本文首次提出将希尔伯特-施密特信息瓶颈（HSIC Information Bottleneck）用于神经网络优化目标中的正则项来提升模型的对抗鲁棒性（adversarial robustness）。

我们通过把HSIC Bottleneck正则项部署在神经网络的每一个中间层中，实现了在保留关键信息的前提下对隐藏特征的去冗余。

特别地，我们通过实验以及理论推导证明了该正则项能够降低分类器对于对抗样本的敏感度。

实验证明，我们提出的HSIC Bottleneck正则项不论在是否生成额外对抗样本训练的情况下都能够显著提高模型的鲁棒性。

本期AI TIME PhD直播间，我们邀请到美国东北大学计算机工程系在读博士生——王梓枫，为我们带来报告分享《重新思考希尔伯特-施密特信息瓶颈在对抗性鲁棒性中的应用》。

王梓枫：美国东北大学计算机工程系在读博士生，导师为Jennifer Dy教授。2018年毕业于清华大学电子工程系，主要研究方向为终身机器学习(continual learning)，神经网络鲁棒性(adversarial robustness)，在NeurIPS、CVPR、ECCV、ICDM等人工智能相关会议发表多篇论文。

---

Adversarial Example对抗样本

对抗样本，是将一些原始的、正常的样本以及人为生成的微小扰动组合在一起的。

由下图可以看出，被扰动的样本和原始样本的区别不大，甚至肉眼难以区分。

对于我们人类而言，最后仍然可以把这些对抗样本分类正确。但是对于深度学习模型来说，就有可能产生错误的结果。

我们说一个模型具有鲁棒性，就是指在其生成对抗样本之后，依然具有将其分类正确的能力。

如果我们人为生成很多对抗样本并给到神经网络去训练，就可以得到一个比较鲁棒的神经网络。

不过，生成对抗样本以及使用对抗样本去训练神经网络是一个非常需要计算资源和时间的过程。

Information Bottleneck （IB） 信息瓶颈理论

本文的灵感来自于信息瓶颈（IB）理论，此理论基于输入，输出以及隐藏特征之间的互信息，互信息也可以理解为用于判断两个变量相关性的准则。

如下图所示，有一个输入X，对应某个中间层的隐藏特征Z，经过多层神经网络后产生一个输出Y。

我们要在保留对分类有用信息的同时，去减少隐藏特征中对输入的这些冗余信息，从而我们希望最大化Z和Y之间的互信息，同时最小化Z和X之间的互信息。

上图表示了如果我们把IB当作一个视觉神经网络的loss，其互信息如何变化的过程。

减少信息的冗余也是暗示着我们的网络具有更好的鲁棒性。直观上来讲，我们发现那些随意的扰动，其实可以被视作一些输入信息的冗余。

如果我们对将I(Z,Y)去做一项最小化处理，会让这个network尝试去忽略input中的一些noise，神经网络也会更具鲁棒性。

以此为基础，我们提出HSIC-Bottleneck-as-Regularizer (HBaR)，即将希尔伯特-施密特信息瓶颈作为正则项来训练鲁棒的神经网络。

HSIC-Bottleneck-as-Regularizer (HBaR)

● 应用HSIC bottleneck相比information bottleneck更有效

● 应用HSIC bottleneck作为Regularizer (HBaR)给网络带来了更多的鲁棒性。

● 为HBaR如何限制对抗攻击引起的输出扰动提供了理论保证

● HBaR可以

■ 提高SOTA对抗训练的基础方法

■ 可以增强网络的鲁棒性

1

HBaR for Adversarial Robustness

Adversarial training and robustness

我们首先定义natural examples，即没有受到扰动的example 上的loss。

等到我们加了一个微小扰动之后，就有了以下公式：

我们是用对抗样本上的loss去衡量方法的效果。我们也依旧在优化交叉熵这些loss。如果我们对抗样本做的好，就说明我们网络的鲁棒性也就越好。

Hilbert Schmidt Independence Criterion（HSIC）

该准则衡量的也是两个随机变量之间的相关性，而且更好计算：

● Easy empirical evaluation over mutual information (MI).

● Widely applied in feature selection[10], dimension reduction[11]...

HSIC bottleneck类似于Information bottleneck：

HBaR for Adversarial Robustness

如我们在前面所说，如果我们把HSIC bottleneck看做一个正则项的话，首先我们有一个adversarial examples上的loss。我们要做的只需要把HSIC bottleneck当作一个正则项并加到loss后面。

HBaR 相关理论

除了直观理解之外，本文提供了将HBaR和神经网络鲁棒性联系在一起的理论依据：

HSIC其实是限制了output的变化范围。

我们发现了扰动前后的差值，这其实是被HSIC所限制住的。尽管Input是被扰动过的，输出的结果也不会有多大变化。

2

Experiments

Datasets, Architectures & Evaluation Metrics

Combining HBaR with Adversarial Examples

我们把HBaR和对抗样本训练结合在一起，我们发现无论是使用什么方法都有很显著的提升。

Robustness Analysis without Adversarial Training

● CIFAR-10 by ResNet-18

● 在没有对抗训练的情况下将HBaR 与其他information bottleneck penalties 比较

我们可以看到x轴反映了不同程度的power of attack，但是由上图可知我们方法的鲁棒性在任务条件下都是最好的。

这是在没有对抗训练的条件下进行的研究，这也是为之后的研究奠定了基础。

Synergy between HSIC Terms

其实所有的项都是缺一不可的，只有各项结合在一起，才能达到很好的效果。

3

Conclusion & Future Work

● We investigate the HSIC bottleneck as regularizer (HBaR) as a means to enhance adversarial robustness.

■ We theoretically prove that HBaR reduces the sensitivity of the classifier to adversarial examples.

■ We experimentally demonstrate that incorporating HBaR attains competitive natural accuracy and improves adversarial robustness, both with and without adversarial examples during training.

● Future directions include:

■improving robustness gain further when training with only natural examples

■ applying and exploring HBaR in various of applications

提

醒

论文题目：

Revisiting Hilbert-Schmidt Information Bottleneck for Adversarial Robustness

论文链接：

https://arxiv.org/pdf/2106.02734.pdf