電磁信號調(diào)制識別中的對抗性攻擊技術(shù)研究

王滿喜，史明佳，陸科宇，張思成*

(1.電子信息系統(tǒng)復雜電磁環(huán)境效應(yīng)國家重點實驗室，河南 洛陽 471003；2.哈爾濱工程大學 信息與通信工程學院，黑龍江 哈爾濱 150001)

0 引言

自動信號調(diào)制分類(Automatic Modulation Cla-ssification，AMC)是無線通信系統(tǒng)中的重要組成部分，通常用于信號檢測和解調(diào)技術(shù)，在數(shù)據(jù)傳輸?shù)葢?yīng)用中發(fā)揮著重要作用。基于傳統(tǒng)方法識別調(diào)制信號方法識別不僅需要專業(yè)知識，工作量大，人工成本高，還容易造成誤判[1]。近年來，隨著深度學習的普及，人工智能技術(shù)在電磁空間問題中的突出表現(xiàn)得到了業(yè)界的認可。研究人員針對調(diào)制信號數(shù)據(jù)集設(shè)計深度學習網(wǎng)絡(luò)，獲得了明顯優(yōu)于傳統(tǒng)網(wǎng)絡(luò)的性能[2-3]，至此，更多的方法被投入研究如何提升識別準確率并適應(yīng)于各種場景(小樣本[4]、遷移學習[5]、模型壓縮[6]、輕量化部署[7]等)。然而，對抗樣本的出現(xiàn)對基于深度神經(jīng)網(wǎng)絡(luò)的調(diào)制識別任務(wù)提出了新的挑戰(zhàn)。惡意生成的微小擾動，在人眼不可分辨的情況下可愚弄模型，使輸入信號的調(diào)制類型預測改變。

近年來，對抗樣本在電磁領(lǐng)域的研究已經(jīng)取得一定發(fā)展。2018年，Sadeghi發(fā)現(xiàn)對抗樣本能降低信號識別性能，這是電磁領(lǐng)域首次發(fā)現(xiàn)對抗樣本[8]。Tu等人將生成性對抗網(wǎng)絡(luò)擴展到半監(jiān)督學習，表明它是一種可以用來創(chuàng)建數(shù)據(jù)效率更高的分類器的方法[9]。2020年，Zhao等人對信號識別過程中的對抗攻擊進行檢驗，降低了模型的正確性，并驗證了該模型的泛化能力[10]。Flowers將真實物理場景下的通信信號中引入對抗樣本，根據(jù)不同的攻擊位置展開研究，并提出將誤碼率作為評估指標[11]。2021年,Lin等人分析了幾種基于梯度的對抗攻擊方法對調(diào)制識別的影響，結(jié)果表明，當擾動強度為0.001時，該方法的預測精度將降低50%[12]。Tu等人創(chuàng)建了一個大規(guī)模的真實無線電信號數(shù)據(jù)集，使用新的數(shù)據(jù)集對深度學習模型的性能進行了深入的研究[13]。Bao等人考察了非目標攻擊和目標攻擊對基于卷積神經(jīng)網(wǎng)絡(luò)設(shè)備識別的影響，并提出了Logits的組合評估指標，以豐富評估標準[14]。Zhang等人設(shè)計了一種結(jié)合快速推理和反白盒梯度攻擊的調(diào)制分類防御模型BMCDN來檢測物聯(lián)網(wǎng)中的惡意攻擊和干擾，在保證模型分類性能的同時獲得防御性能[15]。

目前針對調(diào)制識別的對抗攻擊主要集中在提高攻擊性能上[16-17]，通信領(lǐng)域的研究仍處于初步階段，對抗樣本缺乏理論解釋研究，現(xiàn)有解釋大多是局限在假設(shè)解釋，沒有充分結(jié)合通信信號的特性，仍存在很多理論空白；對抗攻擊性能不強，仍需繼續(xù)研究提升攻擊有效性。對電磁信號對抗機理進行解釋，有助于給研究人員提供可靠的理論依據(jù)，進一步改進對抗樣本系統(tǒng)的知識，為提高攻擊效果和模型的安全性，以及評估對信號識別模型的影響有很大的幫助。

本研究結(jié)合電磁信號的物理特性進行機理解釋等基礎(chǔ)研究，從攻擊者的角度出發(fā)，設(shè)計的精細擾動加入到輸入信號中，以探討基于深度神經(jīng)網(wǎng)絡(luò)調(diào)制識別的對抗攻擊性能，量化對調(diào)制波形的擾動程度。

1 神經(jīng)網(wǎng)絡(luò)研究基礎(chǔ)

1.1 多層感知機

多層感知機是由感知器學習算法(Perceptron Learning Algorithm，PLA)提出的，為較大神經(jīng)網(wǎng)絡(luò)的前身。多層感知機的超參數(shù)需要進行調(diào)整，必須使用交叉驗證技術(shù)來找到這些參數(shù)的理想值。權(quán)重調(diào)整訓練通過反向傳播完成。神經(jīng)網(wǎng)絡(luò)越深，處理數(shù)據(jù)的能力越強，然而更深的層可能會導致漸變問題消失，需要特殊的算法來解決這個問題。

基于單元操作的非線性函數(shù)來對隱藏變量進行變換，并使其轉(zhuǎn)換為下一層的完全連通，這種功能叫做激活函數(shù)。

H=φ(XWh+bh)，

(1)

O=HWo+b，

(2)

式中，φ表示激活函數(shù)。

圖1顯示了常見的非線性激活函數(shù)。

圖1 常用的激活函數(shù)Fig.1 Commonly used activation functions

sigmoid函數(shù)是最早期且最常用的一個，對于一個定義域在R內(nèi)的輸入，sigmoid將輸入變換為區(qū)間0～1的輸出，公式為：

(3)

tanh函數(shù)將定義在R的輸入變換為一個固定區(qū)間的函數(shù)。不同的是，tanh將輸入?yún)^(qū)間變換到-1～1。公式為：

(4)

近來修正線性單元(Rectified linear unit，ReLU)因?qū)崿F(xiàn)簡單，同時在各種預測任務(wù)中表現(xiàn)良好受到關(guān)注。ReLU公式為：

ReLU(x)=max(x,0)。

(5)

1.2 卷積神經(jīng)網(wǎng)絡(luò)

卷積神經(jīng)網(wǎng)絡(luò)(Convolutional Neural Networks,CNN)本質(zhì)是一種多層次的感知機器，其特征主要有兩種：一是局部鏈接；二是權(quán)重分享，降低了模型的復雜性，即過度擬合的危險。其中，卷積層、池化層、全連接層是組成卷積神經(jīng)網(wǎng)絡(luò)的部分。

卷積層一般由多個卷積核以及對應(yīng)的卷積函數(shù)組成，卷積核是檢測提取特征的作用，其中二維卷積操作可表示為：

(1+s(i-1)-p,1+s(j-1)-q)。

(6)

池化的主要思想是下采樣,以降低更多層的復雜性：

rl=βdown(rl-1)+bl。

(7)

全連接層通常如下所示：

rl=σ(Wlrl-1+bl)，

(8)

式中，Wl∈RNl×Nl-1，bl∈RNl代表第l層網(wǎng)絡(luò)的參數(shù)，σ(·)代表激活函數(shù)。

2 對抗樣本

Szegdy等人首先提出了對抗樣本的概念，該研究發(fā)現(xiàn)了神經(jīng)網(wǎng)絡(luò)的兩種“非常規(guī)”現(xiàn)象，其中之一是神經(jīng)網(wǎng)絡(luò)在圖像分類中的脆弱性[18]。針對對抗樣本問題進行建模，提出了以下優(yōu)化問題：

(9)

式中，x+r是一個由干凈樣本x和擾動r組成的對抗樣本，l是x的真實標簽。f表示分類模型f(·)，是將輸入圖像映射到標簽輸出的映射函數(shù)。

2.1 對抗樣本產(chǎn)生原因

由于深度學習模型的不可解釋性和復雜的數(shù)據(jù)流形幾何結(jié)構(gòu)，對抗樣本產(chǎn)生機理的認識尚沒有得到一致的解釋，國內(nèi)外學者對對抗樣本產(chǎn)生機制的研究假設(shè)存在著不同的側(cè)重，并且缺少數(shù)理上統(tǒng)一的理論解釋，總的來說，對于對抗樣本產(chǎn)生原因有幾種分析[19-20]。

2.1.1 流形中的低概率區(qū)域解釋

流形中的低概率區(qū)域解釋是認為由于對抗樣本是總樣本概率空間中的某一部分空間，而訓練學習只能學習到有限的子區(qū)域，對抗樣本是在訓練樣本有限的情況下，超出學習子集的那部分樣本，所以這種情況下，尤其是需要通過目標函數(shù)對模型的向量求取梯度得到最優(yōu)模型時，深度神經(jīng)網(wǎng)絡(luò)在對抗樣本的攻擊下就會出現(xiàn)漏洞。

2.1.2 對抗樣本的線性解釋

首先說明了一個具有對抗樣本的線性模型的存在。在很多問題中，單一的輸入特性的準確率很低，當干擾因子的各要素都低于該特征的準確度時，該分類器對于輸入x的反應(yīng)與對抗樣本的反應(yīng)是不合理的。

(10)

在高維問題中，可對輸入添加極小的改變，進而對輸出實現(xiàn)大改變。在此情形中，即使有多個振幅較大的信號，線性模型也會被迫僅注意到與其加權(quán)值最近的信號。

2.2 對抗攻擊

2.2.1 對抗攻擊技術(shù)

對抗樣本的研究對于深度學習模型安全性至關(guān)重要，目前常用的攻擊包括FGSM、PGD、MIM、BIM、DeepFool、Carlini和Wagner攻擊、基于雅可比的顯著圖方法、動量迭代攻擊和不同輸入迭代攻擊等。

(1) 快速梯度標志攻擊(Fast Gradient Sign Method，F(xiàn)GSM)

(11)

(12)

r=ε·sign(xJθ(x,l))。

(13)

(2) 基本迭代攻擊(Basic Iterative Method，BIM)

將FGSM的單步計算轉(zhuǎn)化為多個小步迭代攻擊，并調(diào)整攝動方向使之與損失函數(shù)梯度的變化方向一致或相反。

x′i+1=Clip{x′i+α·sign(2x(x′i,y))},fori=0 ton,x′0=x，

(14)

式中，Clipx,ε{z}表示將z裁剪到[x-ε,x+ε]的范圍，用來約束坐標的每個輸入特征，n為迭代總數(shù)量，α為步長。與單步攻擊法相比，迭代攻擊可構(gòu)建出更加精細的擾動，并且可以實現(xiàn)更好的攻擊效果，不過計算量隨之增加。

(3) 梯度投影法(Project Gradient Descent，PGD)

PGD攻擊是以均勻隨機噪聲(隨機擾動)作為初始化的BIM的變體。首先在原始樣本的容許范圍(球狀噪聲區(qū))中進行隨機初始化，再經(jīng)過反復迭代生成對抗樣本。

x′t+1=Proj{x′t+α·sign(xJ(θ,x′t，y))}。

(15)

(4) 動量迭代法(Momentum Iterative Method，MIM)

MIM算法是在迭代時，通過累積速度向量，使梯度的衰減加快。引入動量能使擾動的修正方向得到穩(wěn)定，從而避免陷入局部最大值，可以提高采樣的可移動性，進而提高攻擊的成功率。

(16)

x′n+1=x′n+ε·sign(gn+1)。

(17)

2.2.2 對抗攻擊技術(shù)分類

根據(jù)攻擊者的攻擊目的，攻擊方式有兩種：目標攻擊和非目標攻擊。非目標攻擊模型的輸出是除真是類別之外的任何類別，而不指定具體的分類，一般通過減少初始別類的置信度來實現(xiàn)。

非目標攻擊模型的輸出是除真實類別之外的任何類別，而不指定具體的分類。

(18)

式中,f為選定的網(wǎng)絡(luò)模型，L為損失函數(shù)。

有針對性的目標攻擊模型不僅輸出錯誤，而且輸出是攻擊者指定的類別。有針對性的攻擊比非有針對性的攻擊更難實現(xiàn)。其中yt是攻擊者想要模型輸出的預測類別。

(19)

根據(jù)攻擊方對目標模型的知識了解程度可分為白盒攻擊、灰盒攻擊、黑盒攻擊。其中，最常用的就是白盒攻擊，即攻擊者能夠獲得攻擊的內(nèi)部結(jié)構(gòu)、權(quán)重參數(shù)以及訓練算法。而黑盒子的進攻則相反。

按照攻擊的多樣性可以將攻擊方法劃分為基于梯度的攻擊、基于動量的攻擊以及基于優(yōu)化攻擊的攻擊。圖2顯示了常見的對抗樣本分類。

圖2 生成方法的分類Fig.2 Classification of generation methods

3 電磁信號調(diào)制識別中的對抗攻擊

本節(jié)進行對抗攻擊實驗來驗證算法的脆弱性，并使用對抗訓練技術(shù)提升模型的魯棒性。首先使用正常的樣本數(shù)據(jù)訓練網(wǎng)絡(luò)分類器，進行對抗攻擊實驗。

3.1 數(shù)據(jù)集

本文使用基于時域波形的I/Q信號識別，調(diào)制方案的數(shù)據(jù)集由Matlab生成，該數(shù)據(jù)集由對應(yīng)于10種不同調(diào)制類型的接收信號復數(shù)樣本組成，調(diào)制類型包括2ASK、2PSK、2FSK、4ASK、4PSK，4FSK、8ASK、8PSK、8FSK、16QAM，每個示例具有128個采樣點，用于信號的同相和正交(I/Q)分量，表示為(2×128)的張量。按照8∶1∶1的比例，把數(shù)據(jù)集分為訓練集、測試集和驗證集。

3.2 網(wǎng)絡(luò)模型

在識別型架構(gòu)的選擇與構(gòu)建上，本文選用了VT-CNN2作為識別模型，對該網(wǎng)絡(luò)的網(wǎng)絡(luò)參數(shù)進行了修正，使其適用于(2×128)的信號張量。VT-CNN2模型的流程如圖3所示。

圖3 VT-CNN2模型的流程Fig.3 Flowchart of the VT-CNN2 model

3.3 對抗攻擊性能對比

在開展對抗攻擊之前，首先訓練基礎(chǔ)模型，對基礎(chǔ)模型進行攻擊，對抗攻擊方法包括FGSM、PGD、BIM、MIM。參數(shù)包括迭代步長，實驗在NVIDIA GeForce GTX 1080Ti上用GPU進行，且攻擊方法是基于深度學習框架Keras和Tensorflow以及對抗樣本算法庫CleverHans來實現(xiàn)。

通過對不同的參量環(huán)境，研究了在白盒模式下，對網(wǎng)絡(luò)進行攻擊。通過對研究過程進行分析，神經(jīng)網(wǎng)絡(luò)的線性可能是其容易被通信信號對抗樣本所欺騙的直接原因。針對線性解釋的理論，選取如前文所述的VT-CNN2作為分類器，基于線性假設(shè)理論，采用梯度攻擊算法生成對抗樣本。

圖4展示了在不同擾動系數(shù)情況下的攻擊效果，分析可知，在沒有施加攻擊、信噪比為0 dB的情況下，模型分類準確度在0.826左右。擾動水平增加，模型準確性先迅速下降，隨后減弱并最后穩(wěn)定下來，最終識別準確率都接近于0.1，這說明分類器對擾動是很敏感，且當擾動大小為0.001 0時，識別精度與攻擊前相比降低30%。

圖4 攻擊效果圖Fig.4 Attack effect map

并且如前文所述，對抗擾動導致激活按wTη增長，可以通過指定η=sign(w)來最大化這種增長，但要滿足最大范數(shù)約束。如果w具有n個維度，并且權(quán)向量的一個元素的平均大小是m，則激活將增長εmn，即表明對于維度比較高的數(shù)據(jù)，即使是變化很小的輸入信號，最后也會輸出一個很大的變化。

而要輸入的通信信號，具有很多維度的性質(zhì)，比如幅度、頻率、相位等，在不同的傳輸過程和環(huán)境中，存在著各種噪聲及其他因素的影響，這些影響會對各種維度產(chǎn)生很多擾動，再加上訓練數(shù)據(jù)有限等原因，會存在一些樣本落入低概率區(qū)域，同時線性空間的微小擾動最終也會在高維空間進行放大，如圖5所示。經(jīng)實驗驗證，基于線性解釋的對抗攻擊算法，可以使得原始模型的識別率大幅下降，從而證明了基于線性解釋的對抗樣本生成的可行性。

圖5 線性解釋Fig.5 Linear interpertation of attack effect map

為研究在不同SNR下攻擊效果，在信噪比為10 dB與-10 dB下進行實驗，如圖6和圖7所示。

圖6 10 dB攻擊效果圖Fig.6 Effect picture of 10 dB attack

圖7 -10 dB攻擊效果圖Fig.7 Effect picture of -10 dB attack

比較發(fā)現(xiàn)低信噪比時，原網(wǎng)絡(luò)識別精度顯著降低，加入攻擊的識別精度降低得也更快。通過對系統(tǒng)信噪比的分析，在較低的信噪比情況下，其噪聲的功率要遠遠高于信號的功率，各種干擾導致信號波形畸變。相反，在高信噪比條件下，模型具有較高的可信度，識別準確率高，不易干擾，因此，若與低信噪下達到同樣程度的攻擊率，需要的擾動更大。綜上分析，不同的方法對噪聲的敏感性程度是不同的，因此應(yīng)根據(jù)實際情況選擇適當?shù)墓裟Ｐ停磺倚旁氡仁莻€影響很大的要素，對抗樣本在不同的信噪比情況下的攻擊效果值得繼續(xù)研究。

為了定量地評估不同方法和模型的攻擊效果，對擾動大小為0.000 5和0.001 0時的11個SNR下識別效果進行了量化平均處理，分別計算了4種攻擊方法的平均分類精度，平均分類精度結(jié)果如圖8所示。

圖8 平均分類精度圖Fig.8 Average classification accuracy map

由圖8可知，在4種攻擊方法中,PGD、BIM和MIM這3種迭代攻擊，其攻擊效果皆強于單步攻擊法；從平均效果來看，攻擊效果在不同攻擊系數(shù)下略有波動，但MIM仍然是三者中最有效的迭代攻擊模型。且在低擾動的情況下，單步迭代攻擊FGSM的性能與其余4種迭代算法的效果近似，不同算法的攻擊優(yōu)勢沒有體現(xiàn)出來。

4 結(jié)束語

電磁信號識別任務(wù)中，深度學習表現(xiàn)出很強的優(yōu)越性，但是很容易被對抗樣本所干擾，這是深度學習模型實際部署應(yīng)用的最大障礙。電磁對抗樣本存在研究時間短、解釋機理不明、對抗攻擊研究仍有較大發(fā)展空間等問題，故本文針對通信領(lǐng)域的對抗樣本研究存在著大量的空白的問題，就電磁信號領(lǐng)域的對抗攻擊技術(shù)進行了分析,實現(xiàn)了自動調(diào)制信號分類，所設(shè)計的深度學習模型對調(diào)制信號數(shù)據(jù)集可在0 dB時達到80%以上的識別準確率；對于通信信號對抗樣本生成機理不明的現(xiàn)狀，結(jié)合通信信號特性分析，對其進行了分析闡述；使用基于梯度的對抗攻擊樣本生成技術(shù)實現(xiàn)攻擊，實現(xiàn)了通信信號偽裝,評估了對抗攻擊對調(diào)制識別造成的安全問題，實現(xiàn)在不同擾動大小下，對所研究的4種對抗攻擊算法進行實驗，可使得模型識別率下降30%以上。結(jié)果證明，卷積神經(jīng)網(wǎng)絡(luò)極易受到對抗性攻擊，且迭代方法的攻擊效果一般都好于單步攻擊法。

然而本文工作仍然存在不足，本文進行的對抗攻擊研究結(jié)果是以基于梯度的方法產(chǎn)生的白盒攻擊的對抗樣本，需要進一步研究其他的對抗樣本產(chǎn)生方式(例如基于優(yōu)化的生成方式、基于生成對抗網(wǎng)絡(luò)的對抗樣本)、黑盒下的替代模型等，并進行進一步的實驗對比分析，以及對抗防御策略的研究(例如對抗訓練、遺傳對抗訓練或基于模型的防御措施)，這都是未來工作的方向。