谛听:面向鲁棒分布外样本检测的半监督对抗训练方法

检测训练集分布之外的分布外(out-of-distribution,OOD)样本对于深度神经网络(deep neural network,DNN)分类器在开放环境的部署至关重要.检测OOD样本可以视为一种二分类问题,即把输入样本分类为“分布内(in-distribution,ID)”类或“分布外”类.进一步地,检测器自身还可能遭受到恶意的对抗攻击而被再次绕过.这些带有恶意扰动的OOD样本称为对抗OOD样本.构建鲁棒的OOD检测器以检测对抗OOD样本是一项更具挑战性的任务.为习得可分离且对恶意扰动鲁棒的表示,现有方法往往利用辅助的干净OOD样本邻域内的对抗OOD样本来训练DNN.然而,由于辅助的OOD训练集与原ID训练集的分布差异,训练对抗OOD样本无法足够有效地使分布内决策边界对对抗扰动真正鲁棒.从ID样本的邻域内生成的对抗ID样本拥有与原ID样本近乎一样的语义信息,是一种离分布内区域更近的OOD样本,对提升分布内边界对对抗扰动的鲁棒性很有效.基于此,提出一种半监督的对抗训练方法——谛听,来构建鲁棒的OOD检测器,用以同时检测干净OOD样本和对抗OOD样本.谛听将对抗ID样本视为一种辅助的“近OOD”样本,并将其与其他辅助的干净OOD样本和对抗OOD样本联合训练DNN,以提升OOD检测的鲁棒性.实验结果表明,谛听在检测由强攻击生成的对抗OOD样本上具有显著的优势,同时在原分类主任务及检测干净OOD样本上保持先进的性能.