劉佳美，孫 涵，林 磊

(南京航空航天大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院/人工智能學(xué)院，江蘇 南京 211106)

0 引 言

隨著算力和數(shù)據(jù)的急劇增加，如今的計算機(jī)視覺任務(wù)都已經(jīng)獲得了較好的效果。然而大多數(shù)任務(wù)僅局限于同一分布的數(shù)據(jù)，當(dāng)更換數(shù)據(jù)集時常常需要重新訓(xùn)練模型，且對于新任務(wù)的標(biāo)簽標(biāo)記耗時費(fèi)力，常常難以獲得。由此，域自適應(yīng)問題應(yīng)運(yùn)而生。域自適應(yīng)中通常包含一個有標(biāo)簽數(shù)據(jù)的源域和一個無標(biāo)簽數(shù)據(jù)的目標(biāo)域，兩域之間數(shù)據(jù)分布相關(guān)但不同[1]。域自適應(yīng)旨在克服域偏移[2]，將在源域中學(xué)習(xí)的知識遷移到目標(biāo)域能夠有較好的預(yù)測。而為了解決目標(biāo)域數(shù)據(jù)沒有標(biāo)簽的問題，Cao等人[3]引入了半監(jiān)督學(xué)習(xí)中偽標(biāo)簽的思想，采用基于原型聚類進(jìn)行兩域?qū)R；Nie[4]考慮了聚類對齊與數(shù)據(jù)平衡之間的關(guān)系；Dai等人[5]則是使用基于密度聚類后通過使用對比損失解決特征表示的不連續(xù)問題。但是由于偽標(biāo)簽的生成常常伴隨著噪聲，過度自信的偽標(biāo)簽與真實值不符時反而對模型學(xué)習(xí)帶來更多的困難。為了解決這個問題，Zou等人[6]從正則化的角度出發(fā)，將偽標(biāo)簽作為交替優(yōu)化的連續(xù)潛變量聯(lián)合優(yōu)化，通過網(wǎng)絡(luò)自訓(xùn)練實現(xiàn)標(biāo)簽正則化和模型正則化。另一方面，可以抵御對抗攻擊的域自適應(yīng)方法也在探索中，Zhang等人[7]提出了通過代理損失最小化將干凈數(shù)據(jù)上的模型精度和魯棒性分離為兩個損失項來訓(xùn)練更魯棒的模型。

受文獻(xiàn)[6]啟發(fā)，筆者從標(biāo)簽和模型兩方面減輕偽標(biāo)簽可能帶來的負(fù)面影響，通過基于概率的聚類對每個樣本生成該樣本屬于不同類別的概率，實現(xiàn)聚類時就生成軟偽標(biāo)簽，減少標(biāo)簽正則化的過程。再者，通過平均教師模型，讓教師網(wǎng)絡(luò)集成學(xué)生網(wǎng)絡(luò)的歷史參數(shù)，再通過一致性損失達(dá)到模型正則化的目的，有利于輸出結(jié)果更加穩(wěn)定。最后，通過訓(xùn)練時增加對抗樣本，在保證模型的域自適應(yīng)能力有所提升的同時，更大限度地提高其防御攻擊能力。

該文貢獻(xiàn)如下：

(1)提出了基于偽標(biāo)簽的可防御穩(wěn)定網(wǎng)絡(luò)(pseudo-label based defensible stable network，PDSN)，在經(jīng)典域?qū)咕W(wǎng)絡(luò)框架下增加了基于概率的偽標(biāo)簽生成模塊，并通過平均教師模型減輕錯誤的偽標(biāo)簽帶來的噪聲，使結(jié)果更穩(wěn)定。

(2)結(jié)合抵御對抗攻擊的方法，增加訓(xùn)練時的對抗樣本，在不大幅減少網(wǎng)絡(luò)遷移能力的情況下，實現(xiàn)穩(wěn)定能力和防御能力均有所提升的可靠網(wǎng)絡(luò)。

(3)在Office-31數(shù)據(jù)集上進(jìn)行了實驗，與其他域自適應(yīng)方法結(jié)果進(jìn)行對比分析，證明了該方法的有效性。

1 相關(guān)工作

1.1 對抗判別網(wǎng)絡(luò)

對抗判別算法主要利用對抗訓(xùn)練來學(xué)習(xí)域不變特征和判別能力，通過判別器判別源域或者是目標(biāo)域，借此使目標(biāo)域邊緣特征分布與源域?qū)R。2016年Ben-David等[8]開創(chuàng)性地提出在神經(jīng)網(wǎng)絡(luò)之上，使用對抗訓(xùn)練的方法學(xué)習(xí)域不變的特征和判別能力。在此思想之上，域?qū)股窠?jīng)網(wǎng)絡(luò)算法(DANN)[9]利用標(biāo)準(zhǔn)反向傳播和隨機(jī)梯度下降的單前饋網(wǎng)絡(luò)實現(xiàn)域?qū)褂?xùn)練。在此之后，陸續(xù)提出了更多的域?qū)褂?xùn)練思想的方法，如對抗判別域自適應(yīng)方法(ADDA)[10]反向標(biāo)記 GAN損失，將優(yōu)化器分離成兩個，用于生成器和鑒別器。

條件域?qū)咕W(wǎng)絡(luò)(CDAN)[11]則是考慮了怎樣對齊兩域之間的條件分布，利用多線性映射對特征和類別進(jìn)行聯(lián)合域自適應(yīng)，引入熵作為權(quán)重系數(shù)調(diào)節(jié)極大極小優(yōu)化方法。其損失由分類損失和對抗損失兩個部分組成。分類損失值即源域圖像本身擁有的真實值和經(jīng)過網(wǎng)絡(luò)產(chǎn)生的預(yù)測值之間的交叉熵?fù)p失。對抗損失即對抗網(wǎng)絡(luò)判別樣本為源域圖像還是目標(biāo)域圖像的二分類交叉熵?fù)p失。以下為CDAN定義的極大極小問題。

(1)

(2)

式中，λ為權(quán)衡超參數(shù)，L(· , ·)為交叉熵?fù)p失，G為源域分類器，D指域鑒別器與類別聯(lián)合變量h的多線性映射。CDAN通過以上極大極小策略能達(dá)到對齊兩域條件分布的目的。

1.2 對抗攻擊與主動防御

自Szegedy等人[12]提出深度神經(jīng)網(wǎng)絡(luò)容易被對抗樣本欺騙產(chǎn)生錯誤的預(yù)測，越來越多的對抗攻擊和主動防御的問題被人們關(guān)注[13-14]。在圖像分類中，對抗攻擊的經(jīng)典方法有L-BFGS方法和快速梯度攻擊方法等等[15]。在對抗攻擊的方法中，通常開始擾動前，設(shè)定一定的擾動步長，迭代數(shù)次達(dá)到對原圖像產(chǎn)生足夠的干擾的目的。對抗攻擊的測試方法可分為黑盒測試和白盒測試兩種。黑盒測試因為對模型的未知，測試時主要依據(jù)的方法是輸入和輸出數(shù)據(jù)之間的關(guān)系，白盒測試則是從模型本身進(jìn)行測試[16]。與對抗攻擊相對應(yīng)的主動防御的方法[17]主要有修改訓(xùn)練過程或樣本、修改網(wǎng)絡(luò)、使用附加網(wǎng)絡(luò)三種方式。而該文就是通過在訓(xùn)練的過程中不斷增加源域的對抗樣本，以提升網(wǎng)絡(luò)的魯棒性。

2 基于偽標(biāo)簽的可防御穩(wěn)定網(wǎng)絡(luò)

2.1 總體結(jié)構(gòu)

如圖1所示，提出的網(wǎng)絡(luò)結(jié)構(gòu)由三個部分組成。

圖1 PDSN結(jié)構(gòu)

Lall=LCDAN+Lpseudo+Ltea-stu+βLadv

(4)

2.2 軟偽標(biāo)簽生成

基于距離的無監(jiān)督聚類方法通常根據(jù)距每個樣本距離中心點(diǎn)的距離進(jìn)行類別劃分，基于密度的方法將密度相連的點(diǎn)進(jìn)行集合形成簇的聚類。不同于以上將一個樣本直接劃分為某個確定的類別，仿佛“非此即彼”這樣硬聚類的方法?；旌细咚鼓Ｐ?GMM)的聚類方法屬于軟聚類，認(rèn)為每個樣本可以屬于多個類，與類協(xié)同訓(xùn)練有異曲同工之妙。將數(shù)據(jù)通過GMM聚類時，每個樣本都會計算其屬于某個類別的概率值向量xK，其中K為目標(biāo)域類別，計算公式為：

(5)

其中，πk是混合系數(shù)，N(·)代表其每個類別的高斯混合模型參數(shù)。該文將源域數(shù)據(jù)和目標(biāo)域數(shù)據(jù)經(jīng)特征提取器后將特征輸入GMM聚類，在向量xK中選擇概率值最大且大于0.5的類別作為偽標(biāo)簽。

(6)

2.3 偽標(biāo)簽噪聲減弱

為了進(jìn)一步減少錯誤的偽標(biāo)簽可能帶來的負(fù)遷移，考慮通過讓網(wǎng)絡(luò)本身學(xué)習(xí)到更穩(wěn)定的網(wǎng)絡(luò)參數(shù)，為此使用了平均教師模型[18]。該模型使用兩個模型結(jié)構(gòu)相同的網(wǎng)絡(luò)進(jìn)行訓(xùn)練，分別為學(xué)生網(wǎng)絡(luò)和教師網(wǎng)絡(luò)。學(xué)生網(wǎng)絡(luò)參數(shù)根據(jù)梯度下降法更新得到；教師網(wǎng)絡(luò)參數(shù)根據(jù)歷史上學(xué)生網(wǎng)絡(luò)參數(shù)通過指數(shù)移動平均方法(EMA)加權(quán)迭代并不斷反向傳播更新，讓教師網(wǎng)絡(luò)的預(yù)測訓(xùn)練學(xué)生網(wǎng)絡(luò)，即通過最小化學(xué)生網(wǎng)絡(luò)的預(yù)測結(jié)果和教師網(wǎng)絡(luò)的預(yù)測結(jié)果之間的L2損失：

Ltea-stu=

(7)

式中，F(xiàn)(·)為網(wǎng)絡(luò)的特征提取部分，C(·)為網(wǎng)絡(luò)的分類器。兩者之間相互促進(jìn)，形成良好的循環(huán)，達(dá)到使網(wǎng)絡(luò)輸出更穩(wěn)定，減弱偽標(biāo)簽噪聲的目的。

2.4 主動防御

(8)

上述方法的目的是能夠使分類決策邊界同時遠(yuǎn)離對抗樣本和正常樣本，減小因為擾動帶來的不確定的結(jié)果，鼓勵網(wǎng)絡(luò)變得更加可防御。這樣能夠促使網(wǎng)絡(luò)被成功攻擊的概率降低，提高網(wǎng)絡(luò)的安全性和魯棒性。

3 實驗結(jié)果與分析

3.1 實驗數(shù)據(jù)

主要在Office-31數(shù)據(jù)集下展開實驗。Office-31數(shù)據(jù)集[19]是域自適應(yīng)問題中的基準(zhǔn)數(shù)據(jù)集，其中共包含3個子數(shù)據(jù)集，每個子數(shù)據(jù)集中都擁有自行車、鍵盤、背包等31個類別的物體。如圖2所示，不同子數(shù)據(jù)集的拍攝背景和物體都各有差異。

圖2 Office-31數(shù)據(jù)集示例

Amazon域中的圖片下載自亞馬遜網(wǎng)站，背景干凈，物體拍攝視角通常為正面，畫質(zhì)清晰，分辨率為300×300，圖片數(shù)量最多；DSLR圖片域由不同攝影設(shè)置的數(shù)碼單反相機(jī)拍攝，其中的物品均放置在現(xiàn)實生活場景中，背景復(fù)雜且拍攝視角多變，不再是單一的正面視角，分辨率多為1 000×1 000，圖片數(shù)量最少；Webcam域由網(wǎng)絡(luò)攝像頭拍攝，其圖片同樣背景復(fù)雜，畫質(zhì)相比DSLR數(shù)據(jù)集較為模糊，分辨率在600×600左右。在三個兩兩組合的六對遷移域A→W，D→W，W→D，A→D，D→A和W→A中，困難程度各有不同。

3.2 實驗設(shè)置

將該方法與Source-only方法、DAN、DANN、CDAN進(jìn)行實驗對比。Source-only使用Resnet-50作為骨干網(wǎng)絡(luò)，在訓(xùn)練的過程中僅使用交叉熵?fù)p失，目標(biāo)域數(shù)據(jù)不參與訓(xùn)練，并且將其訓(xùn)練模型不做任何修改在目標(biāo)域數(shù)據(jù)集中進(jìn)行測試。DAN是典型的基于差異的方法，使用了8層的AlexNet網(wǎng)絡(luò)，而在分類層之前增加了多個適配層，并且使用了最大平均差異(MK-MMD)的多個核變量的總和，計算在源域上的分類損失和適配層的差異損失。DANN是傳統(tǒng)與對抗網(wǎng)絡(luò)，利用標(biāo)準(zhǔn)反向傳播和隨機(jī)梯度下降的單前饋網(wǎng)絡(luò)實現(xiàn)域?qū)褂?xùn)練。

實驗中的超參數(shù)設(shè)置主要為，骨干網(wǎng)絡(luò)使用Resnet-50，epochs=6，每個epoch迭代iters=5 000，統(tǒng)一設(shè)置batch-size為12，學(xué)習(xí)率為0.001。此外主動防御模塊擾動為0.3，步長設(shè)置為0.01。實驗中調(diào)整參數(shù)擾動步數(shù)pertub-steps=5，10，20，損失函數(shù)中β=0，0.3，0.5，0.8，1，關(guān)于生成源域?qū)箞D像的distance，與文獻(xiàn)[7]方法一致選擇L2或者INF。

3.3 評價標(biāo)準(zhǔn)

通過對目標(biāo)域正常樣本的測試的準(zhǔn)確率的計算來評估對模型的遷移能力：

(9)

對于算法魯棒性的定量分析，采用PGD方法(project gradient descent)進(jìn)行白盒測試，評估指標(biāo)為在攻擊測試時的準(zhǔn)確率。

3.4 結(jié)果分析

3.4.1 算法結(jié)果對比

從表1中可以看出，PDSN與其他方法相比在6個域組合中都獲得了明顯的提升，相較于CDAN平均提升1.67%，在D→A和W→A兩個域組合上更為明顯。這是因為軟偽標(biāo)簽的生成和平均教師模型方法讓大量的A域的數(shù)據(jù)獲得了平滑而正確的偽標(biāo)簽，原本因為圖像本身導(dǎo)致的域偏移以及圖像數(shù)量的不平衡問題得到明顯的改善。

表1 在Office-31上不同算法的結(jié)果準(zhǔn)確度 %

3.4.2 消融實驗與參數(shù)對比實驗

表2中，“S”表示使用軟偽標(biāo)簽方法和平均教師方法，“D”表示加入了主動防御的對抗樣本損失?？梢则炞C在PDSN方法中，偽標(biāo)簽和平均教師模型是改進(jìn)方法中提升準(zhǔn)確率的主要原因。而為了提高魯棒性進(jìn)行主動防御加入了對抗樣本的損失，對于大部分域組合的準(zhǔn)確率有一定程度的影響，卻能夠提高網(wǎng)絡(luò)的抗對抗性。

表2 改進(jìn)技術(shù)結(jié)果準(zhǔn)確率對比 %

圖3 不同beta取值實驗結(jié)果

圖3代表了權(quán)衡超參數(shù)β對網(wǎng)絡(luò)遷移能力和防御能力的影響，實驗為在A→W域組合中進(jìn)行。

此外，對不同的distance和beta參數(shù)做了更多的實驗，測試了不同的取值，結(jié)果如表3所示。

表3 不同distance選擇實驗

續(xù)表3

4 結(jié)束語

探討了怎樣更好地提高域自適應(yīng)模型的遷移能力和防御能力，提出了基于偽標(biāo)簽的可防御網(wǎng)絡(luò)，采用軟偽標(biāo)簽和平均教師模型使網(wǎng)絡(luò)輸出更加穩(wěn)定可靠，利用主動防御方法有效地減輕了對抗樣本攻擊的影響。在Office-31數(shù)據(jù)集上進(jìn)行了對比實驗、消融實驗和參數(shù)對比實驗，驗證了此網(wǎng)絡(luò)提高魯棒能力的有效性。此外，該方法由于源域?qū)箻颖旧刹糠执嬖谟?xùn)練時間長的問題，未來研究中，將嘗試通過對源域數(shù)據(jù)隨機(jī)采樣來生成對抗樣本等方法解決這一問題。