基于梯度的對(duì)抗排序攻擊方法

吳 晨 張儒清 郭嘉豐 范意興

在互聯(lián)網(wǎng)檢索中普遍存在排名競(jìng)爭(zhēng)現(xiàn)象[1]：一些文檔的內(nèi)容擁有者故意改變文檔內(nèi)容,使文檔的排序位置在某些特定的查詢下更靠前,獲得更高的關(guān)注度.這種排名競(jìng)爭(zhēng)會(huì)產(chǎn)生不良影響,整體的排序性能會(huì)因這種行為而有所下降.因此,針對(duì)排名競(jìng)爭(zhēng)攻擊的研究對(duì)于維護(hù)檢索結(jié)果的公平性具有積極意義.

隨著深度學(xué)習(xí)的發(fā)展,神經(jīng)排序模型因?yàn)槠鋸?qiáng)大的表示能力被越來越多地運(yùn)用到搜索引擎當(dāng)中.然而,面向圖像和文本分類的深度模型對(duì)于對(duì)抗攻擊十分脆弱[2-3].因此深度排序模型也存在類似的脆弱性.對(duì)于單個(gè)文檔,在文檔內(nèi)容上十分細(xì)微的擾動(dòng)可能會(huì)極大地影響排序結(jié)果.這對(duì)排序模型的危害很大.因此,在文本檢索的場(chǎng)景下,研究深度排序模型的對(duì)抗攻擊,設(shè)計(jì)更魯棒的排序模型具有積極意義.

對(duì)抗攻擊在圖像領(lǐng)域已被廣泛研究[3-7].核心思想是尋找一個(gè)難以被人發(fā)覺的最小擾動(dòng)以最大化預(yù)測(cè)失誤的風(fēng)險(xiǎn).強(qiáng)大的攻擊方法之一是投影梯度下降(Projected Gradient Descent, PGD)[8],它利用模型的梯度信息擾動(dòng)輸入,使分類錯(cuò)誤.

在文本領(lǐng)域,對(duì)抗攻擊的方法也運(yùn)用到如文本分類[9-12]、情感分析[11-14]和自然語言推斷[13,15]等任務(wù)中.面對(duì)文本的離散性挑戰(zhàn),Gong等[16]提出在詞嵌入空間中使用快速符號(hào)梯度法(Fast Gradient Sign Method, FGSM)[3]造成擾動(dòng),并使用最近鄰搜索法產(chǎn)生詞粒度的攻擊.然而,此方法容易造成擾動(dòng)后的文本和原文本語義相差甚遠(yuǎn),甚至語法上也不通順[17].近年來,Jin等[18]通過詞重要度排序,將原文本中的重要詞替換為和原詞語義近似、能使目標(biāo)模型預(yù)測(cè)錯(cuò)誤的風(fēng)險(xiǎn)最大的詞.這一框架保證對(duì)抗攻擊的稀疏性,也確保文本的語義連貫性,在文本對(duì)抗攻擊中的很多工作都使用這一框架.然而,這一框架完全舍棄梯度攻擊的優(yōu)勢(shì),替換詞的過程過于啟發(fā)式,無法保證攻擊的效率和成功率.

在信息檢索領(lǐng)域,對(duì)抗攻擊仍未得到充分研究.對(duì)抗信息檢索中的早期工作集中在識(shí)別和解決不同類別的垃圾網(wǎng)頁(yè)[19].近年來,Goren等[20]研究網(wǎng)頁(yè)檢索中的排名競(jìng)爭(zhēng)現(xiàn)象.在圖像檢索領(lǐng)域,Liu等[21]認(rèn)為對(duì)抗的查詢會(huì)導(dǎo)致不正確的檢索結(jié)果.Li等[22]使用通用擾動(dòng),對(duì)基于列表的排序結(jié)果造成相似的攻擊.Zhou等[23]設(shè)計(jì)基于排序的攻擊目標(biāo),結(jié)合PGD提出對(duì)候選圖像提升或下降排序位置的攻擊.然而,上述工作未考慮文本的離散化特性,攻擊方法難以直接應(yīng)用到文本信息檢索中.

排名競(jìng)爭(zhēng)中已有的傳統(tǒng)攻擊方法,如基于內(nèi)容的Spamming方法[24],忽略改變后的文檔和原始文檔的語義相似性,導(dǎo)致人們能夠輕易識(shí)別攻擊.同時(shí),方法沒有針對(duì)神經(jīng)排序模型進(jìn)行設(shè)計(jì),無法有效攻擊神經(jīng)排序模型.因此,本文提出基于梯度的對(duì)抗排序攻擊方法(Gradient-Based Adversarial Ranking Attack, GARA).通過梯度攻擊的原理,將原文檔中最重要的部分詞修改為其語義空間上相近的近似詞,提升文檔的排序位置.具體地,GARA分為3個(gè)模塊：基于梯度大小的詞重要度排序、基于梯度的排序攻擊和基于詞嵌入的同義詞替換.針對(duì)給定的目標(biāo)排序模型,首先基于構(gòu)建的排序攻擊目標(biāo)進(jìn)行梯度回傳,利用梯度信息在指定文檔上找到最重要的詞.再基于投影梯度攻擊的原理,對(duì)這些詞在詞向量空間上進(jìn)行擾動(dòng).最后,利用同義詞替換(Counter-Fitting)算法[25]將這些詞替換為和原詞語義相近且和擾動(dòng)后的詞向量最近鄰的詞,完成文檔擾動(dòng).在MQ2007、MS MARCO數(shù)據(jù)集上的實(shí)驗(yàn)表明,GARA能有效攻擊神經(jīng)排序模型,上升文檔的排序位置,同時(shí)保持良好的語義相似性.

1 基于梯度的對(duì)抗排序攻擊

1.1 方法介紹

給定一組查詢Q={q1,q2,…,qm}和一個(gè)訓(xùn)練好的目標(biāo)排序模型f,并指定一篇需要攻擊的文檔d′,本文提出的基于梯度的對(duì)抗排序攻擊方法(GARA)在文檔d′上添加一定的擾動(dòng),提升排序位置.

總體上,GARA由3步組成.1)基于梯度大小的詞重要度排序.針對(duì)目標(biāo)排序模型,在指定的文檔d′上找到其最重要的N個(gè)詞.2)基于梯度的排序攻擊.基于投影梯度攻擊原理,對(duì)這些詞在詞向量空間上進(jìn)行擾動(dòng)攻擊.3)基于詞嵌入的詞替換.將這些詞替換為和原詞語義相近的詞.

GARA具體步驟如算法1所示.

算法 1GARA

輸入一組查詢Q={q1,q2,…,qm},

訓(xùn)練好的目標(biāo)排序模型f,

指定要攻擊的文檔d′

輸出被攻擊后的文檔dadv

基于梯度大小的詞重要度排序

d′={w1,…,wi,…}

//輸入指定文檔中的詞

通過Q和f檢索m個(gè)排序列表D={l1,l2,…,lm}

forwiind′ do

計(jì)算詞重要度打分Iwi

end for

得到待攻擊詞列表L= {wt1,wt2,…,wtN}

//使用Iwi對(duì)d′中的詞降序排序,得到最重要的前N

個(gè)詞列表

基于梯度的排序攻擊

待攻擊詞集合watk={wt1,wt2,…,wtN}

映射到詞向量集合為eatk={ewt1,ewt2,…,ewtN}

計(jì)算攻擊詞向量

得到擾動(dòng)后的詞向量集合

基于詞嵌入的詞替換

forwtiinwatkdo

在原詞嵌入Counter-Fitted后的詞嵌入空間中,

找到topk個(gè)最近鄰的相似詞,

將topk個(gè)詞映射回原詞嵌入空間

為最終的替換詞

end for

返回 被攻擊后的文檔dadv

1.2 基于梯度大小的詞重要度排序

不同于計(jì)算機(jī)視覺中的對(duì)抗攻擊可針對(duì)整幅圖像,在文本中詞的改變相對(duì)容易被人發(fā)現(xiàn).所以尋找最重要的詞攻擊,可有效減少詞數(shù)目的改變,使人們不易察覺這一擾動(dòng),并使攻擊的效率更高.受到Xu等[26]的啟發(fā),本文的核心思想是利用梯度越大的詞對(duì)于優(yōu)化目標(biāo)的影響力越大的假設(shè),針對(duì)排序攻擊的場(chǎng)景設(shè)計(jì)相應(yīng)的攻擊目標(biāo),挑選其中梯度最大的前N個(gè)詞進(jìn)行攻擊.

假設(shè)d′={w1,w2,…,wi,…}表示輸入文檔中的詞,詞wi的重要度打分為:

(1)

其中,LRA為本文定義的針對(duì)排序場(chǎng)景的攻擊目標(biāo),ewi為詞wi的詞向量.

再根據(jù)計(jì)算的重要度得分Iwi對(duì)文檔中的所有詞進(jìn)行降序排列,產(chǎn)生待攻擊詞列表L.本文只對(duì)待攻擊詞列表L中的前N個(gè)最重要的詞進(jìn)行攻擊,保證產(chǎn)生的擾動(dòng)最小.這一尋找最重要的詞的過程提升了攻擊效率.

1.3 基于梯度的排序攻擊

不同于分類對(duì)抗攻擊中直接加分到目標(biāo)類概率或減分到正確類概率的簡(jiǎn)單攻擊目標(biāo),排序?qū)构魡栴}不僅要考慮文檔本身,還要考慮整個(gè)文檔列表的相關(guān)性.本文的核心思想是根據(jù)排序場(chǎng)景的特點(diǎn),構(gòu)造基于排序的對(duì)抗攻擊目標(biāo),并使用投影梯度下降法在詞向量空間上對(duì)文檔進(jìn)行擾動(dòng).

本文想找到指定文檔d′上的擾動(dòng)r,對(duì)所有的q∈Q,提升該文檔的排序位置：

其中Rank為文檔的排序位置.但是,排序位置Rank(q,d′+r)是離散的,不能直接解決這一優(yōu)化問題.為了解決這一問題,需要一個(gè)替代優(yōu)化目標(biāo).

首先利用給定的目標(biāo)排序模型f,結(jié)合查詢集合Q,檢索m個(gè)排序列表：

D={l1,l2,…,lm},li={di1,di2,…,diu}.

因?yàn)橄胱屩付ㄎ臋nd′對(duì)所有的q∈Q都排到最前面,所以對(duì)?dij∈li,有

Rankli(q,d′+r)

(2)

這里,結(jié)合神經(jīng)排序模型中常用的基于文檔對(duì)的排序損失,將這一系列不等關(guān)系建模成基于排序的攻擊目標(biāo)：

其中,

H(q,d+,d-)=max(0,β-f(q,d+)+f(q,d-))

為Hinge loss,β為邊距超參數(shù),一般指定為1.通過這種方式,原始問題可轉(zhuǎn)化為針對(duì)基于排序的攻擊目標(biāo)的優(yōu)化問題,即找到文檔上擾動(dòng)r以最小化攻擊目標(biāo)：

r=arg minLRA(d′+r,Q;D).

(3)

其中,

在η輪迭代之后,原始文檔改成滿足盡可能多的不等式(式(2))的文檔.因?yàn)槊織l不等式都表示一個(gè)文檔對(duì)排序的子問題,因此最終得到的文檔會(huì)對(duì)Q中的任意查詢都排到其它文檔的前面.

因?yàn)槲谋局械脑~是離散的,所以只對(duì)1.2節(jié)中選擇的最重要的N個(gè)詞的詞向量進(jìn)行梯度攻擊.假設(shè)這些詞watk={wt1,wt2,…,wtN},對(duì)應(yīng)的詞向量eatk={ewt1,ewt2,…,ewtN}.實(shí)際的更新方式如下：

(4)

基于梯度攻擊的方式針對(duì)排序攻擊的目標(biāo)直接優(yōu)化,相比啟發(fā)式的替換詞方法更高效.

1.4 基于詞嵌入的詞替換

在詞向量空間產(chǎn)生攻擊后,需要找到具體的詞來替換原詞.在1.2節(jié)中,確保攻擊盡量少的詞；在1.3節(jié)中,保證攻擊的高效達(dá)成.本節(jié)需要確保替換后的詞和原詞的語義一致性,保證這一擾動(dòng)不易被人發(fā)覺.核心思想是找到待替換的詞在同義詞嵌入空間中最臨近的詞集合,選擇其中和被攻擊后的詞向量在原詞嵌入空間最相鄰的詞并進(jìn)行替換.

這一過程如圖1所示.因?yàn)樵谀Ｐ驮嫉脑~空間(如基于全局詞向量(Global Vectors for Word Representations, GloVe)[27]的詞嵌入空間等)直接尋找相似的詞進(jìn)行替換面臨著如下的問題：不僅相似的詞(如同義詞)和原詞的距離較接近,相關(guān)的詞(如反義詞)也會(huì)較接近[28].所以使用Counter-Fitted后的詞嵌入[25]解決這一問題.Counter-Fitting是對(duì)詞嵌入快速后處理的過程,能將相似詞推得更近,同時(shí)將相關(guān)的詞推得更遠(yuǎn).其結(jié)果是產(chǎn)生只有同義詞更靠近彼此的詞嵌入.

對(duì)于1.2節(jié)中選擇的重要詞,首先對(duì)原詞嵌入矩陣進(jìn)行Counter-Fitting,并在Counter-Fitted后的詞嵌入空間中找到近似詞.例如,針對(duì)詞diabetes找到近似詞,分別為insulin、glucose、sugar.然后,將其映射回原詞空間,并選擇其中被梯度攻擊后的詞向量(如×所示,標(biāo)記為diabetes_attack)最近的詞(如▲所示,標(biāo)記為insulin),作為最終的替換詞.

這種攻擊方式不僅確保替換后的詞和原詞的語義一致性,也最大程度地保留梯度攻擊的高效性,達(dá)到兩者間的平衡.

圖1 詞替換過程示意圖Fig.1 Sketch map of word replacement process

2 實(shí)驗(yàn)及結(jié)果分析

2.1 實(shí)驗(yàn)環(huán)境

采用ad-hoc檢索下的MQ2007、MS MARCO公開數(shù)據(jù)集進(jìn)行實(shí)驗(yàn).MQ2007數(shù)據(jù)集是一個(gè)LETOR數(shù)據(jù)集[29],包含1 692個(gè)TREC 2007 Million Query Track的查詢,及65 233個(gè)從GOV2的25萬網(wǎng)頁(yè)中采樣的文檔.平均每個(gè)查詢有10個(gè)相關(guān)文檔.MS MAR-

CO數(shù)據(jù)集為TREC 2020 Deep Learning Track發(fā)布的用于網(wǎng)頁(yè)文檔檢索的數(shù)據(jù)集,包含3 210 000個(gè)文檔,其中367 013個(gè)查詢用于訓(xùn)練,5 193個(gè)查詢用于測(cè)試.大多數(shù)查詢只有一個(gè)相關(guān)文檔.

本文采取如下評(píng)價(jià)指標(biāo):擾動(dòng)后的文檔比原文檔的排序提升百分比和擾動(dòng)后的文檔和原文檔的語義相似度,分別衡量擾動(dòng)對(duì)于排序提升的效果和對(duì)于語義一致性的保持.

假設(shè)對(duì)于查詢集合Q,dadv為原文檔d擾動(dòng)后的文檔,排序提升定義為

其中Rank為文檔的排序位置.

本文使用通用句子編碼器(Universal Sentence Encoder, USE)[30]衡量原文檔和擾動(dòng)后文檔的語義相似度.2個(gè)對(duì)比文檔通過通用句子編碼器后表示為余弦相似度,輸出值在-1～1之間,值越大表示兩個(gè)文檔的語義相似度越大.

因?yàn)橹斑€沒有相應(yīng)工作探索過文本檢索領(lǐng)域的對(duì)抗攻擊,所以對(duì)比的基線方法如下.

1)隨機(jī)替換詞的方法(簡(jiǎn)記為Random swap).隨機(jī)選取原文檔中的詞,并替換成隨機(jī)的詞.

2)基于內(nèi)容的Spamming方法(簡(jiǎn)記為Spam-ming)[24].選取原文檔中末尾的詞,并替換為查詢中的詞.

為了公平對(duì)比,在基線方法中,設(shè)置選取的原文檔的詞的個(gè)數(shù)和GARA中的重要詞個(gè)數(shù)N相同.

GARA可對(duì)任意使用詞嵌入的神經(jīng)排序模型進(jìn)行攻擊.這里選擇被廣泛使用的BERT(Bidirectional Encoder Representations from Transformers)和卷積化的基于核的神經(jīng)排序模型(Convolutional Kernel-Based Neural Ranking Model, Conv-KNRM)進(jìn)行攻擊.BERT應(yīng)用多層雙向Transformer 編碼器架構(gòu)對(duì)語言建模.將查詢和文檔進(jìn)行拼接,加入[CLS]和[SEP]后,輸入BERT進(jìn)行交叉注意力交互,得到表達(dá).再將表達(dá)輸入全連接層,得到相應(yīng)打分.Conv-KNRM是一個(gè)以交互為中心的神經(jīng)排序模型,基于卷積和核池化,建模文檔和查詢的n-gram軟匹配.

本文的神經(jīng)排序模型使用Matchzoo[31]進(jìn)行訓(xùn)練,BERT采用谷歌公布的BERTbase參數(shù)進(jìn)行初始化.Conv-KNRM中設(shè)置最大n-gram數(shù)為3,核數(shù)為11.采用自適應(yīng)矩估計(jì)(Adaptive Moment Estimation, Adam)[32]優(yōu)化器進(jìn)行優(yōu)化,并對(duì)學(xué)習(xí)率進(jìn)行動(dòng)態(tài)調(diào)整.

對(duì)于GARA,嘗試調(diào)整不同的重要詞個(gè)數(shù)N、不同的攻擊步長(zhǎng)α和迭代輪數(shù)η,并選擇最優(yōu)值.

2.2 實(shí)驗(yàn)結(jié)果對(duì)比

本文分別測(cè)試在查詢個(gè)數(shù)為1,3,5時(shí),各方法對(duì)于文檔的排名提升效果.在MQ2007、MS MARCO數(shù)據(jù)集上,對(duì)BERT和Conv-KNRM進(jìn)行攻擊,結(jié)果如表1和表2所示.

由表1和表2可知：1)隨機(jī)替換詞的方法不能有效提升文檔的排序位置,甚至還可能降低排序,并且擾動(dòng)后的文檔和原文檔的語義相似度很低.2)傳統(tǒng)的Spamming方法雖然可提升文檔的排序,但未注意保持文檔的語義連貫性,導(dǎo)致擾動(dòng)后的文檔和原文檔的語義相似度較低,容易被人發(fā)覺.另外,Spam-ming方法對(duì)于排序的提升遠(yuǎn)低于GARA.這說明傳統(tǒng)的攻擊方法沒有針對(duì)神經(jīng)排序模型設(shè)計(jì),無法有效攻擊神經(jīng)排序模型.3)當(dāng)給定的查詢數(shù)目提升時(shí),GARA的排序提升和語義相似度呈現(xiàn)下降趨勢(shì).這是因?yàn)镚ARA需要對(duì)多個(gè)查詢尋找一個(gè)最優(yōu)的擾動(dòng)文檔,當(dāng)查詢數(shù)目提升時(shí),優(yōu)化的難度增加.4)GARA取得最高的排序提升和語義相似性.例如在MQ2007數(shù)據(jù)集上,BERT作為神經(jīng)排序模型,對(duì)于給定的3個(gè)查詢,GARA能提升90%的排序并達(dá)到0.63的語義相似度.這說明GARA能有效攻擊神經(jīng)排序模型,保持良好的語義相似性.

表1 各方法在MQ2007數(shù)據(jù)集上的攻擊結(jié)果Table 1 Attack result of different methods on MQ2007 dataset

表2 各方法在MS MARCO數(shù)據(jù)集上的攻擊結(jié)果Table 2 Attack result of different methods on MS MARCO dataset

2.3 擾動(dòng)的不易覺察性分析

本文分析基于詞嵌入的同義詞替換對(duì)于擾動(dòng)的不易覺察性(Imperceptibility)的作用.基于BERT模型,在MS MARCO數(shù)據(jù)集關(guān)于“爭(zhēng)論辯論的含義”的查詢上進(jìn)行個(gè)例分析,對(duì)比基于詞嵌入的同義詞替換和去掉該模塊,即直接在梯度攻擊后的詞向量附近尋找最近鄰詞以這兩種方式產(chǎn)生的擾動(dòng)文檔.

實(shí)驗(yàn)結(jié)果如表3所示.原文檔文本片段中的黑體字母表示原文檔中被選中要攻擊的詞,其余的黑體字母分別表示GARA產(chǎn)生的擾動(dòng)文檔中改動(dòng)的詞和去掉同義詞替換后產(chǎn)生的擾動(dòng)文檔中改動(dòng)的詞.由表可看到,基于詞嵌入的同義詞替換把原文檔中的詞替換成語義相近的同義詞,如entry→entries,cite→quoting等,讀起來和原文檔十分接近,所以和原文檔達(dá)到0.87的語義相似度.而去掉這一同義詞替換模塊后,產(chǎn)生的擾動(dòng)詞和原文檔中的詞意思相差甚遠(yuǎn)甚至完全無關(guān),如up→bonaparte,papers→sword等.這是因?yàn)樵~向量上的擾動(dòng)只保證目標(biāo)文檔會(huì)在排序上得到提升,因此擾動(dòng)后的詞向量可能和原詞向量的差別非常大,甚至造成對(duì)應(yīng)的詞和原詞絲毫沒有關(guān)聯(lián).

這一結(jié)果表明,GARA產(chǎn)生的擾動(dòng)文檔和原文檔非常接近,不易被人輕易覺察,符合對(duì)抗攻擊中微小的擾動(dòng)能產(chǎn)生深刻影響的原則.而沒有同義詞替換模塊的算法產(chǎn)生的擾動(dòng)相當(dāng)隨意,容易被人識(shí)別.

表3 去掉同義詞替換模塊前后的對(duì)比Table 3 Comparison before and after removing synonym replacement module

2.4 攻擊詞個(gè)數(shù)分析

選擇多少個(gè)最重要的詞進(jìn)行攻擊也是GARA中重要的超參數(shù).本節(jié)分析攻擊詞的個(gè)數(shù)對(duì)于攻擊結(jié)果的影響.基于BERT模型,在MQ2007數(shù)據(jù)集上進(jìn)行分析實(shí)驗(yàn),讓攻擊詞的個(gè)數(shù)N在1～150(接近文檔中包含最多不重復(fù)詞的個(gè)數(shù))之間變化,查看攻擊效果.N不同時(shí)對(duì)語義相似度和排序位置的影響如圖2所示.

(a)語義相似度 (b)排序位置

由圖2可看到,隨著攻擊詞數(shù)目的上升,語義相似度整體呈現(xiàn)下降的趨勢(shì),這說明替換的詞越多,擾動(dòng)后的文本和原文本越不相似.隨著攻擊詞數(shù)目的上升,擾動(dòng)文檔的排序位置先下降后上升,說明當(dāng)擾動(dòng)詞小于一定的閾值時(shí),替換越多的詞文檔的排序會(huì)越靠前.但是,當(dāng)擾動(dòng)詞的數(shù)目大于一定值時(shí),再擾動(dòng)新的詞不但不能使文檔繼續(xù)上升排名,反而會(huì)使文檔的排名下降.這可能是因?yàn)楹罄m(xù)的擾動(dòng)加入更多的同義詞噪聲,干擾神經(jīng)排序模型.

3 結(jié) 束 語

本文針對(duì)信息檢索中排名競(jìng)爭(zhēng)的場(chǎng)景,提出基于梯度的對(duì)抗排序攻擊方法(GARA).通過尋找原文檔中最重要詞,結(jié)合針對(duì)排序場(chǎng)景的對(duì)抗攻擊目標(biāo)和投影梯度方法,在詞嵌入空間上對(duì)重要詞的詞向量產(chǎn)生擾動(dòng).最后,結(jié)合Counter-Fitting算法將待攻擊的詞替換成同義詞,完成文檔攻擊.選擇BERT模型和Conv-KNRM模型進(jìn)行攻擊,在MQ-2007、MS MARCO數(shù)據(jù)集上的實(shí)驗(yàn)表明,GARA能有效攻擊神經(jīng)排序模型,上升文檔的排序位置,并且保持良好的語義相似性.同時(shí)還通過分析實(shí)驗(yàn),說明同義詞替換對(duì)于造成不易被人察覺的攻擊的重要性.另外也探索不同的攻擊詞數(shù)目對(duì)于攻擊效果的影響.今后可探索如何針對(duì)目前的攻擊方法設(shè)計(jì)相應(yīng)的防御方法,設(shè)計(jì)更魯棒的神經(jīng)排序模型.