摘要

对抗样本通常被视为对卷积神经网络（ConvNets）的一种威胁。然而，本文提出了一个相反的视角：若以恰当方式利用，对抗样本反而可以用于提升图像识别模型的性能。为此，我们提出了一种名为 AdvProp 的增强型对抗训练方法，将对抗样本视为额外的训练样本，以缓解过拟合问题。该方法的核心在于为对抗样本引入一个独立的辅助批量归一化（auxiliary batch normalization）层，因为对抗样本与正常样本具有不同的底层数据分布。实验表明，AdvProp 在多种图像识别任务中均显著提升了多个模型的性能，且在模型规模更大时效果更为突出。例如，在 ImageNet 数据集上对最新的 EfficientNet-B7 模型应用 AdvProp 后，我们取得了显著提升：ImageNet 准确率提高 0.7%，ImageNet-C 提升 6.5%，ImageNet-A 提升 7.0%，Stylized-ImageNet 提升 4.8%。进一步结合增强版 EfficientNet-B8 模型，我们的方法在不依赖额外数据的情况下，实现了 85.5% 的 ImageNet Top-1 准确率，达到当前最优水平。这一结果甚至超越了文献 [20] 中表现最佳的模型——后者使用了约 35 亿张 Instagram 图像（约为 ImageNet 数据量的 3000 倍）和约 9.4 倍的参数量进行训练。相关模型代码已开源，可访问 https://github.com/tensorflow/tpu/tree/master/models/official/efficientnet。