对抗训练方法及其装置

本发明涉及深度学习领域。

背景技术：

1、数据分类(数据识别)是指从给定的分类集合中给样本分配一个标签的任务，也就是说该任务是分析一个输入数据并输出该数据分类的标签，该标签是来自预定义的可能类别集合，目前，深度学习在数据分类领域的应用已经全面超过了传统的机器学习，且单域的数据分类任务近来已经取得了巨大的进展，但是在跨域(cross domain)或者迁移(transfer)问题上却存在很大的困难，这是由于在传统的机器学习场景中，训练集和测试集具有相同的分布，因此，可以用训练集训练好的分类器直接用于测试集分类，但在跨域问题中，源域(source domain)和目标域(target domain)通常具有不同的分布，这就意味着我们无法将源域训练好的分类器，直接用于目标域样本的分类。为了解决这一问题，目前提出了利用源域数据上的可用标签，通过领域自适应的学习方式，使得源任务和目标任务共享相同的标签空间，使得属于同一类(标签)的样本聚在一起。因此，就可以利用带标签的源域数据，训练分类器供目标域样本使用。

2、无监督领域自适应(uda)是一种解决上述迁移问题的方法，其将分类模型从有标签的源域应用到无标签的目标域，目前无监督领域自适应的主要思路是对齐源域和目标域之间的分布。其中，uda的目的是学习一个分类模型，以预测目标域的类别标签，通过最小化两个域间的分布差异来提升目标域上预测的准确率。

3、然而深度学习技术常常因脆弱性和不可解释性被人诟病。例如，在计算机视觉领域中，仅需要向原样本上添加一些微小的、人眼难以察觉的扰动，就可以使得神经网络的分类出错，这种技术被称为对抗攻击技术。在最近的研究中，为了进一步考虑模型部署的安全问题，例如，通过预先生成对抗样本进行对抗训练等方法，已经努力在目标域上实现对抗鲁棒性。

4、应该注意，上面对技术背景的介绍只是为了方便对本发明的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本发明的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。

技术实现思路

1、发明人发现，尽管最近的研究在给定的目标域数据(以下也称为目标域训练数据)上实现了鲁棒性(对抗样本对模型产生较小影响)，但在实际应用场景中可能会失败。因为由于训练好的鲁棒模型通常在未来的目标域数据(未知的，不可见的，也称为目标域测试数据)产生的对抗性攻击时有很差的泛化能力(对未知数据的预测能力)。即与uda标准泛化能力不同，即使鲁棒模型对给定的目标域表现出很高的对抗鲁棒性，但在未来目标域的性能也可能很差(或者说泛化性差)。也就是说，加入对抗样本训练，可以提升模型在对抗样本的鲁棒性，但是会降低模型的泛化能力，在真实的测试数据上性能下降。

2、针对上述问题中的至少之一，本发明实施例提供一种对抗训练方法和装置。

3、根据本发明实施例的第一方面，提供一种对抗训练装置，所述装置包括：

4、生成单元，其用于将原始样本输入至神经网络模型中，生成对抗样本；

5、提取单元，其利用所述神经网络模型提取与所述原始样本对应的第一特征向量和与所述对抗样本对应的第二特征向量；

6、计算单元，其根据所述第一特征向量和所述第二特征向量计算第一特征偏移和第二特征偏移；

7、确定单元，其根据所述第一特征偏移和所述第二特征偏移确定损失函数；

8、第一训练单元，其根据所述损失函数，对所述神经网络模型进行对抗训练，直至所述损失函数最优化。

9、根据本发明实施例的第二方面，提供一种对抗训练方法，所述方法包括：

10、将原始样本输入至神经网络模型中，生成对抗样本；

11、利用所述神经网络模型提取与所述原始样本对应的第一特征向量和与所述对抗样本对应的第二特征向量；

12、根据所述第一特征向量和所述第二特征向量计算第一特征偏移和第二特征偏移；

13、根据所述第一特征偏移和所述第二特征偏移确定损失函数；

14、根据所述损失函数，对所述神经网络模型进行对抗训练，直至所述损失函数最优化。

15、本发明的有益效果在于：根据提取的样本有关的特征向量计算特征偏移，并基于特征偏移确定对抗训练的损失函数，由此，提高模型的鲁棒泛化性。

16、参照后文的说明和附图，详细公开了本发明的特定实施方式，指明了本发明的原理可以被采用的方式。应该理解，本发明的实施方式在范围上并不因而受到限制。在所附权利要求的精神和条款的范围内，本发明的实施方式包括许多改变、修改和等同。

17、针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用，与其它实施方式中的特征相组合，或替代其它实施方式中的特征。

技术特征：

1.一种对抗训练装置，其特征在于，所述装置包括：

2.根据权利要求1所述的装置，其中，所述原始样本包括源域原始样本和第一目标域原始样本，所述对抗样本包括源域对抗样本和第一目标域对抗样本。

3.根据权利要求1所述的装置，其中，所述计算单元包括：

4.根据权利要求1所述的装置，其中，所述确定单元计算所述第一特征偏移和所述第二特征偏移的距离，根据所述距离确定所述损失函数。

5.根据权利要求4所述的装置，其中，所述损失函数最优化包括：先最大化所述距离，得到最大特征偏移，再最小化所述最大特征偏移和所述第二特征偏移之间的距离。

6.根据权利要求2所述的装置，其中，所述装置还包括：

7.根据权利要求1所述的装置，其中，所述装置还包括：

8.一种对抗训练方法，其特征在于，所述方法包括：

9.根据权利要求8所述的方法，其中，计算第一特征偏移和第二特征偏移的步骤包括：

10.根据权利要求8所述的方法，其中，确定损失函数的步骤包括：计算所述第一特征偏移和所述第二特征偏移的距离，根据所述距离确定所述损失函数。

技术总结
本发明实施例提供一种对抗训练方法和装置，对抗训练装置包括：所述装置包括：生成单元，其用于将原始样本输入至神经网络模型中，生成对抗样本；提取单元，其利用所述神经网络模型提取与所述原始样本对应的第一特征向量和与所述对抗样本对应的第二特征向量；计算单元，其根据所述第一特征向量和所述第二特征向量计算第一特征偏移和第二特征偏移；确定单元，其根据所述第一特征偏移和所述第二特征偏移确定损失函数；第一训练单元，其根据所述损失函数，对所述神经网络模型进行对抗训练，直至所述损失函数最优化。

技术研发人员：黄开竹,高志强,张锐,钟朝亮
受保护的技术使用者：西交利物浦大学
技术研发日：
技术公布日：2024/1/15