面向中文文本分类的字符级对抗样本生成方法.pdf

1、面向中文文本分类的字符级对抗样本生成方法张顺香*吴厚月朱广丽许鑫苏明星(安徽理工大学计算机科学与工程学院淮南232001)(合肥综合性国家科学中心人工智能研究院合肥230088)摘要：对抗样本生成是一种通过添加较小扰动信息，使得神经网络产生误判的技术，可用于检测文本分类模型的鲁棒性。目前，中文领域对抗样本生成方法主要有繁体字和同音字替换等，这些方法都存在对抗样本扰动幅度大，生成对抗样本质量不高的问题。针对这些问题，该文提出一种字符级对抗样本生成方法(PGAS)，通过对多音字进行替换可以在较小扰动下生成高质量的对抗样本。首先，构建多音字字典，对多音字进行标注；然后对输入文本进行多音字替换；最后在

2、黑盒模式下进行对抗样本攻击实验。实验在多种情感分类数据集上，针对多种最新的分类模型验证了该方法的有效性。关键词：对抗样本生成；文本分类；情感分类；多音字；字符级对抗样本中图分类号：TP391.1;TN915.08文献标识码：A文章编号：1009-5896(2023)06-2226-10DOI:10.11999/JEIT220563Character-level Adversarial Samples Generation Approachfor Chinese Text ClassificationZHANGShunxiangWUHouyueZHUGuangliXuXinSUMingxing(

3、School of Computer Science and Engineering,Anhui University of Science&Technology,Huainan 232001,China)(Institute of Artificial Intelligence,Hefei Comprehensive National Science Center,Hefei 230088,China)Abstract:Adversarialsamplegenerationisatechniquethatmakestheneuralnetworkproducemisjudgmentsbyad

4、dingsmalldisturbanceinformation.Whichcanbeusedtodetecttherobustnessoftextclassificationmodels.Atpresent,themethodsofsamplegenerationintheChinesedomainmainlyincludetraditionalcharactersandhomophonessubstitution,whichhavetheproblemsoflargedisturbanceamplitudeofsamplegenerationandlowqualityofsamplegene

5、ration.PolyphoniccharactersGenerationAdversarialSample(PGAS),acharacter-levelcountermeasuresamplesgenerationapproach,isproposedinthispaper.Whichcangeneratehigh-qualityadversarialsampleswithminordisturbancebyreplacingpolyphoniccharacters.First,apolyphonicworddictionarytolabelpolyphonicwordsisconstruc

6、ted.Then,theinputtextwithpolyphonicwordsisreplaced.Finally,anadversarialsampleattackexperimentintheblack-boxmodelisconducted.Experimentsonmultiplesentimentclassificationdatasetsverifytheeffectivenessoftheproposedmethodforavarietyofthelatestclassificationmodels.Key words:Anti-samplegeneration;Textcla

7、ssification;Sentimentalclassification;Polyphoniccharacters;Character-leveladversarialsamples1 引言对抗样本起源于图像领域，通过对自动驾驶领域中的转弯图像进行修改，导致自动驾驶系统出现故障。在文本领域中，通过在文本中添加噪声的方式来生成对抗样本，会使分类器出现错误分类1，这启发了后续的文本对抗生成方法2,3和防御方法4,5。同时有学者6已经证实，当神经网络模型遭遇对抗样本攻击时，会出现准确率急剧降低的情况。在实际应用中，对抗样本常被用作检测模型鲁棒性的依据之一7。目前，在中文文本对抗样本生成领域，生成对

8、抗样本的方法主要有基于同音字替换8和繁体字替换9收稿日期：2022-05-07；改回日期：2022-07-09；网络出版：2022-07-14*通信作者：张顺香基金项目：国家自然科学基金(62076006)，安徽高校协同创新项目(GXXT-2021-008)，安徽省研究生科研项目(YJS20210402)FoundationItems:TheNationalNaturalScienceFoundationofChina(62076006),TheUniversitySynergyInnovationProgramofAnhuiProvince(GXXT-2021-008),TheGraduat

9、eStudentsScientificResearchProjectofAnhuiProvince(YJS20210402)第45卷第6期电子与信息学报Vol.45No.62023年6月JournalofElectronics&InformationTechnologyJun.2023等。但在进行繁体替换和同音字替换时，增加人工阅读障碍，扰动幅度大，容易被防御机制识别，生成的对抗样本质量不高。为最大程度保障语义，降低人工阅读障碍，本文提出一种字符级对抗样本生成方法(PolyphoniccharactersGenerationAd-versarialSample,PGAS)，具体框架如图1所示。

10、该方法采用改进的定向词删除评分机制进行关键词定位，找到影响分类的关键词；然后利用构建的多音字字典，用多音字替换的方法修改原始数据生成对抗样本，在多个最新的分类模型上进行试验。2 相关工作目前，文本领域对抗样本生成主要分为字符级、词级和句子级对抗样本生成方法。2.1 字符级对抗样本生成方法在字符级的对抗样本生成中，Matthias等人10提出一种字符级的对抗样本用作机器阅读理解模型的攻击验证。Niu等人11应用字符级对抗样本生成的方法，对生成样本采用最大边际法揭示了多种对话模型的弱点，提高了对抗模型的鲁棒性。Ebrahimi等人12通过研究字符级神经机器翻译的对抗样本，提出了以删除或改变翻译中的

11、单词的两种攻击方法。GAO等人13提出通过修改核心词，使扰动编辑距离最小化的黑盒对抗样本生成方法(DeepWordBug)。Dou等人14改进了Gao等人13的方法，提出快速生成对抗样本方法(FastWordBug)，对经常出错的单词进行更改，快速构造对抗样本。Ebrahimi等人15根据输入数据的重要性，提出强鲁棒性的字符级分类器。Song等人16提出一种基于梯度的搜索方法来输出欺骗目标分类器的自然文本。2.2 词级对抗样本生成方法在词级别的对抗样本生成中，Li等人17提出一种通过掩码填充，并利用上下文感知来修改语法输出的对抗样本生成模型。Tan等人18利用扰乱词形的变化，生成了看似合理和语

12、义上相似的对抗样本。Li等人19提出一种利用预训练模型来生成对抗样本的高质量和有效的方法。Zang等人20将基于义元的词替换方法和基于粒子群优化的搜索算法结合，完善现有的词级攻击方法中的优化搜索算法。Cheng等人21考虑文本的离散性，提出了一种结合群套索和梯度正则化的投影梯度方法，来进行非重叠攻击和有针对性的关键字攻击。2.3 句子级对抗样本生成方法Jia等人22提出句末嵌入的句子级对抗样本生成方法，启发了后续句子级生成方法。Minervini等人23研究自然语言推理(NaturalLanguageInference,NLI)中违反给定1阶逻辑约束的对抗样本自动生成问题，最大限度地度量违反此

13、类约束的程度。Wang等人24在Jia等人22的基础上，将生成的对抗样本嵌入到文本的不同位置，验证其模型的缺陷。Ribeiro等人25利用简单的扰动来检测单个句子中的语义改变问题。Iyyer等人26提出句法控制的释义网络，生成符合标准句法结构的对抗样本。Han等人27生成的对抗样本减弱了预测模型的结构化输出对输入中的小扰动过于敏感的现象。Wang等人28提出一种受控对抗文本生成模型，可以生成形式多样且流畅的对抗样本。上述工作大都基于英文环境下进行对抗样本生成，在中文文本中效果不佳。而目前中文领域生成对抗样本的方法主要有同音字和繁体字替换等，扰动较大且生成质量不高，因此提出一种适用于中文领域生成

14、高质量、小扰动的对抗样本的方法具有重要意义。图1PGAS模型框架图第6期张顺香等：面向中文文本分类的字符级对抗样本生成方法22273 构建多音字字典本文多音字字典的构建流程主要由两部分组成；是数据的获取与处理；进行多音字字典的构建。3.1 数据获取与处理传统中文中含有614个中文多音字29，其中共计1337个读音，其中3个读音以上的字共计91个，4个读音以上的字共17个，且不同发音代表的含义也不同。为确保数据的准确性，需对数据进行预处理，排除其中现代汉语不常用的多音字。其次，由于获取到的多音字为单个汉字，需要进行数据标注以区分具体读音对应的具体含义，本文考虑采用人工标注的方法。3.2 构建多音

15、字字典针对多音字的结构特点，需要具体描述出不同读音下所表达的具体含义，因此进行下列定义。(w,x,y,i)i 1,7定义多音字字典。表示包含字符和读音之间关系的字典。它用于具体表述字符和读音之间的关系，可用四元组描述。其中，w是多音字的中文表示，x是w的拼音表述，y是w的具体含义，i表示w的第i个读音，。随着多音字读音的增多，其含义也逐渐变多。由定义知，在含多音字的句子中，需根据i值来确定w的具体含义y，而i值可通过x来确定。读音与字义之间的联系，采用点互信息PMI算法来完成，PMI可以较为准确地衡量读音与字义的相关性，其计算如式(1)所示PMI(x,y)=log2p(x,y)p(x)p(y)

16、=log2p(x|y)p(x)=log2p(y|x)p(y)(1)p(x,y)=p(x)p(y)p(x,y)p(x)p(y)其中，若x与y无关，则，表示该读音没有此含义；若x与y相关程度越高，则与比值越大。wiWi=w1,w2,.,wli设多音字的含义集合为，则构建的集合W为W=w11w12.w1nw21w22.w2n.wn1wn2.wnn(2)wijWii 1,7,n 1,7其中，表示单词的第i个读音与对应的含义组成的集合，其中，并且每个多音字的不同读音可能有多个含义。4 PGAS算法4.1 算法假设sss s sss s 本文将评论数据作为输入得到输出结果得分，将 与阈值进行比较，得到预测

17、的分类结果。由于评论数据已经给定正例和负例，故仅需判断是否分类正确即可。训练集中的正负例分别标记为1和0，当时，判断该输入为正样本；当时，则判断该输入为负样本。样本输入后得到得分，若 在得分阈值 和 之间则为中性，情感倾向较弱或者不含情感倾向；则偏正面；则偏负面。评论文本中的多音字可能多个读音都不包含情感倾向，这不会对PGAS算法产生影响。因为无论是否包含情感倾向，在原句中进行多音字替换时，除了判断核心词的情感倾向外，核心词自身以及其他词含有多音字也会对最终的结果产生影响。4.2 扰动定位WW=w1,w2,.,wnWPGAS算法中，需要定位多音字的位置，根据WordHandling算法8的字删

18、除评分方法的启发，提出了改进的定向词删除评分机制(TargetedDele-tionScore,TDS)进行多音字位置的位置重要性判断，根据重要性进行多音字替换操作。对输入样本进行分词得到，其中n表示输入样本的字符长度，再将输入样本进行拼音化处理，通过与构建的多音字字典中进行比对，找到输入样本中全部的多音字位置，对序列中的第i个多音字，计算整个样本和删除该字之后样本的输入分数差值TDS(wi)=f(w1,.,wi1,wi,wi+1,.,wn)f(w1,.,wi1,wi+1,.,wn)(3)4.3 算法描述PGAS算法的核心思想是通过对输入文本中的多音字进行替换来达到改变模型预测结果的目的。具体

19、包含以下两个步骤：首先构建多音字字典，然后根据多音字字典来替换原始样本中的多音字，生成对抗样本。PGAS算法进行对抗样本生成主要是通过多音字替换实现，在实际应用中，多音字的不同读音具有不同的含义，将不同读音的汉字视为相对独立的两个汉字，因此其对应的向量表示也完全不同。为了清晰地描述PGAS算法原理，展示多音字的读音不同导致的向量表示变化，相关描述如图2所示。X1,X2,.,XTcX1,cX2,.,cXTcXi图2中，句子由等T个汉字组成，对其进行汉克尔矩阵化(Hankelization)操作，变形为，其中表示为汉字对应的矩阵形式。通过PGAS算法，对含有多音字的汉字2228电子与信息学报第45

20、卷cMiXnew执行替换操作，即将图3中红色框处的0变为1，得到改变后的矩阵，即可得到更新后的。图2详细描述了PGAS算法通过矩阵变换得到不同含义且不同读音的同形字形式化流程。针对代替换字读音在2个以上的汉字，通过计算其IMD值(具体计算方法见5.3节)，选取IMD值最大的读音进行替换。IMD值越大，表明两读音之间的偏移量越大，原始语义偏离越大，越容易起到攻击的效果。5 实验及结果分析本文选用的数据分为两部分，构建多音字字典时，采用的多音字数据来源于魏星等人28提出的中文科技术语多音字表中数据。生成对抗样本数据来源于谭松波公开的酒店评论数据、微博评论数据以及商品评论数据，在针对数据集中的数据进

21、行分词后，采用人工标注的方法对其中的多音字进行标注。5.1 实验设置本文在不同网络模型上进行了对抗样本有效性验证，通过对多种类型的情感分类文本数据集进行统计分析，数据集的相关信息汇总见表1。本文使用多种类型的数据构建出试验数据集，每种评论文本平均有6 000条。由于本实验仅需要验证含有情感倾向的多音字所属的评论语句，经过人工筛选后，评论中剩余5 886条含有多音字的语句，正负样例比重相同。对评论语句的多音字进行人工标注，将标注好的数据分为训练集和测试集，训练集和测试集的数据比例为3:7。在实验中，分类阈值 设为0.5，和 的值分别为0.6和0.4。使用PGAS生成对抗样本数据，并将对抗样本数据

22、，传入长短期记忆网络(LongShort-TermMemory,LSTM)和卷积神经网络(ConvolutionalNeuralNetwork,CNN)等传统模型和部分最新的情感分类模型测试生成样本的效果。为了验证所提出来的PGAS的有效性，首先生成对抗样本，将这些对抗样本作为输入，对现有最新的情感分类模型实施黑盒攻击。对于PGAS攻击效果的衡量是根据神经网络模型对对抗样本检测的准确率下降程度体现，准确率下降越多，则攻击效果越好。5.2 实验结果及分析实验使用酒店评论数据、微博评论数据以及商品评论数据，利用最新的情感分类模型对提出的PGAS算法生成的对抗样本进行验证。同时，为了与其他对抗样本生

23、成方法作比较，特设置对照实验，以期验证本方法的优势。关于模型检测准确性如表2表4所示，对比方法有词处理生成方法(Word-Handling)8、词级黑盒对抗样本生成方法(Cword-Attacker)9、黑盒对抗样本生成方法(DeepWordBug)13和快速生成对抗样本方法(FastWordBug)14。测试模型分别有：支持向量机(SupportVectorMachines,SVM)30、长短期记忆网络(LongShort-TermMemory,LSTM)31、深度记忆网络(MemNet)32、方面交互网络(IAN)33、注意力集中注意网络(AOA)34、注意编码网络(AEN-GloVe)3

24、5、LSTM+SynATT36、目标依赖图注意网络(TD-GAT)37、特定方面图建卷积网络(ASGCN)38、卷积神经网络(Convolu-tionalNeuralNetwork,CNN)39和分层式卷积神经网络情感分类(pos-ACNN-CNN)40。本文在相同的实验环境下，在多个公开数据集上与多种对抗样本生成方法生成的样本，用11种文表 1 实验数据集项目酒店评论数据微博评论数据商品评论数据任务类型情感倾向性分类 情感倾向性分类 情感倾向性分类分类数目222训练集(条)4 12070 00042 130测试集(条)1 76630 00018 056多音字数量(个)2 556 9527 3

25、91 4566 585 441图2PGAS算法替换向量描述样例图3字音1和字音2在坐标系中的转移第6期张顺香等：面向中文文本分类的字符级对抗样本生成方法2229表 2 在酒店评论数据集上的对比试验结果(%)测试模型无修改对比方法本文方法WordHandlingCWordAttackerDeepWordBugFastWordBugPGAS准确率准确率降低幅度准确率降低幅度准确率降低幅度准确率降低幅度准确率降低幅度SVM76.3572.194.1671.035.3269.187.1770.156.2052.3623.99LSTM83.2176.256.9674.298.9272.5110.7075

26、.227.9962.1721.04MemNet77.1270.316.8172.594.5370.156.9769.197.9358.6318.49IAN86.3181.255.0683.263.0578.327.9978.298.0264.9221.39AOA79.9171.268.6573.296.6268.2511.6670.539.3860.1519.76AEN-GloVe86.3279.816.5181.075.2577.169.1680.096.2368.3717.95LSTM+SynATT88.6183.595.0282.566.0578.3910.2281.377.2461.8

27、426.77TD-GAT78.3672.206.1673.215.1572.196.1771.247.1260.2318.13ASGCN82.9777.185.7977.415.5671.0511.9273.089.8961.0821.89CNN82.3674.218.1576.385.9869.9112.4569.5112.8559.3922.97pos-ACNN-CNN76.2870.156.1372.533.7568.258.0366.1910.0958.1818.10表 3 在微博评论数据集上的对比试验结果(%)测试模型无修改对比方法本文方法WordHandlingCWordAttac

28、kerDeepWordBugFastWordBugPGAS准确率准确率降低幅度准确率降低幅度准确率降低幅度准确率降低幅度准确率降低幅度SVM74.2568.325.9369.045.2166.038.2263.5110.7453.2121.04LSTM79.6672.587.0871.228.4468.2511.4169.799.8759.7419.92MemNet73.2866.826.4665.397.8964.518.7759.2114.0754.0919.19IAN80.3974.415.9876.284.1173.287.1174.076.3259.7420.65AOA77.2168

29、.258.9663.0514.1662.8914.3264.1913.0253.6623.55AEN-GloVe85.3174.2911.0273.0812.2374.8510.4676.289.0366.2319.08LSTM+SynATT89.0772.1416.9375.4413.6377.6011.4781.187.8967.0422.03TD-GAT83.0676.336.7373.989.0872.5610.5074.618.4554.3928.67ASGCN80.1769.1910.9871.049.1369.0411.1362.8817.2956.1823.99CNN76.33

30、68.387.9566.379.9669.716.6269.446.8957.2019.13pos-ACNN-CNN70.9461.259.6959.3711.5761.439.5160.0710.8759.3311.61表 4 在商品评论数据集上的对比试验结果(%)测试模型无修改对比方法本文方法WordHandlingCWordAttackerDeepWordBugFastWordBugPGAS准确率准确率降低幅度准确率降低幅度准确率降低幅度准确率降低幅度准确率降低幅度SVM73.2864.219.0766.077.2163.1910.0965.038.2554.6418.64LSTM77.

31、0469.077.9767.459.5968.178.8768.298.7553.2123.83MemNet82.3673.858.5171.0411.3273.229.1472.949.4263.0219.34IAN74.0762.2511.8266.387.6965.318.7665.838.2456.4117.66AOA78.2569.448.8168.519.7467.1411.1168.0710.1854.2024.05AEN-GloVe81.3370.0311.3073.098.2470.2511.0872.558.7855.9725.36LSTM+SynATT85.6076.49

32、9.1178.217.3973.2112.3974.5411.0661.0824.52TD-GAT84.9272.1712.7575.609.3275.099.8374.6010.3262.0422.88ASGCN83.6476.057.5979.034.6174.329.3276.597.0564.2919.35CNN75.9163.2112.7064.2411.6765.3910.5265.0210.8959.3116.60pos-ACNN-CNN86.4972.7113.7877.309.1979.027.4772.7413.7568.0318.462230电子与信息学报第45卷本情感分

33、析方法进行了对比试验。从表2表4中数据可以清晰看到，本文提出的PGAS方法，相较于其他对抗样本生成方法，分类准确度下降幅度最大，证明PGAS方法生成的对抗样本可以大幅度改变原来的分类准确度。PGAS在多种最新的情感分类模型上都取得了很好的成绩。本文的模型与11种分类模型做了对比实验，在酒店评论数据集上使得分类结果下降了17.95%26.77%；在微博评论数据集上使得分类结果下降了11.61%28.67%；在商品评论数据集上下降了16.60%25.36%。为了更直观地表明本文提出方法PGAS的下降效果，在表2表4中将对比模型对分类效果影响程度大于10%的进行了加粗展示。实验证明。PGAS方法下降

34、幅度远超其他模型。同时，针对几种对比方法WordHandling8,CwordAttacker9,DeepWordBug13和FastWord-Bug14，进行时间复杂度与空间复杂度的比较分析，包括PGAS在内的方法都需要对原始数据中的所有字符进行一轮遍历，遍历的同时使用标记法记录替换词或删减词的位置，故所需时间复杂度为O(n)。在空间复杂度方面，本方法仅需记录替换词或删减词的位置信息，不涉及到额外的动态分配空间，因此空间复杂度为O(1)。5.3 对抗样本质量度量Lp对于生成的对抗样本质量评估，在图像中通常采用范数进行度量，但图像的连续性导致离散的文本不能利用范数进行度量。基于Kusner等人

35、41提出的词移距离(WordMoversDistance,WMD)来计算样本之间的相似度，WMD距离越大，表明相似性越低，反之越高则越相似，其语义偏离程度越低。WMD是基于词之间的关联度来进行衡量，基于此，本文提出了改进的词移距离(ImprovedMoversDistance,IMD)来衡量对抗样本的质量，通过计算两样本之间的拼音信息来衡量其语义偏离程度。计算如式(4)所示。minT0ni,jTijc(i,j)s.t.nj=1Tij=di,i 1,2,.,n(4)c(i,j)ijdiij其中，是多音字不同拼音词向量 和 之间的Euclidean距离，n为拼音的个数，表示为多音字在原文中的TDS

36、得分权重。由IMD的衡量方式可知，IMD主要考虑在拼音之间的移动距离还判断其语义偏离程度，因此计算不同拼音向量之间和的最小值来达到针对原始样本和对抗样本相比较的目的。在式(4)中，满足条件表示读音 和 之间的转换(如图3所示)。在坐标系中，同一个汉字的不同读音对应的坐标不同，在评价对抗样本质量时，应当考虑除了汉字之外，对抗样本和原文的读音之间的相似度情况。图4分别描述了从字、词再到句子，拼音的变换情况。图4(a)为不同汉字的读音转移，汉字之间的读音不同，在进行不同字音转变时，具体表现为向量之间的转变(如图2)；图4(b)表示若词组中存在多个多音字，则多音字的变换方式会对生成的对抗样本产生影响；

37、图4(c)则是将图4(b)的情况拓展到全文中。本文利用WMD来计算对抗样本之间的偏离程度，利用IMD来进行拼音之间的相似度计算。若计算距离越大，则证明越不相似，反之则越相似。为了更好地验证本文提出方法的生成质量，分别从WMD和IMD两种衡量方法出发，与WordHand-ling8,CwordAttacker9,DeepWordBug13和Fast-WordBug14进行生成的样本质量做对比。在多种评论数据集生成的2000条对抗样本中，各方法的WMD和IMD分布情况如表5所示。从表5中可以明显看出，当生成2000条对抗样本时，不同方法中，PGAS方法生成的样本在用WMD进行偏移程度测算时，全部在

38、00.2范围内，而其图4多音字3种拼音变换情况第6期张顺香等：面向中文文本分类的字符级对抗样本生成方法2231他方法大多在0.40.6。同样的，在IMD进行拼音的偏移测算时，由于WordHandling方法8采用同音字替换方法，因此在拼音测算时比PGAS算法质量更优，但PGAS算法同样优于其他算法。可以得出结论，PGAS算法生成的对抗样本质量较高，且扰动幅度较小。数据折线图如图5所示。本文在实验操作时，只修改了字义和读音，并没有修改任何汉字。对于人类而言，阅读起来没有障碍，但是对机器来说，修改后的字义是符合机器模型运作的，对分类模型造成较强的干扰，达到了显著的实验效果。实验表明，通过PGAS算

39、法，能够通过生成高质量的对抗样本来影响模型的分类结果。6 结束语本文针对目前中文领域生成的对抗样本扰动幅度大，质量不高的问题，提出一种面向中文文本分类的字符级对抗样本生成方法PGAS，并针对多种分类任务进行攻击实验。利用构建的多音字词典进行多音字替换，在多个评论文本数据集证明了该方法有效，且生成的对抗样本扰动幅度较小，语句含义表达完整。本文主要贡献在于：(1)通过PGAS方法生成了有效且高质量的对抗样本。利用PGAS方法生成的对抗样本，从字音和字形上同步进行质量检测，验证了生成的对抗样本保证了在最小扰动下，语义偏离最小，具有良好的可读性。(2)成功构建多音字字典。多音字字典的成功构建，为之后的

40、从事多音字相关领域研究的学者提供了研究基础。本文构建的多音字字典，含有包括多音字的字音、字义以及不同读音和字义之间关系在内的多种信息，较为完整。在今后的工作中，将进一步考虑多音字的多种含义在对抗样本生成中的影响，同时也会针对PGAS算法生成的对抗样本考虑防御措施，以期提高模型的鲁棒性。参 考 文 献PAPERNOTN,MCDANIELP,SWAMIA,et al.Craftingadversarial input sequences for recurrent neural1表 5 不同实验方法生成对抗样本数量的WMD和IMD分布情况(条)项目值对比方法本文方法WordHandlingCWor

41、dAttackerDeepWordBugFastWordBugPGASWMD0-0.2213612720000.2-0.462338027225300.4-0.686078932539700.6-0.825647353152900.8-12402668608140IMD0-0.216301368140910913640.2-0.434126946868013520.4-0.629182901972350.6-0.801813325490.8-100070图5不同实验方法生成对抗样本数量的WMD和IMD分布情况2232电子与信息学报第45卷networksC.MILCOM 2016-2016 I

42、EEE MilitaryCommunicationsConference,Baltimore,USA,2016:4954.doi:10.1109/MILCOM.2016.7795300.WANGBoxin,PEIHengzhi,PANBoyuan,et al.T3:Tree-autoencoderconstrainedadversarialtextgenerationfortargetedattackC.The2020ConferenceonEmpiricalMethodsinNaturalLanguageProcessing,2020:61346150.doi:10.18653/v1/202

43、0.emnlp-main.495.2LET,WANGSuhang,andLEED.MALCOM:GeneratingmaliciouscommentstoattackneuralfakenewsdetectionmodelsC.2020IEEEInternationalConferenceonDataMining,Sorrento,Italy,2020:282291.doi:10.1109/ICDM50108.2020.00037.3MOZES M,STENETORP P,KLEINBERG B,et al.Frequency-guidedwordsubstitutionsfordetecti

44、ngtextualadversarialexamplesC.The16thConferenceoftheEuropeanChapteroftheAssociationforComputationalLinguistics,2021:171186.doi:10.18653/v1/2021.eacl-main.13.4TAN S,JOTY S,VARSHNEY L,et al.Mind yourInflections!ImprovingNLPfornon-standardEnglisheswithBase-InflectionencodingC.The2020ConferenceonEmpiric

45、alMethodsinNaturalLanguageProcessing,2020:56475663.doi:10.18653/v1/2020.emnlp-main.455.5潘文雯,王新宇,宋明黎,等.对抗样本生成技术综述J.软件学报,2020,31(1):6781.doi:10.13328/ki.jos.005884.PANWenwen,WANGXinyu,SONGMingli,et al.SurveyongeneratingadversarialexamplesJ.Journal of Software,2020,31(1):6781.doi:10.13328/ki.jos.005884

46、.6MILLERD,NICHOLSONL,DAYOUBF,et al.Dropoutsampling for robust object detection in open-setconditionsC.2018IEEEInternationalConferenceonRoboticsandAutomation,Brisbane,Australia,2018:32433249.doi:10.1109/ICRA.2018.8460700.7王文琦,汪润,王丽娜,等.面向中文文本倾向性分类的对抗样本生成方法J.软件学报,2019,30(8):24152427.doi:10.13328/ki.jos

47、.005765.WANG Wenqi,WANG Run,WANG Lina,et al.AdversarialexamplesgenerationapproachfortendencyclassificationonChinesetextsJ.Journal of Software,2019,30(8):24152427.doi:10.13328/ki.jos.005765.8仝鑫,王罗娜,王润正,等.面向中文文本分类的词级对抗样本生成方法J.信息网络安全,2020,20(9):1216.doi:10.3969/j.issn.1671-1122.2020.09.003.TONGXin,WANG

48、Luona,WANGRunzheng,et al.Agenerationmethodofword-leveladversarialsamplesfor9ChinesetextclassiifcationJ.Netinfo Security,2020,20(9):1216.doi:10.3969/j.issn.1671-1122.2020.09.003.BLOHMM,JAGFELDG,SOODE,et al.Comparingattention-based convolutional and recurrent neuralnetworks:Successandlimitationsinmach

49、inereadingcomprehensionC.The22ndConferenceonComputationalNaturalLanguageLearning,Brussels,Belgium,2018:108118.doi:10.18653/v1/K18-1011.10NIUTongandBANSALM.Adversarialover-sensitivityandover-stabilitystrategiesfordialoguemodelsC.The22ndConferenceonComputationalNaturalLanguageLearning,Brussels,Belgium

50、,2018:486496.doi:10.18653/v1/K18-1047.11EBRAHIMIJ,LOWDD,andDOUDejing.Onadversarialexamplesforcharacter-levelneuralmachinetranslationC.The27thInternationalConferenceonComputationalLinguistics,SantaFe,USA,2018:653663.12GAOJi,LANCHANTINJ,SOFFAML,et al.Black-boxgenerationofadversarialtextsequencestoevad