编译 | sunlei
发布 | ATYUN订阅号
我最近读了一篇有趣的文章,文章的题目是《对抗性的例子不是bug,而是特性》,这篇文章内容是关于一种截然不同的方式来看待对抗性的例子(1)。您可以点击文章底部原文链接,在网站文章中阅读此篇内容。
作者提出了训练图像分类器的图像中存在所谓的“鲁棒”和“非鲁棒”特征。鲁棒的特征可以被认为是人类自然用于分类的特征,例如,下垂的耳朵表示某些品种的狗,而黑白条纹则表示斑马。另一方面,非鲁棒特性是指人类对此不敏感的特性(2),但真正表示某个特定的类(即它们与整个(列车和测试)数据集的类相关)。作者认为,相反的例子是通过用另一类的非鲁棒特性替换图像中的非鲁棒特性而产生的。
我强烈推荐阅读这篇论文,或者至少是随附的博客文章。
这篇论文中有一个让我特别感兴趣的图表,它显示了对抗性例子的可转移性与学习类似非鲁棒特性的能力之间的相关性。
解释此图的一种方法是,它显示了特定架构如何能够很好地捕捉图像中的非鲁棒特性(3)。.
请注意VGG与其他模型相比有多早。
在不相关的神经风格传递领域,VGG也是非常特殊的,因为非VGG架构如果没有某种参数化技巧就不能很好地工作(4)。上图的解释为这一现象提供了另一种解释。由于VGG不能像其他架构一样捕获非健壮的特性,因此用于样式传输的输出对人类来说实际上看起来更正确(5)!
在继续之前,让我们快速讨论一下Mordvintsev等人在可微图像参数化中得到的结果,这些结果表明,非vgg架构可以用一种简单的技术进行风格转换。在他们的实验中,他们不是在RGB空间中对输出图像进行优化,而是在傅里叶空间中对其进行优化,并通过神经网络之前一系列的变换(例如抖动,旋转,缩放)来运行图像。
我们能将这一结果与我们的假设相协调吗?我们假设神经系统传递和非鲁棒性特征相关联。
一种可能的理论是,所有这些图像转换都会削弱甚至破坏非鲁棒特性。由于优化不再能够可靠地操纵非鲁棒特性来降低损失,因此它被强制使用鲁棒特性,这可能对应用的图像转换更具抵抗力(一只旋转的、抖动的、松弛的耳朵看起来仍然像一只松弛的耳朵)。
测试这个假设是相当简单的:使用一个对抗的鲁棒分类器进行(常规)神经风格的转移,看看会发生什么。
幸运的是,Engstrom等人为一个鲁棒resnet-50提供了他们的代码和模型权重,这省去了我自己训练的麻烦。我比较了正规训练(非鲁棒)的resnet-50和经过严格训练的resnet-50在gatys等原始神经风格转移算法上的性能。为了进行比较,我还使用常规的VGG-19执行了样式转换。
我的实验可以完全复制到这个colab笔记本里。为了确保公平比较,尽管不同的网络具有不同的最优超参数,我对每个图像执行了一个小的网格搜索,并手动选择每个网络的最佳输出。更多细节可在脚注6中阅读。
实验结果如下图所示。
成功!鲁棒的ResNet比常规的ResNet有较大的改进。记住,我们所做的只是切换ResNet的权重,其余用于执行样式转换的代码完全相同!
更有趣的比较可以在VGG-19和鲁棒ResNet之间进行。乍一看,鲁棒ResNet的输出似乎与VGG-19相当。然而,仔细观察,ResNet的输出似乎有噪音,并显示了一些工件(7)。
VGG和ResNet合成纹理的伪影比较。通过在图像周围悬停来进行交互。这个图是由Odena等人从反褶积和棋盘图中重新使用的。
目前还不清楚是什么导致了这些伪影。一种理论是,它们是由卷积层中不可分割的内核大小和步长造成的棋盘图伪影(Odena)。它们也可能是由于存在max池层(Henaff等)而造成的工件。无论在何种情况下,这些伪影虽然有问题,但似乎在很大程度上不同于对抗性鲁棒性在神经风格转换中解决的问题。
虽然本实验的开始是对VGG网的一个特殊特性的观察,但并没有对这一现象做出解释。事实上,如果我们接受这样的理论,即对抗性鲁棒性是VGG采用神经风格传输的开箱即用的原因,那么我们肯定会在现有的文献中发现一些迹象,表明VGG天生比其他架构更长大。
不幸的是,我找不到任何支持这一点的东西。
也许对抗性健壮性只是偶然地修复或掩盖了非VGG体系结构在样式转换(或其他类似算法8)时失败的真正原因,即对抗性健壮性是良好样式转换的充分但不必要的条件。不管是什么,我认为对VGG的进一步研究是未来工作的一个非常有趣的方向。
不可否认,我的小实验提出的问题可能比它回答的问题要多得多。除了弄清VGG的神秘之处,这里还有一些未来工作的想法:
如果你想建立在这个实验的基础上,所有的代码都可以在这个colab笔记本中找到。
如你认为这项工作有用,请将其引述如下:
1@misc{nakano2019robuststyle,
2title={Neural Style Transfer with Adversarially Robust Classifiers},
3url={https://reiinakano.com/2019/06/21/robust-neural-style-transfer.html},
4journal={https://reiinakano.com},
5author={Reiichiro Nakano},
6year={2019},
7month={Jun}}
文中注释:
End