论文解读 Combating Adversarial Misspellings with Robust Word Recognition

于 2021-04-07 02:35:41 发布
阅读量451 收藏
点赞数
分类专栏: 自然语言处理 文章标签: 自然语言处理 对抗攻击 错别字处理 misspelling typo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010960155/article/details/115474313
版权

1. 简介

论文链接 https://www.aclweb.org/anthology/P19-1561.pdf

这篇文章发表在ACL19,目的是为了解决错误拼写的对抗(adversarial misspellings)问题。尽管现在的deep learning和Transformer已经非常先进,但是当他们面对错误拼写时仍然十分的脆弱(brittle),一个单词的字母写错就可以愚弄(fool)这些高级的算法。

比如一个垃圾邮件的生产者(spammer)仅对邮件的几个字母轻微修改就可以骗过垃圾邮件识别系统,从而成功地将广告邮件送到您的电子邮箱中。

在这篇文章中,作者提出使用一个拼写检查器(spelling corrector)可以有效解决这种错误拼写的对抗攻击。具体的方法是在将文本输入喂给下游模型之前,调用检查器对其中的错误拼写进行改正,之后再将优化的文本喂给下游模型。

这种方法直观而且有效,在BERT模型上,一个简单单字符攻击(single character attack)可以使其在情感分析任务上由准确率90.3%下降到45.8%,而在使用本文的防守(defense)方法后,准确率可以恢复到75%。

 

2. 模型

为了对抗字符级别的对抗攻击,作者提出了一个二阶段的解决方案:在下游分类器(C)之前放一个单词识别模型(W)。

这种方法有两个优点

  1. 一个单词识别模型可以被重复利用,也就是这种方法是与任务无关的(task-agnostic)
  2. 单词识别模型可以单独在一个大规模预料上训练,而不必受限于任务的数据规模

在对抗攻击时,我们需要考虑两个因素,一个是单词识别模型的准确率(Accuracy or Error Rate),这意味着这个纠错器的性能,是不是能把所有错别字纠正成原有准确的词。

另一个需要考虑的是单词识别模型的敏感度(sensitivity),这是作者定义的一个指标。具体地说,对于一个输入的句子和攻击器,我们可以生成多个受攻击的句子,那么我们期望在使用纠错模型后,所有的这些句子都是一模一样的。

灵敏度高的模型在纠错后会有多个不同的句子,而灵敏度低的纠错模型会稳定的将所有句子映射成完全一样的句子。这么来看灵敏度当然是越低越好,这样无论你怎么攻击,我都能把句子还原成原有的意思。

但是,作者在实验中发现,纠错模型的准确率和灵敏度是相互影响的,鱼和熊掌的问题,我们需要在其中做一个权衡(trade-off)。

2.1 纠错模型

作者使用的是半字符的RNNs模型,具体参考的这篇文章。我们不对这个模型做过多的介绍,有兴趣的同学可以自行查看。

上面的这个模型有一个缺点,就是仅在有限的单词集合上,这回产生许多未知的词UNK,作者针对这种问题提出了三种解决方案

  1. Pass-through。对UNK单词不做任何操作
  2. Backoff to neutral word。对UNK单词补偿一个中立词,比如‘a’
  3. Backoff to background model。训练一个更大规模的纠错模型去解决UNK单词

如下图所示,如果Foreground纠错模型预测为UNK,就唤醒Background纠错模型。

2.2 模型的敏感度(Sensibility)

设想,如果一个模型将字符攻击的单词都使用UNK表示,那么这种模型其实是非常鲁棒的(Robust),因为它将各种类型的攻击都使用UNK表示了。

而一个单词加上字符的模型或者使用Sub-word的模型很容易受到各种攻击的影响,这样看感觉很有意思,简单的模型反而鲁棒性好,而复杂的模型鲁棒性却低。

如何量化这种现象呢,作者定义了敏感度这一概念,如下公式,W是纠错模型,V是一个函数将句子转化成ID列表,Si是一个相同的句子被攻击后的句子。#u是一个计数器,用来数这个集合中一共有多少不一样的ID列表(也就是不同的句子)。

这个指标越高,说明纠错器对攻击越敏感,指标越高说明对攻击就不敏感。我们当然需要低敏感度的纠错器,这样无论你怎么攻击,我都可以将被攻击的句子还原成一样的句子。

2.3 人工的对抗攻击

这篇文章只关注对情感分析的攻击,也就是文本分类,作者定义了文本分类在对抗攻击下的鲁棒性(Robustness),这表示在对抗攻击下的模型的准确率。

允许的攻击(Allowed Pertubations)

这篇文章里允许四种攻击类型

  1. Swap。交换一个单词内的两个字符
  2. Drop。丢弃单词内的一个字符
  3. Keyboard。使用键盘距离替换单词内的字母
  4. ADD。在单词内部插入一个字符

为了使攻击后的单词人还能理解,只对单词内部进行操作,长度小于4的单词不做攻击

攻击策略(Attack Strategy)

对于单字符攻击,使用以上各种策略直到找到一种能够使分类器发生错误的攻击。

对于双字符攻击,基于单字符攻击再加上以上任意一种攻击。

3. 实验

3.1 单词纠错器的错误率

如下表所示,作者改良版的ScRNN单词错误率最低,而且Background方法是非常有效的。

3.2 对抗攻击下的鲁棒性

作者对四种不同的结构的模型进行攻击,发现加了纠错器能有效防御攻击,比如BERT模型那里,加不加纠错器准确率能差绝对25个百分点。

其次,尽管Background模型单词错误率最低,但是表现不是最好,这说明一个坚固的防守应该给与攻击者更少的选择,即低敏感度的模型。

3.3 理解模型的敏感度

首先作者分析不同策略的敏感度,如下表所示,Neutral策略的敏感度最低,所以在抵抗攻击时表现最好。

其次,作者分析了敏感度、错误率和鲁棒性之间的关系,如下图所示,我们可以看出,错误率貌似跟鲁棒性关系不大,反而敏感度越低鲁棒性就好。

总结

本文提出的方法可谓简单而且有效,作者详细分析了鲁棒性、错误率、敏感度之间的关系,但实际上我总觉得敏感度和鲁棒性这里有些反直觉。

纠错模型表现越好反而越容易受到攻击,尽管作者引入了敏感度进行解释,但是还是迷迷糊糊。

如果说缺点的话,那就是下游模型依赖于纠错器,会产生效率问题、错误传播问题。

 

 

庞加莱
关注
专栏目录
CVPR 2021最全论文开放下载!附pdf下载链接!
中科院AI算法工程师的博客
06-18 1万+
CVPR 2021最全论文开放,附所有pdf下载链接!
GAN相关论文《Spectral Regularization for Combating Mode Collapse in GANs》
Najlepszy的博客
02-05 772
ICCV 2019的一篇论文,作者在出名的SN-GAN上进行改进。 SN-GAN介绍应该还是挺多的,随便找一篇https://zhuanlan.zhihu.com/p/65549312 谱归一化约束,通过约束 GAN 的 Discriminator 的每一层网络的权重矩阵(weight matrix)的谱范数来约束 Discriminator 的 Lipschitz 常数, 从而增强 GAN 在训...
Combating Adversarial Misspellings with Robust Word Recognition
ltochange的博客
11-19 502
Combating Adversarial Misspellings with Robust Word Recognition 来源:ACL2019 链接: https://arxiv.org/pdf/1905.11268.pdf 代码:https://github.com/danishpruthi/Adversarial-Misspellings 动机 文本攻防逐渐发展成为一个研...
论文笔记(5.16,文本抗击,defense)--Combating Adversarial Misspellings with Robust Word Recognition
weixin_43301333的博客
05-16 223
提出了两种构建鲁棒模型的方法(针对character攻击) 1.foreground & background的错词检测器(前者细语料,后者大语料。fore失效,调用back实现高命中,类似于多级cache) 2.实验多种文本粒度的下游分类器对character的鲁棒程度 self: 只要不更改头尾character,那么就不会影响人类对word的判断(理想决策边界)。 “a”在每一个类里分布都相似 各种架构的模型的性能: word-only >word+char > char-onl
论文阅读 | Combating Adversarial Misspellings with Robust Word Recognition
weixin_30352645的博客
08-21 261
对抗防御可以从语义消歧这个角度来做,不同的模型,后备模型什么的,我觉得是有道理的,和解决未登录词的方式是类似的,毕竟文本方面的对抗常常是修改为UNK来发生错误的。怎么使用backgroud model这个要实践以下。但是这个主要还是指word-level的,不知道其他的有没有用。 用强大的单词识别能力对抗对抗性拼写错误 摘要 摘要为了克服对抗性拼写错误,我们...
文本也有攻防战:清华大学开源对抗样本必读论文列表
weixin_34258838的博客
06-11 541
自然语言处理领域,对抗样本的攻击与防御近来受到很多研究者的关注,我们希望构建更稳健的 NLP 模型。在本文中,我们简要讨论了攻防的概念,并介绍了清华大学近日开源的 NLP 对抗样本攻防必读论文列表。自然语言处理方面的研究在近几年取得了惊人的进步,深度神经网络模型已经取代了许多传统的方法。但是,当前提出的许多自然语言处理模型并不能够反映文本的多样特征。因此,许多研究者认为应该开辟新的研究方法,特别...
<<Combating Web Spam with TrustRank>>的实验
pennyliang的专栏
10-02 1787
这篇论文是我这几天看到写得最好的一篇论文。 以下是按照论文做的若干实验,和编码,方便自己和看这篇论文的人对照。 做rank的代码,我做了简化,看这篇论文的人应该能理解,这种转化是等价的。不多做解释。 //1)Select Seeds 代码,结果和论文一致,比较精确解如下: 0.079247 0.135888 0.079247 0.095042 0.086494 0.0
Combating Web spam through trust-distrust propagation with confidence.pdf
10-14
### 垃圾网页检测:基于信任与不信任传播的信心机制 #### 摘要 本文探讨了一种新的方法——通过信任与不信任的传播来对抗网络垃圾信息(Web spam)。传统的半自动反垃圾算法主要关注信任或不信任的单向传播,即从...
Kernel Affine Projection Sign Algorithms for Combating Impulse Interference
02-21
文章标题为《Kernel Affine Projection Sign Algorithms for Combating Impulse Interference》,即“针对冲击干扰的核仿射投影符号算法”,其摘要介绍了通过核方法成功应用于非线性自适应滤波后,提出了一种新的...
Combating the evolving spammers in online social networks
02-07
Combating the evolving spammers in online social networks
关于Adversarial Attack 进攻方的综述
space_dandy的博客
02-22 3311
1. 对抗攻击的概念 ML算法的输入形式为数值型向量,攻击者可以设计一种针对性的扰动生成对抗样本, 让机器学习模型出现误判,称为对抗攻击对抗攻击分为两种: 黑盒攻击(blck-box attack) 黑盒攻击攻击者不知道机器学习的算法和参数,攻击者产生对抗性数据(adversarial permutation)的过程中可以与机器学习 系统有所交互。 ...
自然语言推理-文本蕴含识别简介
热门推荐
u010960155的博客
08-04 2万+
一 什么是文本蕴含识别 文本间的推理关系,又称为文本蕴含关系 (TextualEntailment),作为一种基本的文本间语义联系,广泛存在于自然语言文本中。简单的来说文本蕴含关系描述的是两个文本之间的推理关系,其中一个文本作为前提(premise),另一个文本作为假设(hypothesis),如果根据前提P能够推理得出假设H,那么就说P蕴含H,记做。这跟一阶逻辑中的蕴含关系是类似的。 例子:...
同义词(近义词)算法总结(附代码)
u010960155的博客
02-14 2万+
一、简介 同义词挖掘一般有三种思路,借助已有知识库,上下文相关性,文本相似度。 1.1 知识库 可以借助已有知识库得到需要同义词,比如说《哈工大信息检索研究室同义词词林扩展版》和 HowNet,其中《词林》文件数据如下。 Aa01A01= 人 士 人物 人士 人氏 人选 Aa01A02= 人类 生人 全人类 Aa01A03= 人手 人员 人口 人丁 口 食指 Aa01A04= 劳力 劳动...
CNN在文本分类的应用(内有代码实现) 论文Convolutional Neural Networks for Sentence Classification
u010960155的博客
07-31 1万+
一、CNN文本分类简介 文本分类是NLP领域的一个重要子任务,文本分类的目标是自动的将文本打上已经定义好的标签,常见的文本分类任务有: 用户评论的情感识别 垃圾邮件过滤 用户查询意图识别 新闻分类 由此看出文本分类的用途十分之广,包括知识图谱领域的关系抽取任务也是使用文本分类实现的。 有很多经典的统计学习方法可以用来做文本分类,比如SVM,LR,MaxEnt等等。这些方法的一般流程是标...
使用CNN进行情感分析(Sentiment Analysis)
u010960155的博客
01-23 9924
一、情感分析 情感分析是自然语言处理中很常见的任务,它的目的是识别出一段文本潜在的情感,是表扬还是批评,是支持还是反对。比如我们可以使用情感分析去分析社媒的评论,从而得到网友对某件事的看法,进一步分析可以得到舆论的趋势。大家都知道特朗普非常喜欢发Twitter,我们可以对推友们评论进行分析,看看他们是在骂特朗普还是在支持特朗普,然后把所有的评论汇总起来就能得到一个大概的特朗普是否能够连任的趋势了...
关系抽取论文总结(relation extraction)不断更新
u010960155的博客
08-04 8051
2000 1.Miller, Scott, et al. "A novel use of statistical parsing to extract information from text."1st Meeting of the North American Chapter of the Association for Computational Linguistics. 2000.被...
论文笔记 Inter-sentence Relation Extraction with Document-level Graph Convolutional Neural Network
u010960155的博客
08-02 4181
一、动机 为了抽取文档级别的关系,许多方法使用远程监督(distant supervision )自动地生成文档级别的语料,从而用来训练关系抽取模型。最近也有很多多实例学习(multi-instance learning)的方法被提出来解决这个问题。 跨句子的关系抽取不仅需要句子内部的依赖关系还需要句子之间的依赖关系。依存语法树(Dependency trees)可以很好处理句子内的关系抽取,...
关于短文本匹配的深度学习模型
u010960155的博客
01-09 4028
背景 短文本匹配(text matching)或句子相似度(sentence similarity)在信息检索中有着广泛的应用,比如相似问题判断,问答系统等等。短文本匹配的任务难点有两个,一个是“短”,缺乏上下文和可以利用的信息。比如说“某某被绿了”这个句子,人是知道“绿”的含义的,但是这对于机器来说是很难理解的,这里需要借助一些外部的知识来帮助机器理解。第二个难点是语言表达形式的多样性,这里有...
DeepDive-信息抽取工具安装教程
u010960155的博客
08-14 3654
一、DeepDive简介 DeepDive是信息抽取的工具,它可以从各种dark data(文本、图片、表格)中将非结构数据抽取到关系数据库中。DeepDive的主要功能是抽取dark data中的实体以及实体之间的关系。 DeepDive文档: http://deepdive.stanford.edu/ DeepDive GitHub: https://github.com/HazyR...
在线社交网络中对抗演变的垃圾信息者策略
这篇研究论文"Combating the evolving spammers in online social networks"聚焦于当前一个日益严重的问题:如何在如Facebook和新浪微博这样的在线社交网络中抵御不断演化的垃圾信息制造者。随着社交媒体平台成为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值