数据增强中的对抗性样本是指经过有意修改的输入,旨在测试或提高机器学习模型的鲁棒性。与通过旋转或添加噪声等良性变换扩展训练数据的传统数据增强不同,对抗性增强会对现有数据引入微小且经过计算的扰动。这些扰动经过精心制作,旨在训练期间误导模型,迫使其学习更具韧性的模式。目标是让模型接触现实世界中可能遇到的挑战性案例,例如人类可能不会注意到的细微输入变化,但这些变化可能会让模型感到困惑。这种方法有助于减少模型对错误预测的过度自信,并提高泛化能力。
一个常见的例子是在图像分类中使用快速梯度符号法(FGSM)。FGSM 会沿着损失函数梯度的方向调整像素值,创建出对人类来说看起来相同,但会导致模型错误分类的图像。例如,一张经过 FGSM 噪声修改的停车标志图像, untrained model 可能会错误地将其标记为限速标志。通过将这些对抗性样本添加到训练集中,模型学习识别被操纵的特征,从而在部署期间不太可能在类似的输入上出错。类似地,在文本领域,对抗性增强可能涉及用同义词替换词语或改变句子结构(例如,将“quick brown fox”改为“fast brown canine”),以测试语言模型处理释义的能力。在音频领域,添加微弱的背景噪声或音高偏移可以模拟现实世界的失真。
然而,在数据增强中使用对抗性样本需要仔细实施。生成它们可能计算成本高昂,特别是对于大型数据集而言。诸如投影梯度下降(PGD)或训练期间更简单的即时扰动等技术可以平衡成本和效率。开发者还必须避免过拟合:过多的对抗性样本可能会使模型过于谨慎,损害其在干净数据上的性能。像 TensorFlow 的 CleverHans 或 PyTorch 的 TorchAttack 这样的框架提供了自动化生成对抗性样本的工具,但它们需要调整扰动大小等参数。虽然对抗性增强提高了对抗特定攻击类型的鲁棒性,但它并不能保证对所有对抗策略免疫。这是一种有针对性的增强,最好与正则化或集成训练等其他方法一起使用。