摘要
深度神经网络容易受到对抗性噪声的干扰。对抗训练(Adversarial Training, AT)已被证明是防御此类攻击最有效的策略之一,能够有效提升神经网络的鲁棒性。然而,我们发现现有对抗训练方法在学习鲁棒特征方面存在不足,导致其在对抗鲁棒性上的表现受限。为解决这一问题,本文提出两个关键的鲁棒表征准则:(1)排除性(Exclusion):样本的特征应远离其他类别的特征;(2)对齐性(Alignment):自然样本与其对应对抗样本的特征应尽可能接近。基于上述准则,我们提出一种通用的对抗训练框架,通过引入非对称负对比学习与反向注意力机制,以获得更具鲁棒性的特征表示。具体而言,我们设计了一种基于预测概率的非对称负对比损失,旨在特征空间中将不同类别样本的表示相互推开,增强类间区分能力;同时,我们引入参数化的线性分类器权重作为反向注意力机制,对特征进行加权,从而生成具有类别感知能力的特征表示,并促使同类样本(包括自然样本与对抗样本)在特征空间中相互靠近。在三个基准数据集上的大量实验结果表明,所提方法显著提升了对抗训练的鲁棒性,取得了当前最优的性能表现。