[发明专利]基于改进的量子行为粒子群优化算法的文本对抗攻击方法

说明书

基于改进的量子行为粒子群优化算法的文本对抗攻击方法，属于自然语言处理文本对抗攻击领域。本发明对抗攻击能够极大地弱化深度神经网络在自然语言处理任务中的判别能力，研究对抗攻击方法是提升深度神经网络的鲁棒性的重要方法。现有的词级别文本对抗方法在搜索对抗样本时不够有效，搜索到的往往不是最理想的样本。针对这一缺陷，提出了基于改进的量子行为粒子群优化算法的文本对抗方法。通过对量子行为粒子群优化算法进行离散化的适应性改动，结果表明，本方法在多个数据集上取得了更高的攻击成功率，同时保持了更低的改动率，人工评测则表明所提出方法生成的对抗样本相比于其他对抗样本能够更多地保留语法和语义的正确性。

技术领域

本发明属于自然语言处理文本对抗攻击领域，提供了一种基于改进的量子行为粒子群优化算法的文本对抗攻击方法

背景技术

深度神经网络被广泛应用于图像、语音、自然语言等各个领域。尽管如此，有研究表明深度神经网络对于对抗攻击十分脆弱，即向输入数据添加微小的扰动就能够改变深度神经网络给出的结果。例如，向一张熊猫图片中添加扰动后，图像的语义在人眼看来并无变化，而卷积神经网络(Convolutional Neural Network，CNN)将熊猫识别为了长臂猿。深度神经网络的脆弱性引发了对于安全的担忧，比如在路牌上贴上面积极小的涂鸦就能让自动驾驶系统无法正确地识别路牌，可能造成严重的后果。对于对抗攻击的研究可以帮助构建更鲁棒的深度神经网络，同时可以启发关于如何防御对抗攻击的研究。然而，关于自然语言处理领域的对抗攻击研究远少于对于图像领域对抗攻击的研究。部分原因是图像的像素值是连续的，易于实施基于梯度的对抗攻击，且像素值微小的扰动几乎无法被人类肉眼所察觉，也不会带来图像语义的改变。而自然语言是离散的，词语的微小变化也可能导致语义的改变。深度神经网络在自然语言处理方向上的应用也十分广泛，包括垃圾邮件过滤，情感分析和虚假新闻检测等。因而，自然语言处理领域的对抗攻击也十分具有价值。

目前自然语言处理领域的对抗攻击方法可以按照对抗攻击时所更改的元素分成三类：字符级别的对抗攻击，词级别的对抗攻击以及句级别的对抗攻击。字符级别的更改往往可能造成语法的错误，而且拼写检查或者语法检查就可以防范这类攻击。句级别的对抗攻击方法是通过增加句子或者复述句子来达成对抗攻击的效果。词级别的对抗攻击方法一般通过替换单词进行对抗样本的构建。相对于字符级别对抗攻击方法生成的对抗样本，词级别攻击方法生成的样本有更好的语义连贯性和更少的语法错误。而相对于句级别攻击方法得到的对抗样本，词级别攻击方法生成的对抗样本的改动率相对较小，更不易被察觉。词级别对抗方法在语义语法连贯性和改动率上均能取得相对较好的效果。

然而，现有词级别对抗方法存在对于对抗样本的全局搜索能力较弱，易于出现“早熟”和陷入局部最优的情况，因此提升空间较大。本发明提出了一种改进的词级别文本对抗方法，对搜索优化算法进行优化，采用改进的量子行为粒子群优化算法(ID-QPSO)来更有效地搜索对抗样本，实验证明本发明方法取得了较好的结果。

发明内容

本发明提出一种基于义原和改进的量子行为粒子群优化算法的文本对抗攻击方法。具体来说，先采用基于义原的方法得到单词的替代词集，然后应用改进的离散的量子行为粒子群优化算法在替代词集空间中进行搜索，最后得到对抗样本。

本发明的技术方案：

基于改进的量子行为粒子群优化算法的文本对抗攻击方法，步骤如下：

步骤一：遍历输入句子每个位置上的词，使用基于义原的方法得到每个词的替换词；

步骤二：将句子复制M次，建立数量为M的粒子群；

步骤三：遍历每个粒子，找出该粒子每个位置对于模型伤害最大的词，基于此进行变异操作；

步骤四：将变异后的粒子输入模型，观察模型预测值。如果攻击成功，输出结果，步骤结束；

步骤五：如果步骤四中攻击不成功，更新粒子群的粒子个体最优位置和全局最优位置；