Cải thiện khả năng chống tấn công đối kháng của mô hình EfficientNet

Abstract

Các mô hình mạng nơ-ron sâu đạt hiệu suất cao trên các tác vụ thị giác máy tính nhưng vẫn dễ bị tấn công đối kháng. Bài viết này đề xuất Efficient AdvProp+, một phương pháp huấn luyện đối thủ nhẹ nhàng giúp tăng cường khả năng chống tấn công cho các mô hình EfficientNet được triển khai trên các thiết bị hạn chế tài nguyên. Phương pháp kết hợp (i) PGD 3 bước tối ưu hóa với khởi tạo ngẫu nhiên, (ii) lịch biểu batch theo cặp cân bằng, (iii) chuẩn hóa batch kép, và (iv) làm mịn nhãn cho phân loại chi tiết. Các thí nghiệm toàn diện trên bộ dữ liệu Oxford Flowers 102 chứng minh rằng Efficient AdvProp+ đạt được 76,4% độ chính xác sạch và 40,2% độ chính xác mạnh mẽ dưới các tấn công PGD-20, đại diện cho 86% giữ lại sạch và +39,4pp lợi ích mạnh mẽ so với huấn luyện vanilla, trong khi yêu cầu chỉ 1,62× tăng tốc so với AdvProp (7,6h so với 12,3h cho 90 epoch). Phương pháp của chúng ta giúp huấn luyện đối thủ trở nên thiết thực cho tác vụ nhận dạng thị giác hạt mịn trên các thiết bị di động và biên.