Generating Realistic Adversarial Examples for Business Processes using Variational Autoencoders

要約

予測プロセス監視では、予測モデルは敵対的な攻撃に対して脆弱であり、入力の摂動が不正確な予測につながる可能性があります。
これらの摂動が人間の目には知覚できないように設計されているコンピューター ビジョンとは異なり、予測プロセス監視における敵対的な例の生成には特有の課題が生じます。
アクティビティのシーケンスにわずかな変更を加えると、規制規則やプロセスの制約などの基礎的な制約により、起こりそうもない、あるいは不可能なシナリオが発生する可能性があります。
これに対処するために、コンピューター ビジョンの敵対的攻撃で一般的に見られる知覚できないピクセル レベルの変化とは対照的に、ビジネス プロセスのコンテキストに合わせた現実的な敵対的例を生成することに重点を置いています。
この論文では、入力属性を直接変更するのではなく、入力データの潜在空間表現にノイズを追加することによって敵対者を生成する 2 つの新しい潜在空間攻撃を紹介します。
これらの潜在空間メソッドはドメインに依存せず、ビジネス プロセス実行の潜在空間表現を直接摂動させることで、敵対的な例の生成を学習されたクラス固有のデータ分布に制限するため、プロセス固有の知識に依存しません。
これら 2 つの潜在空間手法を、11 の現実のイベント ログと 4 つの予測モデルで他の 6 つの敵対的攻撃手法と組み合わせて評価します。
最初の 3 つの攻撃方法は、これまでに観察されたビジネス プロセス実行のアクティビティを直接変更します。
4 番目の方法は、敵対的な例を元のデータ分布に投影することによって、敵対的な例を元のインスタンスと同じデータ分布内に配置するように制約します。

要約(オリジナル)

In predictive process monitoring, predictive models are vulnerable to adversarial attacks, where input perturbations can lead to incorrect predictions. Unlike in computer vision, where these perturbations are designed to be imperceptible to the human eye, the generation of adversarial examples in predictive process monitoring poses unique challenges. Minor changes to the activity sequences can create improbable or even impossible scenarios to occur due to underlying constraints such as regulatory rules or process constraints. To address this, we focus on generating realistic adversarial examples tailored to the business process context, in contrast to the imperceptible, pixel-level changes commonly seen in computer vision adversarial attacks. This paper introduces two novel latent space attacks, which generate adversaries by adding noise to the latent space representation of the input data, rather than directly modifying the input attributes. These latent space methods are domain-agnostic and do not rely on process-specific knowledge, as we restrict the generation of adversarial examples to the learned class-specific data distributions by directly perturbing the latent space representation of the business process executions. We evaluate these two latent space methods with six other adversarial attacking methods on eleven real-life event logs and four predictive models. The first three attacking methods directly permute the activities of the historically observed business process executions. The fourth method constrains the adversarial examples to lie within the same data distribution as the original instances, by projecting the adversarial examples to the original data distribution.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google