Frauds Bargain Attack: Generating Adversarial Text Samples via Word Manipulation Process

要約

最近の研究では、自然言語処理 (NLP) モデルが敵対的な例に対して脆弱であることが明らかになりました。
しかし、そのような例を生成する現在の技術は、決定論的なヒューリスティック ルールに依存しているため、最適な敵対的な例を生成できません。
これに応えて、この研究では、Fraud’s Bargain Attack (FBA) と呼ばれる新しい手法を提案します。この手法は、ランダム化メカニズムを使用して検索空間を拡大し、より高い成功確率で高品質な敵対例を生成します。
FBA は、マルコフ連鎖モンテカルロ サンプラーの一種であるメトロポリス ヘイスティング サンプラーを使用して、Word Manipulation Process (WMP) と呼ばれるカスタマイズされた確率的プロセスによって生成されたすべての候補から敵対的な例の選択を改善します。
WMP メソッドは、挿入、削除、または置換を通じて、文脈を認識した方法で個々の単語を変更します。
この研究では、広範な実験を通じて、FBA が攻撃の成功率、感知されやすさ、文章の品質の点で他の方法よりも優れていることを実証しました。

要約(オリジナル)

Recent research has revealed that natural language processing (NLP) models are vulnerable to adversarial examples. However, the current techniques for generating such examples rely on deterministic heuristic rules, which fail to produce optimal adversarial examples. In response, this study proposes a new method called the Fraud’s Bargain Attack (FBA), which uses a randomization mechanism to expand the search space and produce high-quality adversarial examples with a higher probability of success. FBA uses the Metropolis-Hasting sampler, a type of Markov Chain Monte Carlo sampler, to improve the selection of adversarial examples from all candidates generated by a customized stochastic process called the Word Manipulation Process (WMP). The WMP method modifies individual words in a contextually-aware manner through insertion, removal, or substitution. Through extensive experiments, this study demonstrates that FBA outperforms other methods in terms of attack success rate, imperceptibility and sentence quality.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google