(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112765355A(43)申请公布日2021.05.07(21)申请号202110106877.9G06F30/25(2020.01)(22)申请日2021.01.27G06F30/27(2020.01)G06K9/62(2006.01)(71)申请人江南大学G06N3/00(2006.01)地址214000江苏省无锡市滨湖区蠡湖大G06N10/00(2019.01)道1800号(72)发明人孙俊徐尹翔吴豪吴小俊方伟陈祺东李超游琪冒钟杰(74)专利代理机构哈尔滨市阳光惠远知识产权代理有限公司23211代理人林娟(51)Int.Cl.G06F16/35(2019.01)G06F40/253(2020.01)G06F40/30(2020.01)权利要求书4页说明书8页附图2页(54)发明名称基于改进的量子行为粒子群优化算法的文本对抗攻击方法(57)摘要基于改进的量子行为粒子群优化算法的文本对抗攻击方法，属于自然语言处理文本对抗攻击领域。本发明对抗攻击能够极大地弱化深度神经网络在自然语言处理任务中的判别能力，研究对抗攻击方法是提升深度神经网络的鲁棒性的重要方法。现有的词级别文本对抗方法在搜索对抗样本时不够有效，搜索到的往往不是最理想的样本。针对这一缺陷，提出了基于改进的量子行为粒子群优化算法的文本对抗方法。通过对量子行为粒子群优化算法进行离散化的适应性改动，结果表明，本方法在多个数据集上取得了更高的攻击成功率，同时保持了更低的改动率，人工评测则表明所提出方法生成的对抗样本相比于其他对抗样本能够更多地保留语法和语义的正确性。CN112765355ACN112765355A权利要求书1/4页1.基于改进的量子行为粒子群优化算法的文本对抗攻击方法，其特征在于，步骤如下：步骤一：遍历输入句子每个位置上的词，使用基于义原的方法得到每个词的替换词；步骤二：将句子复制M次，建立数量为M的粒子群；步骤三：遍历每个粒子，找出该粒子每个位置对于模型伤害最大的词，基于此进行变异操作；步骤四：将变异后的粒子输入模型，观察模型预测值；如果攻击成功，输出结果，步骤结束；步骤五：如果步骤四中攻击不成功，更新粒子群的粒子个体最优位置和全局最优位置；步骤六：将更新后的粒子群输入模型，观察模型预测值；如果攻击成功，输出结果，步骤结束；步骤七：如果步骤六中攻击不成功，更新粒子群的粒子个体最优位置和全局最优位置；步骤八：重复步骤三～步骤七，直到攻击成功，或者达到最大迭代次数。2.根据权利要求1所述的基于改进的量子行为粒子群优化算法的文本对抗攻击方法，其特征在于，首先定义改进的量子行为粒子群优化算法ID‑QPSO的搜索空间；设输入的句子为xorig，句子长度为D，其第j个词表示为xorig,j，xorig,j及其替代词共同组成的集合为S(xorig,j)，则算法的搜索空间为S＝{S(xorig,j)|j＝1,2,...,D}，即整个搜索空间为D维，每一维对应于相应的替代词集合；将一个对抗样本作为ID‑QPSO算法中的一个粒子，粒子群一共包含M个粒子。3.根据权利要求1或2所述的基于改进的量子行为粒子群优化算法的文本对抗攻击方法，其特征在于，所述的步骤二：输入句子复制M份作为M个初始粒子的位置，建立数量为M的粒子群，初始时第i个粒子位置向量记为4.根据权利要求1或2所述的基于改进的量子行为粒子群优化算法的文本对抗攻击方法，其特征在于，所述的步骤三：遍历每个粒子，第t次迭代时，遍历的每个位置，找到每个位置上对模型伤害最大的词，组成由替换词构成的向量；然后，使用该替换词构成的向量以一定的概率对进行变异操作：其中，表示变异后的词，表示第t次迭代时第i个粒子第j维上的词，是找出的第i个粒子第j维上对模型伤害最大的词，是变异为的概率，q是在[0,1]上均匀分布的独立随机变量，表示该变量在第i个粒子第j维的第t次迭代时的取值；与对模型的伤害成正相关。5.根据权利要求3所述的基于改进的量子行为粒子群优化算法的文本对抗攻击方法，其特征在于，所述的步骤三：遍历每个粒子，第t次迭代时，遍历的每个位置，找到每个位置上对模型伤害最大的词，组成由替换词构成的向量；然后，使用该替换词构成的向量以2CN112765355A权利要求书2/4页一定的概率对进行变异操作：其中，表示变异后的词，表示第t次迭代时第i个粒子第j维上的词，是找出的第i个粒子第j维上对模型伤害最大的词，是变异为的概率，q是在[0,1]上均匀分布的独立随机变量，表示该变量在第i个粒子第j维的第t次迭代时的取值；与对模型的伤害成正相关。6.根据权利要求1、2或5所述的基于改进的量子行为粒子群优化算法的文本对抗攻击方法，其特征在于，所述的步骤四：将变异后的粒子输入