摘要

深度神经网络容易受到对抗性噪声的干扰。对抗训练（Adversarial Training, AT）已被证明是防御此类攻击最有效的策略之一，能够有效提升神经网络的鲁棒性。然而，我们发现现有对抗训练方法在学习鲁棒特征方面存在不足，导致其在对抗鲁棒性上的表现受限。为解决这一问题，本文提出两个关键的鲁棒表征准则：（1）排除性（Exclusion）：样本的特征应远离其他类别的特征；（2）对齐性（Alignment）：自然样本与其对应对抗样本的特征应尽可能接近。基于上述准则，我们提出一种通用的对抗训练框架，通过引入非对称负对比学习与反向注意力机制，以获得更具鲁棒性的特征表示。具体而言，我们设计了一种基于预测概率的非对称负对比损失，旨在特征空间中将不同类别样本的表示相互推开，增强类间区分能力；同时，我们引入参数化的线性分类器权重作为反向注意力机制，对特征进行加权，从而生成具有类别感知能力的特征表示，并促使同类样本（包括自然样本与对抗样本）在特征空间中相互靠近。在三个基准数据集上的大量实验结果表明，所提方法显著提升了对抗训练的鲁棒性，取得了当前最优的性能表现。