文章来源 | 恒源云社区(专注人工智能/深度学习云GPU服务器训练平台,官方体验网址:gpushare.com/ )
原文作者 | Mathor
前言:
Facebook提出了一种NLP通用的攻击方法,而且可以通过梯度优化,论文发表在EMNLP2021,名为Gradient-based Adversarial Attacks against Text Transformers,源码在facebookresearch/text-adversarial-attack
BACKGROUND
我们首先定义模型 h : X h:\mathcal{X} h:X → Y →\mathcal{Y} →Y,其中 X \mathcal{X} X和 Y \mathcal{Y} Y分别是输入输出集。设测试样本 x ∈ X x∈\mathcal{X} x∈X被模型正确预测为标签 y y y,则有 y = h ( x ) ∈ Y y=h(x)∈\mathcal{Y} y=h(x)∈Y。如果一个与 x x x无限接近的对抗样本 x ′ \mathbf{x}^′ x′使得 h ( x ′ ) ≠ y h(\mathbf{x}^{\prime})\neq y h(x′)=y,则 x ′ \mathbf{x}^{\prime} x′是一个好的对抗样本。我们可以通过定义函数 ρ : X × X → R ≥ 0 \rho: \mathcal{X}\times \mathcal{X} \to \mathbb{R}_{\ge 0} ρ:X×X→R≥0 来量化 x \mathbf{x} x和 x ′ \mathbf{x}^{\prime} x′的接近程度。设阈值 ϵ > 0 \epsilon > 0 ϵ>0,如果 ρ ( x , x ′ ) ≤ ϵ \rho (\mathbf{x},\mathbf{x}^{\prime})\leq \epsilon ρ(x,x′)≤ϵ,则认为对抗样本 x ′ \mathbf{x}^{\prime} x′与样本 x \mathbf{x} x非常接近
寻找对抗样本的过程通过被视为一个优化问题,例如对于分类问题来说,模型 h h h输出一个logits向量 ϕ h ( x ) ∈ R K \phi_h(\mathbf{x})\in \mathbb{R}^K ϕh(x)∈RK,使得 y = arg m a x k ϕ h ( x ) k y = \arg max_{k}\phi_h(\mathbf{x})_k y=argmaxkϕh(x)k ,为了使得模型预测错误,我们可以将margin loss选作对抗损失:
当损失为0的时候,模型会在超参数 κ \kappa
最低0.47元/天 解锁文章
5041
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
