Distillation as a Defense to Adversarial Perturbations against Deep Neural Networks

Nicolas Papernot, Patrick McDaniel, Xi Wu, Somesh Jha, Ananthram Swami, Distillation as a Defense to Adversarial Perturbations against Deep Neural Networks.

概

本文提出一种distillation model, 能够免疫大部分的adversarial attacks, 具有良好的鲁棒性, 同时容易训练.

主要内容

符号	说明
$F(\cdot )$	神经网络, 且$F(X)=\mathrm{s}\mathrm{o}\mathrm{f}\mathrm{t}\mathrm{m}\mathrm{a}{\mathrm{x}}^{\ast }(Z(X))$.
$X\in \mathcal{X}$	样本
$Y$	样本对应的标签
$F^d$	distilled network
$T$	temperature

注: 这里的${\mathrm{s}\mathrm{o}\mathrm{f}\mathrm{t}\mathrm{m}\mathrm{a}\mathrm{x}}^{\ast }(z{)}_i:=\frac{e^{z_i/T}}{{\sum }_j{e}^{e_j/T}},i=0,\dots ,N-1$;
注: $F^d$与$F$网络结构一样;

算法

Input: $T$，训练数据$(X,Y)$.

• 在训练数据$(X,Y)$上训练得到$F$;
• 得到新的训练数据$(X,F(X))$;
• 利用$(X,F(X))$训练$F^d$;
• 修改$F^d$的最后一层$T=1$.

Output: $F^d$.

为什么这个算法是有效的呢?

1. 训练$F^d$用的标签是概率向量$F(X)$, 拿数字举例, 如果写的草一点$7$和$1$是很相近的, 但如果训练的标签是$(0,0,0,0,0,0,1,0,0,0)$的话反而不符合实际, 会导致不稳定;
2. 当$T$比较大的时候(训练):
   $$\frac{\partial F_i(X)}{\partial X_j}{|}_T=\frac{1}{T}\frac{e^{z_i/T}}{g^2(X)}(\sum _{l=1^N}(\frac{\partial z_i}{\partial X_j}-\frac{\partial z_l}{\partial X_j})e^{z_l/T}),$$
   会比较小， 其中$g(X)={\sum }_{l=0}^{N-1}{e}^{z_l(X)/T}$.
3. 在测试的时候, 我们令$T=1$, 假设$X$在原先情况下$z_1/T$最大, $z_2/T$次大, 则
   $$ϵ=z_2/T-z_1/T=0+\mathbf{T}\mathbf{r}({\mathcal{G}}^T\delta X)+o(\delta x),$$
   则
   $$Tϵ=z_2-z_1=0+T\cdot \mathbf{T}\mathbf{r}({\mathcal{G}}^T\delta X)+o(\delta x),$$
   其中$\mathcal{G}$为$z_2-z_1$在$X$处的负梯度.

一些有趣的指标

鲁棒性定义

$${\rho }_{adv}(F)=E_{\mu }[{\Delta }_{adv}(X,F)],$$
其中$\mu$为样本的分布
$${\Delta }_{adv}(X,F)=\arg \underset{\delta X}{\min }\{\Vert \delta X\Vert :F(X+\delta X)\ne F(X)\}.$$
可采用下式来实际估计
$${\rho }_{adv}(F)\approx \frac{1}{|\mathcal{X}|}\sum _{X\in \mathcal{X}}\underset{\delta X}{\min }\Vert \delta X\Vert .$$

合格的抗干扰机制

1. 对原有结构有较少的影响;
2. 网络对干净数据因具有相当的正确率;
3. 较好的训练速度;
4. 对$\Vert \delta X\Vert$较小的情况能够免疫干扰.

原文还有一个理论分析, 但我认为不重要, 略过.

代码

import torch.nn as nn

class Tsoftmax(nn.Module):

    def __init__(self, T=100):
        super(Tsoftmax, self).__init__()
        self.T = T

    def forward(self, x):
        if self.train():
            return nn.functional.softmax(x / self.T)
        else:
            return nn.functional.softmax(x)