利用主成分分析的通信調制識別通用對抗攻擊方法*

柯 達,黃知濤,2,鄧壽云,盧超奇

(1. 國防科技大學 電子科學學院, 湖南 長沙 410073; 2. 國防科技大學 電子對抗學院, 安徽 合肥 230037; 3. 中國人民解放軍31433部隊, 遼寧 沈陽 110000)

通信信號自動調制識別(automatic modulation classification, AMC)技術作為信號檢測和信號解調之間的重要步驟,可以自動識別接收信號的調制方式,提升認知電子戰系統在非合作場景下實現高效頻譜感知和頻譜利用的能力[1],是適應復雜電磁環境的重要手段,也是近年來無線通信和電子偵察領域研究的重點課題。除傳統的基于假設檢驗理論的AMC方法[2-4]和基于特征提取的方法[5-12],近年來學術界逐漸將目光轉向了基于深度學習(deep learning, DL)的調制識別方法研究[13-18]。將DL方法應用到AMC問題中,DL可以自適應學習數據的有效表征,避免了人工設計特征的過程,加快了技術迭代的效率,同時大量的用頻設備為數據驅動的DL方法提供了充足的數據支撐[19]。

但是,DL的脆弱性也一直為人詬病,現有DL模型雖然在許多領域取得了耀眼的成績,但是存在一類針對DL模型的特殊攻擊方式,可以實現對DL模型高效且隱蔽的攻擊,這種攻擊方式被稱為“對抗樣本”[20]。利用DL存在的固有缺陷,可以設計出一種特殊的極其微弱的擾動,將其添加到待處理的樣本中,可以使原本表現良好的模型以很高的置信度對樣本給出錯誤的處理結果[21]。由于添加的擾動極其微弱,人們難以察覺樣本被做出了改動,因而難以預防。如果將對抗樣本技術充分應用于通信信號波形的生成過程中,將會遏制未來智能化認知電子戰系統的精確感知能力[22]。因此,有必要從通信信號對抗樣本的生成和防御兩方面展開研究。本文立足攻防結合,以攻促防,從對抗樣本攻擊的角度研究了一種通用對抗性擾動(universal adversarial perturbations, UAP)的生成方法,在基于DL的調制識別模型中初步驗證了算法的可行性和有效性。

自2014年Szegedy等首次發現對抗樣本現象后,次年,Goodfellow等進一步解釋了對抗樣本存在的原因,并提出了快速計算對抗樣本的快速梯度符號法[23](fast gradient sign method, FGSM)。Lü等在文獻[24]中提出了一種統一求解對抗樣本的理論框架,為后續對抗樣本的研究奠定了基礎。前期關于對抗樣本的研究主要集中在圖像和語音領域中。2019年,文獻[25]首次研究了針對基于DL的通信信號調制識別模型的對抗樣本攻擊,驗證了其可行性;文獻[26]在通信信號對抗樣本攻擊的基礎上,嘗試了將對抗訓練的思想引入對抗樣本防御中。文獻[18]中,Lin等在開源調制識別數據集中驗證了現有的多種對抗樣本攻擊方法的可行性。Kim等在多種場景下考慮了通信信號對抗樣本受信道影響的因素,提出了適應真實信道場景的對抗樣本攻擊方法[27-29]。盡管上述工作已經對調制識別任務中的對抗樣本進行了充分的探索,但是上述工作采用的對抗樣本攻擊方法每次實施對抗樣本攻擊時均需要針對每一類調制每一個樣本計算一次對抗性擾動,難以滿足通信過程自適應和實時性的要求。UAP可以針對目標模型,僅以部分樣本為基礎,生成一個特定的擾動,輸入模型中的所有樣本加上該擾動后,均能達到對抗攻擊的效果。“通用”指的是生成的擾動可以破壞模型對盡可能多的調制方式與輸入樣本的識別過程。通用對抗性擾動可以在離線的條件下生成,實際通信過程中只需將該擾動添加到待發射的信號中,便可得到通信信號的對抗樣本,滿足實時性的要求。

文獻[30]最早在圖像處理問題中提出了UAP的生成方法,驗證了UAP在不同數據之間存在很好的通用性,即使對于表現良好的神經網絡,其輸入的大部分數據加上微小的UAP,都能被網絡以很高的置信度識別成錯誤的結果;對UAP的存在性給出了經驗性的解釋,認為UAP揭示了基于DL的分類模型的高維決策邊界之間存在幾何相關性,即在輸入空間中存在單一的方向可以破壞基于DL的分類器的識別過程。其核心思想是采用迭代的方法去逼近文中所提出的表征幾何相關性的方向。本文在文獻[30]的基礎上,首先建立了通信調制識別的系統模型,然后針對調制識別模型計算了攻擊所需的最小對抗擾動。由于最小對抗擾動的方向垂直于分類邊界,所以該方向可以用于表征分類界面的特性。在此基礎上,提出了基于主成分分析(principal component analysis, PCA)的UAP計算方法,通過對計算得到的若干最小對抗擾動進行主成分分析,得到最能表征目標模型分類界面幾何相關性的方向,從而得到對整個數據集具有普適性的通用對抗擾動。

1 系統模型

對抗樣本攻擊即在正常的通信過程中添加一段精心設計的擾動,在盡可能不破壞合作通信過程的基礎上,使得基于DL的非合作通信系統難以識別信號,從而達到保護合作通信的目的。對抗樣本攻擊的系統模型如圖1所示,主要由通信發射機、接收機和通用對抗擾動UAP發射機構成。

圖1 通信系統中對抗樣本攻擊的系統模型Fig.1 System model for combating a sample attack in a communication system

在正常的通信過程中,發射信號x經信道Htr傳輸至接收機,此時信號s容易被非合作系統截獲。為了降低被智能偵察系統識別的概率,UAP發射機會同時輻射通用對抗擾動δ,此時接收方和偵察系統接收到的信號分別為

(1)

其中:s為發射信號,δ為對抗性擾動UAP;Htri為s所經過的信道,Hari為UAP傳輸的信道;n為高斯白噪聲。偵察系統會對接收信號xar進行調制識別,并進一步進行解調解譯等工作。在正常通信信號中假如對抗擾動δ的目的就是在盡可能保證自身通信不受影響的前提下,使智能化偵察系統難以識別接收信號xar的調制,所以對抗性擾動UAP的能量要盡可能小。

1.1 通信信號智能調制識別模型

通信系統中,往往需要經過調制將基帶信息負載到載波上實現遠距離傳輸。AMC技術可以在未知先驗信息的條件下,自動判斷出通信信號的調制方式。

由于非合作系統無法知道接收信號是否含有對抗性擾動δ,所以上述問題可以簡化為

xar=Htr2(s)+n

(2)

基于深度學習的調制識別的目的就是設計一個基于深度學習的分類器f(x;θ):X→C。其中X為輸入空間,θ為分類器f的參數,C是待識別調制類型的數目。分類器f的識別結果為

(3)

用于分類的深度神經網絡主要有全連接網絡(fully-connected network, FN)、卷積神經網絡(convolutional neural network, CNN)和循環神經網絡(recurrent neural network, RNN)。本文采用目前主流的卷積神經網絡結構ResNet18[31]作為實驗的對象,詳細的網絡結構和參數設置如圖2所示。

圖2 基于ResNet18的調制識別網絡結構Fig.2 Structure diagram of the modulation recognition network based on ResNet18

1.2 基于PCA的通用對抗性擾動模型

深度學習自身也面臨魯棒性差的問題,特別是容易受到對抗樣本攻擊。如式(1)所示,若非合作通信系統接收信號中帶有通用對抗擾動δ,則智能偵察系統對接收信號xar的調制識別準確率將會嚴重下降。通用對抗擾動的定義是

f(xar+δ)≠f(xar)

(4)

并且要求式(4)對任意xar∈X均成立。設信號集X=[xar1,xar2,…,xarm]T抽樣自接收信號的總體分布X。首先,分別計算X中的每個xari對分類器f的最小對抗性擾動δi[32],得到最小對抗性擾動構成的集合Δ=[δ1,δ2,…,δm]T。在L2范數的約束下,xari的最小對抗性擾動的方向δi可以理解為過xari計算分類界面法向量。為簡化問題,首先考慮最簡單的情況,即二分類線性分類器,其原理如圖3所示。

圖3 最小擾動原理圖Fig.3 Schematic of the minimal perturbation

此時分類器f(x)=ωTx+b,其中ω為分類器權重,b為分類器的偏置。則法向量δi的表達式為

(5)

算法1 任意多分類器的最小擾動計算方法Alg.1 Minimal perturbation calculation method for arbitrary multiple classifiers

對每個樣本計算得到的δmin構成矩陣Δ,再對矩陣Δ進行奇異值分解,即

Δ=UΣVT

(6)

算法2 基于PCA的UAP計算方法Alg.2 PCA-based calculation method for UAP

圖4 基于PCA的通用對抗擾動算法原理圖Fig.4 Schematic of a general adversarial perturbation algorithm based on PCA

2 實驗驗證

本節主要設計兩個實驗用于驗證所提方法的性能。第一個實驗是通過與算法3[30]對比,驗證所提算法的先進性;第二個實驗是分析不同抽樣數量對本算法性能的影響。

2.1 基線方法介紹

采用文獻[30]所提算法(見算法3)作為對比的基線方法。設X={x1,x2,…,xm}為抽樣自總體數據集的部分樣本集。其算法原理為:對X中的每一個樣本迭代地建立通用擾動δ。如圖5所示,每一輪迭代中都會把當前采樣點對應的最小對抗擾動δi送入當前的擾動采樣點xi+δ中,和之前計算出的通用擾動δ構成新的通用擾動。其中x1,2,3表示抽樣的3個樣本,R1、R2、R3分別表示x1,2,3對應的3個分類界面。通過不斷修正,促使最終的通用擾動δ能夠擾亂分類器對大部分樣本的分類。

算法3 通用對抗擾動計算方法Alg.3 Universal adversarial perturbation calculation methods

圖5 通用對抗擾動生成算法原理示意圖Fig.5 Schematic diagram of the general adversarial disturbance generation algorithm

2.2 實驗準備與數據集

所有實驗均在NVIDIA GeForce GTX 3090 GPU上進行計算,通過pytorch1.10和cuda11.3實現。優化器為Adam,使用交叉熵損失函數進行訓練,總訓練次數為100次,學習率為10-5,設置early stopping策略。

實驗所用數據來自開源通信信號調制識別數據集RML2016.04C,該數據集包含BPSK、QPSK、8PSK、16QAM、64QAM、BFSK、CPFSK、PAM4、WB-FM、AM-SSB、AM-DSB共11種調制類型,覆蓋信噪比-20～18 dB,步進2 dB。數據集共162 060個樣本,每個樣本包含128點IQ數據。訓練集、驗證集、測試集按照7 ∶2 ∶1的比例劃分。

2.3 攻擊性能對比

對于計算得到的通用對抗性擾動δ,定義擾動-信號比(perturbation-signal ratio, PSR)衡量對抗性擾動相對于信號的強弱,用以評價對抗性擾動的“不可察覺性”,其計算公式為

(7)

其中,Pδ和Px分別代表擾動和信號的功率。同樣地,對于算法攻擊性能的評價,定義欺騙率(fooling rate, FR)來評價算法的優劣,其計算公式為

(8)

其中,f(xi)為識別正確的結果,(·)為指示函數,N為總樣本數。FR的含義是,對于原本已經正確識別的樣本xi,加入通用擾動δ后,被分類器誤判,則認為欺騙成功。實驗分別隨機抽取50、500、5 000個樣本生成了PSR為-20～0 dB的通用擾動,對已經訓練完成的分類器進行攻擊,測試樣本數為16 206,實驗結果如圖6所示。

圖6 欺騙率隨PSR變化曲線Fig.6 Fooling rate curve with PSR

本實驗對比了基線方法和白噪聲的攻擊性能。實驗結果表明,同等PSR下,所提出的算法攻擊性能全面優于基線方法。當PSR大于-15 dB后,所提方法的性能優勢逐漸明顯,同等欺騙率所需的擾動大小相對于基線方法可以降低4～6 dB。當PSR=0 dB時,所提方法的最高欺騙率為36.55%,基線方法的最高欺騙率為31.9%,所提方法性能提升了4.65%。

實驗分別抽樣了50、500、5 000個樣本用于生成通用擾動,從結果看來,隨著抽樣數的提升,算法性能有微弱的提升,但是并不明顯。其中,當抽樣數為5 000時,基線方法的性能反而比抽樣數為500時差。根據圖5所示的通用擾動算法原理,隨著樣本抽樣數的增加,對通用擾動δ的修正因素也會增加,但是每次修正因素只能保證對當前樣本是有效的,而無法保證對樣本整體有效。基線方法并沒有設計相應的機制來約束修正因素對樣本整體的攻擊性能,所以當抽樣數由500增加到5 000時,造成了欺騙性能的下降。而本文提出的方法,核心思想是提取了多個擾動的主成分,有效地避免了由于樣本數增加帶來的干擾因素。

2.4 通用擾動攻擊性能受抽樣數的影響分析

為進一步探究抽樣數與算法性能的影響,設計了本實驗進行研究。首先,抽取50個樣本計算得到算法2中的輸入矩陣Δ=[δ1,δ2,…,δm]T,然后對矩陣Δ進行奇異值分解。同步地,對50個高斯白噪聲(Gaussian white noise, WGN)張成的矩陣計算奇異值。歸一化的奇異值如圖7所示由大到小進行排序。從圖中可以看出,由WGN張成矩陣的奇異值按從大到小排列,奇異值曲線的下降速度緩慢,這符合隨機噪聲的特點,說明各個隨機噪聲向量之間不存在較強的相關性。相反,矩陣Δ的奇異值經過了一個快速的下降過程,下降的拐點在第5個奇異值附近,說明少數的奇異值張成的向量便能近似地表征整個矩陣的主成分,這也解釋了通用對抗擾動存在的合理性,即由對抗性擾動構成的矩陣Δ中較大的奇異值張成的向量便能表征分類器脆弱性。

圖7 矩陣Δ的奇異值Fig.7 Singular value of the Δ matrix

定義每個奇異值占總奇異值之和的比重為奇異值貢獻度,第i個奇異值的貢獻度計算公式為

(9)

通過計算,前24個奇異值的貢獻度之和已經超過了80%,這說明可以用少數幾個奇異值和對應的左右奇異向量來近似描述原矩陣。

基于上述結論,分別抽樣1～50個樣本用于生成通用對抗擾動,固定其PSR為-10 dB,攻擊效果如圖8所示。結果表明,隨著抽樣數的上升,欺騙率呈總體上升的趨勢,當抽樣數超過25后,欺騙率趨于穩定,實驗結果與圖7所示的推論相吻合,即僅需要25個樣本所生成的通用對抗擾動便可實現較好的攻擊性能,這也解釋了2.3節中抽樣數分別為50、500、5 000的性能差異并不明顯的現象。

圖8 欺騙率隨抽樣數變化曲線Fig.8 Curve of fooling rate with the number of samples

3 結論

針對基于深度學習的通信信號調制識別的應用場景,對其容易受到對抗樣本攻擊的脆弱性進行了研究。

1)提出了一種基于PCA的改進的通用對抗擾動生成方法,該方法可基于少量的接收信號生成一個通用的對抗性擾動,該擾動可以降低識別器對所有輸入信號的調制識別準確率。通用對抗性擾動可以在離線條件下產生,然后實時添加到通信過程中,能夠滿足通信過程的實時性要求。

2)采用卷積神經網絡中的代表結構ResNet18在開源調制識別數據集中進行訓練并識別。采用本文提出的通用對抗擾動生成方法,分別抽取50、500、5 000個樣本生成PSR為-20～0 dB的通用擾動,并將其添加到16 206個測試樣本中,測試其欺騙率并與基線方法對比。實驗結果表明,本文方法相對于基線方法具有明顯性能提升,同等欺騙率所需的擾動大小相對于基線方法可以降低4～6 dB,最高欺騙率提升了4.65%。

3)對通用對抗擾動受抽樣數的影響進行了分析和實驗驗證。首先分析了通用對抗擾動的合理性,并分別抽樣1～50個樣本對分析結論進行驗證。實驗結果表明對所使用的數據集合分類器,所提算法僅需抽樣25個樣本便可生成穩定的通用擾動,與理論分析相吻合。證明本文算法具有更優的攻擊性能。