-
生物通官微
陪你抓住生命科技
跳动的脉搏
生物通官微
陪你抓住生命科技
跳动的脉搏
梯度半掩码(GSeM):提升神经网络对抗鲁棒性的新机制中文标题
【字体: 大 中 小 】 时间:2025年09月11日 来源:Pattern Recognition 7.6
编辑推荐:
本文提出一种创新的梯度半掩码模块(Gradient Semi-Masking Module, GSeM),通过结合特征直通路径与映射路径,在保持分类特征的同时阻断部分梯度传播,有效提升模型对抗攻击的鲁棒性。研究引入梯度修正策略与对抗训练机制,在多项攻击场景(白盒、黑盒、半黑盒)中均达到先进防御性能,为对抗防御领域提供新思路。
亮点(Highlights)
重新审视“梯度掩码无法有效防御对抗攻击”的固有观点,发现通过系统重构可将复杂信号处理与概率优化策略转化为模型鲁棒性提升途径。
提出即插即用的梯度半掩码模块(GSeM),显著增强神经网络的对抗鲁棒性,并系统性修正其梯度传播路径,实现梯度修正对抗训练(Gradient-Corrected Adversarial Training)。
大量实验表明,GSeM不仅与早期梯度掩码方法存在本质区别,还能与现有防御技术无缝集成,进一步提升整体防御性能。
对抗攻击(Adversarial Attack)
设分类模型为 M(?),满足 M(x):x→y,其中 x∈Rd为输入图像,y∈N为预测标签。对抗样本可表示为:
M(x+ρ)→ys.t.y=l,∥ρ∥p≤ε其中 ρ、l和 ε分别表示添加的对抗扰动、图像真实标签和扰动预算。∥?∥p为 ?p-范数。
基于梯度的攻击是白盒场景下生成对抗样本的最常用方法。
动机(Motivation)
梯度掩码曾是一类流行的对抗防御方法,其通过遮蔽损失函数对输入信息的正确梯度来实现防御目标。这些方法可分为两类:梯度传播截断(Gradient Propagation Cutoff)和梯度随机化(Gradient Randomization)。
梯度传播截断方法主要涉及复杂的图像分解与重建操作,通过不可微操作阻断梯度回传;梯度随机化则通过引入随机噪声或概率变换,使梯度计算变得不稳定或不可靠。
方法(Methodology)
本节提出一种即插即用的梯度半掩码模块(GSeM),用于增强神经网络的对抗鲁棒性。如图3(a)所示,GSeM位于骨干模型的输入层与中间层之间。其结构包含四个组件与三条路径:
特征直通路径(Feature Straight-Through Pathway):允许正常梯度传播。
特征映射路径(Feature Mapping Pathway):通过阶梯函数(Staircase Function)和离散均匀分布函数(Discrete Uniform Distribution)实现特征压缩与噪声增强,同时阻断梯度流。
特征融合路径(Feature Fusion Pathway):将两路径输出拼接并融合。
在前向传播中,GSeM压缩特征状态空间并引入白噪声增强;在反向传播中,通过近似导数校正梯度,确保参数有效更新与强对抗样本生成。此外,提出梯度修正对抗训练策略,进一步提升训练稳定性与防御效果。
实验(Experiments)
在验证实验中,我们首先在5.2节讨论GSeM对超参数的敏感性;随后在5.3–5.5节分别评估其在白盒(基于梯度)、黑盒(基于迁移)和半黑盒(基于主查询)攻击下的鲁棒性;最后在5.6节研究GSeM对不同 ?p-范数攻击的防御性能。
结论(Conclusion)
本文发现早期梯度掩码方法仍具一定价值,其中部分图像处理技术表现出非线性、不可逆性和不确定性等有利特性。受此启发,我们提出GSeM以增强神经网络的对抗鲁棒性。GSeM是一种即插即用模块,能够映射并融合输入特征,增强其多样性与表示能力。此外,我们还引入了梯度修正机制与对抗训练策略,确保模型在所有攻击场景下均能实现最优防御性能。
生物通微信公众号
知名企业招聘
