简介
本篇论文主要是对AdvGAN进行了一些小改进,证明了在非定向攻击中,潜在特征作为对抗生成的先验比整个输入图像更好,同时消除了对生成器遵循基于编码器-解码器的架构的需要,从而减少了训练/推理开销。
论文地址:只有4页的AdvGAN++
网络框架
跟AdvGAN相比,主要区别在于生成器G的输入产生了变化,从原来的原始图像x变成了图像x的特征图与噪声向量的级联。而图像x的特征图是通过目标网络M的特征提取器f得到的。这两点就是AdvGAN和原始版本的最大区别。
损失函数
与AdvGAN类似,损失函数为
$$
L(G,D)=L_{GAN}+\alpha L_{adv}+\beta L_{pert}
$$
其中
$$
L_{GAN}=E_x[\log D(x)+E_xlog(1-D(G(z|f(x)))]\\
L_{adv}=E_x[M_t(G(z|f(x)))]\\
L_{pert}=E_x||x-G(z|f(x))||_2
$$
$L_{adv}$中的$M_t$是指目标模型M将输入识别成类别t的概率(softmax处理后).其他部分与AdvGAN的损失函数一致,这里不再赘述.AdvGAN - JJJYmmm Blog
训练过程
训练过程如算法1所示,跟AdvGAN/GAN的方法一致,使用min-max博弈依次迭代G/D.详见Generative Adversarial Nets - JJJYmmm Blog的理论证明.
总结
AdvGAN++算是一个对原版的小迭代.一句话总结:使用目标模型的特征抽取器抽取原始样本的潜在特征,并将其作为生成器G的输入,取消了G需要是"encoder-decoder"架构的限制,达到了比原版更好的性能和效果.
