深度神经网络在自然语言处理领域落地应用,已经取得许多重要研究成果,文本分类模型作为自然语言处理模型的分支,在垃圾邮件检测、情感分析和新闻分类等任务中发挥着重要作用。作为文本分类领域的主流模型,循环神经网络适用于序列数据,综合考虑上下文信息对文本进行分类;文本图卷积网络将单词与语句的关联度抽象为拓扑图,具有较高的文本分类准确率。最新研究表明,对抗攻击会使文本分类模型失效,且攻击成功率较高。这已成为文本分类模型的潜在威胁,严重限制了模型的进一步应用。利用对抗样本对模型进行对抗训练,可以提高模型鲁棒性,抵御对抗攻击。因此,研究文本对抗样本生成问题尤为重要。生成对抗样本,需要在输入数据中添加扰动。但即使微小扰动仍容易被人类察觉,同时原始文本的语义可能会改变。因此攻击成功且保留原始语义的对抗样本,可视为有效对抗样本。对于循环神经网络,学术界已经提出大量对抗样本生成算法,但仍存在攻击成功率低、生成的对抗样本可用性低等问题。对于文本图卷积网络,对抗攻击研究仍处于起步阶段,需要提出新的对抗样本生成算法。本文围绕以上两种文本分类模型,展开对抗样本生成研究,提出三种对抗攻击算法,主要工作如下:1.PGD算法是图像领域的最优一阶对抗攻击算法,该算法不仅有较高攻击成功率,而且保证对抗样本与原始样本范数距离较近。本文将PGD算法迁移到文本领域,为循环神经网络生成对抗样本。然而,PGD算法会扰动文本中所有单词,破坏语义和语法完整性。为保证扰动不可察觉,原始语义不被改变,本文提出Extend-PGD算法,仅修改原始文本中部分的单词。该方法首先计算模型对输入单词的Jacobian矩阵,得到每个单词对分类结果的影响程度并排序,依次利用PGD算法为单词生成扰动,当且仅当扰动后的单词保留原始语义时,修改原始单词,重复扰动过程直至扰动成功或者迭代结束。本文设计对比实验,证明利用上述扰动方式,生成的对抗样本具有较高的攻击成功率,并且与原始文本语义相似。2.C&W算法是图像领域中基于优化的对抗攻击算法,该算法不仅攻击成功率高,而且生成的对抗扰动非常小。本文将其迁移到文本领域,扰动循环神经网络。但是,C&W算法生成密集扰动,可能改变原始文本语义。本文引入（?）1正则化提高扰动的稀疏性,提出Extend-C&W算法,最小化对原始输入文本的改变。该方法通过求解优化问题生成对抗扰动,每次攻击后,计算与被修改单词语义最相近的三个单词,作为候选集,如果扰动后的单词不在候选集中,将其替换为候选集中与之语义最相近的单词,重复扰动过程直至迭代结束。Extend-C&W算法生成的对抗样本最大程度保留了原始语义,提高对抗样本的可用性。3.FGA算法是图数据领域中基于梯度的对抗攻击算法。该算法针对普通图,快速生成对抗扰动,并且有较高的攻击成功率。文本图卷积网络基于文本图进行训练,该图是有权图。因此本文将FGA算法扩展至文本图,提出Graphattack攻击算法,为文本图卷积神经网络生成对抗样本。Graph-attack算法同时扰动文本图中的节点特征和边,利用梯度修改节点的部分特征;基于FGA算法的核心思想,修改边的权重。根据不同的扰动方式,采取相应的扰动限制策略,保证生成的对抗样本的有效性。本文通过对比实验,证明Graph-attack方法可以有效降低模型准确率。