CN117296058A - 作为简单有效的对抗攻击方法的变体不一致攻击(via) - Google Patents
作为简单有效的对抗攻击方法的变体不一致攻击(via) Download PDFInfo
- Publication number
- CN117296058A CN117296058A CN202280033706.0A CN202280033706A CN117296058A CN 117296058 A CN117296058 A CN 117296058A CN 202280033706 A CN202280033706 A CN 202280033706A CN 117296058 A CN117296058 A CN 117296058A
- Authority
- CN
- China
- Prior art keywords
- samples
- pair
- machine learning
- learning model
- robot
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 132
- 238000010801 machine learning Methods 0.000 claims abstract description 114
- 238000012549 training Methods 0.000 claims abstract description 109
- 230000004044 response Effects 0.000 claims abstract description 35
- 238000012545 processing Methods 0.000 claims description 72
- 230000006870 function Effects 0.000 claims description 58
- 230000008569 process Effects 0.000 claims description 41
- 230000015654 memory Effects 0.000 claims description 37
- 238000004422 calculation algorithm Methods 0.000 description 60
- 238000003860 storage Methods 0.000 description 39
- 235000013550 pizza Nutrition 0.000 description 38
- 238000004891 communication Methods 0.000 description 32
- 230000009471 action Effects 0.000 description 24
- 238000012360 testing method Methods 0.000 description 24
- 238000013528 artificial neural network Methods 0.000 description 16
- 238000012986 modification Methods 0.000 description 16
- 230000004048 modification Effects 0.000 description 16
- 238000004458 analytical method Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 14
- 238000007726 management method Methods 0.000 description 12
- 238000002790 cross-validation Methods 0.000 description 11
- 230000003993 interaction Effects 0.000 description 11
- 238000013527 convolutional neural network Methods 0.000 description 10
- 230000007704 transition Effects 0.000 description 9
- 238000003058 natural language processing Methods 0.000 description 8
- 238000012546 transfer Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 7
- 238000007781 pre-processing Methods 0.000 description 7
- 238000012706 support-vector machine Methods 0.000 description 7
- 238000010200 validation analysis Methods 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 6
- 230000008520 organization Effects 0.000 description 5
- 238000007792 addition Methods 0.000 description 4
- 238000010224 classification analysis Methods 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 4
- 238000002474 experimental method Methods 0.000 description 4
- 230000036541 health Effects 0.000 description 4
- 230000006855 networking Effects 0.000 description 4
- 238000003062 neural network model Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000011282 treatment Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 3
- 238000010367 cloning Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000011049 filling Methods 0.000 description 3
- 238000012552 review Methods 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000000007 visual effect Effects 0.000 description 3
- 238000010989 Bland-Altman Methods 0.000 description 2
- 238000003646 Spearman's rank correlation coefficient Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 230000003042 antagnostic effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 230000009118 appropriate response Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 235000013305 food Nutrition 0.000 description 2
- 238000002372 labelling Methods 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000013439 planning Methods 0.000 description 2
- 238000011176 pooling Methods 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 238000013068 supply chain management Methods 0.000 description 2
- 240000005020 Acaciella glauca Species 0.000 description 1
- 241000238558 Eucarida Species 0.000 description 1
- 241001020574 Gigantactis ios Species 0.000 description 1
- 241000282620 Hylobates sp. Species 0.000 description 1
- 240000000233 Melia azedarach Species 0.000 description 1
- 241000699666 Mus <mouse, genus> Species 0.000 description 1
- 241000699670 Mus sp. Species 0.000 description 1
- 206010028980 Neoplasm Diseases 0.000 description 1
- 108091028043 Nucleic acid sequence Proteins 0.000 description 1
- 208000025174 PANDAS Diseases 0.000 description 1
- 208000021155 Paediatric autoimmune neuropsychiatric disorders associated with streptococcal infection Diseases 0.000 description 1
- 235000014676 Phragmites communis Nutrition 0.000 description 1
- 238000012300 Sequence Analysis Methods 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 235000002017 Zea mays subsp mays Nutrition 0.000 description 1
- 241000482268 Zea mays subsp. mays Species 0.000 description 1
- 230000002730 additional effect Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 235000000332 black box Nutrition 0.000 description 1
- 230000004397 blinking Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000002591 computed tomography Methods 0.000 description 1
- 238000005094 computer simulation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000002059 diagnostic imaging Methods 0.000 description 1
- 238000004836 empirical method Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012417 linear regression Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000002595 magnetic resonance imaging Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 238000002156 mixing Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000037211 monthly cycles Effects 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000002600 positron emission tomography Methods 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 235000003499 redwood Nutrition 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000013526 transfer learning Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
- 238000002604 ultrasonography Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/279—Recognition of textual entities
- G06F40/289—Phrasal analysis, e.g. finite state techniques or chunking
- G06F40/295—Named entity recognition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/02—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail using automatic reactions or user delegation, e.g. automatic replies or chatbot-generated messages
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- Artificial Intelligence (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Computational Linguistics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Machine Translation (AREA)
Abstract
本公开涉及使用变体不一致攻击(VIA)作为简单有效的对抗攻击方法来创建用于机器学习模型的对抗训练的有用对抗样例的技术。在一个特定方面,提供了一种方法,其包括:获得用于攻击机器学习模型的输入样例集(该样例集不具有对应的标记);以效用保留方式修改该样例集中的样例以生成一对修改后样例;用一对修改后样例来攻击机器学习模型,以生成针对该一对修改后样例的一对预测;比较该一对预测以确定该一对预测是相同的还是不同的;以及响应于该一对预测是不同的,将该一对修改后样例添加到对抗样例集中。
Description
优先权要求
本申请是于2021年5月7日提交的美国临时申请号63/185,531的非临时申请并且要求该美国临时申请的权益,该美国临时申请出于所有目的通过援引以其全文并入本文。
技术领域
本公开涉及对抗攻击(adversarial attack),具体地涉及使用变体不一致攻击(variant inconsistency attack,VIA)作为简单有效的对抗攻击方法来创建用于机器学习模型的对抗训练的有用对抗样例的技术。
背景技术
随着机器学习技术在过去二十年的快速发展,机器学习已经扩展到现实世界的问题中,比如人脸识别、假新闻检测和基因序列分析等,仅举几例。然而,事实一再证明,所有机器学习模型都是不完美的。实际上,它们非常容易受到对抗样例的影响,这些样例被精心设计以使经训练的模型失败。可以欺骗模型的对抗样例可能会对处理敏感信息(比如健康分析、财务分析、个人购物行为分析等)的应用产生重大不利影响。例如,对抗样例被精心设计为使编辑个人信息的模型可能会泄露敏感信息或在自动驾驶等应用中造成致命损害。
因此,在将模型投入生产之前防御这种对抗攻击是机器学习研究的一个关键且具有挑战性的主题。先前的研究已经发现,对抗训练(即,将对抗样例与原始训练数据集混合)是保护模型免受对抗攻击的有效方式。自然而然地,如何自动生成用于对抗训练的对抗样例是防御这种攻击的关键问题。
发明内容
本公开总体上涉及对抗攻击。更具体地,本文描述的技术涉及使用VIA作为简单有效的对抗攻击方法来创建用于机器学习模型的对抗训练的有用对抗样例的技术。本文中描述了各种发明实施例,包括方法、系统、存储有可由一个或多个处理器执行的程序、代码或指令的非暂态计算机可读存储介质等。
在各种实施例中,提供了一种计算机实施的方法,其包括:获得用于攻击机器学习模型的输入样例集,其中,所述样例集不具有对应的标记;以效用保留方式(utilitypreserving manner)修改来自所述样例集中的样例以生成一对修改后样例,其中,所述效用保留方式包括在不改变所述样例的原始含义或预期标记的情况下修改所述样例,并且其中,所述一对修改后样例共享相同的预期标记;用所述一对修改后样例来攻击所述机器学习模型,其中,所述攻击包括:(i)在保持所述相同的预期标记对所述机器学习模型未知的同时将所述一对修改后样例输入到所述机器学习模型中,以及(ii)通过所述机器学习模型生成针对所述一对修改后样例的一对预测;比较所述一对预测以确定所述一对预测是相同的还是不同的;以及响应于所述一对预测是不同的,将所述一对修改后样例添加到对抗样例集中。
在一些实施例中,所述方法进一步包括使用所述对抗样例集来训练所述机器学习模型或不同的机器学习模型,其中,所述训练包括用预期标记来注释所述对抗样例集中的每个样例以获得被注释的对抗样例,将所述被注释的对抗样例馈送到所述机器学习模型或所述不同的机器学习模型,并且使用所述被注释的对抗样例基于最大化或最小化目标函数来学习多个模型参数。
在一些实施例中,所述方法进一步包括响应于所述一对预测是不同的并且在将所述一对修改后样例添加到对抗样例对的集合之前,单独确定所述一对修改后样例中的每个修改后样例是否是真正的对抗样例,并且将所述修改后样例到所述对抗样例集的添加限制为只是将被认为是真正的对抗样例的修改后样例添加到所述对抗样例集中。
在一些实施例中,所述机器学习模型是聊天机器人系统的一部分。
在一些实施例中,所述机器学习模型是命名实体识别模型(named entityrecognition model)、意图识别模型或图像识别模型。
在一些实施例中,所述修改包括将噪声添加到所述样例中。
在一些实施例中,所述修改包括从所述样例中选择一个或多个字母或单词,并对所述一个或多个字母或单词执行插入、删除或替换操作。
在一些实施例中,提供了一种系统,所述系统包括一个或多个数据处理器和包含指令的非暂态计算机可读存储介质,所述指令当在所述一个或多个数据处理器上执行时使所述一个或多个数据处理器执行本文所公开的一种或多种方法的部分或全部。
在一些实施例中,提供了一种计算机程序产品,所述计算机程序产品被有形地体现在非暂态机器可读存储介质中并且包括指令,所述执行被配置为使一个或多个数据处理器执行本文所公开的一种或多种方法的部分或全部。
在参考以下说明书、权利要求和附图之后,前述内容以及其他特征和实施例将变得更加明显。
附图说明
图1是结合了根据各种实施例的聊天机器人系统的环境的简化框图。
图2是根据各种实施例的实施主机器人的计算系统的简化框图。
图3是根据各种实施例的实施技能机器人的计算系统的简化框图。
图4A和图4B图示了根据各种实施例的图像的对抗样例对。
图5是图示根据各种实施例的用于实施变体不一致攻击的计算环境的简化框图。
图6图示了根据各种实施例的用于变体不一致攻击的过程流程。
图7描绘了用于实施各种实施例的分布式系统的简化图。
图8是根据各种实施例的系统环境的一个或多个部件的简化框图,通过该系统环境,由实施例系统的一个或多个部件提供的服务可以作为云服务来被提供。
图9图示了可以被用于实施各种实施例的示例计算机系统。
具体实施方式
在以下描述中,出于解释的目的,阐述了具体细节以便提供对某些发明实施例的透彻理解。然而,将显而易见的是,可以在没有这些具体细节的情况下实践各个实施例。附图和描述不旨在是限制性的。词语“示例性”在本文中用来意指“用作示例、实例或说明”。在本文中被描述为“示例性”的任何实施例或设计不必被解释为比其他实施例或设计更优选或有利。
介绍
近年来,已经提出了新的算法来处理如何自动生成对抗样例的问题。例如,Goodfellow等人(Ian J Goodfellow、Jonathon Shlens和Christian Szegedy的Explaining and harnessing adversarial examples[解释和利用对抗样例],在2015年学习表示国际会议论文集中)是一种基于快速梯度符号法(FGSM)的白盒算法,作者声称通过向熊猫图像添加小扰动,攻击算法成功欺骗了GoogLeNet(Szegedy,Christian,Liu,Wei,Jia,Yangqing,Sermanet,Pierre,Reed,Scott,Anguelov,Dragomir,Erhan,Dumitru,Vanhoucke,Vincent和Rabinovich,Andrew的Going deeper with convolutions[深入卷积],技术报告,arXiv预印本arXiv:1409.4842,2014a)并使其将对抗熊猫图像错误分类为长臂猿。Biggio等人(B.Biggio、I.Corona、D.Maiorca、B.Nelson、N.′c、P.Laskov、G.Giacinto和F.Roli,“Evasion attacks against machine-learning at test time[测试时对机器学习的规避攻击]”,在欧洲机器学习和数据库知识发现联合会议中,施普林格出版社,2013年,第387-402页)是另一种基于梯度的攻击方法,作者通过操纵判别函数的梯度来生成针对线性分类器、支持向量机(SVM)和神经网络的对抗样例。Lian等人(BinLiang、Hongcheng Li、Miaoqiang Su、Pan Bian、Xirong Li和Wenchang Shi,2017年,DeepText Classification Can be Fooled[深度文本分类可能会被欺骗],arXiv预印本arXiv:1704.08006(2017))是另一项工作,作者将FGSM的想法扩展到文本数据。通过定义三种不同的操作(插入、删除、修改)并操纵成本梯度的大小,他们成功生成了文本对抗样例来欺骗基于DNN的分类器。
与白盒攻击相比,黑盒攻击似乎更具吸引力,因为这些技术是模型无关的,并且不假设了解受害模型的内部架构和参数的任何先验知识。黑盒模型只需要访问受害模型的输入和输出。受害模型可以像多层深度神经网络一样复杂,也可以像线性回归模型一样简单。在Jin等人(Di Jin、Zhijing Jin、Joey Tianyi Zhou和Peter Szolovits的Textfool:Foolyour model with natural adversarial text[文本欺骗:用自然对抗文本欺骗你的模型],http://groups.csail.mit.edu/medg/ftp/psz-papers/2019%20Di%20Jin.pdf,2019年)中,作者使用黑盒攻击方法来攻击NLP模型,通过为某些选定的关键词仔细选择同义词并应用一些其他技术,如过滤掉停用词、计算文本之间的语义相似度,作者声称他们在成功率和扰动率方面都优于最先进的攻击方法。高等人(Ji Gao、Jack Lanchantin、MaryLou Soffa和Yanjun Qi,2018年,Black-box generation of adversarial textsequences to evade deep learning classifiers[对抗性文本序列的黑盒生成以规避深度学习分类器],arXiv预印本arXiv:1801.04354)与Jin等人的想法类似,但选择重要单词和变换记号的方式不同。Jia等人(Robin Jia和Percy Liang,2017年,AdversarialExamples for Evaluating Reading Comprehension Systems[评估阅读理解系统的对抗样例],在2017年自然语言处理经验方法会议论文集(EMNLP 2017),丹麦哥本哈根,2021-2031)是一项攻击阅读理解系统的替代工作,它们通过在段落末尾添加无意义的句子而保持段落和问题答案的相同语义来欺骗受害模型。
尽管这些现有的攻击方法可以生成对抗样例,但它们通常需要经标记的数据作为攻击算法的输入,而这在现实世界的应用中可能很难获得。为了解决这些问题和其他问题,本公开引入了对抗攻击技术,其释放标记约束并利用未标记的数据作为输入,从而显著增加了可以产生的对抗样例的数量。所提出的变体不一致(VI)的算法和对抗攻击技术基于一个简单但有效的逻辑:假设给定的输入只有一个正确的预测,如果一个模型产生不同的预测,那么其中至少一个肯定是错误的。通过应用VI,可能消除需要标记数据来创建用于训练机器学习模型的有用对抗样例的限制。
本公开的一个示例性实施例涉及一种计算机实施的过程,其包括:获得用于攻击机器学习模型的输入样例集,其中,所述样例集不具有对应的标记;以效用保留方式修改所述样例集中的样例以生成一对修改后样例,其中,所述效用保留方式包括在不改变所述样例的原始含义或预期标记的情况下修改所述样例,并且其中,所述一对修改后样例共享相同的预期标记;用所述一对修改后样例来攻击所述机器学习模型,其中,所述攻击包括:(i)在保持所述相同的预期标记对所述机器学习模型未知的同时将所述一对修改后样例输入到所述机器学习模型中,以及(ii)通过所述机器学习模型生成针对所述一对修改后样例的一对预测;比较所述一对预测以确定所述一对预测是相同的还是不同的;以及响应于所述一对预测是不同的,将所述一对修改后样例添加到对抗样例集中。
机器人系统
本文描述的用于生成对抗样例的对抗攻击技术可以用作保护模型免受对抗攻击的有效方式。在各种实施例中,模型可以被实施为数字助理的一部分;然而,应当理解,本文描述的技术也适用于诸如图像识别等其他上下文。数字助理是帮助用户在自然语言会话中完成各种任务的人工智能驱动接口。针对每个数字助理,客户可以组装一个或多个技能。技能(在本文中也描述为聊天机器人、机器人或技能机器人)是聚焦于如跟踪库存、提交时间卡和创建费用报告等特定类型的任务的单独机器人。当终端用户与数字助理接洽时,数字助理评估终端用户输入并且将会话路由到适当的聊天机器人并从适当的聊天机器人路由会话。可以通过如Messenger(即时通)、SKYPE/>messenger或短消息服务(SMS)等各种通道使数字助理对终端用户可用。通道使得聊天通过各种消息传递平台在终端用户与数字助理及其各聊天机器人之间来回地传送。通道还可以支持用户代理升级、事件发起的会话和测试。
意图允许聊天机器人理解用户想要聊天机器人做什么。意图包括典型的用户请求和陈述的排列,这也称为话语(例如,获得账户余额、进行购物等)。如本文所使用的,话语或消息可以指代在与聊天机器人的会话期间交换的一组单词(例如,一个或多个句子)。意图可以通过提供说明某个用户动作的名称(例如,订购披萨)并编译通常与触发动作相关联的一组现实生活用户陈述或话语来创建。因为聊天机器人的认知是源自这些意图,所以每个意图可以从稳健的数据集(一至两打话语)创建并且变化,使得聊天机器人可以解释不明确的用户输入。一组丰富的话语使聊天机器人能够在其接收到如“Forget this order!(忽略此订单!)”或“Cancel delivery!(取消派送!)”等消息(意指相同的事情但以不同的方式表达的消息)时理解用户想要什么。意图和属于意图的话语共同构成聊天机器人的训练语料库。通过用语料库训练模型,客户基本上可以将该模型变成用于将终端用户输入解析成单个意图的参考工具。客户可以通过多轮意图测试和意图训练来提高聊天机器人的认知的敏锐度。
机器人(也称为技能、聊天机器人、交谈机器人或谈话机器人)是可以执行与终端用户的会话的计算机程序。机器人通常可以通过使用自然语言消息的消息传递应用程序对自然语言消息(例如,问题或评论)作出回应。企业可以使用一个或多个机器人系统通过消息传递应用程序与终端用户交流。消息传递应用程序(其可以被称为通道)可以是终端用户已经安装并且熟悉的终端用户优选的消息传递应用程序。因此,为了与机器人系统聊天,终端用户不需要下载并安装新的应用程序。消息传递应用程序可以包括例如过顶(OTT)消息传递通道(如Facebook Messenger、Facebook WhatsApp、微信、Line、Kik、Telegram、Talk、Skype、Slack或SMS)、虚拟私人助理(如Amazon Dot、Echo或Show、Google Home、AppleHomePod等)、本地或混合扩展的移动和web应用程序扩展/具有聊天功能的响应式移动应用程序或web应用程序、或基于声音的输入(如具有使用Siri、微软小娜(Cortana)、谷歌之音(Google Voice)或用于交互的其他语音输入的设备或应用程序)。
在一些示例中,机器人系统可以与统一资源标识符(URI)相关联。URI可以使用一串字符标识机器人系统。URI可以用作一个或多个消息传递应用程序系统的webhook(网络挂接)。URI可以包括例如统一资源定位符(URL)或统一资源名称(URN)。机器人系统可以被设计成从消息传递应用程序系统接收消息(例如,超文本传送协议(HTTP)post调用消息)。HTTP post调用消息可以涉及来自消息传递应用程序系统的URI。在一些实施例中,消息可以不同于HTTP post调用消息。例如,机器人系统可以从短消息服务(SMS)接收消息。虽然本文的讨论可以将机器人系统接收到的通信称作消息,但是应理解,消息可以是HTTP post调用消息、SMS消息或两个系统之间的任何其他类型的通信。
终端用户可以通过会话式交互(有时称为会话式用户接口(UI))与机器人系统交互,正如人之间的交互那样。在一些情况下,交互可以包括终端用户对机器人说“Hello(你好)”以及机器人用“Hi(嗨)”回应并询问终端用户机器人可以如何提供帮助。在一些情况下,交互还可以是与例如银行业务机器人的交易式交互,如将钱从一个账户转移到另一个账户;与例如HR机器人的信息式交互,如查询假期结余;或与例如零售机器人的交互,如讨论退回已购商品或寻求技术支持。
在一些实施例中,机器人系统可以在没有与机器人系统的管理员或开发人员交互的情况下智能地处理终端用户交互。例如,终端用户可以向机器人系统发送一个或多个消息以便实现期望的目标。消息可以包括某种内容,如文本、表情符号、音频、图像、视频或传达消息的其他方法。在一些实施例中,机器人系统可以将内容转换成标准化形式(例如,利用适当的参数针对企业服务的表述性状态转移(REST)调用)并且生成自然语言回应。机器人系统还可以提示终端用户输入另外的输入参数或请求其他另外的信息。在一些实施例中,机器人系统还可以发起与终端用户的交流,而不是被动地回应终端用户话语。本文所描述的是用于识别机器人系统的显式调用并确定被调用的机器人系统的输入的各种技术。在某些实施例中,显式调用分析是由主机器人基于检测到话语中的调用名称而执行的。响应于检测到调用名称,话语可以细化以供输入到与调用名称相关联的技能机器人。
与机器人的会话可以遵循包括多个状态的特定会话流。所述流可以基于输入来定义接下来会发生什么。在一些实施例中,可以使用包括用户定义的状态(例如,终端用户意图)和在状态中或状态之间要采取的动作的状态机来实施机器人系统。会话可以基于终端用户输入来采用不同的路径,这可能会影响机器人针对所述流作出的决定。例如,在每个状态下,基于终端用户输入或话语,机器人可以确定终端用户的意图以便确定要采取的下一个适当动作。如本文所使用的且在话语的上下文中,术语“意图”是指提供话语的用户的意图。例如,用户可以打算让机器人参与用于订购披萨的会话,使得用户的意图可以通过话语“Order pizza(订购披萨)”来表示。用户意图可以涉及用户希望聊天机器人代表用户执行的特定任务。因此,话语可以表达为反映用户的意图的问题、命令、请求等。意图可以包括终端用户想要完成的目标。
在聊天机器人的配置的上下文中,本文所使用的术语“意图”是指用于将用户的话语映射到聊天机器人可以执行的特定任务/动作或特定种类的任务/动作的配置信息。为了区分话语的意图(即,用户意图)与聊天机器人的意图,本文中有时将后者称为“机器人意图”。机器人意图可以包括与意图相关联的一组一个或多个话语。例如,订购披萨的意图可以具有表达下订单购买披萨的期望的话语的各种排列。这些相关联的话语可以用于训练聊天机器人的意图分类器以使意图分类器能够随后确定来自用户的输入话语是否与订购披萨意图相匹配。机器人意图可以与用于启动与用户在某个状态中的会话的一个或多个对话流相关联。例如,针对订购披萨意图的第一消息可以是问题“What kind of pizza wouldyou like?(你想要哪种披萨?)”。除了相关联的话语之外,机器人意图可以进一步包括与意图有关的命名实体。例如,订购披萨意图可以包括用于执行订购披萨的任务的变量或参数,例如馅料1、馅料2、披萨类型、披萨大小、披萨数量等。实体的值通常是通过与用户交谈获得的。
图1是并入了根据某些实施例的聊天机器人系统的环境100的简化框图。环境100包括数字助理构建器平台(DABP)102,所述DABP使得DABP 102的用户能够创建并部署数字助理或聊天机器人系统。DABP 102可以用于创建一个或多个数字助理(或DA)或聊天机器人系统。例如,如图1所示,表示特定企业的用户104可以使用DABP 102来创建并部署用于特定企业的用户的数字助理106。例如,DABP 102可以被银行用来创建供银行的客户使用的一个或多个数字助理。多个企业可以使用同一个DABP 102平台来创建数字助理。作为另一示例,餐馆(例如,披萨店)的所有者可以使用DABP 102来创建并部署使餐馆的客户能够订购食物(例如,订购披萨)的数字助理。
出于本公开的目的,“数字助理”是通过自然语言会话帮助数字助理的用户完成各种任务的实体。可以仅使用软件(例如,数字助理是使用可由一个或多个处理器执行的程序、代码或指令实施的数字实体)、使用硬件、或使用硬件和软件的组合来实施数字助理。数字助理可以在如计算机、移动电话、手表、器具、车辆等各种物理系统或设备中体现或实施。数字助理有时也称为聊天机器人系统。因此,出于本公开的目的,术语“数字助理”和“聊天机器人系统”是可互换的。
数字助理(如使用DABP 102构建的数字助理106)可以用于经由数字助理与其用户108之间基于自然语言的会话来执行各种任务。作为会话的一部分,用户可以向数字助理106提供一个或多个用户输入110并从数字助理106获得返回的回应112。会话可以包括输入110和回应112中的一个或多个。经由这些会话,用户可以请求由数字助理执行一个或多个任务,并且作为回应,数字助理被配置为执行用户请求的任务并以适当的回应来回应用户。
用户输入110通常呈自然语言的形式并且被称为话语。用户话语110可以是文本形式,如当用户键入句子、问题、文本片段或甚至单个单词并将文本作为输入提供给数字助理106时。在一些实施例中,用户话语110可以是音频输入或语音的形式,如当用户讲出或说出某些内容作为输入提供给数字助理106时。话语通常呈用户108说出的语言的形式。例如,话语可以是英语或某种其他语言。当话语呈语音形式时,将语音输入转换成该特定语言的文本形式的话语,并且然后由数字助理106来处理文本话语。可以使用各种语音到文本处理技术将语音或音频输入转换成文本话语,所述文本话语然后由数字助理106来处理。在一些实施例中,语音到文本的转换可以由数字助理106自身完成。
话语(所述可以是文本话语或语音话语)可以是片段、一个句子、多个句子、一个或多个单词、一个或多个问题、上述类型的组合等。数字助理106被配置为将自然语言理解(NLU)技术应用于话语以理解用户输入的含义。作为针对话语的NLU处理的一部分,数字助理106被配置为执行用于理解话语的含义的处理,所述处理涉及识别对应于话语的一个或多个意图和一个或多个实体。在理解话语的含义后,数字助理106可以响应于理解的含义或意图来执行一个或多个动作或操作。出于本公开的目的,假设这些话语是已经由数字助理106的用户108直接提供的文本话语,或者是将输入语音话语转换为文本形式的结果。然而,这并不旨在以任何方式进行限制或约束。
例如,用户108的输入可以通过提供如“I want to order a pizza(我想要订购披萨)”的话语来请求订购披萨。在接收到这种话语之后,数字助理106被配置为理解话语的含义并采取适当的动作。适当的动作可以涉及例如以请求关于用户期望订购的披萨的类型、披萨的大小、披萨的任何馅料等用户输入的问题来回应用户。由数字助理106提供的回应也可以是自然语言形式,并且通常以与输入话语相同的语言。作为生成这些回应的一部分,数字助理106可以执行自然语言生成(NLG)。为了用户能够经由用户与数字助理106之间的会话来订购披萨,数字助理可以引导用户提供用于披萨订购的所有必要信息,并且然后在会话结束时使披萨被订购。数字助理106可以通过向用户输出指示已经订购披萨的信息来结束会话。
在概念层级(conceptual level)上,数字助理106响应于从用户接收的话语执行各种处理。在一些实施例中,该处理涉及一系列处理步骤或处理步骤流水线,包括例如理解输入话语的含义(有时称为自然语言理解(NLU)、确定响应于话语而要执行的动作、在适当的情况下使动作被执行、响应于用户话语生成要输出到用户的回应、向用户输出回应等。NLU处理可以包括对所接收的输入话语进行语法分析以理解话语的结构和含义、细化并重新形成所述话语以开发出所述话语的更好的可理解形式(例如,逻辑形式)或结构。生成回应可以包括使用NLG技术。
数字助理(如数字助理106)执行的NLU处理可以包括如句子语法分析(例如,标记化、按屈折变化形式进行归类、识别句子的词性标签、识别句子中的命名实体、生成依存树来表示句子结构、将句子分成子句、分析单独的子句、解析指代、执行组块等)等各种NLP有关处理。在某些实施例中,NLU处理或其部分是由数字助理106自身执行的。在一些其他实施例中,数字助理106可以使用其他资源来执行NLU处理的部分。例如,可以通过使用语法分析器、词性标记器和/或命名实体识别器处理句子来识别输入话语句子的句法和结构。在一种实施方式中,针对英语语言,使用由斯坦福自然语言处理(NLP)小组提供的语法分析器、词性标记器和命名实体识别器来分析句子结构和句法。这些是作为斯坦福CoreNLP工具包的一部分提供的。
虽然本公开中提供的各个示例示出了英语语言的话语,但是这仅意味着作为示例。在某些实施例中,数字助理106还能够处置除英语以外的语言的话语。数字助理106可以提供被配置用于针对不同语言执行处理的子系统(例如,实施NLU功能的部件)。这些子系统可以实施为可以使用服务调用从NLU核心服务器调用的可插单元。这使NLU处理对于每种语言而言是灵活且可扩展的,包括允许不同的处理顺序。可以为单独的语言提供语言包,其中,语言包可以登记可以从NLU核心服务器提供服务的子系统的列表。
可以通过各种不同的通道(如但不限于经由某些应用程序、经由社交媒体平台、经由各种消息传递服务和应用程序、以及其他应用程序或通道)使数字助理(如图1中描绘的数字助理106)对其用户108而言是可用的或可访问的。单个数字助理可以为自身配置几个通道,使得单个数字助理可以同时在不同的服务上运行并通过不同的服务进行访问。
数字助理或聊天机器人系统通常包含一个或多个技能或与一个或多个技能相关联。在某些实施例中,这些技能是被配置为与用户交互并完成特定类型的任务(如跟踪库存、提交时间卡、创建费用报告、订购食物、查询银行账户、进行预约、购买小部件等)的单独的聊天机器人(称为技能机器人)。例如,针对图1所描绘的实施例,数字助理或聊天机器人系统106包括技能116-1、116-2等。出于本公开的目的,术语“技能(skill)”和“技能(skills)”分别与术语“技能机器人(skill bot)”和“技能机器人(skill bots)”同义地使用。
与数字助理相关联的每个技能通过与用户的会话帮助数字助理的用户完成任务,其中,所述会话可以包括由用户提供的文本或音频输入与由技能机器人提供的回应的组合。这些回应可以呈以下形式:给用户的文本或音频消息和/或使用呈现给用户以供用户进行选择的简单的用户界面元素(例如,选择列表)。
存在各种方式可以将技能或技能机器人与数字助理相关联或将其添加到数字助理。在一些实例中,可以由企业开发技能机器人,并且然后将其添加到使用DABP 102的数字助理。在其他实例中,可以使用DABP 102开发并创建技能机器人,并且然后将其添加到使用DABP 102创建的数字助理。在又其他实例中,DABP 102提供在线数字商店(被称为“技能商店”),所述在线数字商店提供涉及各种各样的任务的多个技能。通过技能商店提供的技能还可以公开(expose)各种云服务。为了将技能添加到使用DABP 102生成的数字助理,DABP102的用户可以经由DABP 102访问技能商店、选择所需的技能、并指示将所选技能添加到使用DABP 102创建的数字助理。来自技能商店的技能可以按原样或以修改的形式添加到数字助理(例如,DABP 102的用户可以选择并复制技能商店提供的特定技能机器人、对所选技能机器人进行定制或修改并且然后将修改后的技能机器人添加到使用DABP 102创建的数字助理)。
可以使用各种不同的架构来实施数字助理或聊天机器人系统。例如,在某些实施例中,使用DABP 102创建并部署的数字助理可以使用主机器人/子(或次)机器人范式或架构来实施。根据该范式,数字助理被实施为与是技能机器人的一个或多个子机器人交互的主机器人。例如,在图1所描绘的实施例中,数字助理106包括主机器人114和是主机器人114的子机器人的技能机器人116-1、116-2等。在某些实施例中,数字助理106自身被认为充当主机器人。
根据主-子机器人架构实施的数字助理使得数字助理的用户能够通过统一用户接口(即,经由主机器人)与多个技能交互。当用户与数字助理接洽时,主机器人会接收到用户输入。然后,主机器人执行用于确定用户输入话语的含义的处理。主机器人然后确定用户在话语中所请求的任务是否可以由主机器人自身处置,否则主机器人选择适当的技能机器人来处置用户请求并将会话路由到所选择的技能机器人。这使得用户能够通过公共的单个接口与数字助理进行会话,并且仍然有能力使用被配置为执行特定任务的几个技能机器人。例如,针对为企业开发的数字助理,数字助理的主机器人可以与具有特定功能的技能机器人(如用于执行与客户关系管理(CRM)有关的功能的CRM机器人、用于执行与企业资源规划(ERP)有关的功能的ERP机器人、用于执行与人力资本管理(HCM)有关的功能的HCM机器人等)接口连接。这样,数字助理的终端用户或消费者只需要知道如何通过公共的主机器人接口访问数字助理,而在后台提供了多个技能机器人来处置用户请求。
在某些实施例中,在主机器人/子机器人基础设施中,主机器人被配置为了解可用技能机器人的列表。主机器人可以访问标识各种可用技能机器人的元数据,并且对于每个技能机器人,访问包括可以由技能机器人执行的任务的技能机器人的能力。在接收到话语形式的用户请求之后,主机器人被配置为从多个可用技能机器人中识别或预测可以最好地服务或处置用户请求的特定技能机器人。然后,主机器人将话语(或话语的一部分)路由到该特定技能机器人以进行进一步的处置。因此,控制从主机器人流动到技能机器人。主机器人可以支持多个输入通道和输出通道。在某些实施例中,可以借助于由一个或多个可用技能机器人执行的处理来执行路由。例如,如下文所讨论的,可以训练技能机器人以推断出话语的意图,并确定所推断出的意图是否与针对技能机器人所配置的意图相匹配。因此,由主机器人执行的路由可以涉及技能机器人向主机器人传送指示,所述指示表明技能机器人是否已经配置有适合于处置话语的意图。
虽然图1的实施例示出了数字助理106包括主机器人114以及技能机器人116-1、116-2和116-3,但这并不旨在是限制性的。数字助理可以包括提供数字助理的功能的各种其他部件(例如,其他系统和子系统)。这些系统和子系统可以仅以软件(例如,被存储在计算机可读介质上并且可由一个或多个处理器执行的代码、指令)、仅以硬件或在使用软件和硬件的组合的实施方式中实施。
DABP 102提供了使DABP 102的用户能够创建数字助理(包括与数字助理相关联的一个或多个技能机器人)的基础设施以及各种服务和特征。在一些实例中,可以通过克隆现有技能机器人来创建技能机器人,例如,克隆由技能商店提供的技能机器人。如前所述,DABP 102提供技能商店或技能目录,所述技能商店或技能目录提供了用于执行各种任务的多个技能机器人。DABP 102的用户可以从技能商店克隆技能机器人。根据需要,可以对克隆技能机器人进行修改或定制。在一些其他实例中,DABP 102的用户使用由DABP 102提供的工具和服务从头开始创建技能机器人。如前所述,DABP 102所提供的技能商店或技能目录可以提供用于执行各种任务的多个技能机器人。
在某些实施例中,在高层级上,创建或定制技能机器人涉及以下步骤:
(1)为新技能机器人配置设置
(2)为技能机器人配置一个或多个意图
(3)针对一个或多个意图配置一个或多个实体
(4)训练技能机器人
(5)为技能机器人创建对话流
(6)根据需要将自定义部件添加到技能机器人
(7)测试并部署技能机器人
下文简要描述了上述每个步骤。
(1)为新技能机器人配置设置——可以为技能机器人配置各种设置。例如,技能机器人设计者可以为正在创建的技能机器人指定一个或多个调用名称。然后,这些调用名称可以被数字助理的用户用来显式调用技能机器人。例如,用户可以在用户话语中输入调用名称,以显式调用对应的技能机器人。
(2)为技能机器人配置一个或多个意图和相关联的示例话语——技能机器人设计者为正在创建的技能机器人指定一个或多个意图(也称为机器人意图)。然后基于这些指定的意图来训练技能机器人。这些意图表示技能机器人被训练以针对输入话语推断出的类别或分类。在接收到话语之后,经训练的技能机器人推断话语的意图,其中,所推断出的意图是从用于训练技能机器人的预定义意图集中选择的。技能机器人然后基于为话语推断的意图来采取对该话语做出回应的适当动作。在一些实例中,技能机器人的意图表示技能机器人可以为数字助理的用户执行的任务。每个意图被赋予一个意图标识符或意图名称。例如,对于针对银行训练的技能机器人,为所述技能机器人指定的意图可以包括“CheckBalance(查询余额)”、“TransferMoney(转账)”、“DepositCheck(存款查询)”等。
对于为技能机器人定义的每个意图,技能机器人设计者还可以提供一个或多个示例话语,这些示例话语表示并说明了意图。这些示例话语旨在表示用户可以针对该意图向技能机器人输入的话语。例如,针对CheckBalance意图,示例话语可以包括“What's mysavings account balance?(我的储蓄账户余额是多少?)”、“How much is in mychecking account?(我的活期存款账户里有多少钱?)”、“How much money do I have inmy account(我的账户里有多少钱)”等。因此,可以将典型的用户话语的各种排列指定为意图的示例话语。
这些意图及其相关联的示例话语用作用于训练技能机器人的训练数据。可以使用各种不同的训练技术。作为该训练的结果,生成预测模型,所述预测模型被配置为将话语作为输入并输出所述预测模型针对所述话语推断出的意图。在一些实例中,将输入话语提供给意图分析引擎,所述引擎被配置为使用经训练的模型来预测或推断输入话语的意图。然后,技能机器人可以基于推断出的意图采取一个或多个动作。
(3)针对技能机器人的一个或多个意图配置实体——在一些实例中,可能需要另外的上下文来使技能机器人能够适当地回应用户话语。例如,可能存在其中用户输入话语解析成技能机器人中的相同意图的情况。例如,在以上示例中,话语“What’s my savingsaccount balance?”和“How much is in my checking account?”均解析成相同的CheckBalance意图,但是这些话语是请求不同事情的不同请求。为了阐明这种请求,将一个或多个实体添加到意图。使用银行业务技能机器人的示例,被称为账户类型(AccountType)的实体(所述实体定义了被称为“checking(活期存款)”和“saving(储蓄)”的值)可以使技能机器人能够对用户请求进行语法分析并适当地作出回应。在上面的示例中,虽然这些话语解析为相同的意图,但是这两个话语的与AccountType实体相关联的值是不同的。这使技能机器人能够针对这两个话语执行可能不同的动作,尽管这两个话语解析为相同的意图。可以针对为技能机器人配置的某些意图指定一个或多个实体。因此,实体用于向意图本身添加上下文。实体帮助更充分地描述意图并使技能机器人能够完成用户请求。
在某些实施例中,有两种类型的实体:(a)DABP 102提供的内置实体;以及(2)可以由技能机器人设计者指定的自定义实体。内置实体是可以与各种机器人一起使用的通用实体。内置实体的示例包括但不限于与时间、日期、地址、数字、电子邮件地址、持续时间、循环时间段、货币、电话号码、URL等有关的实体。自定义实体用于更多定制的应用程序。例如,针对银行业务技能,AccountType实体可以被技能机器人设计者定义为通过检查用户输入的关键词(如活期存款、储蓄和信用卡等)来实现各种银行业务交易。
(4)训练技能机器人——技能机器人被配置为接收呈话语形式的用户输入,语法分析或以其他方式处理接收到的输入并且识别或选择与接收到的用户输入相关的意图。如上文所指示的,为此,必须对技能机器人进行训练。在某些实施例中,基于为技能机器人配置的意图和与意图相关联的示例话语(统称为训练数据)来训练技能机器人,使得技能机器人可以将用户输入话语解析成其所配置的意图中的一个意图。在某些实施例中,技能机器人使用预测模型,所述预测模型是使用训练数据训练的并且允许技能机器人辨别用户说出(或者在一些情况下,正试图说出)的内容。DABP 102提供可以被技能机器人设计者用于训练技能机器人的各种不同的训练技术,包括各种基于机器学习的训练技术、基于规则的训练技术和/或其组合。在某些实施例中,训练数据的一部分(例如,80%)用于训练技能机器人模型并且另一部分(例如,其余20%)用于测试或验证模型。一旦进行了训练,经训练的模型(有时也称为经训练的技能机器人)便可以用于处置用户的话语并对用户的话语作出回应。在某些情况下,用户的话语可以是仅需要单一的回答并且无需另外的会话的问题。为了处置这种情况,可以为技能机器人定义Q&A(问与答)意图。这使技能机器人能够在不必更新对话框定义的情况下输出对用户请求的回复。以与常规意图类似的方式创建Q&A意图。用于Q&A意图的对话流可能与用于常规意图的对话流不同。
(5)为技能机器人创建对话流——为技能机器人指定的对话流描述了在响应于接收到的用户输入来解析技能机器人的不同意图时,技能机器人如何反应。对话流定义了技能机器人将采取的操作或动作,例如,技能机器人如何回应用户话语、技能机器人如何提示用户进行输入、技能机器人如何返回数据。对话流像技能机器人所遵循的流程图一样。技能机器人设计者使用一种语言(如markdown语言)指定对话流。在某些实施例中,可以使用被称为OBotML的YAML版本来指定技能机器人的对话流。技能机器人的对话流定义充当会话本身的模型,所述模型是使技能机器人设计者精心策划技能机器人与技能机器人所服务的用户之间的交互的模型。
在某些实施例中,技能机器人的对话流定义包含以下三个部分:
(a)上下文部分
(b)默认转变部分
(c)状态部分
上下文部分——技能机器人设计者可以在上下文部分中定义会话流中使用的变量。可以在上下文部分中命名的其他变量包括但不限于:针对错误处置的变量、针对内置实体或自定义实体的变量、使技能机器人能够识别并保存用户偏好的用户变量等。
默认转变部分——技能机器人的转变可以在对话流状态部分中或在默认转变部分中定义。在默认转变部分中定义的转变充当后备并且当状态内没有定义适用的转变或触发状态转变所需的条件无法得到满足时被触发。默认转变部分可以用于定义允许技能机器人得体地处置出乎意料的用户动作的路由。
状态部分——对话流及其有关操作被定义为管理对话流内的逻辑的暂时状态的序列。对话流定义内的每个状态节点都命名一个部件,所述部件提供所述对话中的那个时候所需的功能。因此,状态是围绕部件构建的。状态包含特定于部件的性质并且定义了在部件执行之后被触发的向其他状态的转变。
特殊情况场景可以使用状态部分来处置。例如,您有时可能想要为用户提供用于暂时让用户与之接洽的第一技能进行数字助理内的第二技能中的事情的选项。例如,如果用户忙于与购物技能进行会话(例如,用户已做出一些购买选择),则用户可能想要跳转至银行业务技能(例如,用户可能想要确保他/她有足够的钱用于购买)并且然后返回到购物技能以完成用户的订单。为了解决这一点,第一技能中的动作可以被配置为发起与相同数字助理中的第二不同技能的交互并且然后返回到原始流。
(6)将自定义部件添加到技能机器人——如上文所描述的,技能机器人的对话流中指定的状态对与状态相对应的提供所需的功能的部件进行了命名。部件使技能机器人能够执行功能。在某些实施例中,DABP 102提供了用于执行各种各样的功能的一组预先配置的部件。技能机器人设计者可以选择这些预先配置的部件中的一个或多个并且将其与技能机器人的对话流中的状态相关联。技能机器人设计者还可以使用DABP 102提供的工具创建自定义部件或新的部件并且将自定义部件与技能机器人的对话流中的一个或多个状态相关联。
(7)测试并部署技能机器人—DABP 102提供了使技能机器人设计者能够测试正在开发的技能机器人的几个特征。然后,可以将技能机器人部署并包括在数字助理中。
虽然以上描述描述了如何创建技能机器人,但是还可以使用类似的技术来创建数字助理(或主机器人)。在主机器人或数字助理层级,可以为数字助理配置内置系统意图。这些内置系统意图用于识别在不调用与数字助理相关联的技能机器人的情况下数字助理自身(即,主机器人)可以处置的一般任务。针对主机器人定义的系统意图的示例包括:(1)Exit(退出):当用户发出想要退出数字助理中的当前会话或上下文的信号时适用;(2)Help(帮助):当用户请求帮助或定向时适用;以及(3)UnresolvedIntent(未解析意图):适用于与退出意图和帮助意图不太匹配的用户输入。数字助理还存储关于与数字助理相关联的一个或多个技能机器人的信息。该信息使主机器人能够选择用于处置话语的特定技能机器人。
在主机器人或数字助理层级,当用户向数字助理输入短语或话语时,数字助理被配置为执行用于确定如何路由话语和相关会话的处理。数字助理使用路由模型来确定这一点,所述路由模型可以是基于规则的、基于AI的或其组合。数字助理使用路由模型来确定对应于用户输入话语的会话是要被路由到特定技能以进行处置、要由数字助理或主机器人自身按照内置系统意图进行处置、还是要被处置为当前会话流中的不同状态。
在某些实施例中,作为此处理的一部分,数字助理确定用户输入话语是否使用其调用名称显式地识别技能机器人。如果调用名称存在于用户输入中,则所述调用名称被视为对应于调用名称的对技能机器人的显式调用。在这种场景下,数字助理可以将用户输入路由到显式调用的技能机器人以进行进一步处置。在某些实施例中,如果不存在特定调用或显式调用,则数字助理评估接收到的用户输入话语并针对与数字助理相关联的系统意图和技能机器人计算置信度得分。针对技能机器人或系统意图计算的得分表示用户输入表示技能机器人被配置为执行的任务或表示系统意图的可能性有多大。选择相关联的计算的置信度得分超过阈值(例如,置信度阈值路由参数)的任何系统意图或技能机器人作为候选以进行进一步的评估。然后,数字助理从所识别的候选中选择特定的系统意图或技能机器人用于对用户输入话语进行进一步的处置。在某些实施例中,在一个或多个技能机器人被识别为候选之后,对与那些候选技能相关联的意图进行评估(根据每个技能的意图模型)并且针对每个意图确定置信度得分。置信度得分超过阈值(例如,70%)的任何意图通常均被视为候选意图。如果选择了特定技能机器人,则将用户话语路由到该技能机器人以进行进一步的处理。如果选择了系统意图,则由主机器人自身根据所选系统意图执行一个或多个动作。
图2是根据某些实施例的主机器人(MB)系统200的简化框图。MB系统200可以仅以软件、仅以硬件、或以硬件和软件的组合实施。MB系统200包括预处理子系统210、多个意图子系统(MIS)220、显式调用子系统(EIS)230、技能机器人调用器240和数据存储250。图2所描绘的MB系统200仅仅是主机器人中的部件布置的示例。本领域技术人员将认识到许多可能的变化、替代方案和修改。例如,在一些实施方式中,MB系统200可以具有比图2所示的那些系统或部件更多或更少的系统或部件,可以组合两个或更多个子系统,或者可以具有不同的子系统配置或布置。
预处理子系统210从用户接收话语“A”202并通过语言检测器212和语言语法分析器214来处理话语。如上文所指示的,可以以包括音频或文本的各种方式来提供话语。话语202可以是句子片段、完整句子、多个句子等。话语202可以包括标点符号。例如,如果话语202作为音频提供,则预处理子系统210可以使用将标点符号(例如,逗号、分号、句号等)插入到所得文本中的语音文本转换器(未示出)来将音频转换为文本。
语言检测器212基于话语202的文本来检测话语202的语言。话语202的处置方式取决于语言,因为每种语言都有其自己的语法和语义。在分析话语的句法和结构时,会考虑语言之间的差异。
语言语法分析器214对话语202进行语法分析以提取话语202中各个语言单元(例如,单词)的词性(POS)标签。POS标签包括例如名词(NN)、代词(PN)、动词(VB)等。语言语法分析器214还可以对话语202的语言单位进行标记化(例如,将每个单词转换为单独的记号)并对单词按屈折变化形式进行归类。词元是如在字典中表示的一组单词的主要形式(例如,“run”是run、runs、ran、running等的词元)。语言语法分析器214可以执行的其他类型的预处理包括复合表达式的组块,例如,将“credit”和“card”组合成单个表达式“credit_card”。语言语法分析器214还可以识别话语202中的单词之间的关系。例如,在一些实施例中,语言语法分析器214生成依存树,所述依存树指示话语的哪一部分(例如,特定名词)是直接宾语、话语的哪一部分是介词等。由语言语法分析器214执行的处理的结果形成提取的信息205,并与话语202本身一起作为输入提供给MIS220。
如上文所指示的,话语202可以包括多于一个句子。为了检测多个意图和显式调用的目的,话语202可以被视为单个单元,即使它包括多个句子。然而,在某些实施例中,预处理可以例如由预处理子系统210执行,以识别多个句子中的单个句子以用于多个意图分析和显式调用分析。通常,无论话语202是在单个句子的级别上处理还是作为包括多个句子的单个单元处理,MIS220和EIS230产生的结果都基本相同。
MIS220确定话语202是否表示多个意图。尽管MIS220可以检测到话语202中存在多个意图,但MIS220执行的处理不涉及确定话语202的意图是否与已为机器人配置的任何意图相匹配。相反,确定话语202的意图是否与机器人意图匹配的处理可以由MB系统200的意图分类器242或者由技能机器人的意图分类器来执行(例如,如图3的实施例中所示出的)。MIS220执行的处理假设存在可以处置话语202的机器人(例如,特定技能机器人或主机器人本身)。因此,由MIS220执行的处理不需要知道聊天机器人系统中有哪些机器人(例如,向主机器人注册的技能机器人的身份),也不需要知道已经为特定机器人配置了什么意图。
为了确定话语202包括多个意图,MIS220应用数据存储250中的一组规则252中的一个或多个规则。应用于话语202的规则取决于话语202的语言并且可以包括指示存在多个意图的句子模式。例如,句子模式可以包括连接句子的两个部分(例如,连词)的并列连接词,其中,这两个部分对应于不同的意图。如果话语202与句子模式相匹配,则可以推断出话语202表示多个意图。应该注意的是,具有多个意图的话语不一定具有不同的意图(例如,涉及不同机器人的意图或同一机器人内的不同意图)。相反,话语可以有相同意图的不同实例,例如“Place a pizza order using payment account X,then place apizza orderusing payment account Y(使用支付账户X下披萨订单,然后使用支付账户Y下披萨订单)”。
作为确定话语202表示多个意图的一部分,MIS220还确定话语202的哪些部分与每个意图相关联。MIS220针对包含多个意图的话语中表示的每个意图构建用于单独处理的新话语来代替原始话语,例如,如图2中所描绘的话语“B”206和话语“C”208。因此,原始话语202可以被拆分成一次处置一个的两个或更多个单独话语。MIS220使用提取的信息205和/或根据对话语202本身的分析来确定应该首先处置两个或更多个话语中的哪一个。例如,MIS220可以确定话语202包含指示应该首先处置特定意图的标记词。与该特定意图相对应的新形成的话语(例如,话语206或话语208中的一个)将首先被发送以供EIS230进一步处理。在由第一个话语触发的会话已经结束(或已被暂时暂停)之后,然后可以将下一个最高优先级的话语(例如,话语206或话语208中的另一个话语)发送到EIS230进行处理。
EIS230确定其接收的话语(例如,话语206或话语208)是否包含技能机器人的调用名称。在某些实施例中,给聊天机器人系统中的每个技能机器人指派将所述技能机器人与聊天机器人系统中的其他技能机器人区分开的唯一调用名称。调用名称列表可以作为技能机器人信息254的一部分保存在数据存储250中。当话语包含与调用名称相匹配的单词时,话语被视为显式调用。如果机器人未被显式调用,则EIS230接收到的话语被视为是非显式调用话语234并且被输入到主机器人的意图分类器(例如,意图分类器242)以确定使用哪个机器人来处置话语。在一些实例中,意图分类器242将确定主机器人应该处置非显式调用话语。在其他实例中,意图分类器242将确定将话语路由到以进行处置的技能机器人。
EIS230所提供的显式调用功能有几个优点。它可以减少主机器人不得不执行的处理量。例如,当存在显式调用时,主机器人可能不必(例如,使用意图分类器242)进行任何意图分类分析,或者可能不得不进行简化的意图分类分析以选择技能机器人。因此,显式调用分析可以使得能够选择特定技能机器人而无需求助于意图分类分析。
而且,可能存在多个技能机器人之间的功能重叠的情况。例如,如果两个技能机器人处置的意图重叠或彼此非常接近,则可能会发生这种情况。在这种情况下,主机器人可能难以仅基于意图分类分析来识别要选择多个技能机器人中的哪一个。在这种场景下,显式调用使得对于要使用的特定技能机器人没有歧义。
除了确定话语是显式调用之外,EIS230还负责确定是否应该将话语的任何部分用作对被显式调用的技能机器人的输入。具体地,EIS230可以确定话语的一部分是否与调用无关。EIS230可以通过分析话语和/或分析提取的信息205来执行该确定。EIS230可以将与调用无关的话语部分发送到被调用的技能机器人,而不是发送EIS230所接收到的整个话语。在一些实例中,被调用的技能机器人的输入简单地通过删除与调用相关联的任何话语部分来形成。例如,“I want to order pizza using Pizza Bot(我想要使用披萨机器人订购披萨)”可以缩短为“I want to order pizza(我想要订购披萨)”,因为“using PizzaBot(使用披萨机器人)”与调用披萨机器人有关,但与要由披萨机器人执行的任何处理无关。在一些实例中,EIS230可以重新格式化要发送到被调用机器人的部分,例如,以形成完整的句子。因此,EIS230不仅确定存在显式调用,而且当存在显式调用时确定要向技能机器人发送什么。在一些实例中,可能没有任何文本可以输入到被调用的机器人中。例如,如果话语是“Pizza Bot(披萨机器人)”,则EIS230可以确定披萨机器人正在被调用,但没有文本要由披萨机器人处理。在这种场景下,EIS230可以向技能机器人调用器240指示没有要发送的内容。
技能机器人调用器240以各种方式调用技能机器人。例如,技能机器人调用器240可以响应于接收到作为显式调用的结果已经选择特定技能机器人的指示235来调用机器人。指示235可以由EIS230连同用于显式调用的技能机器人的输入一起发送。在这种场景下,技能机器人调用器240会将会话的控制权交给显式调用的技能机器人。显式调用的技能机器人将通过将输入视为独立话语来确定对来自EIS230的输入的适当回应。例如,回应可以是执行特定动作或在特定状态下开始新会话,其中,新会话的初始状态取决于从EIS230发送的输入。
技能机器人调用器240可以调用技能机器人的另一种方式是通过使用意图分类器242进行隐式调用。可以使用机器学习和/或基于规则的训练技术来训练意图分类器242,以确定话语表示特定技能机器人被配置为执行的任务的可能性。意图分类器242在不同的分类上进行训练,每个技能机器人一个分类。例如,每当向主机器人注册新技能机器人时,与新技能机器人相关联的示例话语列表可以用于训练意图分类器242以确定特定话语表示新技能机器人可以执行的任务的可能性。作为该训练的结果产生的参数(例如,机器学习模型的一组参数值)可以存储为技能机器人信息254的一部分。
在某些实施例中,意图分类器242是使用机器学习模型实施的,如本文进一步详细描述的。机器学习模型的训练可以涉及至少输入来自与各种技能机器人相关联的示例话语的话语子集,以生成关于哪个机器人是用于处置任何特定训练话语的正确机器人的推断作为机器学习模型的输出。对于每个训练话语,可以提供用于训练话语的正确机器人的指示作为基本事实信息。然后可以适配机器学习模型的行为(例如,通过反向传播)以最小化所生成的推断与基本事实信息之间的差异。
在某些实施例中,意图分类器242针对向主机器人注册的每个技能机器人确定指示技能机器人可以处置话语(例如,从EIS230接收的非显式调用话语234)的可能性的置信度得分。意图分类器242还可以确定已配置的每个系统级意图(例如,帮助、退出)的置信度得分。如果特定置信度得分满足一个或多个条件,则技能机器人调用器240将调用与特定置信度得分相关联的机器人。例如,可能需要满足阈值置信度得分值。因此,意图分类器242的输出245是对系统意图的识别或对特定技能机器人的识别。在一些实施例中,除了满足阈值置信度得分值之外,置信度得分必须超过下一个最高置信度得分一定的裕量。当多个技能机器人的置信度得分均超过阈值置信度得分值时,施加这样的条件将能够路由到特定技能机器人。
在基于置信度得分的评估识别出机器人之后,技能机器人调用器240将处理移交给所识别的机器人。在系统意图的情况下,所识别的机器人是主机器人。否则,所识别的机器人是技能机器人。进一步地,技能机器人调用器240将确定提供什么作为所识别的机器人的输入247。如上所述,在显式调用的情况下,输入247可以基于与调用无关的话语部分,或者输入247可以是什么都没有(例如,空字符串)。在隐式调用的情况下,输入247可以是整个话语。
数据存储250包括一个或多个计算设备,其存储由主机器人系统200的各种子系统使用的数据。如上文所解释的,数据存储250包括规则252和技能机器人信息254。规则252包括例如用于由MIS220确定话语何时表示多个意图以及如何拆分表示多个意图的话语的规则。规则252进一步包括用于由EIS230确定要将显式调用技能机器人的话语的哪些部分发送到技能机器人的规则。技能机器人信息254包括聊天机器人系统中的技能机器人的调用名称,例如,向特定主机器人注册的所有技能机器人的调用名称列表。技能机器人信息254还可以包括意图分类器242用来确定聊天机器人系统中每个技能机器人的置信度得分的信息,例如,机器学习模型的参数。
图3是根据某些实施例的技能机器人系统300的简化框图。技能机器人系统300是可以仅以软件实施、仅以硬件实施、或以硬件和软件的组合实施的计算系统。在某些实施例中,如图1所描绘的实施例中,技能机器人系统300可以用于在数字助理内实施一个或多个技能机器人。
技能机器人系统300包括MIS 310、意图分类器320和会话管理器330。MIS 310类似于图2中的MIS220并提供类似的功能,包括可操作地使用数据存储350中的规则352来确定:(1)话语是否表示多个意图,以及如果是,(2)如何将话语拆分为针对多个意图中的每个意图的单独话语。在某些实施例中,由MIS 310应用的用于检测多个意图和用于拆分话语的规则与MIS220所应用的规则相同。MIS 310接收话语302和提取的信息304。提取的信息304类似于图1中的提取的信息205,并且可以使用语言语法分析器214或技能机器人系统300本地的语言语法分析器来生成。
意图分类器320可以以与上文结合图2的实施例讨论的意图分类器242类似的方式被训练,并在此进一步详细描述。例如,在某些实施例中,意图分类器320是使用机器学习模型来实施的。针对特定技能机器人,至少使用与该特定技能机器人相关联的示例话语的子集作为训练话语来训练意图分类器320的机器学习模型。每个训练话语的基本事实将是与训练话语相关联的特定机器人意图。
话语302可以直接从用户接收或通过主机器人提供。当通过主机器人提供话语302时,例如,作为通过图2中描绘的实施例中的MIS220和EIS230处理的结果,可以绕过MIS 310以避免重复已经由MIS220执行的处理。然而,如果直接从用户接收到话语302,例如,在路由到技能机器人之后发生的会话期间,则MIS 310可以处理话语302以确定话语302是否表示多个意图。如果是,则MIS 310应用一个或多个规则以将话语302拆分为针对每个意图的单独话语,例如话语“D”306和话语“E”308。如果话语302不表示多个意图,则MIS 310将话语302转发到意图分类器320以进行意图分类,而不拆分话语302。
意图分类器320被配置为将接收到的话语(例如,话语306或308)与同技能机器人系统300相关联的意图相匹配。如上文所解释的,技能机器人可以配置有一个或多个意图,每个意图包括与所述意图相关联并用于训练分类器的至少一个示例话语。在图2的实施例中,主机器人系统200的意图分类器242被训练以确定各个技能机器人的置信度得分和针对系统意图的置信度得分。类似地,可以训练意图分类器320以确定针对与技能机器人系统300相关联的每个意图的置信度得分。由意图分类器242执行的分类是在机器人级别,而由意图分类器320执行的分类是在意图级别并且因此更细粒度。意图分类器320可以访问意图信息354。对于与技能机器人系统300相关联的每个意图,意图信息354包括表示意图并说明意图的含义并且通常与可由该意图执行的任务相关联的话语列表。意图信息354可以进一步包括作为在该话语列表上进行训练的结果而产生的参数。
会话管理器330接收特定意图的指示322作为意图分类器320的输出,所述意图由意图分类器320识别为与输入到意图分类器320的话语最佳匹配。在一些实例中,意图分类器320不能确定任何匹配。例如,如果话语涉及系统意图或不同技能机器人的意图,则由意图分类器320计算的置信度得分可能低于阈值置信度得分值。当这种情况发生时,技能机器人系统300可以将话语提交给主机器人以进行处置,例如,以路由到不同的技能机器人。然而,如果意图分类器320成功地识别技能机器人内的意图,则会话管理器330将发起与用户的会话。
由会话管理器330发起的会话是特定于由意图分类器320识别的意图的会话。例如,会话管理器330可以使用被配置为针对所识别的意图执行对话流的状态机来实施。状态机可以包括默认起始状态(例如,当在没有任何附加输入的情况下调用意图时)和一个或多个附加状态,其中,每个状态与将由技能机器人执行的动作(例如,执行购买交易)和/或要呈现给用户的对话(例如,问题、回应)相关联。因此,会话管理器330可以在接收到识别到意图的指示322时确定动作/对话335,并且可以响应于在会话期间接收到的后续话语来确定附加动作或对话。
数据存储350包括一个或多个计算设备,其存储由技能机器人系统300的各种子系统使用的数据。如图3所描绘的,数据存储350包括规则352和意图信息354。在某些实施例中,数据存储350可以集成到主机器人或数字助理的数据存储中,例如图2中的数据存储250。
变体不一致攻击(VIA)
如本文所述,VIA背后的想法是一个简单的逻辑:假设给定的输入只有一个正确的预测,如果一个模型产生两个不同的预测,那么其中至少一个肯定是错误的。这个简单的逻辑可以扩展为将输入及其效用保留变体视为相同的输入集,并且假设变体是以效用保留方式生成的,那么可以预期该模型对于输入集中的所有实例都是一致的。
例如,假设获得了经训练的监督机器学习模型M,然后向M馈送新样例x1,该样例具有唯一的预期预测。M针对该x1生成输出y1。随后,在不改变原始“含义”的约束下修改x1,从而产生新的样例x2。换句话说,x2是x1的效用保留变体。鉴于这种构造,x2的对应预期预测应与x1的预测完全相同。此后,将x2传递给M并接收输出y2。现在,如果观察到这两个预测y1和y2实际上是不同的,则至少一个预测肯定是错误的!这里x1与x2之间的差异是“变体”,并且y1与y2之间的潜在差异是“不一致”。本质上,输入的效用保留变体的不一致输出非常适合对抗攻击范例。以下算法1提供了该逻辑的正式描述:
输入:
M:预训练的监督机器学习模型,这是对抗攻击的主题;
X:不具有对应标记的输入样例集;
输出:
潜在对抗样例对的集合
步骤:
算法1是VI算法的基本版本;然而,应当理解,在实践中可以使用几种不同的变体。
在一些实施例中,对来自输入样例集的modified_pairs中的所有样例运行VI算法(例如,算法1)以测试不一致性。在替代实施例中,一旦发现一对潜在的对抗样例,就立即停止VI算法(例如,算法1),这可以降低运行成本,但同时也可能导致错过好的对抗样例对。该选项可能在处理大量攻击输入样例集时特别有用。应当理解,使用VI算法进行对抗攻击的任一技术都不要求输入样例集具有相关联的标记。在机器学习中,数据标记是识别原始数据(图像、文本文件、视频等)并添加(注释)一个或多个有意义的信息标记以提供上下文以便机器学习模型可以从中学习的过程。例如,标记可能是基本事实,表明照片是否包含鸟或者汽车、录音中说出了哪些单词、或者x射线是否包含肿瘤。包括计算机视觉、自然语言处理和语音识别在内的各种用例通常都需要数据标记。然而,像VI这样不需要标记的算法使得只要提供更多的输入(这对于文本数据来说尤其容易满足),就可以找到无限数量的潜在对抗样例。
在输出列表(潜在对抗样例对的集合)中,每个元素都是包含两个潜在对抗样例候选的元组。虽然不能保证这两个元素都能欺骗受害模型M,但VI算法确定至少有一个元素会使受害模型M给出错误的预测。并且对于大多数情况,用户很容易手动检查每个对中的任一元素是否是真正的对抗样例,特别是对于自然语言或图像识别任务。
两种相关技术是LIME(Marco Tulio Ribeiro、Sameer Singh和Carlos Guestrin,“Why should i trust you?:Explaining the predictions of any classifier[我为什么要相信你?:解释任何分类器的预测]”,在第22届ACM SIGKDD国际知识发现和数据挖掘会议论文集,ACM,2016年,第1135-1144页)和Anchors(Marco Tulio Ribeiro、Sameer Singh和Carlos Guestrin,2018年,Anchors:High-precision modelagnostic explanations[锚点:高精度模型无关解释],在AAAI人工智能会议上)。这两种技术都是首先对原始输入进行扰动,在此基础上构建局部代理线性模型(LIME)或构建一些规则(Anchors),从而以黑盒方式解释模型。本文描述的VI算法(例如算法1)在创建潜在对抗样例候选对(算法1中的“modified_pairs”)方面具有相似的想法,然而,VI算法尝试测试潜在候选的输出是否与原始输入不同,然后过滤出所有真实的对抗样例,这与LIME或Anchor完全不同。因此,VI算法释放了需要预先标记输入的限制,这可以显著提高对抗攻击算法的搜索能力。
对于算法1,第3行中的modify_without_changing_expected_label函数是指如何以效用保留的方式修改原始输入样例。对于VI算法的不同应用,特别是对于跨如视觉、文本、图像处理等不同模态的应用,这种修改技术的步骤可能会有所不同。这也是用户可以通过几种直观的方式修改VI算法以创建保留效用变体的地方。本文通过示例1和示例2提供了这种方法的详细解释。
通过参考以下示例可以更好地理解在各种实施例中实施的系统和方法。
示例1——攻击图像识别模型
该实验中使用的数据集是手写数字MNIST数据库(Y.LeCun、L.Bottou、Y.Bengio和P.Haffner的“Gradient-based learning applied to document recognition[应用于文档识别的基于梯度的学习]”IEEE论文集,86(11):2278-2324,1998年11月),其中包含60,000个训练样例和10,000个测试样例。所有样例都是0到9之间的单个手写数字的28×28像素的正方形灰度图像。
针对该图像识别任务训练了卷积神经网络(CNN),并且目标是找到一种方式来自动检测一些可以欺骗该CNN模型的潜在对抗样例。CNN的架构如下:
具有64个大小为(4,4)的滤波器的一个卷积层,其后是大小为(3,3)的最大池化层。然后,池化层的输出被展平以馈送到大小为100的全连接层,然后被映射到代表从0到9的十个数字的10维输出。
由于需要一些初始攻击样例,为了方便起见,随机选择训练数据的20%(12000个样例)用于攻击使用。其余48000个样例构成实际的训练数据集。注意,不必使用与攻击输入相关联的对应12000个标记。
在训练之后,CNN模型在测试数据集上取得了较好的性能,平均宏观精度为0.989,召回率为0.989并且f1为0.989。
为了实施修改函数modify_without_changing_expected_label:针对该图像识别任务采用了一种相对简单但有效的方法。该方法包括向攻击数据集中的样例添加平均值为0且标准差为0.05的正态噪声。由于最终目标是欺骗受害模型,因此只要能够成功使受害模型给出错误的预测,就可以接受在修改之后可能包含负像素值的污染样例。
示例1所使用的VI算法(算法2)描述如下,该算法与上述基本算法1略有不同:
算法2:
输入:
M:经训练的待攻击CNN模型;
X:不具有对应标记的输入样例集;
输出:
所有潜在对抗样例的子集
步骤:
如果针对输入样例集连续运行上述算法2,则可以获得无限数量的潜在对抗样例对(第3行和第4行提供随机函数,其中每次运行将返回不同的值)并且对于每一对,至少一个候选是真正的对抗样例。
表1示出针对输入样例集运行算法2十次。
表1:
在上述每一对中,存在至少一个真实的对抗样例,因此在输入样例集的10次运行中总共获得了至少487个对抗样例。图4A中示出了运行10中的两个对抗样例对。如上一节所述,在找到这个潜在的对抗样例对之后,可以识别(例如,经由用户审查)候选1是真正的对抗样例,因为预期预测应该为零。图4B示出了另外两个对抗样例对。在该示例中,可以看出,候选1和候选2都是真正的对抗样例,因为预期的预测应该是三。
示例2——攻击命名实体识别模型
攻击具有更常见标记的监督模型比攻击具有更具体标记的监督模型(例如示例1中的CNN模型)要有效得多。原因是,与具体标记相比,常见标记更容易找到。例如,在名称实体识别中,常见的实体包括“Person(人)”、“Location(位置)”、“Organization(组织)”等,这些实体很可能出现在常见文本中。因此,收集用作攻击输入的数据要容易得多。
在实验2中,使用常见爬取语料库数据集(http://commoncrawl.org/the-data/get-started/)的子集作为攻击输入,其中包含50K个随机选择的句子。该数据集中的一些样例如下所示:
样例A:do i need a skip permit for fitzrovia?(我需要费兹罗维亚的废物容器许可证吗?)
样例B:pops looks delicous..this is the first time to ur blog..u gotgood recipes...(爆米花看起来很美味..这是我第一次访问你的博客..你的食谱很棒...)
样例C:pay special attention to the wired article above,it's verycomprehensive(请特别注意上面的连线文章,它非常全面)。
训练了基于Transformer双向编码器表示(BERT)的命名实体识别(NER)模型,该模型用作受害模型。目标是检测可以欺骗该预训练模型的对抗样例。该实验中使用的实体包括“Person”、“Location”、“Organization”、“Currency(货币)”、“Time或Date(时间或日期)”、“Number(数字)”。
为了实施修改函数modify_without_changing_expected_label:采取了一种相对简单但有效的方法来向单词引入打字错误。该方法包括首先从原始话语中随机选择几个单词,然后对单词应用三种修改(插入、删除和替换)之一。完整的算法如下面的算法3所示。实施上述修改函数的替代方式是使用同义词。
示例2所使用的VI算法(算法3)描述如下,该算法与上述基本算法1略有不同:
算法3:
输入:
M:经训练的待攻击NER模型;
X:不具有对应标记的输入样例集;
S:用于确定两个字符串在语义上是否相似的阈值
输出:
所有潜在对抗样例的子集
步骤:
在算法3中,对于每个原始样例(主元),首先随机选择一些候选单词。其次,对于这些候选单词,应用修改操作(例如,打字错误操作)来获得修改后的单词,并使用修改后的单词替换原始样例中的原始单词,得到修改后样例((多个)主元变体)。第三,将(多个)主元变体与主元进行比较,以查看它们是否不一致。如果不一致,则将(多个)主元变体添加到辅助列表中。第四,在比较((多个)主元变体和主元)对之后,根据字符串相似度对辅助列表进行排序,并返回或识别具有最高相似度得分的(多个)主元变体。如果在比较((多个)主元变体和主元)对之后辅助列表为空,则将主元更新为具有最高相似度得分的主元,并且算法3返回到第二步骤以修改下一个候选单词以获得新的修改后样例,然后重复第三步骤和第四步骤的过程。
举例来说:假设原始样例(主元)是“Edison is an employee of Oracle.(Edison是Oracle的员工。)”,并且选择“Edison”和“employee”作为两个候选单词。然后,对单词“Edison”应用修改函数(例如,打字错误),并且将单词“Edison”修改为(“Edisson”和“Ediso”)。因此,现在的主元变体将是“Edisson is an employee of Oracle.”和“Edisois an employee of Oracle.”。并且现在将“Edison is an employee of Oracle.”(主元)与“Edisson is an employee of Oracle.”(主元变体)和“Ediso is an employee ofOracle”(主元变体)进行比较,以查看主元变体是否与主元不一致。如果不一致,则将主元变体放入辅助列表中。情况1:假设这两个主元变体都与主元不一致,在这种情况下,基于主元变体与主元之间的相似度对辅助列表进行排序。假设“Edisson is an employee ofOracle”具有较高的相似度,在这种情况下“Edison is an employee of Oracle”和“Edisson is an employee of Oracle”可以直接作为对抗样例对添加到返回列表中。情况2:如果没有主元变体与主元不一致,则主元被更新为“Edisson is an employee ofOracle”,因为它具有更高的相似度得分。然后将修改函数(例如,打字错误)应用于第二候选单词“Oracle”,并重复上述过程。
算法3中的一个重要细节是第14行。这里定义,当且仅当两个候选同时具有不同的实体和不同的上下文时,那么这两个候选才是不一致的。与每个候选相关联的实体由受害模型M给出,并且上下文是除实体之外的所有其他部分。
在示例2中,为了提高效率,算法3中没有考虑第4行选择的候选单词的不同顺序,而是使用其自然顺序。如果攻击输入的大小中等或较小,则最初可以在每个输入中获得候选单词的所有可能扰动,或者通过应用启发式方法首先对单词进行排序,然后可以针对每个可能的顺序应用算法3。算法3总共发现了26773个潜在对抗样例对,这意味着至少识别出了26773个对抗样例。
该算法找到的两个对抗样例对如下表2所示。
表2:
对1
对2
如图所示,这两对中的候选1与候选2之间的差异都很小,并且对应的语义含义没有改变。这足以使受害模型给出错误的预测。在第1对中,候选2错误地将“ned”识别为实体“PERSON”;在第2对中,候选1错误地将“us”识别为“LOCATION”。
结论
因此,这些样例已经证明,VI在概念上非常适合对抗攻击,因为该技术可以轻松地应用于寻找潜在的对抗对,而无需请求任何预先标记的数据作为攻击输入。关于图像识别和名称实体识别的实验都证明了将VI应用于对抗攻击的有用性和有效性。
变体不一致攻击的系统和技术
图5是图示根据各种实施例的用于实施变体不一致攻击的计算环境500的框图。如图所示,计算环境500包括经由一个或多个通信网络互连的训练系统505、变体不一致攻击系统510和模型部署系统515,例如作为本文详细描述的聊天机器人系统的一部分。
训练系统505包括资源管理器520、模型存储525、训练处理系统530、训练框架535、以及具有模型缓存545的文件共享系统540。资源管理器520、训练处理系统530和训练框架535使用一种或多种训练技术对用于执行任务的一个或多个模型(例如,机器学习语言模型)进行配置。一种或多种训练技术可以包括但不限于:Word2vec,其是一种产生静态词嵌入的浅层神经网络;BERT,其是一种基于Transformer编码器的自动编码器语言模型,用于使用基于微调和基于编码器的方法创建词嵌入和语言建模;ELMo,其是一种基于长短期记忆(LSTM)的模型,用于使用基于编码器的方法创建词嵌入和语言建模;GPT,其是一种基于transformer解码器的自回归语言模型,用于使用基于微调的方法创建词嵌入和语言建模方法;XLNet,其是一种用于语言建模的基于自回归和降噪自动编码器的模型;或其任意组合。用于一种或多种预训练技术的算法和超参数可以由用户(例如,开发人员)识别并用于配置模型。附加地或可替代地,算法和超参数可以由资源管理器520和训练处理系统530以诸如数据检索、评估、优化等自动化方式来获得。
机器学习模型可以是聊天机器人系统的一部分,比如命名实体识别模型、意图识别模型或图像识别模型。在一些实例中,机器学习模型是卷积神经网络(“CNN”),例如,初始神经网络、残差神经网络(“Resnet”);或递归神经网络,例如,长短期记忆(“LSTM”)模型或门控递归单元(“GRU”)模型;深度神经网络(“DNN”)的其他变型网络(例如,用于单意图分类的多标记n二元DNN分类器或多类DNN分类器。机器学习模型也可以是为自然语言处理而训练的任何其他合适的机器学习模型,如朴素贝叶斯分类器、线性分类器、支持向量机、诸如随机森林模型的装袋模型(BaggingModel)、提升模型(BoostingModel)、浅层神经网络、或这种技术中的一种或多种的组合——例如,CNN-HMM或MCNN(多尺度卷积神经网络)。聊天机器人系统可以采用相同类型的机器学习模型或不同类型的机器学习模型来识别话语中的一个或多个实体,确定话语代表特定技能机器人被配置为执行的任务的可能性,根据第一类型技能机器人的话语来预测意图,以及根据第二类型技能机器人的话语来预测意图。在根据本公开的其他示例中可以实施其他类型的机器学习模型。
资源管理器520、训练处理系统530和训练框架535组合工作以训练模型(例如,预训练、微调、训练等)。例如,资源管理器520可以获得用于训练、测试和验证模型的数据集,训练处理系统530可以实施用于托管和训练模型的多节点网络,并且训练框架535可以使用训练数据集、测试数据集和验证数据集在多节点网络上执行用于训练模型的步骤。训练的目的是训练模型以帮助其学习可以在一个或多个处理任务(例如,一个或多个自然语言处理任务)中使用的模型参数。
资源管理器520可以获取样例数据,将样例数据拆分成用于训练的样例子集(例如,90%)和用于测试和/或验证的样例子集(例如,10%),预处理这些样例子集,可选地扩充这些样例子集,并且在一些实例中用标记注释这些样例子集。拆分可以随机执行(例如,90%/10%或70%/30%),或者拆分可以根据更复杂的验证技术(诸如K-折交叉验证、留一交叉验证、留一组交叉验证、嵌套交叉验证等)来执行,以最小化采样偏差和过拟合。
机器学习模型的训练过程可以包括:为机器学习模型选择超参数,并执行将来自样例子集的样例输入到机器学习模型中的迭代操作,以便为机器学习模型找到使目标函数最大化或最小化(例如,使(多个)成本函数(比如损失或误差函数)最小化)的模型参数(例如,权重和/或偏置)集。超参数是可以被调整或优化以控制机器学习模型的行为的设置。大多数模型明确定义了用于控制模型的不同特征(诸如内存或执行成本)的超参数。然而,可以定义附加超参数以使机器学习模型适应特定的场景。例如,超参数可以包括模型的隐藏单元的数量、模型的学习率、卷积核宽度、或模型的内核数量。
由训练处理系统530和训练框架535执行的训练步骤可以包括迭代地执行训练和验证,直到模型已经被充分训练以供在推断阶段使用。例如,对于基于监督学习的模型,训练的目标是学习将训练输入空间X映射到目标值空间Y的函数“h()”(有时也称为假设函数)(h:X→Y),使得h(x)是对应值y的良好预测因子。可以使用各种不同的技术来学习该假设函数。在一些技术中,作为推导假设函数的一部分,可以定义衡量输入的基本事实值与该输入的预测值之间的差异的目标函数。作为训练的一部分,使用诸如反向传播、随机反馈、直接反馈对齐(DFA)、间接反馈对齐(IFA)、赫布学习等技术来最大化或最小化该目标函数(例如,最小化成本函数)。
训练技术可能取决于正在训练的模型的类型。例如,有不同类型的监督学习模型,比如不同类型的神经网络模型、支持向量机(SVM)模型等。可以使用各种不同的训练技术。例如,如前所述,可以为模型定义损失或成本函数,并且可以使用反向传播技术来最小化该损失或最小化函数。资源管理器520、训练处理系统530和训练框架535可以执行训练以构建和训练神经网络模型。神经网络或神经网络模型代表一种计算模型,其灵感来自于人脑中神经元和神经元网络的工作方式。神经网络包括分层布置的多个节点。每个节点接收来自一些其他节点或外部源的输入,并计算输出。节点的每个输入都具有相关联的权重,该权重是基于该输入相对于其他输入的相对重要性来指派的。该节点将函数(激活函数)应用于其输入的权重和以及偏置输入以生成输出。激活函数可能在节点的输出中引入非线性。神经网络的层可以包括:输入层,其包括一个或多个输入节点;输出层,其包括一个或多个输出节点;以及夹在输入层与输出层之间的零个或多个隐藏层,每个隐藏层包括一个或多个节点。一层节点的输出可以作为输入提供或连接到另一层的节点。输出层的输出代表由神经网络的处理产生的结果或预测。可以使用在一个或多个处理器上执行的代码来实施神经网络,其中,代码实施节点、节点之间的连接、由节点执行的功能、以及通过节点的处理流程。可以使用例如反向传播训练技术来训练神经网络,其中,对与神经网络中的节点的输入相关联的权重进行操纵,目的是最大化或最小化与由神经网络的输出层提供的(多个)输出相关联的目标函数。
一旦识别了使(多个)成本函数最小化的模型参数集,该模型就已经被训练并且可以使用样例子集(测试或验证数据集)进行验证。验证过程包括以下迭代操作:将来自样例子集的方面示例输入到模型中,使用验证技术(诸如K-折交叉验证、留一交叉验证、留一组交叉验证、嵌套交叉验证等)来调整超参数并最终找到最佳的超参数集。一旦获得最佳超参数集,就将来自样例子集的保留测试样例集输入到模型中以获得输出(例如,分类),并使用诸如Bland-Altman方法和Spearman等级相关系数等相关技术相对于基本事实来评估输出,并计算性能指标,比如误差、准确度、精度、召回率、接受者操作特性曲线(ROC)等。一旦模型经过测试和验证之后,训练框架535就输出经训练的模型,以在推断或运行时阶段期间基于实时或推断数据点进行推断或做出预测。
应当理解,可以设想其他训练/验证机制并且可以在计算环境500内实施其他训练/验证机制。例如,在来自样例子集的样例上,可以训练模型并且可以调整超参数,并且来自样例子集的样例可以仅用于测试和评估模型的性能。此外,尽管本文描述的训练机制集中于训练新模型。但这些训练机制还可以用于微调根据其他数据集训练的现有模型。例如,在一些实例中,模型可能已经使用来自某一领域的数据集的样本进行了预训练。在这些情况下,模型可以用于迁移学习,并使用来自另一领域的样例进行再训练/验证。
在模型已经被训练之后,模型然后可以被存储在模型存储525中,一个或多个用户可以从中获得模型以用于进行微调和/或在推断或运行时阶段期间基于实时或推断数据点进行推断或做出预测。例如,客户可以获得并使用预训练的模型来识别文本中的命名实体。附加地或可替代地,模型可以被存储在模型缓存545中并且可供诸如文件共享系统540等分布式环境的各个租户使用。模型缓存545中的模型可以由一个或多个租户经由文件共享系统540获得或访问,以用于进行微调和/或在推断或运行时阶段期间基于实时或推断数据点进行推断或做出预测。
变体不一致攻击系统510包括变体不一致算法存储550、变体不一致框架555、对抗样例存储560、以及用于在对抗样例575上对模型570进行对抗训练的对抗训练框架565。变体不一致算法存储550存储用于识别要在对抗训练中使用的对抗样例575的各种算法(例如,算法1、算法2、算法3等)。从变体不一致算法存储550中选择一种或多种算法,并在变体不一致框架555上利用预训练的机器学习模型570(例如,来自模型存储525或模型缓存545的模型)来执行这些算法。可以基于可用于训练、测试或验证模型的原始数据的类型、要用于原始数据和/或模型的modify_without_change_expected_label函数的类型、要进行对抗训练以防御对抗攻击的模型的类型、或其组合来选择一种或多种算法。每种算法被配置为将预训练的机器学习模型570(例如,来自模型存储525或模型缓存545的模型)和不具有对应标记的输入样例集580(例如,由资源管理器520获得的用于训练、测试或验证模型但不具有对应标记的数据集或子集)作为输入。
算法和变体不一致框架555对来自输入样例集580的各种样例执行modify_without_change_expected_label函数,以便生成修改后样例的对或集合,比如x1和x2。modify_without_changing_expected_label函数以效用保留的方式修改原始输入样例,如本文详细描述的。取决于所选的算法,对于各种应用,特别是对于跨如视觉和文本等不同模态的应用,该函数的实施方式可能有所不同。算法和变体不一致框架555执行预训练的机器学习模型570以将样例x1作为输入并生成该x1的输出y1,并且将修改后样例x2作为输入并生成该x2的输出y2。算法和变体不一致框架555然后确定这两个预测y1和y2是否实际上是不同的,并且如果是不同的,则确定至少一个预测肯定是错误的。x1与x2之间的差异是“变体”,并且y1与y2之间的潜在差异是“不一致”。当这对预测是不同的时,将这对对抗样例575添加到被存储在对抗样例存储560中的对抗样例对的集合。当这对预测是相同的时,丢弃这对样例,因为这两个样例都不被认为是对抗性的。可选地,用户可以在添加到对抗样例对的集合之前审查样例对和预测对,单独确定这对修改后样例中的每个修改后样例是否是真正的对抗样例575,并且将修改后样例到对抗样例对的集合的添加限制为只是将被用户认为是真正的对抗样例575的修改后样例添加到对抗样例对的集合中。
对抗训练框架565对预训练的机器学习模型570执行微调或对抗训练过程。微调或对抗训练过程包括使用来自对抗样例存储560的对抗样例575来再训练预训练的机器学习模型570。作为微调或对抗训练过程的结果,原始预训练语言模型570的模型参数被更新以考虑对抗数据的特性和用户在模型执行方面所感兴趣的任务。对抗训练框架565可以获得用于训练、测试和验证预训练的机器学习模型570的对抗样例集,并使用训练数据集、测试数据集和验证数据集来执行用于微调预训练的机器学习模型570的步骤。
由对抗训练框架565执行的微调(fine-tuning)步骤可以包括迭代地执行训练和验证,直到预训练的机器学习模型570已经被充分训练以供在推断阶段使用。例如,对于基于监督学习的模型,训练的目标是学习将训练输入空间X映射到目标值空间Y的函数“h()”(有时也称为假设函数)(h:X→Y),使得h(x)是对应值y的良好预测因子。可以使用各种不同的技术来学习该假设函数。在一些技术中,作为推导假设函数的一部分,可以定义衡量输入的基本事实值与该输入的预测值之间的差异的目标函数。作为训练的一部分,使用诸如反向传播、随机反馈、直接反馈对齐(DFA)、间接反馈对齐(IFA)、赫布学习等技术来最大化或最小化该目标函数。如关于训练系统505所描述的,训练技术可以取决于正在训练的模型的类型。例如,有不同类型的监督学习模型,比如不同类型的神经网络模型、支持向量机(SVM)模型等。取决于要微调的预训练模型的类型,可以使用各种训练技术。
一旦识别了使(多个)成本函数最小化的模型参数集,预训练的机器学习模型570就已经被再训练或微调,并且可以使用样例子集(测试或验证数据集)进行验证。验证过程包括以下迭代操作:将来自样例子集的示例输入到预训练的机器学习模型570中,使用验证技术(诸如K-折交叉验证、留一交叉验证、留一组交叉验证、嵌套交叉验证等)来调整超参数并最终找到最佳的超参数集。一旦获得最佳超参数集,就可以将来自样例子集的保留测试样例集输入到模型中以获得输出(例如,预测的分类),并使用诸如Bland-Altman方法和Spearman等级相关系数等相关技术相对于基本事实方面来评估输出,并计算性能指标,比如误差、准确度、精度、召回率、接受者操作特性曲线(ROC)等。
一旦预训练的机器学习模型570经过测试和验证,对抗训练框架565就输出模型,以在推断或运行时阶段期间基于实时或推断数据点进行推断或做出方面预测。例如,在预训练的机器学习模型570被训练、预训练的机器学习模型570已经被微调之后,或者在预训练的机器学习模型570已经暴露于对抗样例之后,然后可以使用模型部署系统515来部署该模型。该模型可以部署在基于容器的系统585中,比如具有健康监测服务590的Kubernetes。基于容器的系统585中的模型可以用于在推断或运行时阶段期间基于实时或推断数据点经由推断框架590进行推断或做出预测。健康监测服务595可以监测基于容器的系统585上的模型的健康状况,并根据需要触发对模型的再训练或微调(例如,在检测到漂移、对抗攻击时,或在提供新领域时)。虽然模型被描述为部署在基于容器的系统中,但是应当理解,在运行时阶段可以使用任何其他类型的系统来部署模型,而不脱离本公开的精神。
图6是图示根据各种实施例的用于变体不一致攻击的过程600的流程图。图6所描绘的处理可以以由相应系统的一个或多个处理单元(例如,处理器、核)执行的软件(例如,代码、指令、程序)、硬件或其组合实施。软件可以被存储在非暂态存储介质上(例如,存储器设备上)。图6所呈现的且下文所描述的方法旨在是说明性的而非限制性的。尽管图6描绘了以特定序列或顺序发生的各个处理步骤,但这并不旨在是限制性的。在某些替代性实施例中,步骤可以以某种不同的顺序执行或者一些步骤还可以并行地执行。在某些实施例中,如图1至图3和图5中描绘的实施例中,图6中描绘的处理可以由计算环境(例如,预处理子系统210或环境500)执行以生成用于训练一个或多个模型(例如,意图分类器242或320或模型570)的潜在对抗样例对的集合。
在步骤605中,获得用于攻击机器学习模型的输入样例集。该样例集不具有对应的标记。换句话说,该样例集尚未用有意义的信息标记进行标记以提供上下文,因此机器学习模型无法从有意义的信息标记中学习(例如,无法从已标记样例中推断出函数)。在一些实例中,机器学习模型是聊天机器人系统的一部分。在某些实例中,机器学习模型是命名实体识别模型。
在步骤610中,以效用保留方式修改样例集中的样例以生成一对修改后样例。以效用保留方式的修改是指在不改变样例的原始含义或预期标记的情况下对样例进行修改。这对修改后样例共享相同的预期标记。在一些实例中,该修改包括将噪声添加到样例中。在一些实例中,该修改包括从样例中选择一个或多个字母或单词,并对一个或多个字母或单词执行插入、删除或替换操作。表3提供了可以用于以效用保留方式修改样例的效用保留变换的示例。
表3:
在步骤615中,使用这对修改后样例来攻击机器学习模型。攻击包括:(i)在保持相同的预期标记对机器学习模型未知的同时将这对修改后样例输入到机器学习模型中,以及(ii)通过机器学习模型生成针对这对修改后样例的一对预测。
在步骤620中,比较这对预测以确定这对预测是相同的还是不同的。如本文使用的“相同”意指这两个预测必须完全相同。例如,在NER的情况下,假设获得两个修改后样例:(1)Edison buys a new bok和(2)Edison buys a nwe book。如果对于修改后样例(1),模型将“Edison”识别为名称实体,但对于修改后样例(2),模型不将“Edison”识别为名称实体,那么它们是不同的。因此,在该示例中,当且仅当对于这两个修改后样例,模型都将“Edison”识别为名称实体时,这对预测才是相同的。
在步骤625中,响应于这对预测是不同的,将这对修改后样例添加到对抗样例集中。可选地,用户可以在添加到对抗样例集之前审查这对修改后样例,单独确定这对修改后样例中的每个修改后样例是否是真正的对抗样例,并且将修改后样例到对抗样例集的添加限制为只是将被用户认为是真正的对抗样例的修改后样例添加到对抗样例集中。在一些实例中,响应于这对预测是相同的,丢弃这对修改后样例,因为这两个样例都不被认为是对抗性的。
在可选步骤630,使用对抗样例对的集合来训练该机器学习模型(或不同的机器学习模型)。训练包括用预期标记来注释对抗样例集中的每个样例以获得被注释的对抗样例,将被注释的对抗样例馈送到该机器学习模型或不同的机器学习模型,并且使用被注释的对抗样例基于最大化或最小化目标函数来学习多个模型参数。
说明性系统
图7描绘了分布式系统700的简化图。在图示的示例中,分布式系统700包括经由一个或多个通信网络710耦接到服务器712的一个或多个客户端计算设备702、704、706和708。客户端计算设备702、704、706和708可以被配置为执行一个或多个应用程序。
在各种示例中,服务器712可以被适配成运行实现本公开所描述的一个或多个实施例的一个或多个服务或软件应用程序。在某些示例中,服务器712还可以提供可以包括非虚拟环境和虚拟环境的其他服务或软件应用程序。在一些示例中,这些服务可以作为基于web的服务或云服务(如在软件即服务(SaaS)模型下)提供给客户端计算设备702、704、706和/或708的用户。操作客户端计算设备702、704、706和/或708的用户进而可以利用一个或多个客户端应用程序来与服务器712交互以利用这些部件所提供的服务。
在图7所描绘的配置中,服务器712可以包括实施由服务器712执行的功能的一个或多个部件718、720和722。这些部件可以包括可以由一个或多个处理器、硬件部件或其组合执行的软件部件。应了解,可以与分布式系统700不同的各种不同系统配置是可能的。因此,图7所示出的示例是用于实施示例系统的分布式系统的一个示例并且不旨在是限制性的。
用户可以使用客户端计算设备702、704、706和/或708来执行一个或多个应用程序、模型或聊天机器人,所述一个或多个应用程序、模型或聊天机器人可以生成然后可以根据本公开的传授内容实施或服务的一个或多个事件或模型。客户端设备可以提供使客户端设备的用户能够与客户端设备交互的接口。客户端设备还可以经由该接口向用户输出信息。尽管图7描绘了仅四个客户端计算设备,但是可以支持任何数量的客户端计算设备。
客户端设备可以包括各种类型的计算系统,如便携式手持设备、如个人计算机和膝上型计算机等通用计算机、工作站计算机、可穿戴设备、游戏系统、瘦客户端、各种消息传递设备、传感器或其他感测设备等。这些计算设备可以运行各种类型和版本的软件应用程序和操作系统(例如,MicrosoftApple/>或类UNIX操作系统、Linux或类Linux操作系统(如Google ChromeTMOS)),包括各种移动操作系统(例如,Microsoft Windows/>Windows/>AndroidTM、/>Palm/>)。便携式手持设备可以包括蜂窝电话、智能电话(例如,/>)、平板计算机(例如,/>)、个人数字助理(PDA)等。可穿戴设备可以包括Google/>头戴式显示器以及其他设备。游戏系统可以包括各种手持游戏设备、支持因特网的游戏设备(例如,有或没有/>姿势输入设备的Microsoft/>游戏控制台、Sony/>系统、由/>提供的各种游戏系统、以及其他)等。客户端设备可以能够执行各种不同的应用程序,如各种因特网相关应用程序、通信应用程序(例如,电子邮件应用程序、短消息服务(SMS)应用程序)并可以使用各种通信协议。
(多个)网络710可以是本领域技术人员所熟悉的可以使用各种可用协议中的任何一种支持数据通信的任何类型的网络,所述可用协议包括但不限于TCP/IP(传输控制协议/因特网协议)、SNA(系统网络架构)、IPX(因特网分组交换)、等。仅通过示例的方式,(多个)网络710可以是局域网(LAN)、基于以太网的网络、令牌环、广域网(WAN)、因特网、虚拟网络、虚拟私人网络(VPN)、内部网、外部网、公共交换电话网(PSTN)、红外线网、无线网(例如,根据电气与电子协会(IEEE)1002.11协议套件、/>和/或任何其他无线协议中的任一种协议操作的网络)和/或这些网络和/或其他网络的任何组合。
服务器712可以由以下各项构成:一个或多个通用计算机、专用服务器计算机(通过示例的方式包括PC(个人计算机)服务器、服务器、中档服务器、大型计算机、机架式服务器等)、服务器群、服务器集群、或任何其他适当的布置和/或组合。服务器712可以包括运行虚拟操作系统的一个或多个虚拟机或涉及虚拟化的其他计算架构,比如逻辑存储设备的可以被虚拟化以维护服务器的虚拟存储设备的一个或多个灵活池。在各种示例中,服务器712可以被适配成运行提供前述公开内容所描述的功能的一个或多个服务或软件应用程序。
服务器712中的计算系统可以运行一个或多个操作系统,所述一个或多个操作系统包括上文所讨论的那些操作系统中的任何一个操作系统以及任何可商购获得的服务器操作系统。服务器712也可以运行各种附加服务器应用程序和/或中间层应用程序中的任何一种应用程序,包括HTTP(超文本运输协议)服务器、FTP(文件传送协议)服务器、CGI(通用网关接口)服务器、服务器、数据库服务器等。示例性数据库服务器包括但不限于可从/>(国际商业机器公司)等商购获得的那些数据库服务器。
在一些实施方式中,服务器712可以包括一个或多个应用程序以分析并合并从客户端计算设备702、704、706和708的用户接收的数据馈送和/或事件更新。作为示例,数据馈送和/或事件更新可以包括但不限于馈送、/>更新或从一个或多个第三方信息源和连续数据流接收的实时更新,所述实时更新可以包括与传感器数据应用程序、财务收报机、网络性能测量工具(例如,网络监测和流量管理应用程序)、点击流分析工具、汽车交通监测等相关的实时事件。服务器712还可以包括一个或多个应用程序以经由客户端计算设备702、704、706和708的一个或多个显示设备来显示数据馈送和/或实时事件。
分布式系统700还可以包括一个或多个数据储存库714、716。在某些示例中,这些数据储存库可以用于存储数据和其他信息。例如,数据储存库714、716中的一个或多个可以用于存储信息(如与聊天机器人性能或生成的模型有关的信息)以供服务器712在执行根据各种实施例的各种功能时使用的聊天机器人使用。数据储存库714、716可以驻留在各种位置。例如,服务器712所使用的数据储存库可以在服务器712本地或者可以远离服务器712并经由基于网络的或专用的连接与服务器712通信。数据储存库714、716可以是不同类型。在某些示例中,服务器712所使用的数据储存库可以是数据库,例如关系数据库,如由Oracle和其他供应商提供的数据库。这些数据库中的一个或多个数据库可以被适配成响应于SQL格式的命令来实现数据到以及从数据库的存储、更新和取得。
在某些示例中,数据储存库714、716中的一个或多个数据储存库还可以被应用程序用来存储应用程序数据。应用程序所使用的数据储存库可以是不同类型,如例如键值存储储存库、对象存储储存库或由文件系统支持的通用存储储存库。
在某些示例中,本公开所描述的功能可以经由云环境作为服务提供。图8是根据某些示例的各种服务在其中可以作为云服务被提供的基于云的系统环境的简化框图。在图8所描绘的示例中,云基础设施系统802可以提供可以由用户使用一个或多个客户端计算设备804、806和808请求的一个或多个云服务。云基础设施系统802可以包括一个或多个计算机和/或服务器,所述一个或多个计算机和/或服务器可以包括上文针对服务器712所描述的那些计算机和/或服务器。云基础设施系统802中的计算机可以被组织成通用计算机、专用服务器计算机、服务器群、服务器集群或任何其他适当的布置和/或组合。
(多个)网络810可以促进客户端804、806和808与云基础设施系统802之间的数据通信和交换。(多个)网络810可以包括一个或多个网络。网络可以是相同或不同的类型。(多个)网络810可以支持一个或多个通信协议(包括有线和/或无线协议)以促进通信。
图8所描绘的示例仅是云基础设施系统的一个示例并且不旨在是限制性的。应了解,在一些其他示例中,云基础设施系统802可以具有比图8所描绘的那些部件更多或更少的部件、可以组合两个或更多个部件或者可以具有不同的部件配置或布置。例如,尽管图8描绘了三个客户端计算设备,但是在替代性示例中,可以支持任何数量的客户端计算设备。
术语云服务通常用于指代通过服务提供商的系统(例如,云基础设施系统802)按需且经由如因特网等通信网络变得可用于用户的服务。通常,在公共云环境中,构成云服务提供商的系统的服务器和系统与客户自身的室内服务器和系统不同。云服务提供商的系统由云服务提供商管理。因此,客户可以使自身利用由云服务提供商提供的云服务,而不必针对服务购买单独的许可证、支持或硬件和软件资源。例如,云服务提供商的系统可以托管应用程序,并且用户可以经由因特网按需订购并使用应用程序,而用户不必购买用于执行应用程序的基础设施资源。云服务被设计成提供对应用程序、资源和服务的容易的、可伸缩的访问。几个提供商提供云服务。例如,由加利福尼亚州红木海岸(Redwood Shores,California)的Oracle提供如中间件服务、数据库服务、Java云服务以及其他服务等几种云服务。
在某些示例中,云基础设施系统802可以使用不同的模型(如在软件即服务(SaaS)模型、平台即服务(PaaS)模型、基础设施即服务(IaaS)模型和其他模型(包括混合服务模型)下)提供一个或多个云服务。云基础设施系统802可以包括实现对各种云服务的供给的一套应用程序、中间件、数据库和其他资源。
SaaS模型使应用程序或软件能够作为服务通过如因特网等通信网络输送给客户,而客户不必购买底层应用程序的硬件或软件。例如,可以使用SaaS模型为客户提供对由云基础设施系统802托管的按需应用程序的访问。Oracle提供的SaaS服务的示例包括但不限于用于人力资源/资本管理、客户关系管理(CRM)、企业资源规划(ERP)、供应链管理(SCM)、企业绩效管理(EPM)、分析服务、社交应用程序以及其他等的各种服务。/>
IaaS模型通常用于将基础设施资源(例如,服务器、存储、硬件和联网资源)作为云服务提供给客户以提供弹性计算和存储能力。由Oracle提供各种IaaS服务。
PaaS模型通常用于提供使客户能够开发、运行并管理应用程序和服务而客户不必采购、构建或维护这种资源的平台和环境资源作为服务。由Oracle提供的PaaS服务的示例包括但不限于Oracle Java云服务(JCS)、Oracle数据库云服务(DBCS)、数据管理云服务、各种应用程序开发解决方案服务、以及其他服务。
云服务通常是以按需自助服务基础、基于订阅、可弹性伸缩、可靠、高度可用且安全的方式提供的。例如,客户可以经由订阅订单来订购由云基础设施系统802提供的一个或多个服务。然后,云基础设施系统802执行处理以提供客户的订阅订单中请求的服务。例如,用户可以使用话语来请求云基础设施系统采取如上文所描述的某个动作(例如,意图)和/或为如本文所描述的聊天机器人系统提供服务。云基础设施系统802可以被配置为提供一个或甚至多个云服务。
云基础设施系统802可以经由不同的部署模型提供云服务。在公共云模型中,云基础设施系统802可以由第三方云服务提供商拥有,并且云服务被提供给任何一般的公众客户,其中,所述客户可以是个人或企业。在某些其他示例中,在私有云模型下,云基础设施系统802可以在组织内(例如,在企业组织内)操作并且服务被提供给组织内的客户。例如,客户可以是如人力资源部门、薪资部门等企业的各个部门或甚至是企业内的个人。在某些其他示例中,在社区云模型下,云基础设施系统802和所提供的服务可以由有关的社区中的几个组织共享。也可以使用如上文所提到的模型的混合等各种其他模型。
客户端计算设备804、806和808可以是不同类型的(如图7所描绘的客户端计算设备702、704、706和708)并且可以能够操作一个或多个客户端应用程序。用户可以使用客户端设备与云基础设施系统802交互,如请求由云基础设施系统802提供的服务。例如,用户可以使用客户端设备从如本公开所描述的聊天机器人请求信息或动作。
在一些示例中,由云基础设施系统802执行的用于提供服务的处理可以涉及模型训练和部署。此分析可以涉及使用、分析并操纵数据集来训练并部署一个或多个模型。该分析可以由一个或多个处理器执行,从而可能并行地处理数据、使用数据执行模拟等。例如,大数据分析可以由云基础设施系统802执行以用于针对聊天机器人系统生成并训练一个或多个模型。用于该分析的数据可以包括结构化数据(例如,被存储在数据库中或根据结构化模型结构化的数据)和/或非结构化数据(例如,数据块(二进制大对象))。
如图8中的示例所描绘的,云基础设施系统802可以包括被用于促进供给由云基础设施系统802提供的各种云服务的基础设施资源830。基础设施资源830可以包括例如处理资源、存储或存储器资源、联网资源等。在某些示例中,可用于服务从应用程序请求的存储的存储虚拟机可以是云基础设施系统802的一部分。在其他示例中,存储虚拟机可以是不同系统的一部分。
在某些示例中,为了促进这些资源的高效供给以支持由云基础设施系统802为不同客户提供的各种云服务,资源可以绑定到资源组或资源模块(也称为“群(pod)”)中。每个资源模块或群可以包括一种或多种类型的资源的预先集成且优化的组合。在某些示例中,可以针对不同类型的云服务预先供给不同的群。例如,可以针对数据库服务供给第一组群、可以针对Java服务供给第二组群(所述第二组群可以包括与第一组群中的群不同的资源组合)等。对于一些服务,被分配用于供给服务的资源可以在服务之间共享。
云基础设施系统802自身可以在内部使用由云基础设施系统802的不同部件共享并且促进云基础设施系统802供给服务的服务832。这些内部共享服务可以包括但不限于安全和身份服务、整合服务、企业储存库服务、企业管理器服务、病毒扫描和白名单服务、高度可用性、备份和恢复服务、用于实现云支持的服务、电子邮件服务、通知服务、文件传送服务等。
云基础设施系统802可以包括多个子系统。这些子系统可以以软件或硬件或其组合实施。如图8所描绘的,子系统可以包括使得云基础设施系统802的用户或客户能够与云基础设施系统802交互的用户接口子系统812。用户接口子系统812可以包括各种不同的接口,如web接口814、在线商店接口816(其中,广告并且消费者可购买由云基础设施系统802提供的云服务)和其他接口818。例如,客户可以使用客户端设备请求(服务请求834)由云基础设施系统802使用接口814、816和818中的一个或多个接口提供的一个或多个服务。例如,客户可以访问在线商店、浏览由云基础设施系统802提供的云服务并且针对客户希望订阅的由云基础设施系统802提供的一个或多个服务下订阅订单。服务请求可以包括标识客户和客户期望订阅的一个或多个服务的信息。例如,客户可以针对由云基础设施系统802提供的服务下订阅订单。作为订单的一部分,客户可以提供标识服务要针对其提供的聊天机器人系统的信息并且可选地为聊天机器人系统提供一个或多个凭证。
在某些示例(如图8所描绘的示例)中,云基础设施系统802可以包括被配置为处理新订单的订单管理子系统(OMS)820。作为该处理的一部分,OMS 820可以被配置为:为客户创建账户(如果尚未创建的话);从客户接收要用于向客户开具账单以向客户提供所请求的服务的账单和/或计费信息;验证客户信息;在验证之后,为客户预订订单;并且策划各种工作流程来准备订单以进行供给。
一旦被正确地验证,那么,OMS 820就可以调用被配置成为订单供给资源(包括处理资源、存储器资源和联网资源)的订单供给子系统(OPS)824。供给可以包括为订单分配资源并配置资源以促进客户订单所请求的服务。为订单供给资源的方式和所供给的资源的类型可以取决于客户已经订购的云服务的类型。例如,根据一个工作流程,OPS 824可以被配置为确定正在请求的特定云服务并且识别可能已经为所述特定云服务预先配置的群的数量。为订单分配的群的数量可以取决于所请求服务的大小/量/层级/范围。例如,要分配的群的数量可以基于服务所要支持的用户的数量、正在请求的服务的持续时间等来确定。然后,可以为特定的请求客户定制分配的群以用于提供所请求服务。
在某些示例中,如上文所描述的设置阶段处理可以作为供给过程的一部分由云基础设施系统802来执行。云基础设施系统802可以生成应用程序ID并从云基础设施系统802自身所提供的存储虚拟机中或从除云基础设施系统802以外的其他系统所提供的存储虚拟机中为应用程序选择存储虚拟机。
云基础设施系统802可以向请求客户发送回应或通知844,以指示何时所请求服务现在已准备好使用。在一些实例中,可以向客户发送使客户能够开始使用和利用所请求服务的益处的信息(例如,链接)。在某些示例中,对于请求服务的客户,回应可以包括由云基础设施系统802生成的聊天机器人系统ID和标识由云基础设施系统802对应于聊天机器人系统ID为聊天机器人系统选择的聊天机器人系统的信息。
云基础设施系统802可以向多个客户提供服务。对于每个客户,云基础设施系统802负责管理与从客户接收的一个或多个订阅订单有关的信息、维护与订单相关的客户数据并且向客户提供所请求服务。云基础设施系统802还可以收集关于客户使用所订阅服务的使用情况统计数据。例如,可以收集所使用的存储量、所传送的数据量、用户的数量以及系统开机时间量和系统停机时间量等的统计数据。可以使用该使用情况信息向客户开具账单。可以例如以月为周期完成开具账单。
云基础设施系统802可以并行地向多个客户提供服务。云基础设施系统802可以存储这些客户的信息(可能包括专有信息)。在某些示例中,云基础设施系统802包括被配置为管理客户信息并提供对所管理信息的分离使得与一个客户有关的信息不能被另一个客户访问的身份管理子系统(IMS)828。IMS 828可以被配置为提供如身份服务等各种安全有关服务,如信息访问管理、认证和授权服务、用于管理客户身份和角色以及相关功能的服务等。
图9图示了计算机系统900的示例。在一些示例中,计算机系统900可以用于实施分布式环境内的任何数字助理或聊天机器人系统以及上文所描述的各种服务器和计算机系统。如图9所示,计算机系统900包括各种子系统,包括经由总线子系统902与多个其他子系统通信的处理子系统904。这些其他子系统可以包括处理加速单元906、I/O子系统908、存储子系统918和通信子系统924。存储子系统918可以包括非暂态计算机可读存储介质,包括存储介质922和系统存储器910。
总线子系统902提供用于允许计算机系统900的各个部件和子系统按预期彼此通信的机构。虽然总线子系统902被示意性地示出为单个总线,但是总线子系统的替代性示例可以利用多个总线。总线子系统902可以是包括存储器总线或存储器控制器、外围总线、使用各种总线架构中的任何一种的局部总线等的若干种类型的总线结构中的任何一种。例如,这种架构可以包括工业标准架构(ISA)总线、微通道架构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)局部总线以及外围部件互连(PCI)总线(其可以被实施为被制造成IEEE P1386.1标准的夹层(Mezzanine)总线)等。
处理子系统904控制计算机系统900的操作并且可以包括一个或多个处理器、专用集成电路(ASIC)或现场可编程门阵列(FPGA)。处理器可以包括单核处理器或多核处理器。计算机系统900的处理资源可以被组织成一个或多个处理单元932、934等。处理单元可以包括一个或多个处理器、来自相同或不同处理器的一个或多个核、核和处理器的组合或核和处理器的其他组合。在一些示例中,处理子系统904可以包括如图形处理器、数字信号处理器(DSP)等一个或多个专用协处理器。在一些示例中,处理子系统904的处理单元中的一些或全部可以使用如专用集成电路(ASIC)或现场可编程门阵列(FPGA)等定制电路来实施。
在一些示例中,处理子系统904中的处理单元可以执行被存储在系统存储器910内或计算机可读存储介质922上的指令。在各种示例中,处理单元可以执行各种程序或代码指令并且可以维护多个同时执行的程序或过程。在任何给定时间,要执行的程序代码中的一些或全部可以驻留在系统存储器910中和/或计算机可读存储介质922上(潜在地包括驻留在一个或多个存储设备上)。通过适合的编程,处理子系统904可以提供上文所描述的各种功能。在计算机系统900在执行一个或多个虚拟机的实例中,可以向每个虚拟机分配一个或多个处理单元。
在某些示例中,可以可选地提供处理加速单元906以用于执行定制处理或用于卸载处理子系统904所执行的处理中的一些处理,从而加速计算机系统900所执行的总体处理。
I/O子系统908可以包括用于向计算机系统900输入信息和/或用于从或经由计算机系统900输出信息的设备和机构。通常,使用术语输入设备旨在包括用于向计算机系统900输入信息的所有可能类型的设备和机构。用户接口输入设备可以包括例如键盘、如鼠标或轨迹球等指向设备、合并到显示器中的触摸板或触摸屏、滚轮、点击轮、拨号盘、按钮、开关、小键盘、具有话音命令识别系统的音频输入设备、麦克风以及其他类型的输入设备。用户接口输入设备还可以包括运动感测和/或姿势识别设备,如使用户能够控制输入设备并与输入设备交互的Microsoft运动传感器、Microsoft/>360游戏控制器、提供用于使用姿势和口述命令接收输入的界面的设备。用户接口输入设备还可以包括眼部姿势识别设备,如检测来自用户的眼部活动(例如,在拍照和/或进行菜单选择时“眨眼”)并将眼部姿势转化为到输入设备(如Google/>)的输入的Google/>眨眼检测器。另外,用户接口输入设备可以包括使用户能够通过声音命令与声音识别系统(例如,/>导航器)交互的声音识别感测设备。
用户接口输入设备的其他示例包括但不限于三维(3D)鼠标、操纵杆或指向杆、游戏手柄和图形板、以及音频/视觉设备(如扬声器、数码相机、数码摄像机、便携式媒体播放器、网络摄像机、图像扫描仪、指纹扫描仪、条形码读取器3D扫描仪、3D打印机、激光测距仪、眼睛注视跟踪设备)。另外,用户接口输入设备可以包括例如医学成像输入设备,如计算机断层扫描、磁共振成像、正电子发射断层扫描和医学超声检查设备。用户接口输入设备还可以包括例如音频输入设备,如MIDI键盘、数码乐器等。
通常,使用术语输出设备旨在包括用于从计算机系统900向用户或其他计算机输出信息的所有可能类型的设备和机构。用户接口输出设备可以包括显示子系统、指示灯或如音频输出设备等非视觉显示器。显示子系统可以是阴极射线管(CRT)、平板设备(如使用液晶显示器(LCD)或等离子显示器的平板设备)、投影设备、触摸屏等。例如,用户接口输出设备可以包括但不限于在视觉上传达文本、图形和音频/视频信息的各种显示设备,如监视器、打印机、扬声器、头戴式耳机、汽车导航系统、绘图仪、话音输出设备和调制解调器。
存储子系统918提供用于存储计算机系统900所使用的信息和数据的储存库或数据存储。存储子系统918提供用于存储提供一些示例的功能的基本编程和数据构造的有形非暂态计算机可读存储介质。存储子系统918可以存储当由处理子系统904执行时提供上文所描述的功能的软件(例如,程序、代码模块、指令)。软件可以由处理子系统904的一个或多个处理单元执行。存储子系统918还可以根据本公开的传授内容提供认证。
存储子系统918可以包括一个或多个非暂态存储器设备,所述一个或多个非暂态存储器设备包括易失性存储器设备和非易失性存储器设备。如图9所示,存储子系统918包括系统存储器910和计算机可读存储介质922。系统存储器910可以包括多个存储器,包括用于在程序执行期间存储指令和数据的易失性主随机存取存储器(RAM)和其中存储有固定指令的非易失性只读存储器(ROM)或闪速存储器。在一些实施方式中,包含在启动期间帮助计算机系统900内的元件之间传送信息的基本例程的基本输入/输出系统(BIOS)通常可以存储在ROM中。RAM通常包含目前由处理子系统904操作并执行的数据和/或程序模块。在一些实施方式中,系统存储器910可以包括如静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)等多种不同类型的存储器。
通过示例而非限制的方式,如图9所描绘的,系统存储器910可以加载正在执行的应用程序912(所述应用程序可以包括如Web浏览器、中间层应用程序、关系数据库管理系统(RDBMS)等各种应用程序)、程序数据914和操作系统916。通过示例的方式,操作系统916可以包括各种版本的MicrosoftApple/>和/或Linux操作系统、各种可商购获得的/>或类UNIX操作系统(包括但不限于各种GNU/Linux操作系统、Google/>OS等)和/或如iOS、/>电话、/>OS、/>OS、/>OS操作系统等移动操作系统、以及其他操作系统。
计算机可读存储介质922可以存储提供一些示例的功能的编程和数据构造。计算机可读介质922可以为计算机系统900提供对计算机可读指令、数据结构、程序模块和其他数据的存储。当由处理子系统904执行时提供上文所描述的功能的软件(程序、代码模块、指令)可以被存储在存储子系统918中。通过示例的方式,计算机可读存储介质922可以包括如硬盘驱动器、磁盘驱动器、光盘驱动器(如CD ROM、DVD、Blu-盘或其他光学介质)等非易失性存储器。计算机可读存储介质922可以包括但不限于/>驱动器、闪速存储器卡、通用串行总线(USB)闪速存储器驱动器、安全数字(SD)卡、DVD盘、数字录像带等。计算机可读存储介质922还可以包括如基于闪速存储器的固态驱动器(SSD)、企业级闪速存储器驱动器、固态ROM等基于非易失性存储器的SSD、基于如固态RAM、动态RAM、静态RAM等易失性存储器的SSD、基于DRAM的SSD、磁阻RAM(MRAM)SSD以及使用DRAM和基于闪速存储器的SSD的组合的混合SSD。
在某些示例中,存储子系统918还可以包括可以进一步连接到计算机可读存储介质922的计算机可读存储介质读取器920。读取器920可以从如盘、闪速存储器驱动器等存储器设备接收数据并且被配置为从所述存储器设备读取数据。
在某些示例中,计算机系统900可以支持虚拟化技术,包括但不限于对处理和存储器资源的虚拟化。例如,计算机系统900可以提供对执行一个或多个虚拟机的支持。在某些示例中,计算机系统900可以执行如促进对虚拟机的配置和管理的管理程序等程序。每个虚拟机可以分配有存储器、计算(例如,处理器、核)、I/O和联网资源。每个虚拟机通常独立于其他虚拟机运行。虚拟机通常运行其自身的操作系统,所述操作系统可以与由计算机系统900所执行的其他虚拟机执行的操作系统相同或不同。因此,多个操作系统可以潜在地由计算机系统900同时运行。
通信子系统924提供到其他计算机系统和网络的接口。通信子系统924用作用于从其他系统接收数据并且从计算机系统900向其他系统传输数据的接口。例如,通信子系统924可以使得计算机系统900能够经由因特网构建到一个或多个客户端设备的通信通道以用于从客户端设备接收信息并向客户端设备发送信息。例如,当计算机系统900用于实施图1所描绘的机器人系统120时,通信子系统可以用于与针对应用程序选择的聊天机器人系统通信。
通信子系统924可以支持有线通信协议和/或无线通信协议两者。在某些示例中,通信子系统924可以包括用于访问无线声音和/或数据网络的射频(RF)收发器部件(例如,使用蜂窝电话技术、如3G、4G或EDGE(全球演进增强型数据速率)等先进的数据网络技术、WiFi(IEEE 802.XX家庭标准、或其他移动通信技术、或其任何组合)、全球定位系统(GPS)接收器部件和/或其他部件。在一些示例中,除了无线接口之外或替代无线接口,通信子系统924可以提供有线网络连接性(例如,以太网)。
通信子系统924可以接收并发射各种形式的数据。在一些示例中,除了其他形式之外,通信子系统924还可以接收结构化和/或非结构化数据馈送926、事件流928、事件更新930等形式的输入通信。例如,通信子系统924可以被配置为从社交媒体网络和/或其他通信服务的用户实时地接收(或发送)数据馈送926,如馈送、/>更新、web馈送(如丰富站点摘要(RSS)馈送)和/或来自一个或多个第三方信息源的实时更新。
在某些示例中,通信子系统924可以被配置为接收连续数据流形式的数据,所述连续数据流可以包括(可以没有显式结束的本质上连续的或无界的)实时事件的事件流928和/或事件更新930。生成连续数据的应用程序的示例可以包括例如传感器数据应用程序、财务收报机、网络性能测量工具(例如,网络监测和流量管理应用程序)、点击流分析工具、汽车交通监测等。
通信子系统924还可以被配置为将数据从计算机系统900传送到其他计算机系统或网络。可以将数据以如结构化和/或非结构化数据馈送926、事件流928、事件更新930等各种不同的形式传送到可以与耦接至计算机系统900的一个或多个流数据源计算机通信的一个或多个数据库。
计算机系统900可以是各种类型中的一种,包括手持便携式设备(例如,蜂窝电话、/>计算平板计算机、PDA)、可穿戴设备(例如,Google/>头戴式显示器)、个人计算机、工作站、主机、自助服务终端、服务器机架、或任何其他数据处理系统。由于计算机和网络的不断变化的性质,对图9所描绘的计算机系统900的描述旨在仅作为具体示例。具有比图9所描绘的系统更多或更少的部件的许多其他配置是可能的。基于本公开和本文所提供的传授内容,应了解,有其他方式和/或方法来实施各种示例。
虽然已经描述了具体示例,但是各种修改、更改、替代性构造和等同物是可能的。示例不局限于在某些具体数据处理环境中的操作,而是自由地在多个数据处理环境中操作。另外,尽管已经使用特定系列的事务和步骤描述了某些示例,但是对于本领域技术人员而言应当显而易见的是,这不旨在是限制性的。虽然一些流程图将操作描述为顺序过程,但是许多操作可以并行地或同时地执行。另外,可以重新布置操作的顺序。过程可以具有图中未包括的另外的步骤。可以单独地或联合地使用上文所描述的示例的各种特征和方面。
进一步地,虽然已经使用硬件和软件的特定组合描述了某些示例,但是应当认识到,硬件和软件的其他组合也是可能的。某些示例可以仅以硬件或仅以软件或使用其组合实施。本文所描述的各种过程可以在相同处理器或不同处理器上以任何组合实施。
在将设备、系统、部件或模块描述为被配置为执行某些操作或功能的情况下,这种配置可以例如通过将电子电路设计成执行操作、通过对可编程电子电路(如微处理器)进行编程以执行操作(如通过执行计算机指令或代码)或通过被编程成执行被存储在非暂态存储器介质上的代码或指令的处理器或核或其任何组合来完成。过程可以使用包括但不限于用于过程间通信的传统技术的各种技术进行通信,并且不同的过程对可以使用不同的技术,或者相同的过程对可以在不同的时间使用不同的技术。
本公开中给出了具体细节以提供对示例的透彻理解。然而,可以在没有这些具体细节的情况下实践示例。例如,已经示出了公知的电路、过程、算法、结构和技术,而没有不必要的细节,以避免模糊示例。此描述仅提供了示例性示例并且不旨在限制其他示例的范围、适用性或配置。而是,先前对示例的描述将为本领域技术人员提供用于实施各种示例的使能描述。可以对元件的功能和布置作出各种改变。
因此,应当从说明性而非限制性意义上看待本说明书和附图。然而,将明显的是,在不脱离权利要求中阐述的更广泛的精神和范围的情况下,可以对其作出添加、减少、删除以及其他修改和改变。因此,虽然已经描述了具体示例,但是这些示例不旨在是限制性的。各种修改和等同物均在以下权利要求的范围内。
在前述说明书中,参考本公开的具体示例描述了本公开的各方面,但是本领域技术人员将认识到,本公开并不限于此。可以单独地或联合地使用上文所描述的公开的各种特征和方面。进一步地,在不脱离说明书的更广泛的精神和范围的情况下,可以在除了本文所描述的那些环境和应用程序外的任何数量的环境和应用程序中利用示例。因此,说明书和附图应被视为说明性的而非限制性的。
在前述描述中,出于说明的目的,以特定顺序描述了方法。应当了解,在替代性示例中,可以以与所描述的顺序不同的顺序来执行方法。还应当了解,上文所描述的方法可以由硬件部件执行或者可以体现在机器可执行指令的序列中,所述指令可以用于使机器(如用所述指令编程的通用或专用处理器或逻辑电路)执行所述方法。这些机器可执行指令可以被存储在一个或多个机器可读介质上,如CD-ROM或其他类型的光盘、软盘、ROM、RAM、EPROM、EEPROM、磁卡或光卡、闪速存储器或适合于存储电子指令的其他类型的机器可读介质。可替代地,方法可以由硬件和软件的组合来执行。
在将部件描述为被配置为执行某些操作的情况下,这种配置可以例如通过设计用于执行操作的电子电路或其他硬件、通过对用于执行操作的可编程电子电路(例如,微处理器或其他适合的电子电路)进行编程或其任何组合来完成。
尽管本文已经详细描述了本申请的说明性示例,但是应当理解,可以以其他方式不同地体现并采用本发明概念,并且所附权利要求旨在被解释为包括这种变化,受现有技术限制的情况除外。
Claims (20)
1.一种计算机实施的方法,包括:
获得用于攻击机器学习模型的输入样例集,其中,所述样例集不具有对应的标记;
以效用保留方式修改来自所述样例集中的样例以生成一对修改后样例,其中,所述效用保留方式包括在不改变所述样例的原始含义或预期标记的情况下修改所述样例,并且其中,所述一对修改后样例共享相同的预期标记;
用所述一对修改后样例来攻击所述机器学习模型,其中,所述攻击包括:
在保持所述相同的预期标记对所述机器学习模型未知的同时将所述一对修改后样例输入到所述机器学习模型中,以及
通过所述机器学习模型生成针对所述一对修改后样例的一对预测,
比较所述一对预测以确定所述一对预测是相同的还是不同的;以及
响应于所述一对预测是不同的,将所述一对修改后样例添加到对抗样例集。
2.如权利要求1所述的方法,进一步包括使用所述对抗样例集来训练所述机器学习模型或不同的机器学习模型,其中,所述训练包括用预期标记来注释所述对抗样例集中的每个样例以获得被注释的对抗样例,将所述被注释的对抗样例馈送到所述机器学习模型或所述不同的机器学习模型,并且使用所述被注释的对抗样例基于最大化或最小化目标函数来学习多个模型参数。
3.如权利要求1所述的方法,进一步包括响应于所述一对预测是不同的并且在将所述一对修改后样例添加到对抗样例对的所述集合之前,单独确定所述一对修改后样例中的每个修改后样例是否是真正的对抗样例,并且将所述修改后样例到所述对抗样例集的所述添加限制为只是被认为是真正的对抗样例的所述修改后样例到所述对抗样例集的所述添加。
4.如权利要求1所述的方法,其中,所述机器学习模型是聊天机器人系统的一部分。
5.如权利要求1所述的方法,其中,所述机器学习模型是命名实体识别模型、意图识别模型或图像识别模型。
6.如权利要求1所述的方法,其中,所述修改包括将噪声添加到所述样例中。
7.如权利要求1所述的方法,其中,所述修改包括从所述样例中选择一个或多个字母或单词,并对所述一个或多个字母或单词执行插入、删除或替换操作。
8.一种系统,包括:
一个或多个处理器;以及
存储器,所述存储器被耦接至所述一个或多个处理器,所述存储器存储有能够由所述一个或多个处理器执行的多个指令,所述多个指令包括当由所述一个或多个处理器执行时使所述一个或多个处理器执行包括以下操作的处理的指令:
获得用于攻击机器学习模型的输入样例集,其中,所述样例集不具有对应的标记;
以效用保留方式修改来自所述样例集中的样例以生成一对修改后样例,其中,所述效用保留方式包括在不改变所述样例的原始含义或预期标记的情况下修改所述样例,并且其中,所述一对修改后样例共享相同的预期标记;
用所述一对修改后样例来攻击所述机器学习模型,其中,所述攻击包括:
在保持所述相同的预期标记对所述机器学习模型未知的同时将所述一对修改后样例输入到所述机器学习模型中,以及
通过所述机器学习模型生成针对所述一对修改后样例的一对预测,
比较所述一对预测以确定所述一对预测是相同的还是不同的;以及
响应于所述一对预测是不同的,将所述一对修改后样例添加到对抗样例集。
9.如权利要求8所述的系统,其中,所述处理进一步包括使用所述对抗样例集来训练所述机器学习模型或不同的机器学习模型,其中,所述训练包括用预期标记来注释所述对抗样例集中的每个样例以获得被注释的对抗样例,将所述被注释的对抗样例馈送到所述机器学习模型或所述不同的机器学习模型,并且使用所述被注释的对抗样例基于最大化或最小化目标函数来学习多个模型参数。
10.如权利要求8所述的系统,其中,所述处理进一步包括响应于所述一对预测是不同的并且在将所述一对修改后样例添加到对抗样例对的所述集合之前,单独确定所述一对修改后样例中的每个修改后样例是否是真正的对抗样例,并且将所述修改后样例到所述对抗样例集的所述添加限制为只是被认为是真正的对抗样例的所述修改后样例到所述对抗样例集的所述添加。
11.如权利要求8所述的系统,其中,所述机器学习模型是聊天机器人系统的一部分。
12.如权利要求8所述的系统,其中,所述机器学习模型是命名实体识别模型、意图识别模型或图像识别模型。
13.如权利要求8所述的系统,其中,所述修改包括将噪声添加到所述样例中。
14.如权利要求8所述的系统,其中,所述修改包括从所述样例中选择一个或多个字母或单词,并对所述一个或多个字母或单词执行插入、删除或替换操作。
15.一种非暂态计算机可读存储器,所述非暂态计算机可读存储器存储有能够由一个或多个处理器执行的多个指令,所述多个指令包括当由所述一个或多个处理器执行时使所述一个或多个处理器执行包括以下操作的处理的指令:
获得用于攻击机器学习模型的输入样例集,其中,所述样例集不具有对应的标记;
以效用保留方式修改来自所述样例集中的样例以生成一对修改后样例,其中,所述效用保留方式包括在不改变所述样例的原始含义或预期标记的情况下修改所述样例,并且其中,所述一对修改后样例共享相同的预期标记;
用所述一对修改后样例来攻击所述机器学习模型,其中,所述攻击包括:
在保持所述相同的预期标记对所述机器学习模型未知的同时将所述一对修改后样例输入到所述机器学习模型中,以及
通过所述机器学习模型生成针对所述一对修改后样例的一对预测,
比较所述一对预测以确定所述一对预测是相同的还是不同的;以及
响应于所述一对预测是不同的,将所述一对修改后样例添加到对抗样例集。
16.如权利要求15所述的非暂态计算机可读存储器,其中,所述处理进一步包括使用所述对抗样例集来训练所述机器学习模型或不同的机器学习模型,其中,所述训练包括用预期标记来注释所述对抗样例集中的每个样例以获得被注释的对抗样例,将所述被注释的对抗样例馈送到所述机器学习模型或所述不同的机器学习模型,并且使用所述被注释的对抗样例基于最大化或最小化目标函数来学习多个模型参数。
17.如权利要求15所述的非暂态计算机可读存储器,其中,所述处理进一步包括响应于所述一对预测是不同的并且在将所述一对修改后样例添加到对抗样例对的所述集合之前,单独确定所述一对修改后样例中的每个修改后样例是否是真正的对抗样例,并且将所述修改后样例到所述对抗样例集的所述添加限制为只是被认为是真正的对抗样例的所述修改后样例到所述对抗样例集的所述添加。
18.如权利要求15所述的非暂态计算机可读存储器,其中,所述机器学习模型是命名实体识别模型、意图识别模型或图像识别模型。
19.如权利要求15所述的非暂态计算机可读存储器,其中,所述修改包括将噪声添加到所述样例中。
20.如权利要求15所述的非暂态计算机可读存储器,其中,所述修改包括从所述样例中选择一个或多个字母或单词,并对所述一个或多个字母或单词执行插入、删除或替换操作。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202163185531P | 2021-05-07 | 2021-05-07 | |
| US63/185,531 | 2021-05-07 | ||
| PCT/US2022/022291 WO2022235353A1 (en) | 2021-05-07 | 2022-03-29 | Variant inconsistency attack (via) as a simple and effective adversarial attack method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117296058A true CN117296058A (zh) | 2023-12-26 |
Family
ID=81346304
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280033706.0A Pending CN117296058A (zh) | 2021-05-07 | 2022-03-29 | 作为简单有效的对抗攻击方法的变体不一致攻击(via) |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20220358225A1 (zh) |
| EP (1) | EP4334832A1 (zh) |
| JP (1) | JP2024518416A (zh) |
| CN (1) | CN117296058A (zh) |
| WO (1) | WO2022235353A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11316806B1 (en) * | 2020-01-28 | 2022-04-26 | Snap Inc. | Bulk message deletion |
| US11776241B1 (en) * | 2022-09-30 | 2023-10-03 | Fudan University | Method and system for generating adversarial attacks on video recognition models |
| US11783233B1 (en) | 2023-01-11 | 2023-10-10 | Dimaag-Ai, Inc. | Detection and visualization of novel data instances for self-healing AI/ML model-based solution deployment |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11526601B2 (en) * | 2017-07-12 | 2022-12-13 | The Regents Of The University Of California | Detection and prevention of adversarial deep learning |
| US11036857B2 (en) * | 2018-11-15 | 2021-06-15 | International Business Machines Corporation | Protecting a machine learning model |
| WO2020205655A1 (en) * | 2019-03-29 | 2020-10-08 | Intel Corporation | Autonomous vehicle system |
| US11765202B2 (en) * | 2020-01-17 | 2023-09-19 | Cisco Technology, Inc. | Automatic detection and prevention of injection attacks |
| US11675896B2 (en) * | 2020-04-09 | 2023-06-13 | International Business Machines Corporation | Using multimodal model consistency to detect adversarial attacks |
| US11818163B2 (en) * | 2020-09-18 | 2023-11-14 | Paypal, Inc. | Automatic machine learning vulnerability identification and retraining |
| CA3133729A1 (en) * | 2020-10-08 | 2022-04-08 | Royal Bank Of Canada | System and method for machine learning fairness test |
-
2022
- 2022-03-29 WO PCT/US2022/022291 patent/WO2022235353A1/en active Application Filing
- 2022-03-29 JP JP2023568351A patent/JP2024518416A/ja active Pending
- 2022-03-29 EP EP22717981.9A patent/EP4334832A1/en active Pending
- 2022-03-29 CN CN202280033706.0A patent/CN117296058A/zh active Pending
- 2022-03-29 US US17/707,392 patent/US20220358225A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4334832A1 (en) | 2024-03-13 |
| WO2022235353A1 (en) | 2022-11-10 |
| US20220358225A1 (en) | 2022-11-10 |
| JP2024518416A (ja) | 2024-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11195532B2 (en) | Handling multiple intents in utterances | |
| US11763092B2 (en) | Techniques for out-of-domain (OOD) detection | |
| CN114424185A (zh) | 用于自然语言处理的停用词数据扩充 | |
| US11868727B2 (en) | Context tag integration with named entity recognition models | |
| US11928430B2 (en) | Detecting unrelated utterances in a chatbot system | |
| CN112487157A (zh) | 用于聊天机器人的基于模板的意图分类 | |
| CN115917553A (zh) | 在聊天机器人中实现稳健命名实体识别的实体级数据扩充 | |
| US20220230000A1 (en) | Multi-factor modelling for natural language processing | |
| US20220358225A1 (en) | Variant inconsistency attack (via) as a simple and effective adversarial attack method | |
| CN115398436A (zh) | 用于自然语言处理的噪声数据扩充 | |
| US20230100508A1 (en) | Fusion of word embeddings and word scores for text classification | |
| CN116635862A (zh) | 用于自然语言处理的域外数据扩充 | |
| CN116583837A (zh) | 用于自然语言处理的基于距离的logit值 | |
| CN116547676A (zh) | 用于自然语言处理的增强型logit | |
| CN116615727A (zh) | 用于自然语言处理的关键词数据扩充工具 | |
| CN116490879A (zh) | 用于神经网络中过度预测的方法和系统 | |
| CN115989490A (zh) | 用于为文本分类提供解释的技术 | |
| US20230153688A1 (en) | Data augmentation and batch balancing methods to enhance negation and fairness | |
| CN116724306A (zh) | 用于自然语言处理器的多特征平衡 | |
| US20240062108A1 (en) | Techniques for training and deploying a named entity recognition model | |
| US20230161963A1 (en) | System and techniques for handling long text for pre-trained language models | |
| US20240169161A1 (en) | Automating large-scale data collection | |
| US20240062112A1 (en) | Adaptive training data augmentation to facilitate training named entity recognition models | |
| US20230153687A1 (en) | Named entity bias detection and mitigation techniques for sentence sentiment analysis | |
| US20230134149A1 (en) | Rule-based techniques for extraction of question and answer pairs from data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |