一文讀懂對抗生成學習(Generative Adversarial Nets)[GAN]
0x00 推薦論文
https://arxiv.org/pdf/1406.2661.pdf
0x01什么是gan
- Generative model G用來生成樣本
- Discriminative model D用來區別G生成樣本的真假
- G努力的方向是生成出以假亂真的樣本,讓D認為這樣本是人類給的而不是G創造的,D則相反。
一個更加形象的比喻
小時候老師讓試卷上家長簽字,以確保家長看過我那卑微的成績。於是乎我盡量模仿家長簽字,企圖騙過老師,而老師隨着生活閱歷越來越豐富,鑒別簽字的水平就越來越高,於是乎我們雙方都在共同成長着,這樣雙方對抗的結果就是誰也沒有勝利,但是老師確實很厲害了,而我的簽字仿造能力也被訓練成了大師級。
0x02 原理
GAN的基本原理其實非常簡單,這里以生成圖片為例進行說明。假設我們有兩個網絡,G(Generator)和D(Discriminator)。正如它的名字所暗示的那樣,它們的功能分別是:
- G是一個生成圖片的網絡,它接收一個隨機的噪聲z,通過這個噪聲生成圖片,記做G(z)。
- D是一個判別網絡,判別一張圖片是不是“真實的”。它的輸入參數是x,x代表一張圖片,輸出D(x)代表x為真實圖片的概率,如果為1,就代表100%是真實的圖片,而輸出為0,就代表不可能是真實的圖片。
在訓練過程中,生成網絡G的目標就是盡量生成真實的圖片去欺騙判別網絡D。而D的目標就是盡量把G生成的圖片和真實的圖片分別開來。這樣,G和D構成了一個動態的“博弈過程”。
最后博弈的結果是什么?在最理想的狀態下,G可以生成足以“以假亂真”的圖片G(z)。對於D來說,它難以判定G生成的圖片究竟是不是真實的,因此D(G(z)) = 0.5。
這樣我們的目的就達成了:我們得到了一個生成式的模型G,它可以用來生成圖片。
簡單分析一下這個公式:
- 整個式子由兩項構成。x表示真實圖片,z表示輸入G網絡的噪聲,而G(z)表示G網絡生成的圖片。
- D(x)表示D網絡判斷真實圖片是否真實的概率(因為x就是真實的,所以對於D來說,這個值越接近1越好)。而D(G(z))是D網絡判斷G生成的圖片的是否真實的概率。
- G的目的:上面提到過,D(G(z))是D網絡判斷G生成的圖片是否真實的概率,G應該希望自己生成的圖片“越接近真實越好”。也就是說,G希望D(G(z))盡可能得大,這時V(D, G)會變小。因此我們看到式子的最前面的記號是min_G。
- D的目的:D的能力越強,D(x)應該越大,D(G(x))應該越小。這時V(D,G)會變大。因此式子對於D來說是求最大(max_D)
0x03GAN應用
最終GAN可以應用在很多信息生成方面,尤其是圖像生成。
0x04 GAN與信息安全
對抗樣本攻擊
進而引發了一些攻擊Al的方式:
White-box attack:白盒攻擊,對模型和訓練集完全了解。
Black-box attack:黑盒攻擊:對模型不了解,對訓練集不了解或了解很少。
Real-word attack:在真實世界攻擊。如將對抗樣本打印出來,用手機拍照識別。
targeted attack:使得圖像都被錯分到給定類別上。
non-target attack:事先不知道需要攻擊的網絡細節,也不指定預測的類別,生成對抗樣本來欺騙防守方的網絡。
0x05 未來如何對AI系統增加防護·
- 不使用來歷不明的模型;
- 不使用來歷不明的訓練數據、測試數據與驗證數據;
- 在訓練過程中加入設計好的攻擊噪聲,使自己的Al更加健壯;
- 在線學習系統需要對學習內容進行一定的過濾;
- 學習過程是連續變化的過程,所以只要系統是被訓練的狀態,就有必要定期做對抗測試。