Last updated
随着机器学习模型在各个领域的广泛应用,它们的安全性和可靠性受到了越来越多的关注。特别是在自然语言处理(NLP)领域,模型对于恶意构造的对抗性示例(Adversarial Examples, AEs)的脆弱性成为了一个重要的研究课题。对抗性攻击可以通过微小的、难以察觉的修改来欺骗模型,使其做出错误的预测。因此,提高模型对抗性攻击的鲁棒性是当前研究的重点之一。
以往的研究主要集中在计算机视觉领域,而在NLP领域,对抗性攻击的研究进展较慢。NLP中的文本具有离散性,设计有效的对抗性攻击和防御技术更具挑战性。现有的NLP对抗性攻击模型,如TextFooler和基于BERT的模型(BERT-Attack和BAE),虽然在生成对抗性示例方面取得了一定的进展,但仍存在一些问题,例如生成的对抗性示例可能与原始文本的语义不一致,或者不符合源语言的语法规则。
本文提出了一种新的对抗性攻击模型SSCAE(Semantic, Syntactic, and Context-aware natural language Adversarial Example generator),它通过以下步骤生成对抗性示例:
步骤1:选择输入样本并识别重要词汇。
步骤2:选择有影响力的词汇并识别上下文感知的替代词汇集合。
步骤3:使用动态阈值和局部贪婪搜索来优化替代词汇,以满足语义和语法要求。
步骤4:生成对抗性示例,并通过评估模型来确定其有效性。
步骤5:如果生成的对抗性示例未能欺骗目标模型,则重复上述步骤。
创新点1:提出了动态阈值技术,用于根据每个重要词汇的语义和语法特征动态调整阈值,而不是使用固定的阈值。
创新点2:引入了局部贪婪搜索技术,用于同时替换多个重要词汇,以生成高质量的对抗性示例。
贡献:通过15个比较实验和广泛的敏感性分析,证明了SSCAE模型在所有实验中均优于现有模型,同时保持了更高的语义一致性,较低的查询数量和可比的扰动率。
实验使用了多个文本分类和自然语言推理(NLI)数据集,包括YELP、IMDB、SST2、MR、SNLI和MNLI等。实验结果表明,SSCAE在降低目标模型准确率、减少查询数量和保持语义一致性方面均优于TextFooler、BERT-Attack和BAE等现有模型。
SSCAE模型能够有效地生成人类难以察觉且上下文感知的对抗性示例,同时保持了较高的语义一致性。此外,SSCAE在不同的深度学习模型和多种NLP任务上均表现出色。
SSCAE模型为NLP领域提供了一种有效的对抗性攻击方法,能够生成符合语义、语法规则的高质量对抗性示例。该模型的提出不仅推动了NLP对抗性攻击技术的发展,也为提高机器学习模型的安全性和鲁棒性提供了新的思路。
本文提出的SSCAE模型是对NLP领域对抗性攻击研究的重要贡献。通过结合BERT MLM模型和动态阈值技术,SSCAE能够生成符合语义和语法规则的对抗性示例,同时保持较低的查询数量和较高的语义一致性。这一成果不仅展示了对抗性攻击的可能性,也为未来提高模型鲁棒性提供了新的研究方向。
