基于策略梯度的对抗文本生成方法研究

摘要

人工智能技术近年来迅猛发展，可以轻松提取出自然数据中的特征和内在联系，非常擅长拟合高度非线性关系。因此，人工智能技术被广泛地应用于图像检测、语音识别、和自然语言处理任务中，并表现出了优异的性能。随着这些实际应用的推广使用，人工智能技术的安全性越来越引起重视。特别是对抗样本的发现使这些人工智能技术的应用面临巨大的威胁。通过研究对抗样本的生成方法，可以探索对抗样本存在的本质，更深层次的思考人工智能技术。研究对抗样本的产生和防御，开展人工智能技术的攻防战可以不断提升人工智能技术，进一步保障人工智能技术在实际应用中的安全性。　　对抗样本在图像分类器中被首次发现，在图像上增加人类察觉不到的噪声就可以让图像分类器分类错误。由于图像特征的丰富性和连续性，对抗图像的生成方法非常多样化。但是因为文本数据具有离散的特点，生成对抗图像的方法不适用于对抗文本生成。本文主要研究内容为对抗文本的生成方法，提出了一种基于策略梯度的对抗文本生成方法。在实际情况中很难获取到目标文本分类器的模型结构和参数信息，所以本文所提出的方法是在黑盒条件下对目标模型进行攻击。针对文本数据离散，无法直接加入连续扰动的特点，使用文本编码器来进行对抗文本生成。文本编码器将离散文本数据映射到连续的隐藏空间中，并基于隐藏空间特征向量生成文本。在没有标准对抗文本数据集的情况下，为了使文本编码器可以生成保留原始语义并能够使分类器分类错误的对抗文本，利用强化学习中策略梯度算法来对文本编码器中的参数进行调节。策略梯度的调节方式是最大化原始文本和生成文本样本对的奖励。只需将奖励的计算方式中纳入文本对分类结果差异和相似度计算便可以调整文本生成器参数，生成攻击效果显著的对抗文本。相比于现有的人为在文本中增加单词级或字符级的扰动，本文所提出的方法可以批量地生成更加自然的对抗文本。　　最后，本文基于深度学习框架Tensorflow实现了基于策略梯度的对抗文本生成方法，并在7个真实的自然语言处理数据集上进行攻击实验分析其性能。分析实验结果，本文提出方法生成的对抗文本可以使得准确率为95.9%的文本分类器下降53.48%。生成的对抗文本在不同的数据集上的降低的准确率在29.89%到53.28%之间。对抗文本与原文本的相似度分集中在0.8到0.9之间，并且生成的对抗文本对不同的文本分类模型都有攻击效果，具有可迁移性。

目录

声明

第1章 绪 论

1.1 研究背景及意义

1.2 国内外研究现状

1.3 本文的研究内容

1.4 论文的组织结构

第2章 相关技术与理论

2.1 深度学习

2.1.1 循环神经网络

2.1.2 卷积神经网络

2.2 自然语言处理

2.3 对抗样本

2.3.1 定义

2.3.2 对抗图像

2.3.3 对抗文本

2.4 自编码器

2.5 强化学习中的策略梯度

2.5 本章小结

第3章 基于策略梯度的对抗文本生成算法

3.1 对抗文本生成问题描述

3.2 对抗文本生成算法总体流程

3.3 对抗文本生成器预训练

3.4 策略梯度调节生成器参数

3.5 本章小结

第4章 实验结果

4.1 实验数据与环境

4.1.1 实验数据集

4.1.2 目标模型

4.1.3 实验平台

4.1.4 性能评估

4.1.5 对比算法

4.2 评估指标

4.2.1 模型准确率

4.2.2 文本改动率

4.2.3 文本相似度指标

4.3 实验结果与分析

4.3.1 对抗文本攻击的有效性

4.3.2 对抗文本相似度分析

4.3.3 对抗文本的可迁移性

4.4 本章小结

结论

参考文献

附录 A 攻读硕士学位期间发表论文专利成果目录

附录 B 攻读学位期间参与的学术科研项目

致谢