圖像領(lǐng)域的對(duì)抗樣本對(duì)人類來說難以區(qū)分，但語音識(shí)別領(lǐng)域的對(duì)抗樣本卻往往是可以察覺的，而且聽起來非常明顯。在本文中，Ian Goodfellow 等人提出了用于自動(dòng)語音識(shí)別體統(tǒng)的針對(duì)性對(duì)抗樣本，這些樣本不易被人類察覺，而且非常魯棒。

對(duì)抗樣本是由攻擊方專門設(shè)計(jì)的輸入，其目的是使機(jī)器學(xué)習(xí)算法產(chǎn)生錯(cuò)誤分類。最初的對(duì)抗樣本研究主要集中于圖像分類領(lǐng)域。為了將神經(jīng)網(wǎng)絡(luò)中一般對(duì)抗樣本的性質(zhì)與僅適用于圖像的對(duì)抗樣本的性質(zhì)區(qū)分開來，研究不同領(lǐng)域的對(duì)抗樣本非常重要。

實(shí)際上，從強(qiáng)化學(xué)習(xí)到閱讀理解再到語音識(shí)別領(lǐng)域都存在對(duì)抗樣本。本文主要研究的是語音識(shí)別領(lǐng)域的對(duì)抗樣本，表明任何給定的源音頻樣本都可能受到輕微擾動(dòng)，因此自動(dòng)語音識(shí)別系統(tǒng)（ASR）會(huì)把音頻轉(zhuǎn)錄為任何不同的目標(biāo)句子。

到目前為止，ASR 系統(tǒng)的對(duì)抗樣本和圖像領(lǐng)域的對(duì)抗樣本主要有兩個(gè)不同之處。

首先，圖像領(lǐng)域的對(duì)抗樣本對(duì)人類來說難以區(qū)分：在不改變 8 位亮度表征的情況下生成對(duì)抗樣本是可能的。相反，ASR 系統(tǒng)的對(duì)抗樣本通常是可以察覺的。雖然引入的擾動(dòng)幅度通常很小，但聽起來很明顯，附加擾動(dòng)是存在的。

其次，圖像領(lǐng)域的對(duì)抗樣本主要在物理世界發(fā)揮作用（例如在給它們拍照時(shí)）。相比之下，ASR 系統(tǒng)的對(duì)抗樣本還不能在這種由揚(yáng)聲器播放并由麥克風(fēng)錄制的無線環(huán)境中發(fā)揮作用。

在本文中，研究人員改善了 ASR 系統(tǒng)中對(duì)抗樣本的構(gòu)造，開發(fā)了不可察覺的對(duì)抗樣本，其能力可以媲美圖像類對(duì)抗樣本，朝著穩(wěn)健的對(duì)抗樣本邁出了一步。

為了生成不可察覺的對(duì)抗樣本，研究人員沒有選擇對(duì)抗樣本研究中廣泛使用的常用 l_p 距離度量。相反，他們使用了聽覺掩碼（auditory masking）的心理聲學(xué)原理，并且僅在人類聽不到的音頻區(qū)域添加了對(duì)抗擾動(dòng)，即使這種擾動(dòng)就絕對(duì)能量而言并不是「安靜的」。

對(duì)語音識(shí)別領(lǐng)域的對(duì)抗樣本性質(zhì)進(jìn)一步調(diào)查后發(fā)現(xiàn)，其性質(zhì)似乎與圖像領(lǐng)域?qū)箻颖镜男再|(zhì)不同。研究人員調(diào)查了攻擊方構(gòu)建物理世界對(duì)抗樣本的能力。即使考慮了物理世界引入的扭曲，這些輸入在分類時(shí)仍然是對(duì)抗的。通過設(shè)計(jì)經(jīng)過隨機(jī)空間環(huán)境模擬器處理后仍然具有對(duì)抗性的音頻，研究人員朝著開發(fā)能夠無線播放的音頻邁近了一步。

最后，研究人員證明，其對(duì)抗能夠攻擊當(dāng)前最先進(jìn)的現(xiàn)代 Lingvo ASR 系統(tǒng)。

論文：Imperceptible, Robust, and Targeted Adversarial Examples for Automatic Speech Recognition

論文地址：https://arxiv.org/abs/1903.10346

對(duì)抗樣本是由攻擊方設(shè)計(jì)的機(jī)器學(xué)習(xí)模型輸入，目的是導(dǎo)致錯(cuò)誤輸出。到目前為止，對(duì)抗樣本在圖像領(lǐng)域中的研究最為廣泛。在圖像領(lǐng)域中，對(duì)抗樣本可以通過圖像的細(xì)微修改來構(gòu)建，進(jìn)而導(dǎo)致誤分類，并且對(duì)抗樣本在現(xiàn)實(shí)世界很實(shí)用。

相比之下，目前應(yīng)用于語音識(shí)別系統(tǒng)的針對(duì)性對(duì)抗樣本不具有這兩種特性：人類很容易識(shí)別對(duì)抗擾動(dòng)，而且這些擾動(dòng)在無線播放下就會(huì)失去作用。本論文在這兩方面均取得了進(jìn)展。

其一，研究人員利用聽覺掩碼（auditory masking）的心理聲學(xué)原理開發(fā)出了不可察覺的音頻對(duì)抗樣本（已經(jīng)人類研究證實(shí)），同時(shí)保持任意完整句 100% 的針對(duì)性成功率。其二，通過構(gòu)建在應(yīng)用真實(shí)模擬環(huán)境失真后依然有效的擾動(dòng)，研究人員在物理世界無線音頻對(duì)抗樣本方面取得進(jìn)展。

如何生成不可察覺的對(duì)抗樣本

在圖像領(lǐng)域，將圖像和最近的分類樣本之間的 l_p 失真最小化會(huì)生成肉眼無法區(qū)分的圖像，但在語音領(lǐng)域并非如此。因此，本研究脫離了 l_p 失真度量，轉(zhuǎn)而依賴于在聲音空間中捕獲人類音頻感知的廣泛工作。

如何生成魯棒的對(duì)抗樣本

為了提高對(duì)抗樣本在無線播放時(shí)的魯棒性，研究人員用一個(gè)聲學(xué)空間模擬器來創(chuàng)建模擬無線播放的人工語音（帶有混響的語音）。他們的目標(biāo)是使用混響（而不是干凈的音頻）擾動(dòng)語音欺騙 ASR 系統(tǒng)。同時(shí)，對(duì)抗擾動(dòng)δ應(yīng)該比較小，以使其不被人聽見。

如何生成不可察覺的魯棒樣本

結(jié)合先前已開發(fā)的兩項(xiàng)技術(shù)，研究人員現(xiàn)在提出了一種生成不可察覺和魯棒的對(duì)抗樣本的方法。將損失降至最低可以實(shí)現(xiàn)這一點(diǎn)。在中，交叉熵?fù)p失函數(shù) 又是用于 Lingvo 的損失，不可察覺性損失與等式 5 中定義的一樣。當(dāng)語音在隨機(jī)擾動(dòng)后播放時(shí)，研究人員需要欺騙 ASR 系統(tǒng)，所以交叉熵?fù)p失迫使轉(zhuǎn)換的對(duì)抗樣本 t(x + δ) 轉(zhuǎn)錄成 y（與之前再次一樣）。

評(píng)估

圖 1：人們對(duì)不可察覺性的研究結(jié)果。圖中的 baseline 表示由 Carlini & Wagner（2018 年）制作的對(duì)抗樣本，「ours」表示根據(jù)章節(jié) 4 中的算法生成的不可察覺對(duì)抗樣本。

表 1：1000 個(gè) clean 和（不可察覺）對(duì)抗性擾動(dòng)樣本的句子級(jí)準(zhǔn)確率和詞錯(cuò)率（WER），并且在沒有無線模擬的情況下輸入 Lingvo 模型。在「Clean」中，真實(shí)值為初始轉(zhuǎn)錄。在「Adversarial」中，ground truth 為針對(duì)性轉(zhuǎn)錄。

表 2：100 個(gè) clean 和對(duì)抗性擾動(dòng)樣本的句子級(jí)準(zhǔn)確率和 WER，并且在無線模擬的情況下輸入 Lingvo 模型?！竎lean」輸入的真實(shí)值為初始轉(zhuǎn)錄，而對(duì)抗性輸入的真實(shí)值為針對(duì)性轉(zhuǎn)錄。擾動(dòng)以為界。