对逆向鲁棒分类器的能量角度研究及其生成高质量图像的方法

7728对逆向鲁棒分类器姚朱1*、嘉诚Ma2、嘉诚孙2†、Ze wei Chenn2、蒋荣新1、Yao wu Chen1、李振国2浙江大学1摘要近年来，一些研究发现了一个有趣的现象，即具有对抗性的鲁棒分类器可以产生与生成模型相当的好图像。我们从能量的角度研究这一现象，并提供了一个新的解释。我们重新制定了对抗性的例子生成，对抗性的训练和图像生成的能量函数。我们发现，对抗性训练有助于获得平坦的能量函数，并且在真实数据周围具有低能量，这是生成能力的关键。基于我们的新理解，我们进一步提出了一种更好的对抗训练方法，联合能量对抗训练（JEAT），它可以生成高质量的图像，并在广泛的攻击下实现新的最先进的鲁棒性。由JEAT生成的图像的初始得分（CIFAR-10）为8.80，远远优于原始鲁棒分类器（7.50）。特别地，我们发现JEAT模型的鲁棒性优于其他混合模型。1. 介绍对抗性训练可以提高分类器对人类无法感知的对抗性扰动的鲁棒性。与普通分类器不同，对抗性鲁棒分类器可以通过梯度下降来自随机噪声的交叉熵损失来生成良好的图像最近，一些作品发现了这一现象，生成的图像质量甚至可以与GANs [21，7]相媲美。从分类任务中生成对抗性鲁棒模型的能力然而，目前还不清楚为什么一个adversarially训练的分类器可以生成自然图像。由于图像生成是一个至关重要的话题，了解对抗性鲁棒分类器的生成能力可能是鼓舞人心的，可以给许多提示*这项工作是他在华为诺亚方舟实验室做研究实习生时完成的。电子邮箱：eezhuy@zju.edu.cn。†对应于：孙嘉诚（sunjiacheng1@huawei.com）其他生成方法。在本文中，我们的目标是了解生成能力的一个adversarially训练分类器，并进一步提高质量的生成图像的能量的角度来看。对于基于能量的模型（EBM）[10]，它首先从随机噪声中生成低能量样本，然后通过更新模型参数来增加所生成样本的能量这样，EBM可以获得一个很好的能量函数，它是平滑的，并且在真实数据附近具有低能量，如图所示。第1（a）段。因此，EBM可以通过利用具有良好能量函数的朗之万动力学进行采样来生成良好的图像[5]。我们表明，对抗训练的分类器也可以获得这样一个良好的能量函数，这是平坦的，具有低能量的真实数据附近。这意味着对抗鲁棒分类器的生成能力。对于一个分类器，我们可以定义能量函数的输出逻辑。我们根据能量函数重新制定了原始的对抗训练和图像生成。事实上，对抗性样本是接近真实数据的高能量样本，对抗性训练试图通过更新模型参数来降低这些样本的能量。这个过程还可以帮助我们学习一个平坦的能量函数，其能量较低，接近真实数据，如图所示。第1段（b）分段。此外，根据我们的理解，我们发现另一个有趣的现象，一个正常的分类器能够生成图像，如果我们在训练过程中添加随机噪声的图像。虽然向训练数据注入噪声可以产生高能量样本，但与对抗性攻击相比，扰动方向可能不是有效的。因此，在用于生成高能量样本的训练中需要更大的噪声。交叉熵损失可以表示为Eθ（x，y）与Eθ（x）之差。我们表明，Eθ（x，y），这是平坦的，并具有较低的能量周围的真实数据，在条件生成任务中起着关键作用。然而，使能量Eθ（x，y）在真实数据附近平坦且低只是原始对抗训练的副产品。因此，我们提出了联合能量对抗训练（JEAT）7729L2Lǁ·ǁEθ（x，Eθ（x，对抗性数据提高能源减少能源对抗性数据实际数据(b)对抗训练图1.EBM训练和对抗训练以不同的方式使能量函数平滑接近真实数据（a）EBM从随机样本开始在优化期间，这些点的能量增加。因此，EBM获得真实数据周围的平滑能量区域（b）对抗性样本是围绕真实数据的高能量样本。对抗性训练通过更新模型参数来降低对抗性样本的能量，从而获得真实数据周围的平坦区域。直接优化Eθ（x，y）。我们通过直接增加Eθ（x，y）来生成对抗性示例，如等式(18)并通过最大化联合分布pθ（x，y）的似然性来更新模型参数，如等式（1）所示。（十九）、我们表明，JEAT进一步提高了生成的图像的质量其中sign是符号函数。PGD攻击是FGSM的一种迭代变体，它从干净图像的邻域中的随机位置开始PGD可以被公式化为：我们的论文的主要贡献总结如下：我们提出了一种新的解释的图像生成能力的一个强大的分类器从能源的角度来看。xn=xn−1+η·sign（xn−1L（xn−1，y;θ）），xn=clip（xn，x0−ε，x0+ε），其中x0是干净图像，η是扰动步长。2.2.鲁棒模型（三）我们发现正常的分类器的生成能力与注入噪声的训练过程中，并解释它从能源的角度来看。我们提出了一个训练算法JEAT从能源的角度来看，提高图像生成能力。使 用 经 过 对 抗 训 练 的 分 类 器 生 成 图 像 首 先 由Santurkar、Madry等提出。[20]其中，他们证明了单独的鲁棒分类器足以处理各种图像合成任务，例如生成。对于给定的标签y，图像生成通过以下方式使标签y的损失最小化：2. 预赛x′=x−η·xL（x，y;θ）+ √η ε。（四）从样品x0开始N（µ y，Σy）其中µ y=2.1. 对抗训练ExPX|y （x）和Σy=ExPX|y （（x−µy）T（x−µy）），我们对抗性训练在[8]中首次提出，可以通过解决双层最小-最大优化问题[18]来有效地防御对抗性攻击它可以被公式化为：可以通过最小化损失来获得更好的图像。一些简单的改进，例如选择更多样化的分布开始，可以进一步提高生成图像的质量[20]。不过，它并不是这其中minθE（x，y）D[L（x+δ*，y;θ）]，δ*= arg maxδp≤L（ x+ δ，y;θ），（一）本文2.3.基于能量的模型其中，y是输入x的真实标签，δ*表示添加到x的对抗扰动，L表示损失函数，p表示将扰动样本约束在以x为中心的半径ε的lp-球中的lp-范数。l∞对抗扰动通常通过快速梯度符号法（FGSM）近似求解[8]投 影 梯 度 下 降 （ projected gradient descent ， PGD ）[18]。对于FGSM，δx采用以下形式：δx=Σ sign（ΣxL（x，y;θ）），（2）Eθ（x，Eθ（x，随机样本减少能源提高能源生成的数据生成的数据真实数据真实数据(a)EBM·.··.7730∫−基于能量的模型[16，10]表明，x的任何概率密度p（x）都可以表示为p（x）=exp（−Eθ（x）），（5）θZθ其中Eθ（x）表示x的能量并由神经网络建模，Zθ=exp（Eθ（x））dx是由θ参数化的归一化因子，也称为分割函数。基于能量模型7731Σ|∫Σ−∇N→→∞Q（x）=0（nk=1 exp（f（x; θ）[k]））。Dθ（六）·t t−1 2x~t−1t−1★★★★（a）正常分类器（b）鲁棒分类器（c）PreJEAT（d）JEAT图2.不同型号的能量等值线。(a)自然训练模型的能量E θ（x，y）轮廓;（b）逆向训练模型的能量轮廓;（c）联合打击贩运麻醉药品试验前的能量分布图（我们的）;（d）我们的联合能源评估试验的能源等量线。图中较暗的颜色表示较低的能量值。每个图中心的蓝色星形点是从CIFAR-10中选择的真实图像我们在两个随机方向上扰动图像以获得能量景观。通过最小化LML（θ）=ExPD[−logpθ（x）]。梯度为[5]：<$θLML（θ）=Ex+<$p[<$θEθ（x+）]−Ex−<$p[<$θEθ（x−）]。因为从pθ采样对于EBM是不可行的，所以通常使用朗之万动力学来近似地计算3. 能量视角下的鲁棒分类器3.1. 对抗训练的能量观我们将f（θ）表示为由θ表征的分类神经网络。设x为样本。 则f（x; θ）[k]表示最后一层的第k个输出，我们定义p θ（y|x）从pθ[11]中找到样本因此，EBM培训通常包括：如：exp（f（x;θ）[y]）（十一）包含两个阶段：大致生成采样pθ由Langevin动力学沿着能量de-pθ（y x）= nk=1、exp（f（x;θ）[k]）通过对模型参数的选择和优化，提高了样品的能量，降低了实际样品的能量。以这种方式，如图所示。1（a），循证医学其类似于玻尔兹曼分布，并且n表示全部可能的类。从等式在等式（8）和（11）中，我们定义两个能量函数如下：可以获得围绕真实数据的平滑能量函数，并且通过朗之万动力学生成样本。从能量的角度来看，我们也可以将pθ（x，y）定义. Eθ（x，y）=−loΣg（exp（f（x;θ）[y]）），（十二）如下所示：pθ（x，y）=exp（−Eθ（x，y））Z~θ、（7）从等式（12），我们有Z~θ=Zθ。此外，如果分类损失函数是交叉熵损失，则它也可以表示为：其中Z~θ=exp（Eθ（x，y））dx。因此我们也得到yp θ（y|x）由E θ（x）和E θ（x，y）表示：p（y|x）=p θ（x，y）=exp（−E θ（x，y））·Z θ。（八）L（x，y;θ）=E θ（x，y）− E θ（x）。（十三）在[18，32，24]中的原始对抗训练中，通过快速梯度符号方法，可以找到θpθ（x）exp（−E（x））·Z~θ θ2.4. Langevin动力学使用xlog（p（x）），Langevin Dynamics可以从密度分布p（x）生成样本。 该过程从来自先前分布π的初始点x〜 0开 始 ， 并且通过以下方式重新更新x〜0：η√x~=x~+lo g（p（x~））+ηε，（9）其中ε（0，I）和η是固定步长。 当η 0并且T，x~T在某种条件下恰好是来自p（x）的样本如果我们想从pθ（x，y）中采样，其中y是某个标签，我们可以使用等式：（9）也。 基于能量框架，如Eq. (7)，我们有xlog（p θ（x，y））=−xEθ（x，y）。 因此，采样过程变为：7732−通过x adv=x+η·sign（ x（E θ（x，y）−E θ（x），（ 十四）这 是 在 等 式 中 定 义 的 损 失 的 梯 度 上 升 的 方 向 。（13）。对抗扰动的方向不仅与Eθ（x，y）有关，而且与Eθ（x）有关。而在原有的对抗训练中，优化过程的目的是减少Eq. (13)通过更新模型参数。正如我们在SEC中提到的。2.3，平滑且在真实数据周围具有低能量的良好能量函数Eθ（x，y）是针对给定标签y生成良好图像的关键因素。我们将对抗攻击后和优化后的能量变化Eθ（x，y）定义为：.∆xE θ（x，y）= E θ（x adv，y）− E θ（xori，y），x~t =x~ηt−1−2x~t−1Eθ（x~ t−1，y）+ √ηε。（十）∆θEθ（x，y）=Eθupdated（xadv，y）Eθ（xadv，y），（十五）7733-·xθN−2（一）（b）第（1）款图3.我们在50个epoch中说明了CIFAR-10上原始对抗训练[18]中的能量变化（模型已经收敛）。标记的中心点表示平均值，长度表示方差。(a)在训练过程中，对抗性示例增加能量Eθ（x，y），因为ΔxEθ（x，y）>0 对抗样本的能量Eθ（x，y）在更新参数后下降为ΔθEθ（x，y）0。（b）ΔθEθ（x）的值在零附近波动，有时为正，有时为负。因此Eθ（x）在分类任务中没有得到很好的优化。其中E θ（x adv，y）是在更新参数之前给定标签y的xadv的能量，E θ（x ori，y）是在更新参数之前给定标签y的x ori的能量，并且E θupdated（x adv，y）是在更新参数之后给定标签y的x adv的能量。ΔxE θ（x）和ΔθE θ（x）的定义类似于（15）中去除y的情况。如示于图3（a）中，对抗性攻击产生高能量的对抗性样本，通过更新模型参数降低对抗性样本的能量。与EBM相比，对抗性训练变得平坦来自等式的恒定归一化因子(7)，我们可以从高概率pθ（x，y）区域得到一个好的样本。最小化Eθ（x，y）有助于最大化pθ（x，y）以生成对应于如等式（1）所示的标签y的图像。(10)，但Eθ（x）的能量与标号y无关。如示于图在图3（b）中，E θ（x）在分类任务中没有被很好地优化，这可能引入与标签无关的噪声。因此，Eθ（x）可能是限制鲁棒分类器的生成能力的因素，并且我们可以丢弃Eθ（x）而仅使用Eθ（x，y），如下所示：以不同于EBM训练的方式在真实数据周围的能量区域。对抗性训练在数据附近找到具有高能量Eθ（x，y）的对抗性示例，然后将其分解。x′=xη（E（x，y））+2√η.（十七）通过更新模型参数来增加那些样本的能量。注意，在EBM中，朗之万动力学从pθ（x，y）的采样遵循能量下降的方向如示于图1（b），对抗训练可以获得真实数据周围的我们在图中示出了能量Eθ（x，y）的轮廓2，用于正常分类器和对抗训练的分类器。从图2（a），对于正常分类器，中心周围的能量函数是尖锐的，并且真实数据的能量是高的。由于低能量区域偏离正常分类器中的对于鲁棒分类器，中心附近的能量函数更平滑且更低，如图所示。第2段（b）分段。图像生成的一个强大的分类介绍了在第二节。2.2，如果我们将损失函数转换为能量表达式为Eq. (13)，则图像的生成过程变为：x′=x−η·x（Eθ（x，y）−Eθ（x））+√ηε，（16）其中ε（0，I）和η是步长。在等式（1）中的项Eθ（x，y）Eθ（x）是 (16)意味着生成迭代与Eθ（x，y）的能量和Eθ（x）的能量都有关。通过探索Eθ（x，y）的低能量区域，它对应于给定的高概率pθ（x，y）区域当 量 (17) 与 Langevin 动 力 学 采 样 密 切 相 关 ， 如 Eq.（十）、逼近Eθ（x，y）的低能区等价于逼近pθ（x，y）的高概率区。如图4（a）和（b），使用Eq. (17)给出了比使用Eq. （十六）、（一）（b）第（1）款（c）第（1）款图4.给定的标签船，由不同的方法生成的图像。(a)显示了由原始鲁棒类生成的十个图像。使用Eq.（十六）、(b)示出了由原始鲁棒分类器使用Eq.（17）。（c）示出了由鲁棒分类器生成的十个图像，所述鲁棒分类器用通过等式（1）得到的对抗性示例训练（18）使用Eq. （17）。3.2. 赋予正规分类器生成能力如前所述，我们可以从真实数据中生成高能量样本，并在优化过程中降低这些样本的能量，以获得具有生成能力的分类器。将能量Eθ（x，y）优化为在真实数据周围平坦且低的过程对抗训练遵循7734NNN-|船鸟车（a）在大噪音下训练。（b）在中等噪音下训练。（c）在小噪音下训练。表 1. 正 常 攻 击 和 能 量 攻 击 ， 只 是 增 加 了 正 常 分 类 器（WideResNet-28-10）上的Eθ（x，y）。微扰半径为8/255。它们在CIFAR-10和CIFAR-100数据集上的表现类似，并且它们可以成功地攻击分类器。图5.模型生成的图像在训练过程中注入了不同强度的噪声。这些模型的精确度几乎相同。我们使用δ来表示添加到训练数据中的噪声。(a)δ（0，24/255）。 显然，该模型产生可识别的图像。(b) δ（0，16/255），船的形状是可见的。(c)δ（0，8/255）时，难以识别物体的形状。的过程，并提供了一种有效的方法来找到高能量的小扰动样品。同时，简单的随机噪声也可以找到高能量样本，但效率较低。为了验证我们的说法，我们通过向训练数据中注入不同强度的随机噪声来训练正常分类器。如图5.用不同强度的噪声训练的分类器通过第5节中的过程生成不同质量的图像。3.1.虽然质量不够好，但汽车，鸟类和船只可以在图中以很高的信心识别。第五条（a）款。通过比较添加不同强度的噪声所生成的图像，我们发现需要更强的随机噪声来训练正常的分类器，以生成可识别的图像。这与我们上面的解释一致，即随机噪声是寻找高能量样本的因为方向是不确定的并且很可能不是有效地增加能量的方向，所以可能需要更强的该实验还表明，从实际数据中产生高能量样本并在优化过程中降低这些样本的能量的过程有助于获得具有生成能力的分类器3.3. 利用能量如上所述，Eθ（x，y）确定鲁棒分类器的生成能力。在原始对抗训练中，它不直接增加原始数据的能量Eθ（x，y）事实上，仅使用Eθ（x，y）也可以使x成为对抗样本xadv，如Tab所示。1.一、仅在方程中使用Eθ（x，y）。 (14)，我们有：x adv=x+η·sign（x（E θ（x，y）。（十八）由Eq.中的能量攻击生成的对抗示例(18)具有几乎相同的攻击效果与原始的正常攻击方程。（14）。x和xadv之间的差别是无法辨认的，但它们的能量是相当不同的。我们命名的方法，训练与adversar-ial的例子发现方程。（18）并且通过以下步骤生成图像：当量(17)经过初步联合能源对抗训练（PreJEAT）。如图所示。2，在PreJEAT训练的分类器中，自然图像（中心）周围的能量比正常分类器和原始鲁棒分类器更平坦和更低。在鲁棒分类器中，低能量区域偏离中心。但在PreJEAT训练的分类器中，自然图像具有最低的能量。因此，通过Eθ（x，y）直接生成对抗性示例有助于获得接近真实数据的平坦且低能量的函数。通过Eq.（18）我们可以获得具有更好的生成能力的鲁棒第4（c）段。3.4. 联合能源对抗训练我们在前一节中验证了PreJEAT训练的模型具有良好的然而，在训练损失目标与等式1之间仍然存在差异。(13)和对抗训练作为Eq. (18)在PreJEAT。同时我们也发现PreJEAT算法生成的图像不够平滑。第4（c）段。我们希望优化过程也能更直接地优化Eθ（x，y），以降低真实数据周围的能量。因此，我们提出了一种新的算法，联合能量对抗训练（JEAT），在Al-m 1，以提高生成能力的分类器。 在JEAT中，我们将PreJEAT中的交叉熵损失logpθ（y x）替换为：-log p θ（x，y）= − log p θ（y|x）− log p θ（x），（19）其中p θ（x）定义在等式（19）中。（五）、优化pθ（x，y）有助于得到更好的Eθ（x，y），如等式（1）所示。（七）、logpθ（x）的梯度为θlog（p θ（x））=−我们使用随机梯度朗之万动力学（SGLD）来近似Epθ（x）[6]。JEAT使用Eq. (18)找到对抗性的例子当量（17）生成类似PreJEAT的图像利用我们提出的JEAT，对抗性示例、对抗性训练和图像生成以明确的方式与能量Eθ（x，y）相我们还在图2（d）中绘制了Eθ（x，y）的能量等值线。与其他三个模型相比，中心附近的JEAT训练的分类器的能量函数是（二十）攻击CIFAR-10CIFAR-100没有攻击百分之九十四点三九78.54%普通攻击0.12%0.08%7735−-·LL∇22（二十一）（x，y），E（x）= −log（yexp（f（x）[y]））表示算法1 JEAT的训练和生成：给定网络f，E（x，y）=−lo g（exp（f（x）[y]））表示状态。在图像生成方面，我们比较了我们生成的[10]和鲁棒分类器[20]的图片我们表明x，l∞对抗扰动半径ε，SGLD步长α，SGLD步长K，重放缓冲区B，重新初始化概率ρ，epochsT，大小为M的数据集，学习率η。培训：对于i = 1，2.，没做对于j = 1，2.，M do► 生成基于能量的对抗样本：δ=U（−ε，ε）δ=δ+ε·sign（εx（Eθ（x，y）δ=max（min（δ，ε），−ε）xadv=xj+δ► 通过SGLD生成样本：x~0U（0，1），概率为ρ，否则x~0B由不同算法生成的图像以及这些方法基于初始得分和Frechet初始距离度量的得分。4.2. 图像生成我们使用第二节中描述的程序。3.1以通过使用不同的分类器来生成图像。由对抗性训练的分类器生成的图像如图2所示第6（a）段。如在Sec中分析。3.1中，Eθ（x）可能是限制鲁棒模型生成能力 我们示出了由PreJEAT生成的图像，PreJEAT在对抗训练和生成图像中都使用E θ（x，y）而不是E θ（x，y）E θ（x）。第6（b）段。这种方法极大地提高了...对于t = 0，1，2，…，K − 1do xt+1=xt−α·xEθ（xt）+√α·N（0，I）证明了生成的图像的质量能量图2T端将xK加到B► 更新模型参数：θ L p（y|xadv）=θ（E θ（x adv，y）−E θ（xadv））θLp（xadv）=θ= θη （θp（y|x adv）+ θp（x adv））端端生成：x0随机样本的分类器中提出的。3.通过使用PreJEAT，能量更平滑，并且在真实数据周围具有更大的低能量区域，并且它生成更好质量的图像，特别是在细节和整体形状方面。我们还示出了由JEM [10]生成的图像，JEM [10]是利用图1中的分类器的基于能量的模型。6（c）.相比于图如图6（b）所示，JEM生成更多样化的背景并且在像素上是平滑的。然而，对象的特征突出，更容易被人类感知的图像中产生的PreJEAT。如图所示。6（d），我们的JEAT算法生成最好的图像相比，其他三个。的原因对于t = 0，1，2，…，K − 1 doxt+1= xt−α·x Eθ（ xt，y）+√α·N（0，I）背后的原因是JEAT是对抗训练的能量end forOutput：xGen2T=xKEθ（x，y），如等式（1）中所示。(18)在训练中直接优化Eθ（x，y）有助于得到更好的Eθ（x，y）。JEAT训练的分类器生成的自然图像具有丰富的特征。此外，基于Inception Score和Frechet In的度量，JEAT具有最好的性能。四个分类器中最平坦的。 此外，能源轮廓在不同能级上是平滑的。因此，从JEAT训练的分类器生成的图像更可能是自然图像，并且表现出许多自然细节。此外，平坦的能量函数对噪声扰动不太敏感。我们将在实验中验证，JEAT提高了生成的图像和对抗鲁棒性系统的质量4. 实验4.1. 实验设置为了验证基于能量的解释的有效性和JEAT的有效性，我们进行了实验。概念距离我们还验证了JEAT训练分类器的泛化能力，因为生成的图像不同于训练集中的任何图像，如图所示。7.因此，JEAT不仅记住它看到的训练图像，而且还进行了概括。4.3.分数匹配度量“Score” is defined here as 分数匹配试图通过最小化Fisher散度将logpθ（x，y）相对于x的梯度的向量场与数据分布[25]中给出的真实向量场相匹配：对CIFAR-10、CIFAR-100等方法进行了比较。对于网络架构，我们使用1·Ep 数据 （x|y）[xlogp θ（x，y）−xlogp data（x，y）2]。WideResNet-28-10适用于所有算法。我们重复实验五次，并报告平均值和标准差。7736其中在（x，y）的分布中定义的分数为sθ（x，y），与（21）等价的优化问题是7737∇∇−∇∇数据22X数据22飞机车鸟猫鹿狗蛙马船干线IS↑FID↓（一）（b）第（1）款（c）第（1）款（d）其他事项图6.不同型号的生成图像。(a)由标准对抗训练分类器生成的图像;（b）由PreJEAT训练的分类器生成的图像;（c）由JEM [10]训练的分类器生成的图像;（d）由JEAT训练的分类器生成的图像。每行中的图像是为CIFAR-10中的类生成的。这是一个简单而有效的度量，即较低的值 指 示xlogpθ（x，y）更接近xlogpdata（x，y）。因此，Fisher评分值越小，生成能力越好（此处不考虑失效情况）。Fisher评分可作为评价模型生成能力的指标。类似地，我们将边际Fisher评分（MFS）表示为：JEAT训练数据集图7. JEAT生成的图像不同于训练数据。 左列由JEAT生成，并且右十列是训练数据集中与由JEAT生成的图像具有最小距离和最高相似性的图像。我们生成的图像与训练数据集中的原始图像不同。我们使用SSIM [30]来衡量相似性。亚胺化Ep（x|y）[1·s θ（x，y）2+ tr（xs θ（x，y））]，（22）Ep（x）[1·xE θ（x）2− tr（2 E θ（x））]。 （二十四）如Tab.所示。2，我们的JEAT的联合Fisher分数和边际Fisher分数在所有四个模型中都是最小的，这意味着我们的模型的分数与地面真值分布匹配良好。这也意味着JEAT可以使用Langevin Dynamics生成更好的图像分数匹配度量也与常用的IS和FID的结果一致。表2.不同模型的指标。“JFS” and “MFS” are the scores其中xsθ（x，y）表示sθ（x，y）的雅可比矩阵[13]。从能量的角度来看，得分sθ（x，y）=xEθ（x，y）。因此，我们在Eq中表示目标（22）作为联合Fisher7.507.9160.9056.858.668.8038.4038.24方法正常AT [20]正义运动[10]JEATJFS↓6.972.830.3300.023MFS↓23.083.121.440.15IS↑-7.508.668.80FID↑-60.9038.4038.247738评分（FS）：E p（x|y）[1·xE θ（x，y）2−tr（2E θ（x，y））]。数据22x（二十三）77394.4. JEAT的稳健性在本节中，我们表明JEAT模型不仅可以生成良好的图像，而且具有与其他混合模型相当的鲁棒性。我们将我们的模型与混合模型进行比较，包括Glow [14]，IGEBM [4]，”[10] 。 如 Tab. 所 示 。 3. 比 较 了 标 准 分 类 精 度 和 在l∞PGD-20攻击下的鲁棒分类精度，其中ε =8/255。实验结果表明，JEAT能提高JEM的生成能力和对抗鲁棒性.JEM [10]是一篇写得很好的论文，它提出分类器也可以被训练为生成模型，并且这种模型具有与对抗训练相当的鲁棒性 但是，当我们使用标准方法[3]进行评估时，在1 ∞ PGD- 20，ε =8/255下，JEM 我们遵循相同的标准评价[3]方法对JEAT的鲁棒性进行了测试表3.四种混合模型在CIFAR-10上的性能比较。我们使用l∞PGD-20攻击，g= 8/255。模型标准品准确度稳健性[第14话]67.6%-IGEBM [4]45.06%32.19%正义运动[10]92.90%6.11%1JEAT85.16%30.55%5. 相关工作5.1. 对抗训练对抗性攻击可能会给出错误的预测，同时为人类输入数据添加可忽略的扰动[28]。在[8]中首次提出的对抗性训练可以通过在干净数据和对抗性示例上进行训练来有效地防御此类攻击。[18]将对抗性训练公式化为双层最小-最大优化问题，并专门在对抗性图像上训练模型，而不是在干净和对抗性图像上训练模型。虽然它有效地提高了对抗的鲁棒性，但昂贵的计算代价和在干净图像上的性能下降是它的两个致命缺点。许多工作试图减少计算成本的自然训练的模型。[24]同时更新扰动和权值，将双层优化问题转化为单层优化问题。[32]随机采样扰动1我们通过标准评估方法[3]（https：//robustbench.github.io/）测试了JEM[10]开源模型（来自https：//github.com/wgrathwohl/JEM）的鲁棒性。[17]在相同的设定（l∞PGD-20，φ =8/255）下，JEM的鲁棒性为9.29%。in every一切iteration迭代.许多作品试图减轻干净图像上的性能退化。[34]给出了关于如何平衡普通精度和稳健精度之间的权衡[9]表明，额外的未标记数据可以帮助提高对抗训练的准确性。有趣的是，鲁棒优化可以被重塑为一种工具，用于在深度神经网络学习的特征上强制执行此外，鲁棒的分类器可以解决图像合成中的一些具有挑战性的任务[22]。5.2. 能量模型最近，基于能量的模型引起了人们的极大关注。有效地估计和采样分离函数是训练基于能量的模型的主要困难[16，12，29]。一些研究工作对改进基于能量的模型的训练做出了贡献，例如通过amortized生成[19，2]对分区函数进行采样，利用单独的生成器网络进行负图像样本生成[15，27]和得分匹配，其中能量函数的梯度被训练为与真实数据的梯度相匹配[26，23]。Kevin Swersky等人建议将分类器视为基于能量的模型，可以使分类器生成的样本质量优于最近的GAN方法[10]。Kyung- min等人提出了一种混合模型，该模型建立在对抗性训练和基于能量的训练基础上，以处理分布外和对抗性示例[17]。受这些发现的启发，我们从能量的角度研究了对抗训练模型的生成能力我们进一步提出了一种算法，可以提高发电能力。6. 结论我 们 提 出 了 一 个 新 的 能 源 角 度 的 生 成 能 力 的adversarially训练的分类器，并提出我们的JEAT方法，以获得一个分类器具有更强的鲁棒性，产生更好的图像质量。我们发现一个正常的分类器也可以通过在训练过程中注入随机噪声来生成图像，我们将其解释为盲对抗训练，因为随机噪声可能会意外地发现高能量的样本总之，对抗性样本（盲或非盲）旨在发现高能量样本，并且分类器正如我们所验证的，这个过程有利于模型的鲁棒性和生成图像的质量。此外，更大的模型容量[9，18]，更平滑的激活函数[9，33]和未标记的数据[9，1]也被证明可以提高对抗性鲁棒性。我们认为这些方法是有前途的方法，以提高性能的JEAT进一步，并把它们留给未来的工作。7740引用[1] Yair Carmon ， Aditi Raghunathan ， Ludwig Schmidt ，John C Duchi，and Percy S Liang.未标记数据提高了对抗鲁棒性。神经信息处理系统的进展，第11192-11203页，2019年[2] Bo Dai ， Zhen Liu ， Hanjun Dai ， Niao He ， ArthurGretton，Le Song，and Dale Schuurmans.通过对抗动态嵌入的指数族估计，2020。[3] Y.东角，澳-地Fu，X. Yang，T.庞氏H.苏，Z.肖和J。竹对图像分类的对抗鲁棒性进行基准测试。在2020年IEEE/CVF计算机视觉和模式识别会议（CVPR），第318-328页，Los Alamitos，CA，USA，2020年6月。IEEE计算机协会。[4] Yilun Du和Igor Mordatch。基于能量的模型中的隐式生成和一般化。CoRR，abs/1903.08689，2019。[5] Yilun Du和Igor Mordatch。隐式生成和基于能量的模型建模In H.Wallach，H.拉罗谢尔A.B e ygelzime r 、 F.d'Alc he´-Buc ， E.Fox 和 R.Garnett ， editors ， Advances in Neural InformationProcessing Systems，第32卷。Curran Associates，Inc.2019年。[6] Yilun Du和Igor Mordatch。基于能量的模型中的隐式生成和泛化，2020年。[7] Logan Engstrom ， Andrew Ilyas ， Shibani Santurkar ，Dimitris Tsipras，Brandon Tran和Aleksander Madry。对抗鲁棒性作为学习表示的先验，2019年。[8] Ian J Goodfellow，Jonathon Shlens，Christian Szegedy.解释和利用对抗性的例子。ICLR，2015年。[9] Sven Gowal、Chongli Qin、Jonathan Uesato、TimothyMann和Pushmeet Kohli。揭示对抗训练对范数有界对抗示例的限制。arXiv预印本arXiv：2010.03593，2020。[10] WillGrathwohl，Kuan-ChiehWang，J？rn-HenrikJacobsen，DavidDuvenaud，MohammadNorouzi，and Kevin Swersky.你的分类器是一个秘密的基于能量的模型，你应该把它当作一个，2020年。[11] WillGrathwohl ， Kuan-ChiehWang ， Jorn-HenrikJacobsen，David Duvenaud，and Richard Zemel.学习斯坦差异，用于训练和评估基于能量的模型，无需采样，2020。[12] 放大图片作者：Matthew Hoffman，Pavel Sountsov，Joshua V. Dillon ， Ian Langmore ， Dustin Tran ， andSrinivas Vasudevan.使用神经传输在汉密尔顿蒙特卡洛中消除不良几何，2019年。[13] AapoHyv érinen. 用分数匹配估计非标准化统计Journalof Machine Learning Research，6（24）：695[14] Durk P Kingma和Prafulla Dhariwal。Glow：具有可逆1x1卷积的生成流。神经信息处理系统的进展，第10215-10224页，2018年[15] Rithesh Kumar、Sherjil Ozair、Anirudh Goyal、AaronCourville和Yoshua Bengio。基于能量的模型的最大熵生成器，2019年。[16] Yann LeCun、Sumit Chopra、Raia Hadsell、Marc能源为基础的学习教程，2006年。[17] Kyungmin Lee，Hunmin Yang，and Se-Yoon Oh.基于联合能量模型的对抗性训练，用于鲁棒分类和分布外检测 。2020 年 第 20 届 控 制 ， 自 动 化 和 系 统 国 际 会 议（ICCAS），第17-21页[18] Aleksander Madry 、 Aleksandar Makelov 、 LudwigSchmidt、Dimitris Tsipras和Adrian Vladu。迈向抵抗对抗 性 攻 击 的 深 度 学 习 模 型 。 arXiv 预 印 本 arXiv ：1706.06083，2017。[19] Erik Nijkamp，Mitch Hill，Song-Chun Zhu，and YingNian Wu.学习非收敛非持续短期MCMC向基于能量的模型，2019。[20] Shibani Santurkar ， Andrew Ilyas ， Dimitris Tsipras ，Logan Engstrom，Brandon Tran和Aleksander Madry。使用单个（鲁棒）分类器的图像合成。In H. Wallach，H.Larochelle、A. B e ygelzime r、F. d'Alch e´-Buc、黑腹拟杆菌E. Fox和R. Garnett，编辑，神经信息处理系统进展， 第 32 卷 ， 第1262-1273 页 Curran Associates ， Inc.2019年。[21] Shibani Santurkar ， Dimitris Tsipras ， Brandon Tran ，Andrew Ilyas，Logan Engstrom和Aleksander Madry。图像合成与一个单一的（强大的）分类器，2019。[22] Shibani Santurkar ， Dimitris Tsipras ， Brandon Tran ，Andrew Ilyas，Logan Engstrom和Aleksander Madry。图像合成与一个单一的（强大的）分类器，2019。[23] Sae e dSaremi，ArashMehrjou，BernhardSc ho？l k opf，and AapoHyv？rinen. 深 度 工程估计器网络工作，2018年。[24] Ali Shafahi、Mahyar Najibi、Mohammad Amin Ghiasi、Zheng Xu、John Dickerson、Chris