(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210000280.0 (22)申请日 2022.01.02 (71)申请人 西安电子科技大 学 地址 710071 陕西省西安市太白南路2号西 安电子科技大 学 (72)发明人 高海昌　常国沁　程诺　姚舟　 (74)专利代理 机构 西安长和专利代理有限公司 61227 专利代理师 黄伟洪 (51)Int.Cl. G06F 16/35(2019.01) G06F 40/126(2020.01) G06F 40/30(2020.01) G06N 3/04(2006.01) (54)发明名称 对抗文本攻击防御方法、 系统、 介质、 计算机 设备及终端 (57)摘要 本发明属于人工智能信息安全技术领域， 公 开了一种对抗文本攻击防御方法、 系统、 介质、 计 算机设备及终端， 包括： 对文本数据预处理； 同型 字符攻击防御； 字符级对抗样本防御； 词语级对 抗样本防御； 生成新的防御文本。 本发明从源头 上对文本进行处理， 无需获取及修改模型结构， 不仅能够针对多种形式的对抗文本攻击， 还能在 不需要获取模型参数的情况下保留完整的语义 信息并取得较高的防御效果， 简单高效的提高文 本对抗样 本的防御性能。 本发明通过三个不同模 块对带有对抗扰动的文本进行处理， 恢复文本本 身的语义以消除扰动达到防御的效果， 可以在不 获取模型参数及数据且无需针对模型进行重训 练的情况下， 针对包含不同粒度的混合对抗文本 攻击进行高效的防御。 权利要求书3页 说明书7页 附图3页 CN 114528397 A 2022.05.24 CN 114528397 A 1.一种对抗文本攻击防御方法， 其特征在于， 所述对抗文本攻击防御方法包括以下步 骤： 步骤一， 对文本数据预处 理； 步骤二， 同型字符攻击防御； 步骤三， 字符级对抗样本防御； 步骤四， 词语级对抗样本防御； 步骤五， 生成新的防御文本 。 2.如权利要求1所述的对抗文本攻击防御 方法， 其特征在于， 所述步骤一中的对文本数 据预处理包括： 清理数据， 删除掉无用的符号和各种标签； 将文本数据进行读取， 对文本 中的空格、 标点符合以及其他的无用字符进行删除， 并重 新保存为 新的文本数据。 3.如权利要求1所述的对抗文本攻击防御 方法， 其特征在于， 所述步骤二中的同型字符 攻击防御包括： (1)对文本进行检测同形字符检测； 将步骤一保存文本进行读取， 将文本的每一条数据中的所有字符转换成Unicode编码， 逐个将字符编码与标准的ASCII码进行比较， 若字符的Unicode编码均在ASCII码的范围之 内， 则将文本存 储于文件S1 1中， 否则将文本存 入文件S12中； (2)文本中包 含的同形字符进行恢复； 读取文本文件S12， 使用Python中的Homoglyphs模块来对文本中包含的同形字符进行 恢复， 将恢复的文本加入到S1 1中保存并形成新的文件S2。 4.如权利要求1所述的对抗文本攻击防御 方法， 其特征在于， 所述步骤三中的字符级对 抗样本防御包括： (1)对文本进行拼写检查； 读取文本文件S2， 使用Python中的pyenchan模块对文本中的单词进行拼写检测， 若文 本中没有包含拼写错误的单词则将文本存于文件S21中， 否则将有拼写错误的单词存于文 件S22中； (2)对拼写矫 正工具ScRN N进行优化改进； 1)对文本分词方式进行处 理； 改变原有英文单词的分词方法， 使用空格对英文文本进行分词， 使得所有包含缩写的 单词可以成为 一个整体； 2)对文本训练集进行扩充； 选择IMDb数据 集的随机一部分和 SST数据集的全部作为ScRNN的训练数据的候选集， 打 乱后再随机 筛选出一部分文本数据， 使得 出现的词语数量控制在25 000以下； 3)对训练过程中单词错 误类型进行扩充； 允许三个字母以上的单词修改首尾字母， 同时扩充错误单词修改方式， 包括插入、 删 除、 替换、 交换以及字母与其在键盘相邻的字母替换； 4)在单词特 征表示增 加上下文关系的表示； 使用ElMo对文本 中的每一个单词进行基于上下文的分值计算， 将计算所得的分值加入权　利　要　求　书 1/3 页 2 CN 114528397 A 2到单词特 征表示的维度中， 作为 一个统一的整体； (3)训练优化后的拼写矫 正工具ScRN N； (4)对文本进行拼写矫 正； 读取文件S22， 将文本输入ScRNN以得到矫正后的文本， 并将矫正后的文本添加的文件 S21中保存并形成新的文件S3 。 5.如权利要求1所述的对抗文本攻击防御 方法， 其特征在于， 所述步骤四中的词语级对 抗样本防御包括： 读取文件S3输入到谷歌的API中进行反向翻译， 通过翻译对文本进行释义重述， 保存重 述的文本S4。 6.如权利要求1所述的对抗文本攻击防御 方法， 其特征在于， 所述步骤五中的生成新的 防御文本包括： 读取文本S4使用语法矫 正工具gram marly对文件进行语法修改以生成防御文本 。 7.一种实现权利要求1～6任意一项所述的对抗文本攻击防御方法的对抗文本攻击防 御系统， 其特 征在于， 所述对抗文本攻击防御系统包括： 文本数据预处 理模块， 用于进行 数据清理， 并删除掉无用的符号和标签； 同型字符攻击防御模块， 用于对文本进行检测同形字符检测， 并将文本中包含的同形 字符进行恢复； 字符级对抗样本防御模块， 用于对文本进行拼写检查， 对拼写矫正工具ScRNN进行优化 改进和训练， 进 而对文本进行拼写矫 正； 词语级对抗样本防御模块， 用于读取文件S3输入到谷歌的API中进行反向翻译， 通过翻 译对文本进行释义重述， 保存重述的文本S4； 新的防御文本生成模块， 用于读取文本S4使用语法矫正工具grammarly对文件进行语 法修改以生成防御文本 。 8.一种计算机设备， 其特征在于， 所述计算机设备包括存储器和处理器， 所述存储器存 储有计算机程序， 所述计算机程序被所述处 理器执行时， 使得 所述处理器执行如下步骤： 对文本数据预处理， 清理数据， 删除掉无用的符号和各种标签； 同型字符攻击防御， 对 文本进行检测同形字符检测， 文本中包含的同形字符进 行恢复； 字 符级对抗样本防御， 包括 对文本进行拼写检查， 对拼写矫正工具ScRNN进行优化改进， 训练优化后的拼写矫正工具 ScRNN， 并对文本进行拼写矫 正； 词语级对抗样本防御， 读取文件S3输入到谷歌的API中进行反向翻译， 通过翻译对文本 进行释义重述， 保存重述的文本S4； 生成新的防御文本， 读取文本S4使用语法矫正工具 grammarly对文件进行语法修改以生成防御文本 。 9.一种计算机可读存储介质， 存储有计算机程序， 所述计算机程序被处理器执行时， 使 得所述处理器执行如下步骤： 对文本数据预处理， 清理数据， 删除掉无用的符号和各种标签； 同型字符攻击防御， 对 文本进行检测同形字符检测， 文本中包含的同形字符进 行恢复； 字 符级对抗样本防御， 包括 对文本进行拼写检查， 对拼写矫正工具ScRNN进行优化改进， 训练优化后的拼写矫正工具 ScRNN， 并对文本进行拼写矫 正； 词语级对抗样本防御， 读取文件S3输入到谷歌的API中进行反向翻译， 通过翻译对文本权　利　要　求　书 2/3 页 3 CN 114528397 A 3