一文读懂对抗生成学习(Generative Adversarial Nets)[GAN]

一文读懂对抗生成学习(Generative Adversarial Nets)[GAN]

0x00 推荐论文

https://arxiv.org/pdf/1406.2661.pdf

0x01什么是gan

• Generative model G用来生成样本
• Discriminative model D用来区别G生成样本的真假
• G努力的方向是生成出以假乱真的样本，让D认为这样本是人类给的而不是G创造的，D则相反。

一个更加形象的比喻

小时候老师让试卷上家长签字，以确保家长看过我那卑微的成绩。于是乎我尽量模仿家长签字，企图骗过老师，而老师随着生活阅历越来越丰富，鉴别签字的水平就越来越高，于是乎我们双方都在共同成长着，这样双方对抗的结果就是谁也没有胜利，但是老师确实很厉害了，而我的签字仿造能力也被训练成了大师级。

0x02 原理

GAN的基本原理其实非常简单，这里以生成图片为例进行说明。假设我们有两个网络，G（Generator）和D（Discriminator）。正如它的名字所暗示的那样，它们的功能分别是：

• G是一个生成图片的网络，它接收一个随机的噪声z，通过这个噪声生成图片，记做G(z)。
• D是一个判别网络，判别一张图片是不是“真实的”。它的输入参数是x，x代表一张图片，输出D（x）代表x为真实图片的概率，如果为1，就代表100%是真实的图片，而输出为0，就代表不可能是真实的图片。

在训练过程中，生成网络G的目标就是尽量生成真实的图片去欺骗判别网络D。而D的目标就是尽量把G生成的图片和真实的图片分别开来。这样，G和D构成了一个动态的“博弈过程”。

最后博弈的结果是什么？在最理想的状态下，G可以生成足以“以假乱真”的图片G(z)。对于D来说，它难以判定G生成的图片究竟是不是真实的，因此D(G(z)) = 0.5。

这样我们的目的就达成了：我们得到了一个生成式的模型G，它可以用来生成图片。

简单分析一下这个公式：

• 整个式子由两项构成。x表示真实图片，z表示输入G网络的噪声，而G(z)表示G网络生成的图片。
• D(x)表示D网络判断真实图片是否真实的概率（因为x就是真实的，所以对于D来说，这个值越接近1越好）。而D(G(z))是D网络判断G生成的图片的是否真实的概率。
• G的目的：上面提到过，D(G(z))是D网络判断G生成的图片是否真实的概率，G应该希望自己生成的图片“越接近真实越好”。也就是说，G希望D(G(z))尽可能得大，这时V(D, G)会变小。因此我们看到式子的最前面的记号是min_G。
• D的目的：D的能力越强，D(x)应该越大，D(G(x))应该越小。这时V(D,G)会变大。因此式子对于D来说是求最大(max_D)

0x03GAN应用

最终GAN可以应用在很多信息生成方面，尤其是图像生成。

0x04 GAN与信息安全

对抗样本攻击

进而引发了一些攻击Al的方式：

White-box attack：白盒攻击，对模型和训练集完全了解。

Black-box attack：黑盒攻击：对模型不了解，对训练集不了解或了解很少。

Real-word attack：在真实世界攻击。如将对抗样本打印出来，用手机拍照识别。

targeted attack：使得图像都被错分到给定类别上。

non-target attack：事先不知道需要攻击的网络细节，也不指定预测的类别，生成对抗样本来欺骗防守方的网络。

0x05 未来如何对AI系统增加防护·

• 不使用来历不明的模型；
• 不使用来历不明的训练数据、测试数据与验证数据；
• 在训练过程中加入设计好的攻击噪声，使自己的Al更加健壮；
• 在线学习系统需要对学习内容进行一定的过滤；
• 学习过程是连续变化的过程，所以只要系统是被训练的状态，就有必要定期做对抗测试。