一文读懂对抗生成学习(Generative Adversarial Nets)[GAN]

0x00 推荐论文

https://arxiv.org/pdf/1406.2661.pdf

0x01什么是gan

一文读懂对抗生成学习(Generative Adversarial Nets)[GAN]

  • Generative model G用来生成样本
  • Discriminative model D用来区别G生成样本的真假
  • G努力的方向是生成出以假乱真的样本,让D认为这样本是人类给的而不是G创造的,D则相反。

一个更加形象的比喻

小时候老师让试卷上家长签字,以确保家长看过我那卑微的成绩。于是乎我尽量模仿家长签字,企图骗过老师,而老师随着生活阅历越来越丰富,鉴别签字的水平就越来越高,于是乎我们双方都在共同成长着,这样双方对抗的结果就是谁也没有胜利,但是老师确实很厉害了,而我的签字仿造能力也被训练成了大师级。

0x02 原理

GAN的基本原理其实非常简单,这里以生成图片为例进行说明。假设我们有两个网络,G(Generator)和D(Discriminator)。正如它的名字所暗示的那样,它们的功能分别是:

  • G是一个生成图片的网络,它接收一个随机的噪声z,通过这个噪声生成图片,记做G(z)。
  • D是一个判别网络,判别一张图片是不是“真实的”。它的输入参数是x,x代表一张图片,输出D(x)代表x为真实图片的概率,如果为1,就代表100%是真实的图片,而输出为0,就代表不可能是真实的图片。

在训练过程中,生成网络G的目标就是尽量生成真实的图片去欺骗判别网络D。而D的目标就是尽量把G生成的图片和真实的图片分别开来。这样,G和D构成了一个动态的“博弈过程”。

最后博弈的结果是什么?在最理想的状态下,G可以生成足以“以假乱真”的图片G(z)。对于D来说,它难以判定G生成的图片究竟是不是真实的,因此D(G(z)) = 0.5。

这样我们的目的就达成了:我们得到了一个生成式的模型G,它可以用来生成图片。

简单分析一下这个公式:

一文读懂对抗生成学习(Generative Adversarial Nets)[GAN]

  • 整个式子由两项构成。x表示真实图片,z表示输入G网络的噪声,而G(z)表示G网络生成的图片。
  • D(x)表示D网络判断真实图片是否真实的概率(因为x就是真实的,所以对于D来说,这个值越接近1越好)。而D(G(z))是D网络判断G生成的图片的是否真实的概率。
  • G的目的:上面提到过,D(G(z))是D网络判断G生成的图片是否真实的概率,G应该希望自己生成的图片“越接近真实越好”。也就是说,G希望D(G(z))尽可能得大,这时V(D, G)会变小。因此我们看到式子的最前面的记号是min_G。
  • D的目的:D的能力越强,D(x)应该越大,D(G(x))应该越小。这时V(D,G)会变大。因此式子对于D来说是求最大(max_D)

0x03GAN应用

最终GAN可以应用在很多信息生成方面,尤其是图像生成。

0x04 GAN与信息安全

对抗样本攻击

一文读懂对抗生成学习(Generative Adversarial Nets)[GAN]

进而引发了一些攻击Al的方式:
White-box attack:白盒攻击,对模型和训练集完全了解。
Black-box attack:黑盒攻击:对模型不了解,对训练集不了解或了解很少。
Real-word attack:在真实世界攻击。如将对抗样本打印出来,用手机拍照识别。
targeted attack:使得图像都被错分到给定类别上。
non-target attack:事先不知道需要攻击的网络细节,也不指定预测的类别,生成对抗样本来欺骗防守方的网络。

0x05 未来如何对AI系统增加防护·

  • 不使用来历不明的模型;
  • 不使用来历不明的训练数据、测试数据与验证数据;
  • 在训练过程中加入设计好的攻击噪声,使自己的Al更加健壮;
  • 在线学习系统需要对学习内容进行一定的过滤;
  • 学习过程是连续变化的过程,所以只要系统是被训练的状态,就有必要定期做对抗测试。