As acquiring manual labels on data could be costly, unsupervised domain adaptation (UDA), which transfers knowledge learned from a rich-label dataset to the unlabeled target dataset, is gaining increasing popularity. While extensive studies have been devoted to improving the model accuracy on target domain, an important issue of model robustness is neglected. To make things worse, conventional adversarial training (AT) methods for improving model robustness are inapplicable under UDA scenario since they train models on adversarial examples that are generated by supervised loss function. In this paper, we present a new meta self-training pipeline, named SRoUDA, for improving adversarial robustness of UDA models. Based on self-training paradigm, SRoUDA starts with pre-training a source model by applying UDA baseline on source labeled data and taraget unlabeled data with a developed random masked augmentation (RMA), and then alternates between adversarial target model training on pseudo-labeled target data and finetuning source model by a meta step. While self-training allows the direct incorporation of AT in UDA, the meta step in SRoUDA further helps in mitigating error propagation from noisy pseudo labels. Extensive experiments on various benchmark datasets demonstrate the state-of-the-art performance of SRoUDA where it achieves significant model robustness improvement without harming clean accuracy. Code is available at https://github.com/Vision.

为了应对对抗性实例的威胁，对抗性培训提供了一种有吸引力的选择，可以通过在线增强的对抗示例中的培训模型提高模型稳健性。然而，大多数现有的对抗训练方法通过强化对抗性示例来侧重于提高鲁棒的准确性，但忽略了天然数据和对抗性实施例之间的增加，导致自然精度急剧下降。为了维持自然和强大的准确性之间的权衡，我们从特征适应的角度缓解了转变，并提出了一种特征自适应对抗训练（FAAT），这些培训（FAAT）跨越自然数据和对抗示例优化类条件特征适应。具体而言，我们建议纳入一类条件鉴别者，以鼓励特征成为（1）类鉴别的和（2）不变导致对抗性攻击的变化。新型的FAAT框架通过在天然和对抗数据中产生具有类似分布的特征来实现自然和强大的准确性之间的权衡，并实现从类鉴别特征特征中受益的更高的整体鲁棒性。在各种数据集上的实验表明，FAAT产生更多辨别特征，并对最先进的方法表现有利。代码在https://github.com/visionflow/faat中获得。

对抗性例子的现象说明了深神经网络最基本的漏洞之一。在推出这一固有的弱点的各种技术中，对抗性训练已成为学习健壮模型的最有效策略。通常，这是通过平衡强大和自然目标来实现的。在这项工作中，我们旨在通过执行域不变的功能表示，进一步优化鲁棒和标准准确性之间的权衡。我们提出了一种新的对抗训练方法，域不变的对手学习（DIAL），该方法学习了一个既健壮又不变的功能表示形式。拨盘使用自然域及其相应的对抗域上的域对抗神经网络（DANN）的变体。在源域由自然示例组成和目标域组成的情况下，是对抗性扰动的示例，我们的方法学习了一个被限制的特征表示，以免区分自然和对抗性示例，因此可以实现更强大的表示。拨盘是一种通用和模块化技术，可以轻松地将其纳入任何对抗训练方法中。我们的实验表明，将拨号纳入对抗训练过程中可以提高鲁棒性和标准精度。

很少有射击学习（FSL）旨在通过利用基本数据集的先验知识来识别只有几个支持样本的新奇查询。在本文中，我们考虑了FSL中的域移位问题，并旨在解决支持集和查询集之间的域间隙。不同于以前考虑基础和新颖类之间的域移位的跨域FSL工作（CD-FSL），新问题称为跨域跨集FSL（CDSC-FSL），不仅需要很少的学习者适应新的领域，但也要在每个新颖类中的不同领域之间保持一致。为此，我们提出了一种新颖的方法，即Stabpa，学习原型紧凑和跨域对准表示，以便可以同时解决域的转移和很少的学习学习。我们对分别从域和办公室数据集构建的两个新的CDCS-FSL基准进行评估。值得注意的是，我们的方法的表现优于多个详细的基线，例如，在域内，将5-shot精度提高了6.0点。代码可从https://github.com/wentaochen0813/cdcs-fsl获得

Unsupervised domain adaptation (UDA) aims to leverage the knowledge learned from a labeled source dataset to solve similar tasks in a new unlabeled domain. Prior UDA methods typically require to access the source data when learning to adapt the model, making them risky and inefficient for decentralized private data. This work tackles a practical setting where only a trained source model is available and investigates how we can effectively utilize such a model without source data to solve UDA problems. We propose a simple yet generic representation learning framework, named Source HypOthesis Transfer (SHOT). SHOT freezes the classifier module (hypothesis) of the source model and learns the target-specific feature extraction module by exploiting both information maximization and selfsupervised pseudo-labeling to implicitly align representations from the target domains to the source hypothesis. To verify its versatility, we evaluate SHOT in a variety of adaptation cases including closed-set, partial-set, and open-set domain adaptation. Experiments indicate that SHOT yields state-of-the-art results among multiple domain adaptation benchmarks.

In this paper, we investigate a challenging unsupervised domain adaptation setting -unsupervised model adaptation. We aim to explore how to rely only on unlabeled target data to improve performance of an existing source prediction model on the target domain, since labeled source data may not be available in some real-world scenarios due to data privacy issues. For this purpose, we propose a new framework, which is referred to as collaborative class conditional generative adversarial net to bypass the dependence on the source data. Specifically, the prediction model is to be improved through generated target-style data, which provides more accurate guidance for the generator. As a result, the generator and the prediction model can collaborate with each other without source data. Furthermore, due to the lack of supervision from source data, we propose a weight constraint that encourages similarity to the source model. A clustering-based regularization is also introduced to produce more discriminative features in the target domain. Compared to conventional domain adaptation methods, our model achieves superior performance on multiple adaptation tasks with only unlabeled target data, which verifies its effectiveness in this challenging setting.

以前的无监督域适应性（UDA）方法旨在通过从富含标签的源域到未标记的目标域的单向知识转移来促进目标学习，而到目前为止，尚未共同考虑其从目标到源的反向适应性。实际上，在一些真正的教学实践中，老师帮助学生学习，同时在某种程度上也从学生那里获得晋升，这激发了我们探索域之间的双向知识转移，因此提出了双重校正适应网络（DUALCAN）在本文中。但是，由于跨域的不对称标签知识，从未标记的目标转移到标记的来源比共同的源与目标对应物更加困难。首先，由源预测的目标伪标签通常涉及模型偏差引起的噪音，因此在反向适应中，它们可能会损害源绩效并带来负目标转换。其次，源域通常包含先天噪声，这将不可避免地加剧目标噪声，从而导致跨域的噪声扩增。为此，我们进一步引入了噪声识别和校正（NIC）模块，以纠正和回收两个域中的噪声。据我们所知，这是对嘈杂UDA的双向适应的首次幼稚尝试，并且自然适用于无噪声UDA。给出理论理由以说明我们的直觉的合理性。经验结果证实了双can的有效性，其性能在最先进的方面具有显着的性能，尤其是对于极端嘈杂的任务（例如，PW-> pr和PR-> RW的办公室房屋）的有效性。

无监督域适应（UDA）旨在将知识从相关但不同的良好标记的源域转移到新的未标记的目标域。大多数现有的UDA方法需要访问源数据，因此当数据保密而不相配在隐私问题时，不适用。本文旨在仅使用培训的分类模型来解决现实设置，而不是访问源数据。为了有效地利用适应源模型，我们提出了一种新颖的方法，称为源假设转移（拍摄），其通过将目标数据特征拟合到冻结源分类模块（表示分类假设）来学习目标域的特征提取模块。具体而言，拍摄挖掘出于特征提取模块的信息最大化和自我监督学习，以确保目标特征通过同一假设与看不见的源数据的特征隐式对齐。此外，我们提出了一种新的标签转移策略，它基于预测的置信度（标签信息），然后采用半监督学习来将目标数据分成两个分裂，然后提高目标域中的较为自信预测的准确性。如果通过拍摄获得预测，我们表示标记转移为拍摄++。关于两位数分类和对象识别任务的广泛实验表明，拍摄和射击++实现了与最先进的结果超越或相当的结果，展示了我们对各种视域适应问题的方法的有效性。代码可用于\ url {https：//github.com/tim-learn/shot-plus}。

无监督域适应（UDA）旨在将知识从标记的源域传输到未标记的目标域。传统上，基于子空间的方法为此问题形成了一类重要的解决方案。尽管他们的数学优雅和易腐烂性，但这些方法通常被发现在产生具有复杂的现实世界数据集的领域不变的功能时无效。由于近期具有深度网络的代表学习的最新进展，本文重新访问了UDA的子空间对齐，提出了一种新的适应算法，始终如一地导致改进的泛化。与现有的基于对抗培训的DA方法相比，我们的方法隔离了特征学习和分配对准步骤，并利用主要辅助优化策略来有效地平衡域不契约的目标和模型保真度。在提供目标数据和计算要求的显着降低的同时，基于子空间的DA竞争性，有时甚至优于几种标准UDA基准测试的最先进的方法。此外，子空间对准导致本质上定期的模型，即使在具有挑战性的部分DA设置中，也表现出强大的泛化。最后，我们的UDA框架的设计本身支持对测试时间的新目标域的逐步适应，而无需从头开始重新检测模型。总之，由强大的特征学习者和有效的优化策略提供支持，我们将基于子空间的DA建立为可视识别的高效方法。

作为反对攻击的最有效的防御方法之一，对抗性训练倾向于学习包容性的决策边界，以提高深度学习模型的鲁棒性。但是，由于沿对抗方向的边缘的大幅度和不必要的增加，对抗性训练会在自然实例和对抗性示例之间引起严重的交叉，这不利于平衡稳健性和自然准确性之间的权衡。在本文中，我们提出了一种新颖的对抗训练计划，以在稳健性和自然准确性之间进行更好的权衡。它旨在学习一个中度包容的决策边界，这意味着决策边界下的自然示例的边缘是中等的。我们称此方案为中等边缘的对抗训练（MMAT），该方案生成更细粒度的对抗示例以减轻交叉问题。我们还利用了经过良好培训的教师模型的逻辑来指导我们的模型学习。最后，MMAT在Black-Box和White-Box攻击下都可以实现高自然的精度和鲁棒性。例如，在SVHN上，实现了最新的鲁棒性和自然精度。

逆势培训可针对特异性对抗性扰动有用，但它们也证明旨在展示偏离用于培训的攻击的攻击。然而，我们观察到这种无效性是本质上与域的适应性，深度学习中的另一个关键问题似乎是一个有希望的解决方案。因此，我们提出了ADV-4-ADV作为一种新的逆势培训方法，旨在保持针对看不见的对抗性扰动的鲁棒性。基本上，ADV-4-ADV将攻击产生不同的扰动作为不同的域，并且通过利用逆势域适应的力量，它旨在消除域/攻击特定的功能。这迫使训练有素的模型来学习强大的域名不变的表示，这反过来增强了其泛化能力。对时尚 - MNIST，SVHN，CIFAR-10和CIFAR-100的广泛评估表明，基于由简单攻击（例如，FGSM）制备的样本训练的模型可以推广到更高级的攻击（例如， PGD​​），性能超过了这些数据集的最先进的提案。

The study on improving the robustness of deep neural networks against adversarial examples grows rapidly in recent years. Among them, adversarial training is the most promising one, which flattens the input loss landscape (loss change with respect to input) via training on adversarially perturbed examples. However, how the widely used weight loss landscape (loss change with respect to weight) performs in adversarial training is rarely explored. In this paper, we investigate the weight loss landscape from a new perspective, and identify a clear correlation between the flatness of weight loss landscape and robust generalization gap. Several well-recognized adversarial training improvements, such as early stopping, designing new objective functions, or leveraging unlabeled data, all implicitly flatten the weight loss landscape. Based on these observations, we propose a simple yet effective Adversarial Weight Perturbation (AWP) to explicitly regularize the flatness of weight loss landscape, forming a double-perturbation mechanism in the adversarial training framework that adversarially perturbs both inputs and weights. Extensive experiments demonstrate that AWP indeed brings flatter weight loss landscape and can be easily incorporated into various existing adversarial training methods to further boost their adversarial robustness.

半监督域适应（SSDA）是将学习者调整到新域，只有一小组标记的数据集在源域上给出时，只有一小组标记的样本。在本文中，我们提出了一种基于对的SSDA方法，使用用样品对的自蒸馏来适应靶域的模型。每个样本对由来自标记数据集（即源或标记为目标）的教师样本以及来自未标记数据集的学生样本（即，未标记的目标）组成。我们的方法通过在教师和学生之间传输中间样式来生成助手功能，然后通过最小化学生和助手之间的输出差异来培训模型。在培训期间，助手逐渐弥合了两个域之间的差异，从而让学生容易地从老师那里学习。标准基准测试的实验评估表明，我们的方法有效地减少了域间和域内的差异，从而实现了对最近的方法的显着改进。

最近的一些研究表明，使用额外的分配数据可能会导致高水平的对抗性鲁棒性。但是，不能保证始终可以为所选数据集获得足够的额外数据。在本文中，我们提出了一种有偏见的多域对抗训练（BIAMAT）方法，该方法可以使用公开可用的辅助数据集诱导训练数据放大，而无需在主要和辅助数据集之间进行类分配匹配。提出的方法可以通过多域学习利用辅助数据集来实现主数据集上的对抗性鲁棒性。具体而言，可以通过使用Biamat的应用来实现对鲁棒和非鲁棒特征的数据扩增，如通过理论和经验分析所证明的。此外，我们证明，尽管由于辅助和主要数据之间的分布差异，现有方法容易受到负转移的影响，但提出的方法使神经网络能够通过应用程序通过应用程序来成功处理域差异来灵活地利用各种图像数据集来进行对抗训练基于置信的选择策略。预先训练的模型和代码可在：\ url {https://github.com/saehyung-lee/biamat}中获得。

域泛化（DG）利用多个标记的源数据集来训练未经化的目标域的概括模型。然而，由于昂贵的注释成本，在现实世界应用中难以满足标记所有源数据的要求。在本文中，我们调查单个标记的域泛化（SLDG）任务，只标有一个源域，这比传统的域泛化（CDG）更实用和具有挑战性。 SLDG任务中的主要障碍是可怜的概括偏置：标记源数据集中的鉴别信息可以包含特定于域的偏差，限制训练模型的泛化。为了解决这个具有挑战性的任务，我们提出了一种称为域特定偏置滤波（DSBF）的新方法，该方法用标记的源数据初始化识别模型，然后通过用于泛化改进的未标记的源数据来滤除其域特定的偏差。我们将过滤过程划分为（1）特征提取器扩展通过K-Means的基于聚类的语义特征重新提取和（2）分类器通过注意引导语义特征投影校准。 DSBF统一探索标签和未标记的源数据，以增强培训模型的可辨性和泛化，从而产生高度普遍的模型。我们进一步提供了理论分析，以验证所提出的域特定的偏置滤波过程。关于多个数据集的广泛实验显示了DSBF在解决具有挑战性的SLDG任务和CDG任务时的优越性。

Unsupervised domain adaptation (UDA) via deep learning has attracted appealing attention for tackling domain-shift problems caused by distribution discrepancy across different domains. Existing UDA approaches highly depend on the accessibility of source domain data, which is usually limited in practical scenarios due to privacy protection, data storage and transmission cost, and computation burden. To tackle this issue, many source-free unsupervised domain adaptation (SFUDA) methods have been proposed recently, which perform knowledge transfer from a pre-trained source model to unlabeled target domain with source data inaccessible. A comprehensive review of these works on SFUDA is of great significance. In this paper, we provide a timely and systematic literature review of existing SFUDA approaches from a technical perspective. Specifically, we categorize current SFUDA studies into two groups, i.e., white-box SFUDA and black-box SFUDA, and further divide them into finer subcategories based on different learning strategies they use. We also investigate the challenges of methods in each subcategory, discuss the advantages/disadvantages of white-box and black-box SFUDA methods, conclude the commonly used benchmark datasets, and summarize the popular techniques for improved generalizability of models learned without using source data. We finally discuss several promising future directions in this field.

普遍认为对抗培训是一种可靠的方法来改善对抗对抗攻击的模型稳健性。但是，在本文中，我们表明，当训练在一种类型的中毒数据时，对抗性培训也可以被愚蠢地具有灾难性行为，例如，$ <1 \％$强大的测试精度，以$> 90 \％$强大的训练准确度在CiFar-10数据集上。以前，在培训数据中，已经成功愚弄了标准培训（$ 15.8 \％$标准测试精度，在CIFAR-10数据集中的标准训练准确度为99.9美元，但它们的中毒可以很容易地删除采用对抗性培训。因此，我们的目标是设计一种名为Advin的新型诱导噪声，这是一种不可动摇的培训数据中毒。 Advin不仅可以通过大幅度的利润率降低对抗性培训的鲁棒性，例如，从Cifar-10数据集每次为0.57 \％$ 0.57 \％$ 0.57 \％$ 0.1，但也有效地愚弄标准培训（$ 13.1 \％$标准测试准确性$ 100 \％$标准培训准确度）。此外，否则可以应用于防止个人数据（如SELYIES）在没有授权的情况下剥削，无论是标准还是对抗性培训。

已证明深度神经网络容易受到对抗噪声的影响，从而促进了针对对抗攻击的防御。受到对抗噪声包含良好的特征的动机，并且对抗数据和自然数据之间的关系可以帮助推断自然数据并做出可靠的预测，在本文中，我们研究通过学习对抗性标签之间的过渡关系来建模对抗性噪声（即用于生成对抗数据的翻转标签）和天然标签（即自然数据的地面真实标签）。具体而言，我们引入了一个依赖实例的过渡矩阵来关联对抗标签和天然标签，可以将其无缝嵌入目标模型（使我们能够建模更强的自适应对手噪声）。经验评估表明，我们的方法可以有效提高对抗性的准确性。

我们关注模型概括中最坏的情况，因为一个模型旨在在许多看不见的域上表现良好，而只有一个单个域可供训练。我们提出基于元学习的对抗领域的增强，以解决此范围泛化问题。关键思想是利用对抗性训练来创建“虚构的”但“具有挑战性”的人群，模型可以从中学会通过理论保证进行概括。为了促进快速和理想的域增强，我们将模型训练施加在元学习方案中，并使用Wasserstein自动编码器放宽广泛使用的最坏情况的约束。我们通过整合有效域概括的不确定性定量来进一步改善我们的方法。在多个基准数据集上进行的广泛实验表明其在解决单个领域概括方面的出色性能。

无源域的适应（SFDA）旨在将预先培训的源模型调整到未标记的目标域而无需访问标记良好的源数据的情况下，由于数据隐私，安全性和传输问题，这是一个更实用的设置。为了弥补缺乏源数据，大多数现有方法引入了基于特征原型的伪标记策略，以实现自我训练模型的适应性。但是，特征原型是通过基于实例级预测的特征群集获得的，该特征群集是偏见的，并且倾向于导致嘈杂的标签，因为源和目标之间的视觉域间隙通常不同。此外，我们发现单中心特征原型可能无效地表示每个类别并引入负转移，尤其是对于这些硬转移数据。为了解决这些问题，我们为SFDA任务提供了一般类平衡的多中心动态原型（BMD）策略。具体而言，对于每个目标类别，我们首先引入全球类间平衡抽样策略，以汇总潜在的代表性目标样本。然后，我们设计了一类多中心聚类策略，以实现更健壮和代表性的原型生成。与在固定培训期更新伪标签的现有策略相反，我们进一步引入了动态伪标签策略，以在模型适应过程中结合网络更新信息。广泛的实验表明，所提出的模型不可替代的BMD策略显着改善了代表性的SFDA方法，以产生新的最新结果。该代码可在https://github.com/ispc-lab/bmd上找到。