[发明专利]一种基于集成重建机制的对抗样本攻击的防御方法

说明书

本发明提供了一种基于集成重建机制的对抗样本攻击的防御方法，用于语言模型防御对抗样本攻击，包括以下步骤：步骤1，在语言模型的训练过程中，同时加入三个预定的损失函数来保持语言模型对于带噪声样本的重建能力；步骤2，对语言模型的输入样本注入不同的噪声，重建得到多个不同的重建样本，并对重建样本进行集成推理完成一次样本重建，并得到一个取平均值的模型置信度的打分，通过多次样本重建来防御对抗样本攻击，其中，损失函数包括模型下游任务的微调损失函数、预训练采用的MASK掩码预测损失以及基于梯度回传的重建原有字词的损失。

技术领域

本发明属于深度学习和自然语言处理相关领域，具体涉及一种基于集成重建机制的对抗样本攻击的防御方法。

背景技术

对抗样本攻击可以成功的误导神经网络，使得神经网络作出错误的预测结果。这些方法通常使用了基于梯度的扰动生成方法，来相对应的产生损失函数方向相反的扰动来实现对模型的攻击。在自然语言领域，由于梯度在文本中存在的离散性质，模型并不能着直接使用梯度进行扰动生成。通常，人们采用了基于字词替换的方法来生成能够最大限度保证语义的同时，使得神经网络作出错误预测结果的对抗样本。因此，神经网络的广泛应用，就离不开有效的防御这些对抗样本攻击的方法。

在自然语言处理领域中，对抗样本的生成通常聚焦在半黑盒的打分制模型上，即攻击者是可以感知到模型输出的置信度，并通过观测生成的对抗样本的置信度的变化情况，选择合适的对抗样本。研究者们使用了诸如贪心算法，遗传算法等搜索算法来寻找合适的位置和词汇进行字词的替换、增删来生成合适的对抗样本。更近期的工作中，人们利用预训练的语言模型来生成合适的扰动样本。

研究者们对于防御这些对抗样本的工作相对更加稀少：人们使用基于梯度的对抗训练来寻找在词嵌入层空间相似的虚拟对抗样本来模拟真实的对抗样本进行对应的训练来实现防御。而另一个思路的防御方法则是通过事先获取对抗样本的词替换集合来构建一个凸包空间来满足此空间内的扰动均可以被模型所兼容并正确预测。

然而基于虚拟梯度的方法效果相对不够优异，事先获得扰动词集合的这类方法在现实应用中的应用场景也更为有限。

发明内容

本发明是为了解决上述问题而进行的，目的在于提供一种基于集成重建机制的对抗样本攻击的防御方法。

本发明提供了一种基于集成重建机制的对抗样本攻击的防御方法，用于语言模型防御对抗样本攻击，具有这样的特征，包括以下步骤：步骤1，在语言模型的训练过程中，同时加入三个预定的损失函数来保持语言模型对于带噪声样本的重建能力；步骤2，对语言模型的输入样本注入不同的噪声，重建得到多个不同的重建样本，并对重建样本进行集成推理，得到一个取平均值的模型置信度的打分，通过重建得到多个重建样本来防御对抗样本攻击，其中，损失函数包括模型下游任务的微调损失函数、预训练采用的MASK掩码预测损失以及基于梯度回传的重建原有字词的损失。

在本发明提供的基于集成重建机制的对抗样本攻击的防御方法中，还可以具有这样的特征：其中，模型下游任务的微调损失函数的公式如下：

公式(1)中，θ为模型参数，L为交叉熵损失函数，F_c为模型分类器，为重建后的输入，y为输入标签。

在本发明提供的基于集成重建机制的对抗样本攻击的防御方法中，还可以具有这样的特征：其中，预训练采用的MASK掩码预测损失的公式如下：

公式(2)中，θ为模型参数，L为交叉熵损失函数，F_m为模型分类器，为重建后的输入，y为输入标签。