[Paper] 通过数据选择实现对抗训练的规模化

Source: arXiv - 2512.22069v1

概览

对抗训练使用像投影梯度下降（PGD）这样的强攻击是构建鲁棒深度学习模型的黄金标准，但每个训练样本都需要进行内部循环优化，使得在大规模时成本高得难以承受。本文提出了 Selective Adversarial Training，这是一种简单而有效的数据选择策略，仅对每个小批次中最“关键”的样本进行攻击，将计算负荷降低至原来的一半左右，同时保持甚至提升鲁棒性。

关键贡献

• 选择性对抗训练框架，为子集样本生成对抗扰动，而不是整个批次。
• 两条原则性的选择标准：
  1. 基于间距的采样——挑选靠近模型决策边界的样本。
  2. 梯度匹配采样——挑选其损失梯度与批次整体梯度主方向对齐的样本。
• 混合目标训练：对抗扰动样本使用常规的鲁棒损失进行训练，而其余“干净”样本使用标准交叉熵损失。
• 实证验证在 MNIST 和 CIFAR‑10 上显示，与全批次 PGD 训练相比，能够实现相当或更好的鲁棒性，同时 ≈ 50 % 更少的对抗计算。

方法论

1. Mini‑batch 形成 – 与往常一样，数据被抽样成 mini‑batch 用于随机梯度下降。
2. 样本选择 – 在内部 PGD 循环运行之前，算法为 batch 中的每个样本打分：
   • 基于 Margin：计算前两类 logits 的差值；margin 越小表示越接近决策边界。
   • 梯度匹配：计算每个样本相对于模型参数的损失梯度；选择那些梯度与 batch 平均梯度余弦相似度最高的样本。
3. 对抗样本生成 – 仅在选中的子集上运行完整的 PGD 攻击（例如，batch 的 50 %）。
4. 损失组成 –
   • 对于被扰动的样本：使用鲁棒损失（例如，对对抗扰动输入的交叉熵）。
   • 对于其余样本：使用标准的干净损失。
5. 参数更新 – 反向传播组合后的损失，并像往常一样更新模型权重。

关键洞察在于，并非每个训练点对决策边界的塑造贡献相同；将昂贵的 PGD 步骤集中在“最难”点上即可获得大部分鲁棒性收益。

结果与发现

• 鲁棒准确率（在 PGD 攻击的测试数据上的准确率）与完整对抗训练持平，甚至略有提升，尽管只使用了一半的对抗预算。
• 训练时间（每个 epoch）下降约 40–50 %，使该方法在更大模型和数据集上也可行。
• 两种选择策略的表现相似；基于 margin 的采样略微更省资源，因为它只需要 logits，而 gradient‑matching 需要每个样本的梯度，但在复杂数据分布下可能更具表达力。

实际意义

• 更快的鲁棒模型流水线 – 团队现在可以在常规训练计划中加入强大的对抗训练，而无需庞大的 GPU 集群。
• 成本效益高的安全性 – 减少 PGD 步数直接转化为更低的云计算费用，这对 SaaS 提供商和边缘设备制造商是切实的好处。
• 可扩展至更大数据集 – 选择逻辑轻量且可并行化；将其扩展到 ImageNet 规模或语言模型变得切实可行。
• 混合训练方案 – 开发者可以将选择性对抗训练与其他效率技巧（例如混合精度、课程学习）相结合，以获得更大的加速。

局限性与未来工作

• 数据集范围 – 实验仅限于 MNIST 和 CIFAR‑10；在高分辨率视觉任务或 NLP 基准上的表现尚未测试。
• 选择开销 – 梯度匹配需要对每个样本计算梯度，这会带来一定的开销；未来工作可以探索更廉价的代理方法（例如使用激活统计）。
• 动态预算 – 论文使用固定的选择比例（≈ 50 %）。基于训练进度自适应调整比例的方案可能带来进一步的提升。
• 对抗自适应攻击的鲁棒性 – 作者主要关注标准 PGD 评估；评估对更强或自适应对手的抵抗能力将强化安全性声明。

结论：选择性对抗训练表明，“智能”数据选择可以显著降低构建鲁棒模型的成本，为在生产级机器学习系统中更广泛采用对抗防御打开了大门。

作者

• Youran Ye
• Dejin Wang
• Ajinkya Bhandare

论文信息

• arXiv ID: 2512.22069v1
• 分类: cs.LG
• 发表时间: 2025年12月26日
• PDF: 下载 PDF