CN114925699A - 一种基于风格变换的高迁移性对抗文本生成方法 - Google Patents

Abstract

本发明公开了一种基于风格变换的高迁移性对抗文本生成方法，包括如下步骤：S1、构建预训练模型，包括构建原始替代模型F^org、构建释义生成器P、构建特征提取器E和特征解码器D；S2、构建测试文本的向量表示集和替代模型集F；所述测试文本的向量表示集包括语义特征向量集V^p、缩放因子集

和风格特征向量集V^s；S3、构建任务集，包括构建总任务集Task，划分查询任务集Task^qr和支持任务集Task^sr；S4、利用元学习优化策略获取风格特征噪声向量δ^*；S5、生成对抗文本x^*。本发明通过结合风格变换和元学习策略，在黑盒场景下能生成具备强攻击能力、高迁移性的对抗文本。

Description

一种基于风格变换的高迁移性对抗文本生成方法

技术领域

本发明涉及对抗文本生成技术领域，具体涉及一种基于风格变换的高迁移性对抗文本生成方法。

背景技术

深度神经网络近年来在自然语言处理领域发展迅速，表现出优异的性能。基于此，各种各样的基于深度神经网络的自然语言处理系统被逐渐应用到现实生活中，如垃圾邮件过滤、机器翻译、医疗信息处理、视觉问答等。但是，已有研究表明，以深度神经网络为代表的人工智能模型面临严峻的对抗攻击安全威胁。

对抗攻击是一种模型推理阶段的安全威胁，攻击者可通过向输入样本添加微小的、人眼无法察觉的噪声来构造对抗样本，从而使人工智能模型产生错误输出。近年来，为了发现自然语言处理模型面临的潜在对抗攻击威胁，研究者们已经提出多种不同的对抗攻击方法，但受限于文本样本自身的特殊性(离散性、存在语义信息、易被人眼察觉)，要生成具备强攻击能力、高迁移性、不易察觉性的对抗文本仍面临巨大的挑战。

目前，根据对目标模型的访问能力的不同，现有针对文本处理任务模型的对抗攻击方法可分为白盒攻击和黑盒攻击方法。其中，白盒攻击方法是指攻击者对目标模型具有完全的访问能力，能够获取到目标模型的所有信息，包括模型架构、参数、梯度等，并利用这些信息来产生对抗文本，因此，这类攻击方法通常能够生成具备强攻击能力的对抗样本。而在黑盒攻击场景下，攻击者只能获取到目标模型对输入文本的预测输出，而无法获取到其他任何信息，因此，这类攻击方法产生的对抗文本的攻击能力一般比白盒攻击产生的对抗样本的低。但是，由于黑盒攻击方法不需要获取目标模型的信息，黑盒攻击方法更适合应用于现实世界中，用以测试现有人工智能系统的安全性。

根据扰动级别的不同，现有针对文本处理任务模型的对抗攻击方法可以分为字符级、词级、句级攻击方法。其中，字符级攻击方法是通过翻转、替换、删除、增加某些字符来生成对抗文本，虽然能够很好的保留文本的语义信息，但却十分容易被人眼、拼写检查器、语法检查器所发现。词级攻击方法通过替换、删除、增加整个词来产生对抗文本，能在一定程度上缓解字符级攻击方法产生的对抗文本易被察觉的问题，但却存在另外两个问题：一是可能在一定程度上影响文本的语义信息，二是通过这类方法产生的对抗文本的多样性较差，目标模型很可能通多某些统计分析手段发现这些对抗样本。句级攻击方法是指对整个文本进行变换，因此，能够较好的缓解前两种攻击方法存在的问题，生成不易被察觉的多样化对抗文本。目前的句级对抗攻击方法主要包含在原文本中插入特定的新文本、用释义替换文本中的某些词、重写整个文本等手段。但是，现有句级攻击方法存在两个主要问题：一是容易破坏文本的语义，二是生成的对抗文本的可读性较差。

现有基于风格变换的句级对抗文本生成方法过程中没有优化过程，产生的对抗文本的攻击能力有限，风格生成器的生成能力不足、支持的风格类型不合适，对生成的对抗文本的攻击能力造成很大的影响也没有考虑其迁移性。因此，亟需一种在黑盒场景下能生成具备强攻击能力、高迁移性的对抗文本的方法。

发明内容

为解决现有技术中存在的问题，本发明提供了一种基于风格变换的高迁移性对抗文本生成方法，通过结合风格变换和元学习策略，在黑盒场景下能生成具备强攻击能力、高迁移性的对抗文本，解决了上述背景技术中提到的问题。

为实现上述目的，本发明提供如下技术方案：一种基于风格变换的高迁移性对抗文本生成方法，包括如下步骤：

S1、构建预训练模型，包括构建原始替代模型F^org、构建释义生成器P、构建特征提取器E和特征解码器D；

S2、构建测试文本的向量表示集和替代模型集

所述测试文本的向量表示集包括语义特征向量集V^p、缩放因子集

和风格特征向量集V^s；

S3、构建任务集，包括构建总任务集Task，划分查询任务集Task^qr和支持任务集Task^sr；

S4、利用元学习优化策略获取风格特征噪声向量δ^*；

S5、生成对抗文本x^*。

优选的，在步骤S1中，所述构建原始替代模型F^org具体包括：

设训练文本集为

将X^tr输入到目标模型中，从而获得目标模型对X^tr的预测标签集

将X^tr和Y^tr配对，形成原始训练数据集

将W^tr作为训练数据，训练后得到目标模型的原始替代模型F^org；

所述构建释义生成器P具体包括：设文本释义数据集为

将W作为训练数据，训练得到释义生成器P；

所述的构建特征提取器E和特征解码器D具体包括：

先搭建初始特征提取器和初始特征解码器的联合网络模型，初始特征提取器由预训练模型BERT和池化层Pooling组成，初始特征解码器由预训练模型BERT和全连接层Linear组成；

将原始文本集X^tr中的文本进行向量化，得到原始文本向量集

将原始文本向量集V^tr作为输入，输入到联合模型中，得到输出向量

计算损失值，根据该损失值利用梯度反向传播策略更新一次联合模型的参数；

重复执行ψ次上述步骤，训练得到特征提取器E和特征解码器D。

优选的，所述步骤S2中构建测试文本的向量表示集的具体步骤包括：

S21、构建释义文本集；

S21-1、设测试数据为data^ts＝(x^ts，y^ts)，y^ts是测试文本x^ts的真实标签；

S21-2、将x^ts输入到释义生成器P中，获得x^ts的一个释义文本；

S21-3、重复执行G次步骤S21-2，得到x^ts的释义文本集

S22、获取文本特征向量、语义特征向量集；

将x^ts作为输入，输入到特征提取器E中，得到x^ts的文本特征向量v^A；依次将Xp中的每一个释义文本

作为输入，输入到特征提取器E中，得到X^p的语义特征向量集

是

的语义特征向量；

S23、获取缩放因子集、风格特征向量集；

S23-1、对一个语义特征向量

和文本特征向量v^A，求解得到

对应的缩放因子β_g和风格特征向量

S23-2、对V^p中的每一个

执行步骤S23-1，得到

和

优选的，所述步骤S2中构建替代模型集

具体包括：首先初始化衰减因子集为γ，然后将测试文本x^ts输入到原始替代模型中，通过正态分布采样得到优化后的衰减因子集γ^*，最后将γ^*应用于原始替代模型中，得到替代模型集

优选的，所述步骤S3中构建任务集的具体步骤包括：

S31、构建总任务集Task：

对语义特征向量集

缩放因子集

风格特征向量集

替代模型集

中的元素进行匹配；

得到总任务集

S32、划分查询任务集Task^qr和支持任务集Task^sr：

将总任务集Task划分为查询任务集Task^qr和支持任务集Task^sr，满足Task＝Task^qr∪Task^sr和

其中，查询任务集

是查询任务集中的第m个查询任务；

支持任务集

是支持任务集中的第n个支持任务。

优选的，所述步骤S4利用元学习优化策略获取风格特征噪声向量δ^*的具体步骤包括：

S41、在支持任务集上获取风格特征噪声：

S41-1、在支持任务集Task^sr中随机选取B个任务，得到支持任务子集

其中，

是支持任务子集中的第b个支持任务；

S41-2、对支持任务

计算特征向量

将

输入到解码器D中，得到文本向量

S41-3、将

输入到支持任务子集的F_b中，得到F_b对

的预测标签y′_b和损失值

利用反向传播，得到

关于

的梯度向量

S41-4、对支持任务集中的每一个任务执行S41-1～S41-3步骤，得到支持梯度向量集g^sub，计算g^sub中所有梯度向量的平均值，得到第c次元学习优化中的平均支持梯度向量

S41-5、计算噪声向量

S42、在查询任务集上扰动风格特征向量：

S42-1、在查询任务集Taskqr的查询任务

中，将δ^sub添加到

中，得到扰动后的风格特征向量

再将

投影到

方向上，得到投影后的风格特征向量

S42-2、计算特征向量

将

输入到解码器D中，得到文本向量

S42-3、将

输入到查询任务集的F_m中，得到F_m对

的预测标签y″_m和损失值

利用反向传播，得到

关于

的梯度向量

S42-4、对查询任务集中的每一个任务执行S42-1～S42-3步骤，得到查询梯度向量集g^qr，计算g^qr中所有梯度向量的平均值，得到第c次元学习优化中的平均查询梯度向量

S43、通过迭代多次元学习优化获取噪声向量：

重复执行

次步骤S41～S42，得到平均支持梯度向量的集合G^sr和平均查询梯度向量的集合G^qr；

计算G^sr中所有元素的平均值

计算G^qr中所有元素的平均值

计算噪声向量

优选的，所述步骤S5中生成对抗文本x^*的具体步骤包括：

S51、分离语义特征与风格特征：

将测试文本x^ts输入到释义生成器P中，获得x^ts的一个释义文本x^p；

将x^ts作为输入数据，输入到特征提取器E中，得到x^ts的文本特征向量v^A；

将x^p作为输入数据，输入到特征提取器E中，得到x^p的语义特征向量v^p；

利用求解公式，求解得到v^p对应的缩放因子β和风格特征向量v^s；

S52、生成对抗样本：

将δ^*添加到v^s中，得到扰动的风格特征向量v^s′＝v^s+δ^*，再将v^s′投影到v^s方向上，得到投影后的风格特征向量

计算特征向量v^*＝βv^p+v^s*；

将v^*输入到解码器D中，得到对抗文本x^*，令x^ts＝x^*；

重复执行τ次上述步骤，得到最终的对抗文本x^*。

优选的，所述步骤S51中的求解公式具体为

本发明的有益效果是：

1)本发明在黑盒场景下，通过迭代多次“构建任务集-获取风格特征噪声-生成对抗样本”过程，能够产生具备强攻击能力的对抗文本。

2)本发明在生成对抗文本的过程中，先将文本的语义特征和风格特征分离开，再向风格特征添加噪声，能够在维持语义不变的情况下变换文本风格，因此，本发明方法产生的对抗文本具备很好的不易察觉性，并且对抗文本质量不依赖于预先训练的风格生成器。

3)本发明在对抗文本的生成过程中引入了元学习策略，并且通过同时扩展数据和替代模型来构建任务集，使得生成的对抗文本能够具有较高的迁移性。

附图说明

图1为本发明方法的总体步骤流程示意图；

图2为特征提取器和特征解码器的联合模型示意图；；

图3为构建测试文本向量表示集示意图；

图4为构建替代模型集示意图；

图5为构建任务集示意图；

图6为利用元学习策略获取风格特征噪声示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1-图6，为了测试目标模型是否存在对抗攻击安全威胁，给定测试文本x^ts，需生成与x^ts具有同样语义信息的对抗文本x^*，并将x^*输入到目标模型中，观察目标模型是否能够对x^*做出正确判断。

本发明提出的一种基于风格变换的高迁移性对抗文本生成方法，总体步骤流程如图1所示，其详细步骤如下：

步骤1构建预训练模型

本发明首先训练构建一个原始替代模型F^org、一个释义生成器P、一个特征提取器E、一个特征解码器D，其详细的构建过程为：

步骤1.1构建原始替代模型F^org

步骤1.1.1训练文本集为

其中，

为第i个训练文本，且1≤i≤R，R是训练文本总个数。

步骤1.1.2将X^tr输入到目标模型中，具体指的是所生成的对抗样本要攻击的人工智能模型，从而获得目标模型对X^tr的预测标签集

其中，

是目标模型对

的预测标签，且1≤i≤R。

步骤1.1.3将X^tr和Y^tr配对，形成原始训练数据集

步骤1.1.4将W^tr作为训练数据，训练得到目标模型的原始替代模型F^org。

步骤1.2构建释义生成器P

步骤1.2.1设文本释义数据集为

其中，

是文本集，t_j是第j个文本，

是释义集，u_j是t_j的释义，1≤j≤J，J是样本总个数。

步骤1.2.2将W作为训练数据，输入到初始的释义生成器中进行训练，训练得到释义生成器P。

步骤1.3构建特征提取器E和特征解码器D

步骤1.3.1搭建特征提取器E和特征解码器D的联合网络模型，其结构如图2所示。其中，特征提取器E由预训练模型BERT和池化层Pooling组成，特征解码器D由预训练模型BERT和全连接层Linear组成。

步骤1.3.2对原始文本集X^tr中的文本进行向量化，得到原始文本向量集

是文本

的向量表示。

步骤1.3.3将原始文本向量集V^tr作为输入，输入到联合模型中，得到输出向量

v′_i是联合模型对

的预测输出。

步骤1.3.4计算损失值

并根据该损失值，利用梯度反向传播策略更新一次联合模型的参数。

步骤1.3.5重复执行ψ次步骤1.3.3-1.3.4，训练得到特征提取器E和特征解码器D，其中，ψ是超参数，由人为指定。

步骤2构建测试文本的向量表示集和替代模型集

步骤2.1构建测试文本的向量表示集

构建测试文本的向量表示集的过程如图3所示，其详细步骤包括：

步骤2.1.1构建释义文本集

步骤2.1.1.1测试数据为data^ts＝(x^ts，y^ts)，y^ts是测试文本x^ts的真实标签。

步骤2.1.1.2将x^ts输入到释义生成器P中，获得x^ts的一个释义文本。

步骤2.1.1.3重复执行G次步骤2.1.1.2，得到x^ts的释义文本集

是x^ts的第g个释义文本，1≤g≤G，且G是10的整数倍，G的次数也是由人为指定。

步骤2.1.2获取文本特征向量、语义特征向量集

步骤2.1.2.1将x^ts作为输入，输入到特征提取器E中，得到x^ts的文本特征向量v^A。

步骤2.1.2.2依次将Xp中的每一个释义文本

作为输入，输入到特征提取器E中，得到Xp的语义特征向量集

是

的语义特征向量。

步骤2.1.3获取缩放因子集、风格特征向量集

步骤2.1.3.1对一个语义特征向量

和文本特征向量v^A，根据下述两个公式，求解得到

对应的缩放因子β_g和风格特征向量

步骤2.1.3.2对V^p中的每一个

执行步骤2.1.3.1，得到缩放因子集

和风格特征向量集

步骤2.2根据原始替代模型获取替代模型集

构建替代模型集的过程如图4所示，其详细步骤包括：

步骤2.2.1原始替代模型F^org中的残差层的总个数为L。

步骤2.2.2初始化衰减因子集为

其中，γ_l是第l个残差层的衰减因子，衰减因子是可以被优化的，且γ_l可通过学习策略(训练过程)进行调优，γ_l∈[0，1]。

步骤2.2.3将测试文本x^ts输入到F^org中，得到F^org对x^ts的预测输出概率向量

计算真实标签y^ts和

之间的交叉熵损失

其中，DIM是

的总维度数，

是

的第dim个维度上的元素值，

步骤2.2.4假设第l个残差块的输入为z_l-1，1≤l≤L，则第l个残差块的输出为z_l＝z_l-1+f_l(z_l-1)，其中，f_l(·)是残差部分的输出。

步骤2.2.5重写步骤2.2.4中第l个残差块的输出z_l＝z_l-1+γ_l·f_l(z_l-1)+μ，其中，μ是一个常数，μ的值等于(1-γ_l)·f_l(z_l-1)的值。

步骤2.2.6利用反向传播，计算梯度

其中，

是

对z_L的偏导数，

是f_l对z_l-1的偏导数，

是z₁对z₁的偏导数。

步骤2.2.7从正态分布N(0，1)中采样L×K个噪声，得到噪声集Δ＝[Δ₁ Δ₂…Δ_K]，其中，

是第k个噪声向量，Δ_k·l是第k个噪声向量的第l个噪声，1≤k≤K。

步骤2.2.8对每一个噪声向量Δ_k，计算

其中，exp(·)是指数函数，||·||₂是L2范数函数。

步骤2.2.9计算

得到优化后的衰减因子集γ^*＝γ+Δ_*，其中，

是γ^*的第l个衰减因子，即

将γ^*应用于原始替代模型，得到替代模型F₁。

步骤2.2.10重复G-1次如下步骤：在第g次，从均匀分布U(-0.5，0.5)中采样L个噪声，并将其添加到γ^*的对应衰减因子中，得到一个更新后的衰减因子集γ^*′，将γ^*′应用于原始替代模型，得到替代模型F_g+1，1≤g≤G-1。

步骤2.2.11结合步骤2.2.9和步骤2.2.10中得到的所有替代模型，得到替代模型集

步骤3构建任务集

构建任务集的过程如图5所示，其详细步骤包括：

步骤3.1构建总任务集

对语义特征向量集

缩放因子集

风格特征向量集

替代模型集

中的元素进行匹配，得到总任务集

其中，

是Task中的第g个任务。

步骤3.2划分查询任务集和支持任务集

将总任务集Task随机划分为查询任务集Taskqr和支持任务集Task^sr，满足Task＝Task^qr∪Task^sr和

其中，

是查询任务集中的第m个查询任务，1≤m≤M，M＝G/10；支持任务集

是支持任务集中的第n个支持任务，1≤n≤N，N＝G-M。

步骤4获取风格特征噪声

利用元学习优化策略，即利用训练过程来优化，迭代执行

次步骤4.1-4.2，且

以获取风格特征噪声，过程如图6所示。其详细步骤包括：

步骤4.1在支持任务集上获取风格特征噪声

步骤4.1.1从

中随机选取B个任务，得到支持任务子集

其中，

是支持任务子集中的第b个支持任务，1≤b≤B。

步骤4.1.2对一个支持任务

计算特征向量

步骤4.1.3将

输入到解码器D中，得到文本向量

步骤4.1.4将

输入到支持任务子集中的F_b中，得到F_b对

的预测标签y′_b，得到损失值

||·||₂是L2范数函数。利用反向传播，得到

关于

的梯度向量

步骤4.1.5对

中的每一个任务

执行步骤4.1.2-4.1.4，得到支持梯度向量集

计算g^sub中所有梯度向量的平均值，得到第c次元学习优化中的平均支持梯度向量

步骤4.1.6计算噪声向量

其中，∈是超参数，用于设定噪声值大小，sign(·)是符号函数，且

步骤4.2在查询任务集上扰动风格特征向量

步骤4.2.1对一个查询任务

将δ^sub添加到

中，得到扰动后的风格特征向量

再将

投影到

方向上，得到投影后的风格特征向量

步骤4.2.2计算特征向量

步骤4.2.3将

输入到解码器D中，得到文本向量

步骤4.2.4将

输入到查询任务集的F_m中，得到F_n对

的预测标签y″_m，得到损失值

利用反向传播，得到

关于

的梯度向量

步骤4.2.5对

中的每一个任务

执行步骤4.2.1-4.2.4，得到查询梯度向量集

计算g^qr中所有梯度向量的平均值，得到第c次元学习优化中的平均查询梯度向量

步骤4.3通过迭代多次元学习优化获取噪声向量

步骤4.3.1重复执行

次步骤4.1-4.2，得到平均支持梯度向量的集合

和平均查询梯度向量的集合

是第c次元学习优化得到的平均支持梯度向量，

是第c次元学习优化得到的平均查询梯度向量，且

步骤4.3.2计算G^sr中所有元素的平均值

计算G^qr中所有元素的平均值

步骤4.3.3计算噪声向量

其中，α是超参数，用于设定噪声值大小。

步骤5生成对抗样本

步骤5.1分离语义特征与风格特征

步骤5.1.1将测试文本x^ts输入到释义生成器P中，获得x^ts的一个释义文本x^p。

步骤5.1.2将x^ts作为输入数据，输入到特征提取器E中，得到x^ts的文本特征向量v^A。

步骤5.1.3将x^p作为输入数据，输入到特征提取器E中，得到x^p的语义特征向量v^p。

步骤5.1.4根据下述两个公式，求解得到v^p对应的缩放因子β和风格特征向量v^s。

步骤5.2生成对抗样本

步骤5.2.1将δ^*添加到v^s中，得到扰动的风格特征向量v^s′＝v^s+δ^*，再将v^s′投影到v^s方向上，得到投影后的风格特征向量

步骤5.2.2计算特征向量v^*＝βv^p+v^s*。

步骤5.2.3将v^*输入到解码器D中，得到对抗文本x^*，令x^ts＝x^*。

步骤5.2.4重复执行τ次(人为设定的超参数)步骤2-5.2.4，得到最终的对抗文本x^*。

本发明通过结合风格变换和元学习策略，在黑盒场景下能生成具备强攻击能力、高迁移性的对抗文本。本发明在黑盒场景下，通过迭代多次“构建任务集-获取风格特征噪声-生成对抗样本”过程，能够产生具备强攻击能力的对抗文本。

本发明在生成对抗文本的过程中，先将文本的语义特征和风格特征分离开，再向风格特征添加噪声，能够在维持语义不变的情况下变换文本风格，因此，本发明方法产生的对抗文本具备很好的不易察觉性，并且对抗文本质量不依赖于预先训练的风格生成器。

本发明在对抗文本的生成过程中引入了元学习策略，并且通过同时扩展数据和替代模型来构建任务集，使得生成的对抗文本能够具有较高的迁移性。

尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于风格变换的高迁移性对抗文本生成方法，其特征在于，包括如下步骤：

S1、构建预训练模型，包括构建原始替代模型F^org、构建释义生成器P、构建特征提取器E和特征解码器D；

S2、构建测试文本的向量表示集和替代模型集

所述测试文本的向量表示集包括语义特征向量集V^p、缩放因子集

和风格特征向量集V^s；

S3、构建任务集，包括构建总任务集Task，划分查询任务集Taskqr和支持任务集Task^sr；

S4、利用元学习优化策略获取风格特征噪声向量δ^*；

S5、生成对抗文本x^*。

2.根据权利要求1所述的基于风格变换的高迁移性对抗文本生成方法，其特征在于：在步骤S1中，所述构建原始替代模型F^org具体包括：

设训练文本集为

将X^tr输入到目标模型中，从而获得目标模型对X^tr的预测标签集

将X^tr和Y^tr配对，形成原始训练数据集

将W^tr作为训练数据，训练后得到目标模型的原始替代模型F^org；

所述构建释义生成器P具体包括：设文本释义数据集为

将W作为训练数据，训练得到释义生成器P；

所述的构建特征提取器E和特征解码器D具体包括：

先搭建初始特征提取器和初始特征解码器的联合网络模型，初始特征提取器由预训练模型BERT和池化层Pooling组成，初始特征解码器由预训练模型BERT和全连接层Linear组成；

将原始文本集X^tr中的文本进行向量化，得到原始文本向量集

将原始文本向量集V^tr作为输入，输入到联合模型中，得到输出向量

计算损失值，根据该损失值利用梯度反向传播策略更新一次联合模型的参数；

重复执行ψ次上述步骤，训练得到特征提取器E和特征解码器D。

3.根据权利要求1所述的基于风格变换的高迁移性对抗文本生成方法，其特征在于：所述步骤S2中构建测试文本的向量表示集的具体步骤包括：

S21、构建释义文本集；

S21-1、设测试数据为data^ts＝(x^ts，y^ts)，y^ts是测试文本x^ts的真实标签；

S21-2、将x^ts输入到释义生成器P中，获得x^ts的一个释义文本；

S21-3、重复执行G次步骤S21-2，得到x^ts的释义文本集

S22、获取文本特征向量、语义特征向量集；

将x^ts作为输入，输入到特征提取器E中，得到x^ts的文本特征向量v^A；依次将Xp中的每一个释义文本

作为输入，输入到特征提取器E中，得到Xp的语义特征向量集

是

的语义特征向量；

S23、获取缩放因子集、风格特征向量集；

S23-1、对一个语义特征向量

和文本特征向量v^A，求解得到

对应的缩放因子β_g和风格特征向量

S23-2、对V^p中的每一个

执行步骤S23-1，得到

和风格特征向量集

4.根据权利要求1所述的基于风格变换的高迁移性对抗文本生成方法，其特征在于：所述步骤S2中构建替代模型集

具体包括：首先初始化衰减因子集为γ，然后将测试文本x^ts输入到原始替代模型中，通过正态分布采样得到优化后的衰减因子集γ^*，最后将γ^*应用于原始替代模型中，得到替代模型集

5.根据权利要求1所述的基于风格变换的高迁移性对抗文本生成方法，其特征在于：所述步骤S3中构建任务集的具体步骤包括：

S31、构建总任务集Task：

对语义特征向量集

缩放因子集

风格特征向量集

替代模型集

中的元素进行匹配；

得到总任务集

S32、划分查询任务集Taskqr和支持任务集Task^sr：

将总任务集Task划分为查询任务集Taskqr和支持任务集Task^sr，满足Task＝Task^qr∪Task^sr和

其中，查询任务集

是查询任务集中的第m个查询任务；

支持任务集

是支持任务集中的第n个支持任务。

6.根据权利要求1所述的基于风格变换的高迁移性对抗文本生成方法，其特征在于：所述步骤S4利用元学习优化策略获取风格特征噪声向量δ^*的具体步骤包括：

S41、在支持任务集上获取风格特征噪声：

S41-1、在支持任务集Task^sr中随机选取B个任务，得到支持任务子集

其中，

是支持任务子集中的第b个支持任务；

S41-2、对支持任务

计算特征向量

将

输入到解码器D中，得到文本向量

S41-3、将

输入到支持任务子集的F_b中，得到F_b对

的预测标签y′_b和损失值

利用反向传播，得到

关于

的梯度向量

S41-4、对支持任务集中的每一个任务执行S41-1～S41-3步骤，得到支持梯度向量集g^sub，计算g^sub中所有梯度向量的平均值，得到第c次元学习优化中的平均支持梯度向量

S41-5、计算噪声向量

S42、在查询任务集上扰动风格特征向量：

S42-1、在查询任务集Taskqr的查询任务

中，将δ^sub添加到

中，得到扰动后的风格特征向量

再将

投影到

方向上，得到投影后的风格特征向量

S42-2、计算特征向量

将

输入到解码器D中，得到文本向量

S42-3、将

输入到查询任务集的F_m中，得到F_m对

的预测标签y″_m和损失值

利用反向传播，得到

关于

的梯度向量

S42-4、对查询任务集中的每一个任务执行S42-1～S42-3步骤，得到查询梯度向量集g^qr，计算g^qr中所有梯度向量的平均值，得到第c次元学习优化中的平均查询梯度向量

S43、通过迭代多次元学习优化获取噪声向量：

重复执行

次步骤S41～S42，得到平均支持梯度向量的集合G^sr和平均查询梯度向量的集合G^qr；

计算G^sr中所有元素的平均值

计算G^qr中所有元素的平均值

计算噪声向量

7.根据权利要求1所述的基于风格变换的高迁移性对抗文本生成方法，其特征在于：所述步骤S5中生成对抗文本x^*的具体步骤包括：

S51、分离语义特征与风格特征：

将测试文本x^ts输入到释义生成器P中，获得x^ts的一个释义文本x^p；

将x^ts作为输入数据，输入到特征提取器E中，得到x^ts的文本特征向量v^A；

将x^p作为输入数据，输入到特征提取器E中，得到x^p的语义特征向量v^p；

利用求解公式，求解得到v^p对应的缩放因子β和风格特征向量v^s；

S52、生成对抗样本：

将δ^*添加到v^s中，得到扰动的风格特征向量v^s′＝v^s+δ^*，再将v^s′投影到v^s方向上，得到投影后的风格特征向量

计算特征向量v^*＝βv^p+v^s*；

将v^*输入到解码器D中，得到对抗文本x^*，令x^ts＝x^*；

重复执行τ次上述步骤，得到最终的对抗文本x^*。

8.根据权利要求7所述的基于风格变换的高迁移性对抗文本生成方法，其特征在于：所述步骤S51中的求解公式具体为

Images