摘要
对抗样本通常被视为对卷积神经网络(ConvNets)的一种威胁。然而,本文提出了一个相反的视角:若以恰当方式利用,对抗样本反而可以用于提升图像识别模型的性能。为此,我们提出了一种名为 AdvProp 的增强型对抗训练方法,将对抗样本视为额外的训练样本,以缓解过拟合问题。该方法的核心在于为对抗样本引入一个独立的辅助批量归一化(auxiliary batch normalization)层,因为对抗样本与正常样本具有不同的底层数据分布。实验表明,AdvProp 在多种图像识别任务中均显著提升了多个模型的性能,且在模型规模更大时效果更为突出。例如,在 ImageNet 数据集上对最新的 EfficientNet-B7 模型应用 AdvProp 后,我们取得了显著提升:ImageNet 准确率提高 0.7%,ImageNet-C 提升 6.5%,ImageNet-A 提升 7.0%,Stylized-ImageNet 提升 4.8%。进一步结合增强版 EfficientNet-B8 模型,我们的方法在不依赖额外数据的情况下,实现了 85.5% 的 ImageNet Top-1 准确率,达到当前最优水平。这一结果甚至超越了文献 [20] 中表现最佳的模型——后者使用了约 35 亿张 Instagram 图像(约为 ImageNet 数据量的 3000 倍)和约 9.4 倍的参数量进行训练。相关模型代码已开源,可访问 https://github.com/tensorflow/tpu/tree/master/models/official/efficientnet。