一种基于黑盒对抗样本的社交文本人格隐私保护方法

摘要

一种基于黑盒对抗样本的社交文本人格隐私保护方法属于社会工程学领域。本发明主要利用自然语言处理技术，使用Bert预处理模型和注意力机制为主的方法进行社交文本对抗样本的生成。通过使用Bert模型对文本进行预处理，并去除掉停用词，再通过注意力机制self‑attention寻找对每个文本中对语义贡献度大的单词进行词级替换操作，同时利用Bert模型自身生成的向量进行单词对标签贡献度的估算，选出对标签贡献度大的单词进行字符级替换操作。本发明通过同时对句子语义和标签生成两个方面进行量化，既保证了对抗样本与原文本的语义相似度，同时也保证了更大程度的造成已有分类器的误判。

说明书

技术领域

本发明属于社会工程学领域，尤其涉及一种基于黑盒对抗样本的社交文本人格隐私保护方法。

背景技术

人格是一个人显著的性格、习惯、气质、能力、态度等的有机结合，具有独特性、稳定性、统合性、功能性这几个特征。因此，我们可以说每个人都不会有完全一样的人格特点，而且，每个人的人格具有很大的稳定性，这就为人格分析和预测带来了契机。

在很早时期人们就开始对人格进行研究，现有的人格研究主要有六个流派，有弗洛伊德创立的精神分析学派，以奥尔伯特、卡特尔为代表的特质流派，以华生、斯金纳和赫尔为代表人物的行为主义流派，以班杜拉为代表人物的社会学习理论，以马斯洛为代表的人本主义流派，以及以凯利为重要代表的认知学派。近年来，研究者们提出了一种基于特质流派的大五人格模型，大五包括五个维度：宜人性、尽责性、外向性、进取性、情绪性，可以包含对每个人的人格进行描述的所有方面。

随着科学和计算机技术的发展，很多研究人员已经通过技术实现了人格计算和人格分类的研究，并取得了显著的研究成果，其中包括有网络社交文本分析领域、对新闻评论分析等领域。这就意味着，通过人格的计算，可以在很多领域下实现人格分类。针对社交文本中的人格分类是通过使用深度学习模型，结合大五人格理论并应用到社交网络，分析社交文本的内容，如发布在互联网的微博、帖子、朋友圈、聊天内容以及其他重要的信息等，得出相应作者的人格分类类型。

同时由于互联网的发展，人们越来越离不开网络，网络贯穿了每个人的生活，社交网络正在改变着人类的生活，同时人们也会通过网络传递很多信息。然而，在很多领域中，人们对于网络安全的意识并不强。但实际上，在许多领域中由于计算机技术并没有很成熟，导致网络安全的保障工作存在很多隐患，而且网络攻击越来越智能化，也越来越频繁，网络攻击的隐蔽性也比原来更高，网络的安全性很容易受到威胁。

近年来，高级持续性威胁攻击(简称APT攻击)开始出现并迅速发展，所带来的攻击力和破坏力非常大，受到网络安全领域的广泛关注。APT攻击是指有组织、有针对性、有计划的对某一高价值目标展开的持续有效的隐蔽性很强的攻击活动，这种攻击活动具有很强的隐蔽性和针对性，通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持续的且有效的威胁和攻击。APT的攻击中，攻击者一般是拥有高水平知识和丰富资源的专业团体，以破坏某一个组织的关键设施或重要任务为目的，利用多种攻击方式来获取信息，在一个很长时间段内潜伏并对目标进行反复持续的攻击。从近年的网络安全态势关于APT的分析报告中，可以看出重点受害者主要集中在政府、能源、教育行业、科研机构、军队和大型商业机构等。

人格分析和分类预测的技术发展给了APT攻击在人格隐私问题上以可乘之机，有不法分子可以利用现有的人格分类器去攻击社会文本以窃取用户信息，再窃取到人格隐私信息。因此，隐藏社会文本中的人格隐私信息非常重要，而目前国内并没有针对于人格隐私泄露方面的防御措施，这就需要设计一种针对于人格隐私的对抗样本的生成方法，用来保护社交文本中的人格信息。

根据攻击对手的情况，可以把对抗样本分为黑盒对抗样本和白盒对抗样本，黑盒模式是指的攻击方对模型没有掌握任何信息，而白盒模式是指的攻击方对模型的内部结构和参数都了解。然而对于防御方，大部分情况是无法知道内部信息，所以黑盒对抗样本的适用范围更广泛。生成黑盒对抗样本的主要目的是通过降低人格分类器对社交文本中人格分类的准确率，来隐藏文本中的人格信息，从而防止人格隐私泄露。

发明内容

针对于APT攻击中可能会出现的人格隐私泄露问题，本发明提出一种社交文本中对于人格分类的黑盒对抗样本的生成方法，通过设计人格对抗样本，将原文本中的人格信息隐藏，同时尽可能的保证对抗样本与原文本样本的意思不变，保证对抗样本的可读性和流畅性，以达到能够正确传递信息且隐藏人格隐私的目的。

一种生成人格分类的黑盒对抗样本的方法，其特征在于包括以下步骤：1、对数据集进行预处理，输入到Bert模型，得到文本所对应的字符向量编码序列，并去除停用词；2、对于每个文本样本，首先利用自注意力机制，计算其中每个单词的自注意力分数作为每个单词对句子的语义贡献度W

本发明主要利用自然语言处理技术，使用Bert预处理模型和注意力机制为主的方法进行社交文本对抗样本的生成。通过使用Bert模型对文本进行预处理，并去除掉停用词，再通过注意力机制self-attention寻找对每个文本中对语义贡献度大的单词进行词级替换操作，同时利用Bert模型自身生成的向量进行单词对标签贡献度的估算，选出对标签贡献度大的单词进行字符级替换操作。本发明通过同时对句子语义和标签生成两个方面进行量化，既保证了对抗样本与原文本的语义相似度，同时也保证了更大程度的造成已有分类器的误判。

附图说明

图1大五人格分类标签

图2本发明流程图

图3本发明框架图

具体实施方式

如图2所示，本发明设计了一种生成人格分类的黑盒对抗样本的方法，其生成方法的步骤包括：1、对数据集进行预处理，输入到Bert模型，得到文本所对应的字符向量编码序列，并去除停用词；2、对于每个文本样本，首先利用自注意力机制(Self-attention)，计算其中每个单词的自注意力分数作为每个单词对句子的语义贡献度W

步骤1、对数据集进行预处理，输入到Bert模型，得到文本所对应的字符向量编码序列，并去除停用词

数据预处理主要是指在对数据进行核心处理之前，先对数据进行一些处理，便于进行之后的操作。对于文本数据集，需要对数据进行清洗，如删除一些多余的符号和无意义的单词等，并处理成Bert模型的输入数据格式。

Bert模型是谷歌提出的基于双向Transformer构建的语言表征模型，是用于执行自然语言处理任务的预训练模型，通过在海量的语料上进行极大的计算开销训练而成。Bert的模型结构的构成元素是Transformer，Embedding是由Token Embeddings、SegmentEmbeddings和Position Embeddings求和而成；其中，Token Embeddings是词向量，首位是[CLS]标志，可以用于分类任务；Segment Embeddings用来区别两种句子，便于做以两个句子为输入的分类任务；Position Embeddings是通过学习得到的。Bert提出了一种新的预训练目标：遮蔽语言模型(masked language model，MLM)，通过此模型来克服其他语言模型的单向性局限，在训练过程中随机选择15％的单词用于预测，对于被选择的单词，80％选择用[MASK]替换，10％用任意词替换，剩余10％保持不变。这样做的好处是当预测一个单词时，模型并不知道输入对应位置的词汇是否为正确的词汇，就迫使模型更多的依赖于上下文信息去预测词汇，且赋予了模型一定的纠错能力。Bert模型的优点就是可以处理多种NLP任务，且可以更高效的完成长距离依赖问题，当然它也会导致模型需要更多与训练步骤来收敛。通过Bert模型的BertTokenizer将文本处理成字符向量，再去除停用词，可以省掉后续一些不必要的操作。

步骤2、对于每个文本样本，首先利用自注意力机制(Self-attention)，计算其中每个单词的自注意力分数作为每个单词对句子的语义贡献度W

Attention机制最早是在视觉图像领域提出来的，当人们看到一张图片时，会首先把注意力放在主要的信息上，这是大脑的注意力机制，同样的对于文本来说也可以有类似的思想，Attention机制就是以人脑处理信息过载的方式为灵感提出的，从大量信息中有筛选出少量重要信息，并聚焦到这些重要信息上，忽略大多不重要的信息。

自注意力机制(Self-attention)是Attention机制的变体，减少了对外部信息的依赖，更擅长捕捉数据或特征的内部相关性。Self-attention主要是通过计算单词间的互相影响来解决长距离依赖问题。Self-attention首先是会通过用Embedding向量和一个初始化矩阵相乘计算出三个新的向量Q、K、V，Embedding向量的维度是a，矩阵的维度是(b，a)，生成的三个新向量的维度是b，其中a、b是常数，一般为2的n次方。

Self-attention的分数值决定了某个词对输入句子的其他部分的重要程度，也就是要计算的语义贡献度W

其中A是Self-attention分数值，Q、K、V是上文提到的三个向量，d是向量的维度，矩阵相乘再与维数开根号的结果做除法，再做一个softmax操作，就是最终得到的Self-attentio n分数。

将计算出来的Self-attention分数由低到高排序，分数越高则说明该单词对语义的贡献度W

对于生成对抗样本而言，能够保持对抗样本与原文本更高的语义相似度是必须的，对样本进行极大限度扰动也是必须的，通过计算Self-attention分数是为了选择句子中对语义贡献度W

步骤3、将原文本中，除已标记的m个单词以外的其他单词都依次用空格替代并输入到Bert模型，计算替换后的[CLS]标志与原句[CLS]标志的欧氏距离作为单词对标签的贡献度W

由于本发明的对抗样本生成对应的任务是人格分类任务，而Bert模型有[CLS]标志是可应用到下游的分类任务中，在文本前插入一个[CLS]标志，它可以公平的融合文本中每个单词的语义信息，并将该符号对应的输出向量作为整篇文本的语义表示，用于文本分类，所以本发明把[CLS]标志作为分类标准。

对于标签分类任务来说，句子中的每个单词都会有它对句子分类结果的影响度，即每个单词对标签的贡献度W

使用字符级替换的原因是，单词对标签的贡献度越高，表示把该词替换掉对分类结果的影响越大，而把一个单词中替换一个字母之后，对人类的阅读不会引起较大的改变，但却会对深度学习分类模型造成很大程度的干扰，通过对比实验验证不同n值对对抗样本攻击成功率的影响，实验证明这里取n＝5时效果相对更好。

步骤4、对已标记的m个单词通过在语料库中寻找该单词的近义词来进行词级替换，已标记的n个单词通过设置字符替换对应表对该单词进行字符级替换，从而生成对抗样本。

对于需要进行词级替换的单词来说，因为对抗样本需要满足的一个必要条件就是保证对抗样本与原样本的语义相似度尽可能高，尽可能在人类无法察觉样本改变的情况下，使得深度学习分类器造成错误的判断。因此，本发明采用了相似词进行替换，通过计算两个单词的语义距离，从语料库中选择与当前单词语义最相近的单词进行替换，这样可以更大限度的保证语义相似度。

对于需要进行字符级替换的单词来说，因为在人类的视觉范围内，一些形状上小的改变是会被忽略的，所以我们设置了一个字符替换对应表，专门针对于形状类似的两个字符之间进行替换，对应每个字符都有一个确定的替换字符在字符替换对应表内，这样相当于单词出现了拼写错误，这种替换让人类能察觉到单词是错误的但是能知道他原本想表达的意思，而深度学习分类器则会错误判断当前拼写错误的单词。

本发明的效果可以用对抗样本的攻击成功率和语义保留度来衡量。攻击成功率的大小取决于生成的对抗样本对人格识别的准确率，准确率越低，则证明对抗样本的攻击成功率越高，方法越有效；语义保留度取决于生成的对抗样本与原文本的语义相似度，语义相似度越高，则证明原文本的语义保留度越高，则方法越有效。