WO2021212675A1 - 对抗样本的生成方法、装置、电子设备及存储介质 - Google Patents

Abstract

一种对抗样本的生成方法、装置、电子设备及存储介质，该方法包括：获取原始文本(S101)；确定原始文本中各个词的替换词候选集(S102)；基于粒子群优化算法，从替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本(S103)。该方法使用粒子群优化算法来搜索对抗样本，搜索对抗样本时能够提升搜索速度，并且还能够提高攻击成功率。

Description

对抗样本的生成方法、装置、电子设备及存储介质

相关申请的交叉引用

本申请要求于2020年4月21日提交的申请号为202010317965.9，发明名称为“对抗样本的生成方法、装置、电子设备及存储介质”的中国专利申请的优先权，其通过引用方式全部并入本文。

技术领域

本申请涉及自然语音处理技术领域，尤其涉及一种对抗样本的生成方法、装置、电子设备及存储介质。

背景技术

对抗攻击指通过产生对抗样本使目标模型判断出错的过程。对抗攻击可以暴露机器学习模型的脆弱性，进而提高模型的鲁棒性和可解释性。文本对抗攻击指通过修改原始文本生成对抗样本使自然语言处理模型判断出错的过程。

现有的研究表明，深度学习模型非常容易受到对抗攻击的影响，比如对辱骂文本进行简单修改就可以骗过最先进的辱骂检测系统。鉴于目前基于深度学习技术的自然语言处理模型已经广泛应用于垃圾邮件检测、恶意评论检测等多项应用系统中，研究文本对抗攻击以发现这些系统的弱点并进行改进也就愈发具有实际意义和价值。

现有的文本对抗攻击方法主要是词级别的，通过确定原始文本中各个词的替换词候选集，在所有替换词候选集的组合构成的离散空间中搜索能够成功攻击目标模型的对抗样本。现有的搜索算法主要是基于贪心或遗传算法，这类算法在搜索速度以及攻击成功率方面均有较大的性能提升空间。

发明内容

本申请实施例提供一种对抗样本的生成方法、装置、电子设备及存储介质，用以解决现有技术中搜索算法的速度较低以及攻击成功率较低的问题。

本申请实施例提供一种对抗样本的生成方法，包括：

获取原始文本；

确定所述原始文本中各个词的替换词候选集；

基于粒子群优化算法，从所述替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本。

可选地，所述确定所述原始文本中各个词的替换词候选集包括：

对所述原始文本中各个词的词性进行标注；

获取各个词在同一词性下每个义项的义原标注，将存在义原标注相同且词性相同义项的词语确定为候选替换词；

将所述候选替换词组成的集合确定为所述替换词候选集。

可选地，所述对所述原始文本中各个词的词性进行标注包括：

确定所述原始文本为中文文本，对所述原始文本进行分词操作，对分词后的各个词的词性进行标注；

确定所述原始文本为英文文本，将所述原始文本中各个词还原为原形，对还原后的各个词的词性进行标注。

可选地，所述基于粒子群优化算法，从所述替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本包括：

将所述原始文本复制k次得到初始样本，并对每个所述初始样本进行变异操作生成新粒子群，粒子群中的每个粒子为一个变异后的样本；

每一轮迭代时，记录粒子群中的全局最优解以及历史最优解，所述全局最优解为目标模型给出的目标标签预测分数最高的粒子的位置，所述历史最优解为每个粒子历次迭代中目标标签预测分数最高的位置；

确定记录的最优解为对抗样本时停止搜索并输出所述对抗样本，否则更新粒子速度和位置，并进行变异操作后，返回执行所述记录粒子群中目标模型给出的目标标签预测分数最高的粒子以及每个粒子历次迭代中目标标签预测分数最高的位置的操作，直到确定记录的最优解为对抗样本时停止搜索并输出对应的对抗样本为止。

可选地，所述更新粒子速度和位置包括：

每一轮迭代时，粒子的速度按如下公式更新：

式中，

为第n个粒子第d维的速度，ω为惯性因子随迭代次数递减，

为第n个粒子第d维的位置，

为第n个粒子的历史最优解第d维的位置，

为全局最优解第d维的位置，I(a,b)被定义为：

粒子位置更新包括：向每个粒子自身的历史最优解移动，移动概率为P _i；向全局最优解移动，移动概率为P _g；其中，P _i和P _g随着迭代次数进行更新：

其中，1>P _max>P _min>0为预定义的超参数，t为当前迭代次数,T为最大迭代次数。

可选地，所述进行变异操作包括：

粒子群中的每个粒子以概率P _m进行变异操作，第n个粒子x ⁿ的变异概率为：

式中，x ^o表示原始文本，ε(x ⁿ,x ^o)表示x ⁿ和x ^o中不同的词数，D表示原始文本的总词数。

本申请实施例还提供一种对抗样本的生成装置，包括：

获取模块，配置为获取原始文本；

确定模块，配置为确定所述原始文本中各个词的替换词候选集；

生成模块，配置为基于粒子群优化算法，从所述替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本。

可选地，所述确定模块包括：

标注单元，配置为对所述原始文本中各个词的词性进行标注；

第一确定单元，配置为获取各个词在同一词性下每个义项的义原标注，将存在义原标注相同且词性相同义项的词语确定为候选替换词；

第二确定单元，配置为将所述候选替换词组成的集合确定为所述替换词候选集。

本申请实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现 上述任一种所述对抗样本的生成方法的步骤。

本申请实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述任一种所述对抗样本的生成方法的步骤。

本申请实施例提供的对抗样本的生成方法、装置、电子设备及存储介质，通过获取原始文本；确定原始文本中各个词的替换词候选集；基于粒子群优化算法，从替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本。本申请实施例使用粒子群优化算法来搜索对抗样本，由于粒子群优化作为一种元启发式的群体进化计算方法，比遗传算法更加高效，因此采用该算法搜索对抗样本时能够提升搜索速度，并且还能够提高攻击成功率。针对不同的自然语言处理模型，本申请实施例能够快速高效地生成大量高质量对抗样本，成功欺骗目标模型，进而暴露其脆弱性，具有良好的实用性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的对抗样本的生成方法的一种具体实施方式的流程图；

图2为本申请实施例提供的对抗样本的生成方法方式中确定替换词候选集的流程图；

图3为本申请实施例提供的对抗样本的生成方法方式中搜索对抗样本的流程图；

图4为本申请实施例提供的对抗样本的生成装置的结构框图；

图5为本申请实施例提供的电子设备的实体结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描 述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例提供的对抗样本的生成方法的一种具体实施方式的流程图如图1所示，该方法具体包括：

步骤S101：获取原始文本；

步骤S102：确定所述原始文本中各个词的替换词候选集；

在获取原始文本之后，确定原始文本的类型为中文文本或者英文文本。如果为英文文本，则不需要进行分词操作；如果为中文文本，则应进行分词操作，得到原始文本中的各个词。针对原始文本中的各个词，生成各个词分别对应的候选替换词。将一个或多个候选替换词组成的集合确定为替换词候选集。为进一步保证替换文本的质量，在原始文本为英文时，可以对原始文本中的各个词进行词形还原操作之后，再进行候选替换词确定操作。词形还原为文本预处理中的重要部分，词形还原就是去掉单词的词缀，提取单词的主干部分。比如，单词“cars”词形还原后的单词为“car”，单词“ate”词形还原后的单词为“eat”。

进一步地，本申请实施例能够借助知网义原知识库为原始文本的每个词生成一个包含语义相同或相近的替换词的候选集。具体地，可以在对原始文本做词性标注，在得到每个词语的词性后从知网中获取该词语同词性的每个义项的义原标注，将存在与原标注相同且词性相同义项的词语视作候选替换词，然后将所有候选替换词组成替换词候选集。

步骤S103：基于粒子群优化算法，从所述替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本。

基于粒子群优化算法，从所有替换词候选集的组合构成的离散空间中迅速搜索能够成功攻击目标模型的对抗样本。

本申请实施例提供的对抗样本的生成方法，通过获取原始文本；确定原始文本中各个词的替换词候选集；基于粒子群优化算法，从替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本。本申请实施例使用粒子群优化算法来搜索对抗样本，由于粒子群优化作为一种元启发式的群体进化计算方法，比遗传算法更加高效，因此采用该算法 搜索对抗样本时能够提升搜索速度，并且还能够提高攻击成功率。

在产生替换词候选集时，常见的方法是借助同义词词典用原始文本中词语的同义词构成替换词候选集。然而，真实的文本中相当一部分词语没有同义词(比如命名实体词)，且有同义词的词语的同义词数量也非常有限。这导致了最终生成的候选对抗样本数量较少，进而影响攻击成功率。

本申请实施例提供的对抗样本的生成方法，通过借助其他的知识库，例如知网(HowNet)是一个语言知识库，其使用预定义好的义原——语言学中最小的语义单位——来为超过10万个中英文词语进行语义标注，可以认为义原标注相同的词语有相同的意思，进而可以作为候选替换词。而且，知网为包括实体词在内的各类词语都标注了义原，确保了实际文本中绝大多数词语都可以找到候选替换词。因此，本实施例能够提高候选替换词的数量和多样性。如图2本申请实施例提供的对抗样本的生成方法方式中确定替换词候选集的流程图所示，步骤S102确定替换词候选集的具体过程可以包括：

步骤S201：对所述原始文本中各个词的词性进行标注；

其中，确定所述原始文本为中文文本，对所述原始文本进行分词操作，对分词后的各个词的词性进行标注；确定所述原始文本为英文文本，将所述原始文本中各个词还原为原形，对还原后的各个词的词性进行标注。

步骤S202：获取各个词在同一词性下每个义项的义原标注，将存在义原标注相同且词性相同义项的词语确定为候选替换词；

步骤S203：将所述候选替换词组成的集合确定为所述替换词候选集。

本申请实施例通过借助知网义原知识库，为原始文本的每个词生成一个包含语义相同或相近的替换词的候选集，能够大幅度提高候选替换词的数量和多样性，进一步提升了所生成对抗样本的攻击成功率。

在上述任一实施例的基础上，参照图3，本申请实施例提供的对抗样本的生成方法中搜索算法的具体过程包括：

步骤S301：初始化粒子群；

设粒子群大小为k，将所述原始文本复制k次得到初始样本，并对每个所述初始样本进行一次变异操作生成新粒子群。变异操作指随机选取文本中的一个词语并将其替换成其替换词候选集中的随机一个词。粒子群中的 每个粒子为一个变异后的样本，也可以视作一个n维向量，n是文本的词语数量。粒子在离散空间中的位置代表样本每个词选取的替换词的组合。对于每个粒子的每一维我们都随机初始化一个速度v。

步骤S302：记录最优解；

每一轮迭代时，记录粒子群中目标模型给出的目标标签预测分数最高的粒子(全局最优解)以及每个粒子历次迭代中目标标签预测分数最高的位置(历史最优解)。目标标签指希望模型对对抗样本分类的标签，比如在情感二分类任务中原样本标签是正向则目标标签为负向，因为希望对抗样本使模型分类错误。

步骤S303：判断是否可以停止，如果否，则进入步骤S304；如果是，则进入步骤S305；

如果当前记录的最优解(目标标签预测分数最高的粒子)能够使模型分类错误，说明已经找到了一个成功的对抗样本，则停止搜索并输出该样本。否则需要在更新粒子速度和位置，并进行变异操作后，返回执行所述记录粒子群中目标模型给出的目标标签预测分数最高的粒子以及每个粒子历次迭代中目标标签预测分数最高的位置的操作，直到确定记录的最优解为对抗样本时停止搜索并输出对应的对抗样本为止。

步骤S304：更新粒子速度和位置，变异，返回步骤S302，进行新一轮的迭代。

每一轮迭代时，粒子的速度按如下公式更新：

式中，

为第n个粒子第d维的速度，ω为惯性因子随迭代次数递减，

为第n个粒子第d维的位置，

为第n个粒子的历史最优解第d维的位置，

为全局最优解第d维的位置，I(a,b)被定义为：

完成速度更新之后，粒子需要进行两步位置更新。第一步向每个粒子自身的历史最优解移动，移动概率为P _i。第二步向全局最优解移动，移动概率为P _g。其中P _i和P _g随着迭代次数进行更新：

其中1>P _max>P _min>0为预定义的超参数，t为当前迭代次数,T为最大迭代次数。

本申请实施例中，P _i和P _g随着迭代次数进行更新，与P _i和P _g均为常数的设定相比，这样的设定下P _i随着迭代次数增加而减少，P _g随着迭代次数增加而变大，使得粒子在搜索初期在各自附近空间进行探索，以探索更多的未知空间，在搜索后期则在当前已经找到的最优解附近进行探索，能够尽快收敛到最优解。经过实验验证，在相同的最高迭代次数限制下，这样的设定比P _i和P _g均为常数的设定攻击成功率高10％-15％。

在每一步位置更新，一旦粒子决定移动，其每一维的移动概率为

更新速度和位置后，粒子群中的每个粒子以概率P _m进行变异操作。第n个粒子x ⁿ的变异概率为：

式中，x ^o表示原始文本，ε(x ⁿ,x ^o)表示x ⁿ和x ^o中不同的词数，D表示原始文本的总词数。

步骤S305：停止搜索并输出该样本，作为对抗样本。

本申请实施例通过义原为原始文本中的词产生替换词候选集，同时通过粒子群优化算法在替换词候选集组合而成的离散空间中搜索能够成功攻击目标模型的对抗样本。本申请针对不同的自然语言处理模型，能够高效地生成大量高质量对抗样本，成功欺骗目标模型，进而暴露其脆弱性，具有良好的实用性。

本申请所提供的对抗样本的生成装置的结构框图如图4所示，该装置具体包括：

获取模块401，配置为获取原始文本；

确定模块402，配置为确定所述原始文本中各个词的替换词候选集；

生成模块403，配置为基于粒子群优化算法，从所述替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本。

进一步地，所述确定模块402还可以包括：

标注单元，配置为对所述原始文本中各个词的词性进行标注；

第一确定单元，配置为获取各个词在同一词性下每个义项的义原标注， 将存在义原标注相同且词性相同义项的词语确定为候选替换词；

第二确定单元，配置为将所述候选替换词组成的集合确定为所述替换词候选集。

进一步地，所述标注单元具体配置为：确定所述原始文本为中文文本，对所述原始文本进行分词操作，对分词后的各个词的词性进行标注；确定所述原始文本为英文文本，将所述原始文本中各个词还原为原形，对还原后的各个词的词性进行标注。

在上述任一实施例的基础上，所述生成模块403具体配置为：将所述原始文本复制k次得到初始样本，并对每个所述初始样本进行变异操作生成新粒子群，粒子群中的每个粒子为一个变异后的样本；每一轮迭代时，记录粒子群中目标模型给出的目标标签预测分数最高的粒子以及每个粒子历次迭代中目标标签预测分数最高的位置；确定记录的最优解为对抗样本时停止搜索并输出所述对抗样本，否则更新粒子速度和位置，并进行变异操作后，返回执行所述记录粒子群中目标模型给出的目标标签预测分数最高的粒子以及每个粒子历次迭代中目标标签预测分数最高的位置的操作，直到确定记录的最优解为对抗样本时停止搜索并输出对应的对抗样本为止。

本实施例的对抗样本的生成装置用于实现前述的对抗样本的生成方法，因此对抗样本的生成装置中的具体实施方式可见前文中的对抗样本的生成方法的实施例部分，例如获取模块401、确定模块402、生成模块403分别用于实现上述对抗样本的生成方法中步骤S101，S102，S103，所以，其具体实施方式可以参照对应的各个部分实施例的描述，在此不再赘述。

图5示例了一种电子设备的实体结构示意图，如图5所示，该电子设备可以包括：处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540，其中，处理器510，通信接口520，存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令，以执行如下方法：获取原始文本；确定所述原始文本中各个词的替换词候选集；基于粒子群优化算法，从所述替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本。

此外，上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以计算机软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

在一种实施例中，处理器510可以调用存储器530中的逻辑指令，以执行如下方法：对所述原始文本中各个词的词性进行标注；获取各个词在同一词性下每个义项的义原标注，将存在义原标注相同且词性相同义项的词语确定为候选替换词；将所述候选替换词组成的集合确定为所述替换词候选集。

在一种实施例中，处理器510可以调用存储器530中的逻辑指令，以执行如下方法：确定所述原始文本为中文文本，对所述原始文本进行分词操作，对分词后的各个词的词性进行标注；确定所述原始文本为英文文本，将所述原始文本中各个词还原为原形，对还原后的各个词的词性进行标注。

在一种实施例中，处理器510可以调用存储器530中的逻辑指令，以执行如下方法：将所述原始文本复制k次得到初始样本，并对每个所述初始样本进行变异操作生成新粒子群，粒子群中的每个粒子为一个变异后的样本；每一轮迭代时，记录粒子群中目标模型给出的目标标签预测分数最高的粒子以及每个粒子历次迭代中目标标签预测分数最高的位置；确定记录的最优解为对抗样本时停止搜索并输出所述对抗样本，否则更新粒子速度和位置，并进行变异操作后，返回执行所述记录粒子群中目标模型给出的目标标签预测分数最高的粒子以及每个粒子历次迭代中目标标签预测分数最高的位置的操作，直到确定记录的最优解为对抗样本时停止搜索并输出对应的对抗样本为止。

另一方面，本申请实施例还提供一种非暂态计算机可读存储介质，其 上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法，例如包括：获取原始文本；确定所述原始文本中各个词的替换词候选集；基于粒子群优化算法，从所述替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本。

本申请实施例所提供的电子设备以及非暂态计算机可读存储介质，均与上述对抗样本的生成方法相对应，其具体实施方式可以参照前述部分的对应内容，在此不再赘述。

综上，本申请实施例提供的对抗样本的生成方法、装置、电子设备及存储介质，通过获取原始文本；确定原始文本中各个词的替换词候选集；基于粒子群优化算法，从替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本。本申请实施例使用粒子群优化算法来搜索对抗样本，由于粒子群优化作为一种元启发式的群体进化计算方法，比遗传算法更加高效，因此采用该算法搜索对抗样本时能够提升搜索速度，并且还能够提高攻击成功率。针对不同的自然语言处理模型，本申请实施例能够快速高效地生成大量高质量对抗样本，成功欺骗目标模型，进而暴露其脆弱性，具有良好的实用性。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个位置，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。由此，本申请可以以计算机软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通 技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1. 一种对抗样本的生成方法，其特征在于，包括：

   获取原始文本；

   确定所述原始文本中各个词的替换词候选集；

   基于粒子群优化算法，从所述替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本。
2. 根据权利要求1所述的对抗样本的生成方法，其特征在于，所述确定所述原始文本中各个词的替换词候选集包括：

   对所述原始文本中各个词的词性进行标注；

   获取各个词在同一词性下每个义项的义原标注，将存在义原标注相同且词性相同义项的词语确定为候选替换词；

   将所述候选替换词组成的集合确定为所述替换词候选集。
3. 根据权利要求2所述的对抗样本的生成方法，其特征在于，所述对所述原始文本中各个词的词性进行标注包括：

   确定所述原始文本为中文文本，对所述原始文本进行分词操作，对分词后的各个词的词性进行标注；

   确定所述原始文本为英文文本，将所述原始文本中各个词还原为原形，对还原后的各个词的词性进行标注。
4. 根据权利要求1至3任一项所述的对抗样本的生成方法，其特征在于，所述基于粒子群优化算法，从所述替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本包括：

   将所述原始文本复制k次得到初始样本，并对每个所述初始样本进行变异操作生成新粒子群，粒子群中的每个粒子为一个变异后的样本；

   每一轮迭代时，记录粒子群中的全局最优解以及历史最优解，所述全局最优解为目标模型给出的目标标签预测分数最高的粒子的位置，所述历史最优解为每个粒子历次迭代中目标标签预测分数最高的位置；

   确定记录的最优解为对抗样本时停止搜索并输出所述对抗样本，否则更新粒子速度和位置，并进行变异操作后，返回执行所述记录粒子群中目标模型给出的目标标签预测分数最高的粒子以及每个粒子历次迭代中目标标签预测分数最高的位置的操作，直到确定记录的最优解为对抗样本时 停止搜索并输出对应的对抗样本为止。
5. 根据权利要求4所述的对抗样本的生成方法，其特征在于，所述更新粒子速度和位置包括：

   每一轮迭代时，粒子的速度按如下公式更新：

   

   式中，

   

   为第n个粒子第d维的速度，ω为惯性因子随迭代次数递减，

   

   为第n个粒子第d维的位置，

   

   为第n个粒子的历史最优解第d维的位置，

   

   为全局最优解第d维的位置，I(a,b)被定义为：

   

   粒子位置更新包括：向每个粒子自身的历史最优解移动，移动概率为P _i；向全局最优解移动，移动概率为P _g；其中，P _i和P _g随着迭代次数进行更新：

   

   

   其中，1>P _max>P _min>0为预定义的超参数，t为当前迭代次数,T为最大迭代次数。
6. 根据权利要求4所述的对抗样本的生成方法，其特征在于，所述进行变异操作包括：

   粒子群中的每个粒子以概率P _m进行变异操作，第n个粒子x ⁿ的变异概率为：

   

   式中，x ^o表示原始文本，ε(x ⁿ,x ^o)表示x ⁿ和x ^o中不同的词数，D表示原始文本的总词数。
7. 一种对抗样本的生成装置，其特征在于，包括：

   获取模块，配置为获取原始文本；

   确定模块，配置为确定所述原始文本中各个词的替换词候选集；

   生成模块，配置为基于粒子群优化算法，从所述替换词候选集的组合构成的离散空间中搜索攻击目标模型的样本，生成对抗样本。
8. 根据权利要求7所述的对抗样本的生成装置，其特征在于，所述 确定模块包括：

   标注单元，配置为对所述原始文本中各个词的词性进行标注；

   第一确定单元，配置为获取各个词在同一词性下每个义项的义原标注，将存在义原标注相同且词性相同义项的词语确定为候选替换词；

   第二确定单元，配置为将所述候选替换词组成的集合确定为所述替换词候选集。
9. 一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至6任一项所述对抗样本的生成方法的步骤。
10. 一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至6任一项所述对抗样本的生成方法的步骤。

Images