一种基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法

本发明涉及文本对抗攻击领域，具体涉及一种基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法。

背景技术：

1、对抗攻击对于深度学习是一种常见威胁，它揭露了深度学习的脆弱性。文本数据相比于图像数据，具有数据离散化、语法复杂、语义抽象的特点，因此在生成对抗样本上也存在着诸多困难。因此现有的针对图像的攻击方法，很难直接应用到文本领域中来，针对文本领域的对抗攻击仍具有很多挑战。

2、目前有一些有效的文本对抗攻击方法，但是这些攻击都是采用单一的攻击手段，面对一些数据集或模型有时表现欠佳，仍然存在一些问题，如在部分模型上的攻击成功率表现不佳，基于启发式算法的攻击在搜索空间较大或较小的情况下很难搜索到有效对抗样本，基于风格迁移容易偏离语义。

3、单一模型的攻击性能已经达到了上限，很难再做出进一步的提升，因此需要设计新的文本对抗攻击方法，解决现有模型攻击的问题，实现有效的文本对抗攻击。

技术实现思路

1、本发明的目的在于：针对上述存在的问题，提供一种基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法，解决现有文本对抗攻击方法中单一模型存在的攻击成功率表现不佳、很难搜索到有效对抗样本、容易偏离语义等问题；首次在文本对抗攻击领域使用融合模型进行攻击，将风格迁移和鲸鱼优化算法进行串行融合构建三阶段模型，三阶段模型和改进的风格迁移进行并行融合，提高攻击成功率。

2、本发明的技术方案如下：

3、本发明公开了一种基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法，包括以下步骤：

4、构建三阶段模块和改进风格迁移模块：在原始鲸鱼优化算法的更新后，对每个对抗样本执行一次变异操作，并通过改进的metropolis准则进行处理，得到改进的鲸鱼优化算法woa；将改进的鲸鱼优化算法woa和风格迁移算法进行融合，构建三阶段模块；在经过风格迁移之后，对生成的样本进行一次变异操作，构建改进的风格迁移模块；

5、文本对抗攻击：通过基于义原的对抗样本生成模型生成文本对抗样本，分别将文本对抗样本输入到改进的风格迁移模块和三阶段模块进行攻击；若改进的风格迁移攻击失败则进入到三阶段模块的攻击。

6、进一步的，在三阶段模块中，文本对抗样本依次经过改进的鲸鱼优化算法woa和风格迁移算法的处理，再通过基于义原重新生成样本并在改进的鲸鱼优化算法woa中进行迭代搜索和更新；若在任意时刻存在攻击成功的对抗样本，则直接输出该对抗样本并停止攻击。

7、进一步的，改进的metropolis准则公式如下：

8、

9、其中，ynew是新对抗样本输入到目标攻击模型后的输出，y是变异前的模型的输出，是接受一个恶化个体的概率，t的值随迭代次数动态调整，同时也受输入的句子长度的影响。

10、进一步的，变异操作：随机选择一个满足义原生成替换词要求的单词进行替换，生成一个新的对抗样本。

11、进一步的，基于义原的对抗样本生成模型的对抗样本生成方法包括：

12、s1：根据输入的句子，分析每个单词的词性，并通过义原为其中的实义词查找同义词；

13、s2：找到合适的替换词之后对原始样本中的单词进行替换，每次只选择一个位置的单词进行替换，得到多个对抗样本。

14、进一步的，改进的鲸鱼优化算法woa具体包括：

15、初始化：获取n3个通过义原生成的对抗样本s＝{s1,···,sn}，每个对抗样本记作si，i∈{1,···,n}；同时随机初始化n3只鲸鱼的位置x＝{x1,···,xn}，维度在-到之间随机初始化；

16、记录：计算当前对抗样本的预测分数，记录当前最优个体的位置*和最优的对抗样本*；

17、更新：首先，按照原始鲸鱼优化算法中的更新方法，为每只鲸鱼的每个维度进行更新；其次，在原始鲸鱼优化算法执行更新之后对所有位置再次进行更新；将对抗样本进行更新；在更新步骤结束之后对每个对抗样本执行一次变异操作，并通过metropolis准则进行处理；

18、终止：终止条件设定为目标攻击模型的预测结果与原始标签不同，即预测的标签发生了变化。

19、进一步的，对所有位置再次进行更新的公式为：

20、

21、其中，代表第n个样本的第d个单词，代表最优样本的第d个单词，代表第n个句子的第d个维度，定义为如下公式：

22、

23、ω代表惯性权重，惯性权重设定为随迭代次数的增加而减小。

24、进一步的，惯性权重ω的公式如下：

25、

26、其中，0<ωmin<max<1，max_iters和分别是最大迭代次数和当前迭代次数。

27、进一步的，将对抗样本进行更新采用了一种基于概率的方法，具体包括：使用sigmoid函数，将每个位置的值转化成概率，记作(x)，

28、

29、根据概率确定当前样本的是否朝着全局最优样本去改变；最终每个维度上的对抗样本更新方式如下：

30、

31、其中，p表示对应向量的转换概率，r为0-1之间的随机数。

32、进一步的，在三阶段模块中，输入通过义原获取n个对抗样本，通过改进的鲸鱼优化算法woa进行搜索和更新，经过一轮迭代后选择其中表现最差的样本输入到风格迁移模型中，得到风格迁移后的样本；将新的对抗样本通过改进的鲸鱼优化算法woa进行迭代搜索和更新，直到达到最大迭代次数或存在攻击成功的对抗样本；若在达到最大迭代次数时仍未搜索到有效对抗样本，则返回到第一次的改进的鲸鱼优化算法woa步骤开始进行下一轮迭代，直到达到最大迭代次数。

33、综上所述，由于采用了上述技术方案，本发明的有益效果是：

34、1、本发明提出改进的鲸鱼优化算法woa，解决了鲸鱼优化算法容易陷入局部最优的问题，首次将鲸鱼优化算法引入到文本对抗攻击中，并对鲸鱼优化算法在文本对抗攻击方面的不足之处进行了改进，引入了变异和metropolis准则，提升了其搜索能力和攻击效果。

35、2、本发明提出三阶段模型，将改进的鲸鱼优化算法和风格迁移算法进行融合，扩大了对抗样本的搜索空间，进一步避免陷入局部最优。

36、3、本发明首次在文本对抗攻击领域使用融合模型进行攻击，为文本对抗攻击提供了一种新的攻击思路，优于单一模型攻击。

37、4、本发明提出了一种新的杂交方法，将三阶段模型和风格迁移算法进行了并行杂交，提升了攻击效果。

38、5、本发明在五个数据集上评估了模型的有效性，实验结果表明，本发明模型不仅有效提高了攻击成功率，在语法错误增加率、语义一致性、迁移性等方面的测试中，也取得了不错的结果。

技术特征：

1.一种基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法，其特征在于，在三阶段模块中，文本对抗样本依次经过改进的鲸鱼优化算法woa和风格迁移算法的处理，再通过基于义原重新生成样本并在改进的鲸鱼优化算法woa中进行迭代搜索和更新；若在任意时刻存在攻击成功的对抗样本，则直接输出该对抗样本并停止攻击。

3.根据权利要求1所述的基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法，其特征在于，改进的metropolis准则公式如下：

4.根据权利要求1所述的基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法，其特征在于，变异操作：随机选择一个满足义原生成替换词要求的单词进行替换，生成一个新的对抗样本。

5.根据权利要求1所述的基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法，其特征在于，基于义原的对抗样本生成模型的对抗样本生成方法包括：

6.根据权利要求1所述的基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法，其特征在于，改进的鲸鱼优化算法woa具体包括：

7.根据权利要求6所述的基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法，其特征在于，对所有位置再次进行更新的公式为：

8.根据权利要求7所述的基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法，其特征在于，惯性权重ω的公式如下：

9.根据权利要求6所述的基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法，其特征在于，将对抗样本进行更新采用了一种基于概率的方法，具体包括：使用sigmoid函数，将每个位置的值转化成概率，记作(x)，

10.根据权利要求1或2所述的基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法，其特征在于，在三阶段模块中，输入通过义原获取n个对抗样本，通过改进的鲸鱼优化算法woa进行搜索和更新，经过一轮迭代后选择其中表现最差的样本输入到风格迁移模型中，得到风格迁移后的样本；将新的对抗样本通过改进的鲸鱼优化算法woa进行迭代搜索和更新，直到达到最大迭代次数或存在攻击成功的对抗样本；若在达到最大迭代次数时仍未搜索到有效对抗样本，则返回到第一次的改进的鲸鱼优化算法woa步骤开始进行下一轮迭代，直到达到最大迭代次数。

技术总结
本发明公开了一种基于风格迁移与鲸鱼优化算法杂交的文本对抗攻击方法，属于文本对抗攻击领域，包括以下步骤：构建三阶段模块和改进风格迁移模块；通过基于义原的对抗样本生成模型生成文本对抗样本，分别将文本对抗样本输入到改进的风格迁移模块和三阶段模块进行攻击；若改进的风格迁移攻击失败则进入到三阶段模块的攻击。本发明解决现有单一模型存在的攻击成功率表现不佳、很难搜索到有效对抗样本、容易偏离语义等问题；首次在文本对抗攻击领域使用融合模型进行攻击，提高攻击成功率。

技术研发人员：康雁,赵健钧,李宾,普康,袁艳聪,王鑫超,张华栋,谢文涛,彭陆含
受保护的技术使用者：云南大学
技术研发日：
技术公布日：2024/1/13