[发明专利]一种基于BERT采样的文本通用触发器生成系统和方法

说明书

本发明公开了一种基于BERT采样的文本通用触发器生成系统和方法，设置初始单词序列长度m及批次大小n，将初始单词序列复制n份得到n个单词序列，在其上随机选择第i个位置，将初始单词序列输入到BERT语言模型中，获得第i个位置单词的概率分布；采样一个单词y，将第i个位置的原始掩码符号替换为单词y，得到一批初始触发词序列，并连接到数据测试集的所有样本上，输入到目标模型进行测试；将测试结果传输到BERT采样模块，并调整单词分布概率，然后采样获得候选单词；继续将候选单词在除第i个位置外的其他位置上进行替换，直到目标模型的预测错误率达到设定值阈值以上，输出触发器序列。本发明具有效率高、质量好的优点。

技术领域

本发明属于文本对抗攻击技术领域，特别是一种基于BERT采样的文本通用触发器生成系统和方法。

背景技术

尽管深度神经网络(DNN)在各个领域都取得了令人印象深刻的性能，但已有研究表明，在对抗样本面前，DNN是脆弱的，这些对抗样本通过在原始样本中添加人类难以察觉的扰动，导致了DNN的错误输出。计算机视觉领域关于对抗样本的大量研究，带动了针对自然语言处理(NLP)任务设计对抗攻击方法的发展。然而，由于文本是离散数据，微小的扰动会使原始输入发生显著的变化，因此对自然语言处理的对抗性攻击具有挑战性。

Wallace等人(Wallace,E.；Feng,S.；Kandpal,N.；Gardner,M.；Singh,S.Universal Adversarial Triggers for Attacking and Analyzing NLP,2021,arXiv:cs.CL/1908.07125.)提出了一种可添加到任何输入文本的通用对抗扰动生成方法，该方法利用梯度损失指引搜索方向，来寻找最佳扰动以尽可能多的致使数据集中的原始输入样本欺骗过目标NLP模型。然而这种情况生成的攻击词序列通常是不自然的和无意义的，并且容易被识别出来。

发明内容

本发明的目的在于提供一种效率高、质量好的基于BERT(Bidirectional EncoderRepresentation from Transformers)采样的文本通用触发器生成系统和方法。

实现本发明目的的技术解决方案为：一种基于BERT采样的文本通用触发器生成系统，包括输入模块、触发器生成模块、连接模块、输出模块和BERT采样模块；输入模块的输出端接入触发器生成模块，触发器生成模块接入连接模块，连接模块接入输出模块，输出模块与BERT采样模块连接，BERT采样模块再接入触发器生成模块；

输入模块设置初始输入单词长度；触发器生成模块将随机挑选一个单词位置，并根据BERT采样模块的单词分布填充所挑选位置的单词；连接模块将生成的触发器与测试样本一一相连，然后送入输出模块；输出模块则由目标模型识别添加了触发器的测试样本，并输出测试结果；BERT采样模块根据输出模块的测试结果调整单词分布概率。

一种基于BERT采样的文本通用触发器生成方法，步骤如下：

步骤1，在输入模块中设置初始单词序列长度m及批次大小n，初始单词序列由m个掩码符号组成，即([MASK],…,[MASK])_m，并按照批次大小将初始单词序列复制n份，得到n个单词序列；

分别在这n个单词序列上随机选择第i个位置，然后将初始单词序列输入到BERT语言模型中，获得第i个位置单词的概率分布，记为p_t+1；

从p_t+1中采样一个单词y，将第i个位置的原始掩码符号[MASK]替换为单词y，从而得到一批初始触发词序列；

步骤2，将得到的初始触发词序列连接到数据测试集的所有样本上，然后输入到目标模型即Bi-LSTM模型上进行测试，得到Bi-LSTM模型的预测结果；

步骤3，将目标模型的预测结果传输到BERT采样模块，并调整单词分布概率，根据调整后的单词分布进行采样，获得候选单词；