基于詞替換的對抗文本生成研究

王曉娟

（安徽理工大學(xué) 計算機(jī)科學(xué)與工程學(xué)院，安徽 淮南 232001）

0 引 言

近年來，深度神經(jīng)網(wǎng)絡(luò)（Deep Neural Networks,DNNs）在眾多領(lǐng)域得到了廣泛應(yīng)用，如計算機(jī)視覺，自然語言處理等。然而，大量的研究表明DNN容易受到對抗攻擊，即通過在原始輸入中添加微小的擾動誤導(dǎo)DNN 做出錯誤預(yù)測。在廣泛使用DNN 的自然語言處理（Natural Language Processing，NLP）領(lǐng)域，垃圾郵件過濾，惡意軟件檢測和情感分析等實用系統(tǒng)應(yīng)用廣泛，與此同時，其安全問題也越來越受關(guān)注。因此，對抗攻擊的研究具有重要意義。

現(xiàn)有的文本對抗攻擊方法按攻擊時修改內(nèi)容的粒度分為三類：字符級對抗攻擊，詞級對抗攻擊以及句級對抗攻擊。其中，字符級對抗攻擊主要思路是改變單詞中不起眼的字母，使單詞在預(yù)測時失效，如Gao 等人通過替換、插入、刪除、交換字符來構(gòu)造對抗樣本；句級對抗攻擊主要是通過增加句子或者是對整個原始句子進(jìn)行修改來構(gòu)造對抗樣本，如Wang 等人通過在段尾添加句子的方式構(gòu)建對抗樣本，以達(dá)到欺騙機(jī)器閱讀理解模型的目的；詞級對抗攻擊主要是通過增刪和替換單詞來構(gòu)造對抗樣本，如Ren 等人和Jin 等人通過確定原始輸入中單詞的重要性分?jǐn)?shù)，選擇關(guān)鍵單詞進(jìn)行同義詞替換的方式使目標(biāo)模型做出錯誤預(yù)測。字符級對抗樣本的構(gòu)造往往會引入語法錯誤，容易被語法檢查器識別；句級對抗樣本擾動粒度較大，容易加劇與原始句子之間的語義相似度差距；相比之下，詞級對抗攻擊的擾動率相對較小且具有更少的語法錯誤?！?br>