针对对抗样本对目标网络进行训练，来提高对抗攻击的鲁棒性。

第一个FGSM：在干净样本上进行操作，用于Initialization Generator 生成初始化，

第二个FGSM：对添加有生成的初始化的输入图像操作来生成对抗样本。

生成网络的输入是 ,这提供了关于初始化扰动方向的一些信息指导，这不仅克服了灾难性的过拟合问题，而且与当前的fast AT，甚至PGD-AT相比大大提高了鲁棒性。生成网络的结构是采用一个轻量级的网络结构，由三层组成

有符号的梯度可以计算为：

 初始化生成的过程可以定义为：

 表示具有参数的生成网络，输出像素值空间为[-1,1],Sx：梯度信息

该方法的扰动即内部最大化问题的近似解，可以写成：

 该扰动涉及通过初始化生成网络的参数。

联合学习生成网络和目标网络的目标函数可以写为：

对应与标准AT公式也就是Eq1，内部最大化问题的解决方案涉及生成网络的参数，固定时等式7的近似解为：,可以通过搜索哼好的参数 ，即

如等式8所示，生成网络与目标网络进行博弈。前者最大化损失以生成对抗样本生成的有效初始化，而后者最小化损失以更新参数以获得对抗性示例的模型鲁棒性。更重要的是，生成网络可以根据目标模型在不同训练阶段的鲁棒性生成初始化。这个极小极大问题可以通过交替优化w和θ来解决。注意，我们迭代更新θ和w。我们每k次更新w更新θ。k是一个需要调整的超参数。算法3显示了解决此问题的算法

与Two-step PGD-AT的比较

我们使用FGSM计算了两次梯度，即一次作为生成网络的输入用于初始化生成，另一次用于对抗性示例的生成。然而，我们的方法与迭代次数为2的两步PGD-AT方法（PGD2-AT）截然不同。PGD2-AT可以被视为一种快速AT方法，直接使用第一步中的梯度作为初始化。这种初始化限制了对抗性示例的多样性，因为它受到固定步长、预定义投影范围和符号操作的限制（见等式2）。我们的方法使用生成网络来生成初始化，而无需设置步长或投影。对抗性初始化提供了对梯度的扰动，这丰富了对抗性示例的多样性，并进一步提高了模型的鲁棒性