基于伪标签的可防御稳定网络

刘佳美，孙 涵，林 磊

(南京航空航天大学 计算机科学与技术学院/人工智能学院，江苏 南京 211106)

0 引 言

随着算力和数据的急剧增加，如今的计算机视觉任务都已经获得了较好的效果。然而大多数任务仅局限于同一分布的数据，当更换数据集时常常需要重新训练模型，且对于新任务的标签标记耗时费力，常常难以获得。由此，域自适应问题应运而生。域自适应中通常包含一个有标签数据的源域和一个无标签数据的目标域，两域之间数据分布相关但不同[1]。域自适应旨在克服域偏移[2]，将在源域中学习的知识迁移到目标域能够有较好的预测。而为了解决目标域数据没有标签的问题，Cao等人[3]引入了半监督学习中伪标签的思想，采用基于原型聚类进行两域对齐；Nie[4]考虑了聚类对齐与数据平衡之间的关系；Dai等人[5]则是使用基于密度聚类后通过使用对比损失解决特征表示的不连续问题。但是由于伪标签的生成常常伴随着噪声，过度自信的伪标签与真实值不符时反而对模型学习带来更多的困难。为了解决这个问题，Zou等人[6]从正则化的角度出发，将伪标签作为交替优化的连续潜变量联合优化，通过网络自训练实现标签正则化和模型正则化。另一方面，可以抵御对抗攻击的域自适应方法也在探索中，Zhang等人[7]提出了通过代理损失最小化将干净数据上的模型精度和鲁棒性分离为两个损失项来训练更鲁棒的模型。

受文献[6]启发，笔者从标签和模型两方面减轻伪标签可能带来的负面影响，通过基于概率的聚类对每个样本生成该样本属于不同类别的概率，实现聚类时就生成软伪标签，减少标签正则化的过程。再者，通过平均教师模型，让教师网络集成学生网络的历史参数，再通过一致性损失达到模型正则化的目的，有利于输出结果更加稳定。最后，通过训练时增加对抗样本，在保证模型的域自适应能力有所提升的同时，更大限度地提高其防御攻击能力。

该文贡献如下：

(1)提出了基于伪标签的可防御稳定网络(pseudo-label based defensible stable network，PDSN)，在经典域对抗网络框架下增加了基于概率的伪标签生成模块，并通过平均教师模型减轻错误的伪标签带来的噪声，使结果更稳定。

(2)结合抵御对抗攻击的方法，增加训练时的对抗样本，在不大幅减少网络迁移能力的情况下，实现稳定能力和防御能力均有所提升的可靠网络。

(3)在Office-31数据集上进行了实验，与其他域自适应方法结果进行对比分析，证明了该方法的有效性。

1 相关工作

1.1 对抗判别网络

对抗判别算法主要利用对抗训练来学习域不变特征和判别能力，通过判别器判别源域或者是目标域，借此使目标域边缘特征分布与源域对齐。2016年Ben-David等[8]开创性地提出在神经网络之上，使用对抗训练的方法学习域不变的特征和判别能力。在此思想之上，域对抗神经网络算法(DANN)[9]利用标准反向传播和随机梯度下降的单前馈网络实现域对抗训练。在此之后，陆续提出了更多的域对抗训练思想的方法，如对抗判别域自适应方法(ADDA)[10]反向标记 GAN损失，将优化器分离成两个，用于生成器和鉴别器。

条件域对抗网络(CDAN)[11]则是考虑了怎样对齐两域之间的条件分布，利用多线性映射对特征和类别进行联合域自适应，引入熵作为权重系数调节极大极小优化方法。其损失由分类损失和对抗损失两个部分组成。分类损失值即源域图像本身拥有的真实值和经过网络产生的预测值之间的交叉熵损失。对抗损失即对抗网络判别样本为源域图像还是目标域图像的二分类交叉熵损失。以下为CDAN定义的极大极小问题。

(1)

(2)

式中，λ为权衡超参数，L(· , ·)为交叉熵损失，G为源域分类器，D指域鉴别器与类别联合变量h的多线性映射。CDAN通过以上极大极小策略能达到对齐两域条件分布的目的。

1.2 对抗攻击与主动防御

自Szegedy等人[12]提出深度神经网络容易被对抗样本欺骗产生错误的预测，越来越多的对抗攻击和主动防御的问题被人们关注[13-14]。在图像分类中，对抗攻击的经典方法有L-BFGS方法和快速梯度攻击方法等等[15]。在对抗攻击的方法中，通常开始扰动前，设定一定的扰动步长，迭代数次达到对原图像产生足够的干扰的目的。对抗攻击的测试方法可分为黑盒测试和白盒测试两种。黑盒测试因为对模型的未知，测试时主要依据的方法是输入和输出数据之间的关系，白盒测试则是从模型本身进行测试[16]。与对抗攻击相对应的主动防御的方法[17]主要有修改训练过程或样本、修改网络、使用附加网络三种方式。而该文就是通过在训练的过程中不断增加源域的对抗样本，以提升网络的鲁棒性。

2 基于伪标签的可防御稳定网络

2.1 总体结构

如图1所示，提出的网络结构由三个部分组成。

图1 PDSN结构

Lall=LCDAN+Lpseudo+Ltea-stu+βLadv

(4)

2.2 软伪标签生成

基于距离的无监督聚类方法通常根据距每个样本距离中心点的距离进行类别划分，基于密度的方法将密度相连的点进行集合形成簇的聚类。不同于以上将一个样本直接划分为某个确定的类别，仿佛“非此即彼”这样硬聚类的方法。混合高斯模型(GMM)的聚类方法属于软聚类，认为每个样本可以属于多个类，与类协同训练有异曲同工之妙。将数据通过GMM聚类时，每个样本都会计算其属于某个类别的概率值向量xK，其中K为目标域类别，计算公式为：

(5)

其中，πk是混合系数，N(·)代表其每个类别的高斯混合模型参数。该文将源域数据和目标域数据经特征提取器后将特征输入GMM聚类，在向量xK中选择概率值最大且大于0.5的类别作为伪标签。

(6)

2.3 伪标签噪声减弱

为了进一步减少错误的伪标签可能带来的负迁移，考虑通过让网络本身学习到更稳定的网络参数，为此使用了平均教师模型[18]。该模型使用两个模型结构相同的网络进行训练，分别为学生网络和教师网络。学生网络参数根据梯度下降法更新得到；教师网络参数根据历史上学生网络参数通过指数移动平均方法(EMA)加权迭代并不断反向传播更新，让教师网络的预测训练学生网络，即通过最小化学生网络的预测结果和教师网络的预测结果之间的L2损失：

Ltea-stu=

(7)

式中，F(·)为网络的特征提取部分，C(·)为网络的分类器。两者之间相互促进，形成良好的循环，达到使网络输出更稳定，减弱伪标签噪声的目的。

2.4 主动防御

(8)

上述方法的目的是能够使分类决策边界同时远离对抗样本和正常样本，减小因为扰动带来的不确定的结果，鼓励网络变得更加可防御。这样能够促使网络被成功攻击的概率降低，提高网络的安全性和鲁棒性。

3 实验结果与分析

3.1 实验数据

主要在Office-31数据集下展开实验。Office-31数据集[19]是域自适应问题中的基准数据集，其中共包含3个子数据集，每个子数据集中都拥有自行车、键盘、背包等31个类别的物体。如图2所示，不同子数据集的拍摄背景和物体都各有差异。

图2 Office-31数据集示例

Amazon域中的图片下载自亚马逊网站，背景干净，物体拍摄视角通常为正面，画质清晰，分辨率为300×300，图片数量最多；DSLR图片域由不同摄影设置的数码单反相机拍摄，其中的物品均放置在现实生活场景中，背景复杂且拍摄视角多变，不再是单一的正面视角，分辨率多为1 000×1 000，图片数量最少；Webcam域由网络摄像头拍摄，其图片同样背景复杂，画质相比DSLR数据集较为模糊，分辨率在600×600左右。在三个两两组合的六对迁移域A→W，D→W，W→D，A→D，D→A和W→A中，困难程度各有不同。

3.2 实验设置

将该方法与Source-only方法、DAN、DANN、CDAN进行实验对比。Source-only使用Resnet-50作为骨干网络，在训练的过程中仅使用交叉熵损失，目标域数据不参与训练，并且将其训练模型不做任何修改在目标域数据集中进行测试。DAN是典型的基于差异的方法，使用了8层的AlexNet网络，而在分类层之前增加了多个适配层，并且使用了最大平均差异(MK-MMD)的多个核变量的总和，计算在源域上的分类损失和适配层的差异损失。DANN是传统与对抗网络，利用标准反向传播和随机梯度下降的单前馈网络实现域对抗训练。

实验中的超参数设置主要为，骨干网络使用Resnet-50，epochs=6，每个epoch迭代iters=5 000，统一设置batch-size为12，学习率为0.001。此外主动防御模块扰动为0.3，步长设置为0.01。实验中调整参数扰动步数pertub-steps=5，10，20，损失函数中β=0，0.3，0.5，0.8，1，关于生成源域对抗图像的distance，与文献[7]方法一致选择L2或者INF。

3.3 评价标准

通过对目标域正常样本的测试的准确率的计算来评估对模型的迁移能力：

(9)

对于算法鲁棒性的定量分析，采用PGD方法(project gradient descent)进行白盒测试，评估指标为在攻击测试时的准确率。

3.4 结果分析

3.4.1 算法结果对比

从表1中可以看出，PDSN与其他方法相比在6个域组合中都获得了明显的提升，相较于CDAN平均提升1.67%，在D→A和W→A两个域组合上更为明显。这是因为软伪标签的生成和平均教师模型方法让大量的A域的数据获得了平滑而正确的伪标签，原本因为图像本身导致的域偏移以及图像数量的不平衡问题得到明显的改善。

表1 在Office-31上不同算法的结果准确度 %

3.4.2 消融实验与参数对比实验

表2中，“S”表示使用软伪标签方法和平均教师方法，“D”表示加入了主动防御的对抗样本损失。可以验证在PDSN方法中，伪标签和平均教师模型是改进方法中提升准确率的主要原因。而为了提高鲁棒性进行主动防御加入了对抗样本的损失，对于大部分域组合的准确率有一定程度的影响，却能够提高网络的抗对抗性。

表2 改进技术结果准确率对比 %

图3 不同beta取值实验结果

图3代表了权衡超参数β对网络迁移能力和防御能力的影响，实验为在A→W域组合中进行。

此外，对不同的distance和beta参数做了更多的实验，测试了不同的取值，结果如表3所示。

表3 不同distance选择实验

续表3

4 结束语

探讨了怎样更好地提高域自适应模型的迁移能力和防御能力，提出了基于伪标签的可防御网络，采用软伪标签和平均教师模型使网络输出更加稳定可靠，利用主动防御方法有效地减轻了对抗样本攻击的影响。在Office-31数据集上进行了对比实验、消融实验和参数对比实验，验证了此网络提高鲁棒能力的有效性。此外，该方法由于源域对抗样本生成部分存在训练时间长的问题，未来研究中，将尝试通过对源域数据随机采样来生成对抗样本等方法解决这一问题。