王滿喜，史明佳，陸科宇，張思成*

(1.電子信息系統(tǒng)復(fù)雜電磁環(huán)境效應(yīng)國家重點(diǎn)實(shí)驗(yàn)室，河南 洛陽 471003；2.哈爾濱工程大學(xué) 信息與通信工程學(xué)院，黑龍江 哈爾濱 150001)

0 引言

自動(dòng)信號(hào)調(diào)制分類(Automatic Modulation Cla-ssification，AMC)是無線通信系統(tǒng)中的重要組成部分，通常用于信號(hào)檢測和解調(diào)技術(shù)，在數(shù)據(jù)傳輸?shù)葢?yīng)用中發(fā)揮著重要作用?；趥鹘y(tǒng)方法識(shí)別調(diào)制信號(hào)方法識(shí)別不僅需要專業(yè)知識(shí)，工作量大，人工成本高，還容易造成誤判[1]。近年來，隨著深度學(xué)習(xí)的普及，人工智能技術(shù)在電磁空間問題中的突出表現(xiàn)得到了業(yè)界的認(rèn)可。研究人員針對(duì)調(diào)制信號(hào)數(shù)據(jù)集設(shè)計(jì)深度學(xué)習(xí)網(wǎng)絡(luò)，獲得了明顯優(yōu)于傳統(tǒng)網(wǎng)絡(luò)的性能[2-3]，至此，更多的方法被投入研究如何提升識(shí)別準(zhǔn)確率并適應(yīng)于各種場景(小樣本[4]、遷移學(xué)習(xí)[5]、模型壓縮[6]、輕量化部署[7]等)。然而，對(duì)抗樣本的出現(xiàn)對(duì)基于深度神經(jīng)網(wǎng)絡(luò)的調(diào)制識(shí)別任務(wù)提出了新的挑戰(zhàn)。惡意生成的微小擾動(dòng)，在人眼不可分辨的情況下可愚弄模型，使輸入信號(hào)的調(diào)制類型預(yù)測改變。

近年來，對(duì)抗樣本在電磁領(lǐng)域的研究已經(jīng)取得一定發(fā)展。2018年，Sadeghi發(fā)現(xiàn)對(duì)抗樣本能降低信號(hào)識(shí)別性能，這是電磁領(lǐng)域首次發(fā)現(xiàn)對(duì)抗樣本[8]。Tu等人將生成性對(duì)抗網(wǎng)絡(luò)擴(kuò)展到半監(jiān)督學(xué)習(xí)，表明它是一種可以用來創(chuàng)建數(shù)據(jù)效率更高的分類器的方法[9]。2020年，Zhao等人對(duì)信號(hào)識(shí)別過程中的對(duì)抗攻擊進(jìn)行檢驗(yàn)，降低了模型的正確性，并驗(yàn)證了該模型的泛化能力[10]。Flowers將真實(shí)物理場景下的通信信號(hào)中引入對(duì)抗樣本，根據(jù)不同的攻擊位置展開研究，并提出將誤碼率作為評(píng)估指標(biāo)[11]。2021年,Lin等人分析了幾種基于梯度的對(duì)抗攻擊方法對(duì)調(diào)制識(shí)別的影響，結(jié)果表明，當(dāng)擾動(dòng)強(qiáng)度為0.001時(shí)，該方法的預(yù)測精度將降低50%[12]。Tu等人創(chuàng)建了一個(gè)大規(guī)模的真實(shí)無線電信號(hào)數(shù)據(jù)集，使用新的數(shù)據(jù)集對(duì)深度學(xué)習(xí)模型的性能進(jìn)行了深入的研究[13]。Bao等人考察了非目標(biāo)攻擊和目標(biāo)攻擊對(duì)基于卷積神經(jīng)網(wǎng)絡(luò)設(shè)備識(shí)別的影響，并提出了Logits的組合評(píng)估指標(biāo)，以豐富評(píng)估標(biāo)準(zhǔn)[14]。Zhang等人設(shè)計(jì)了一種結(jié)合快速推理和反白盒梯度攻擊的調(diào)制分類防御模型BMCDN來檢測物聯(lián)網(wǎng)中的惡意攻擊和干擾，在保證模型分類性能的同時(shí)獲得防御性能[15]。

目前針對(duì)調(diào)制識(shí)別的對(duì)抗攻擊主要集中在提高攻擊性能上[16-17]，通信領(lǐng)域的研究仍處于初步階段，對(duì)抗樣本缺乏理論解釋研究，現(xiàn)有解釋大多是局限在假設(shè)解釋，沒有充分結(jié)合通信信號(hào)的特性，仍存在很多理論空白；對(duì)抗攻擊性能不強(qiáng)，仍需繼續(xù)研究提升攻擊有效性。對(duì)電磁信號(hào)對(duì)抗機(jī)理進(jìn)行解釋，有助于給研究人員提供可靠的理論依據(jù)，進(jìn)一步改進(jìn)對(duì)抗樣本系統(tǒng)的知識(shí)，為提高攻擊效果和模型的安全性，以及評(píng)估對(duì)信號(hào)識(shí)別模型的影響有很大的幫助。

本研究結(jié)合電磁信號(hào)的物理特性進(jìn)行機(jī)理解釋等基礎(chǔ)研究，從攻擊者的角度出發(fā)，設(shè)計(jì)的精細(xì)擾動(dòng)加入到輸入信號(hào)中，以探討基于深度神經(jīng)網(wǎng)絡(luò)調(diào)制識(shí)別的對(duì)抗攻擊性能，量化對(duì)調(diào)制波形的擾動(dòng)程度。

1 神經(jīng)網(wǎng)絡(luò)研究基礎(chǔ)

1.1 多層感知機(jī)

多層感知機(jī)是由感知器學(xué)習(xí)算法(Perceptron Learning Algorithm，PLA)提出的，為較大神經(jīng)網(wǎng)絡(luò)的前身。多層感知機(jī)的超參數(shù)需要進(jìn)行調(diào)整，必須使用交叉驗(yàn)證技術(shù)來找到這些參數(shù)的理想值。權(quán)重調(diào)整訓(xùn)練通過反向傳播完成。神經(jīng)網(wǎng)絡(luò)越深，處理數(shù)據(jù)的能力越強(qiáng)，然而更深的層可能會(huì)導(dǎo)致漸變問題消失，需要特殊的算法來解決這個(gè)問題。

基于單元操作的非線性函數(shù)來對(duì)隱藏變量進(jìn)行變換，并使其轉(zhuǎn)換為下一層的完全連通，這種功能叫做激活函數(shù)。

H=φ(XWh+bh)，

(1)

O=HWo+b，

(2)

式中，φ表示激活函數(shù)。

圖1顯示了常見的非線性激活函數(shù)。

圖1 常用的激活函數(shù)Fig.1 Commonly used activation functions

sigmoid函數(shù)是最早期且最常用的一個(gè)，對(duì)于一個(gè)定義域在R內(nèi)的輸入，sigmoid將輸入變換為區(qū)間0～1的輸出，公式為：

(3)

tanh函數(shù)將定義在R的輸入變換為一個(gè)固定區(qū)間的函數(shù)。不同的是，tanh將輸入?yún)^(qū)間變換到-1～1。公式為：

(4)

近來修正線性單元(Rectified linear unit，ReLU)因?qū)崿F(xiàn)簡單，同時(shí)在各種預(yù)測任務(wù)中表現(xiàn)良好受到關(guān)注。ReLU公式為：

ReLU(x)=max(x,0)。

(5)

1.2 卷積神經(jīng)網(wǎng)絡(luò)

卷積神經(jīng)網(wǎng)絡(luò)(Convolutional Neural Networks,CNN)本質(zhì)是一種多層次的感知機(jī)器，其特征主要有兩種：一是局部鏈接；二是權(quán)重分享，降低了模型的復(fù)雜性，即過度擬合的危險(xiǎn)。其中，卷積層、池化層、全連接層是組成卷積神經(jīng)網(wǎng)絡(luò)的部分。

卷積層一般由多個(gè)卷積核以及對(duì)應(yīng)的卷積函數(shù)組成，卷積核是檢測提取特征的作用，其中二維卷積操作可表示為：

(1+s(i-1)-p,1+s(j-1)-q)。

(6)

池化的主要思想是下采樣,以降低更多層的復(fù)雜性：

rl=βdown(rl-1)+bl。

(7)

全連接層通常如下所示：

rl=σ(Wlrl-1+bl)，

(8)

式中，Wl∈RNl×Nl-1，bl∈RNl代表第l層網(wǎng)絡(luò)的參數(shù)，σ(·)代表激活函數(shù)。

2 對(duì)抗樣本

Szegdy等人首先提出了對(duì)抗樣本的概念，該研究發(fā)現(xiàn)了神經(jīng)網(wǎng)絡(luò)的兩種“非常規(guī)”現(xiàn)象，其中之一是神經(jīng)網(wǎng)絡(luò)在圖像分類中的脆弱性[18]。針對(duì)對(duì)抗樣本問題進(jìn)行建模，提出了以下優(yōu)化問題：

(9)

式中，x+r是一個(gè)由干凈樣本x和擾動(dòng)r組成的對(duì)抗樣本，l是x的真實(shí)標(biāo)簽。f表示分類模型f(·)，是將輸入圖像映射到標(biāo)簽輸出的映射函數(shù)。

2.1 對(duì)抗樣本產(chǎn)生原因

由于深度學(xué)習(xí)模型的不可解釋性和復(fù)雜的數(shù)據(jù)流形幾何結(jié)構(gòu)，對(duì)抗樣本產(chǎn)生機(jī)理的認(rèn)識(shí)尚沒有得到一致的解釋，國內(nèi)外學(xué)者對(duì)對(duì)抗樣本產(chǎn)生機(jī)制的研究假設(shè)存在著不同的側(cè)重，并且缺少數(shù)理上統(tǒng)一的理論解釋，總的來說，對(duì)于對(duì)抗樣本產(chǎn)生原因有幾種分析[19-20]。

2.1.1 流形中的低概率區(qū)域解釋

流形中的低概率區(qū)域解釋是認(rèn)為由于對(duì)抗樣本是總樣本概率空間中的某一部分空間，而訓(xùn)練學(xué)習(xí)只能學(xué)習(xí)到有限的子區(qū)域，對(duì)抗樣本是在訓(xùn)練樣本有限的情況下，超出學(xué)習(xí)子集的那部分樣本，所以這種情況下，尤其是需要通過目標(biāo)函數(shù)對(duì)模型的向量求取梯度得到最優(yōu)模型時(shí)，深度神經(jīng)網(wǎng)絡(luò)在對(duì)抗樣本的攻擊下就會(huì)出現(xiàn)漏洞。

2.1.2 對(duì)抗樣本的線性解釋

首先說明了一個(gè)具有對(duì)抗樣本的線性模型的存在。在很多問題中，單一的輸入特性的準(zhǔn)確率很低，當(dāng)干擾因子的各要素都低于該特征的準(zhǔn)確度時(shí)，該分類器對(duì)于輸入x的反應(yīng)與對(duì)抗樣本的反應(yīng)是不合理的。

(10)

在高維問題中，可對(duì)輸入添加極小的改變，進(jìn)而對(duì)輸出實(shí)現(xiàn)大改變。在此情形中，即使有多個(gè)振幅較大的信號(hào)，線性模型也會(huì)被迫僅注意到與其加權(quán)值最近的信號(hào)。

2.2 對(duì)抗攻擊

2.2.1 對(duì)抗攻擊技術(shù)

對(duì)抗樣本的研究對(duì)于深度學(xué)習(xí)模型安全性至關(guān)重要，目前常用的攻擊包括FGSM、PGD、MIM、BIM、DeepFool、Carlini和Wagner攻擊、基于雅可比的顯著圖方法、動(dòng)量迭代攻擊和不同輸入迭代攻擊等。

(1) 快速梯度標(biāo)志攻擊(Fast Gradient Sign Method，F(xiàn)GSM)

(11)

(12)

r=ε·sign(xJθ(x,l))。

(13)

(2) 基本迭代攻擊(Basic Iterative Method，BIM)

將FGSM的單步計(jì)算轉(zhuǎn)化為多個(gè)小步迭代攻擊，并調(diào)整攝動(dòng)方向使之與損失函數(shù)梯度的變化方向一致或相反。

x′i+1=Clip{x′i+α·sign(2x(x′i,y))},fori=0 ton,x′0=x，

(14)

式中，Clipx,ε{z}表示將z裁剪到[x-ε,x+ε]的范圍，用來約束坐標(biāo)的每個(gè)輸入特征，n為迭代總數(shù)量，α為步長。與單步攻擊法相比，迭代攻擊可構(gòu)建出更加精細(xì)的擾動(dòng)，并且可以實(shí)現(xiàn)更好的攻擊效果，不過計(jì)算量隨之增加。

(3) 梯度投影法(Project Gradient Descent，PGD)

PGD攻擊是以均勻隨機(jī)噪聲(隨機(jī)擾動(dòng))作為初始化的BIM的變體。首先在原始樣本的容許范圍(球狀噪聲區(qū))中進(jìn)行隨機(jī)初始化，再經(jīng)過反復(fù)迭代生成對(duì)抗樣本。

x′t+1=Proj{x′t+α·sign(xJ(θ,x′t，y))}。

(15)

(4) 動(dòng)量迭代法(Momentum Iterative Method，MIM)

MIM算法是在迭代時(shí)，通過累積速度向量，使梯度的衰減加快。引入動(dòng)量能使擾動(dòng)的修正方向得到穩(wěn)定，從而避免陷入局部最大值，可以提高采樣的可移動(dòng)性，進(jìn)而提高攻擊的成功率。

(16)

x′n+1=x′n+ε·sign(gn+1)。

(17)

2.2.2 對(duì)抗攻擊技術(shù)分類

根據(jù)攻擊者的攻擊目的，攻擊方式有兩種：目標(biāo)攻擊和非目標(biāo)攻擊。非目標(biāo)攻擊模型的輸出是除真是類別之外的任何類別，而不指定具體的分類，一般通過減少初始別類的置信度來實(shí)現(xiàn)。

非目標(biāo)攻擊模型的輸出是除真實(shí)類別之外的任何類別，而不指定具體的分類。

(18)

式中,f為選定的網(wǎng)絡(luò)模型，L為損失函數(shù)。

有針對(duì)性的目標(biāo)攻擊模型不僅輸出錯(cuò)誤，而且輸出是攻擊者指定的類別。有針對(duì)性的攻擊比非有針對(duì)性的攻擊更難實(shí)現(xiàn)。其中yt是攻擊者想要模型輸出的預(yù)測類別。

(19)

根據(jù)攻擊方對(duì)目標(biāo)模型的知識(shí)了解程度可分為白盒攻擊、灰盒攻擊、黑盒攻擊。其中，最常用的就是白盒攻擊，即攻擊者能夠獲得攻擊的內(nèi)部結(jié)構(gòu)、權(quán)重參數(shù)以及訓(xùn)練算法。而黑盒子的進(jìn)攻則相反。

按照攻擊的多樣性可以將攻擊方法劃分為基于梯度的攻擊、基于動(dòng)量的攻擊以及基于優(yōu)化攻擊的攻擊。圖2顯示了常見的對(duì)抗樣本分類。

圖2 生成方法的分類Fig.2 Classification of generation methods

3 電磁信號(hào)調(diào)制識(shí)別中的對(duì)抗攻擊

本節(jié)進(jìn)行對(duì)抗攻擊實(shí)驗(yàn)來驗(yàn)證算法的脆弱性，并使用對(duì)抗訓(xùn)練技術(shù)提升模型的魯棒性。首先使用正常的樣本數(shù)據(jù)訓(xùn)練網(wǎng)絡(luò)分類器，進(jìn)行對(duì)抗攻擊實(shí)驗(yàn)。

3.1 數(shù)據(jù)集

本文使用基于時(shí)域波形的I/Q信號(hào)識(shí)別，調(diào)制方案的數(shù)據(jù)集由Matlab生成，該數(shù)據(jù)集由對(duì)應(yīng)于10種不同調(diào)制類型的接收信號(hào)復(fù)數(shù)樣本組成，調(diào)制類型包括2ASK、2PSK、2FSK、4ASK、4PSK，4FSK、8ASK、8PSK、8FSK、16QAM，每個(gè)示例具有128個(gè)采樣點(diǎn)，用于信號(hào)的同相和正交(I/Q)分量，表示為(2×128)的張量。按照8∶1∶1的比例，把數(shù)據(jù)集分為訓(xùn)練集、測試集和驗(yàn)證集。

3.2 網(wǎng)絡(luò)模型

在識(shí)別型架構(gòu)的選擇與構(gòu)建上，本文選用了VT-CNN2作為識(shí)別模型，對(duì)該網(wǎng)絡(luò)的網(wǎng)絡(luò)參數(shù)進(jìn)行了修正，使其適用于(2×128)的信號(hào)張量。VT-CNN2模型的流程如圖3所示。

圖3 VT-CNN2模型的流程Fig.3 Flowchart of the VT-CNN2 model

3.3 對(duì)抗攻擊性能對(duì)比

在開展對(duì)抗攻擊之前，首先訓(xùn)練基礎(chǔ)模型，對(duì)基礎(chǔ)模型進(jìn)行攻擊，對(duì)抗攻擊方法包括FGSM、PGD、BIM、MIM。參數(shù)包括迭代步長，實(shí)驗(yàn)在NVIDIA GeForce GTX 1080Ti上用GPU進(jìn)行，且攻擊方法是基于深度學(xué)習(xí)框架Keras和Tensorflow以及對(duì)抗樣本算法庫CleverHans來實(shí)現(xiàn)。

通過對(duì)不同的參量環(huán)境，研究了在白盒模式下，對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。通過對(duì)研究過程進(jìn)行分析，神經(jīng)網(wǎng)絡(luò)的線性可能是其容易被通信信號(hào)對(duì)抗樣本所欺騙的直接原因。針對(duì)線性解釋的理論，選取如前文所述的VT-CNN2作為分類器，基于線性假設(shè)理論，采用梯度攻擊算法生成對(duì)抗樣本。

圖4展示了在不同擾動(dòng)系數(shù)情況下的攻擊效果，分析可知，在沒有施加攻擊、信噪比為0 dB的情況下，模型分類準(zhǔn)確度在0.826左右。擾動(dòng)水平增加，模型準(zhǔn)確性先迅速下降，隨后減弱并最后穩(wěn)定下來，最終識(shí)別準(zhǔn)確率都接近于0.1，這說明分類器對(duì)擾動(dòng)是很敏感，且當(dāng)擾動(dòng)大小為0.001 0時(shí)，識(shí)別精度與攻擊前相比降低30%。

圖4 攻擊效果圖Fig.4 Attack effect map

并且如前文所述，對(duì)抗擾動(dòng)導(dǎo)致激活按wTη增長，可以通過指定η=sign(w)來最大化這種增長，但要滿足最大范數(shù)約束。如果w具有n個(gè)維度，并且權(quán)向量的一個(gè)元素的平均大小是m，則激活將增長εmn，即表明對(duì)于維度比較高的數(shù)據(jù)，即使是變化很小的輸入信號(hào)，最后也會(huì)輸出一個(gè)很大的變化。

而要輸入的通信信號(hào)，具有很多維度的性質(zhì)，比如幅度、頻率、相位等，在不同的傳輸過程和環(huán)境中，存在著各種噪聲及其他因素的影響，這些影響會(huì)對(duì)各種維度產(chǎn)生很多擾動(dòng)，再加上訓(xùn)練數(shù)據(jù)有限等原因，會(huì)存在一些樣本落入低概率區(qū)域，同時(shí)線性空間的微小擾動(dòng)最終也會(huì)在高維空間進(jìn)行放大，如圖5所示。經(jīng)實(shí)驗(yàn)驗(yàn)證，基于線性解釋的對(duì)抗攻擊算法，可以使得原始模型的識(shí)別率大幅下降，從而證明了基于線性解釋的對(duì)抗樣本生成的可行性。

圖5 線性解釋Fig.5 Linear interpertation of attack effect map

為研究在不同SNR下攻擊效果，在信噪比為10 dB與-10 dB下進(jìn)行實(shí)驗(yàn)，如圖6和圖7所示。

圖6 10 dB攻擊效果圖Fig.6 Effect picture of 10 dB attack

圖7 -10 dB攻擊效果圖Fig.7 Effect picture of -10 dB attack

比較發(fā)現(xiàn)低信噪比時(shí)，原網(wǎng)絡(luò)識(shí)別精度顯著降低，加入攻擊的識(shí)別精度降低得也更快。通過對(duì)系統(tǒng)信噪比的分析，在較低的信噪比情況下，其噪聲的功率要遠(yuǎn)遠(yuǎn)高于信號(hào)的功率，各種干擾導(dǎo)致信號(hào)波形畸變。相反，在高信噪比條件下，模型具有較高的可信度，識(shí)別準(zhǔn)確率高，不易干擾，因此，若與低信噪下達(dá)到同樣程度的攻擊率，需要的擾動(dòng)更大。綜上分析，不同的方法對(duì)噪聲的敏感性程度是不同的，因此應(yīng)根據(jù)實(shí)際情況選擇適當(dāng)?shù)墓裟Ｐ停磺倚旁氡仁莻€(gè)影響很大的要素，對(duì)抗樣本在不同的信噪比情況下的攻擊效果值得繼續(xù)研究。

為了定量地評(píng)估不同方法和模型的攻擊效果，對(duì)擾動(dòng)大小為0.000 5和0.001 0時(shí)的11個(gè)SNR下識(shí)別效果進(jìn)行了量化平均處理，分別計(jì)算了4種攻擊方法的平均分類精度，平均分類精度結(jié)果如圖8所示。

圖8 平均分類精度圖Fig.8 Average classification accuracy map

由圖8可知，在4種攻擊方法中,PGD、BIM和MIM這3種迭代攻擊，其攻擊效果皆強(qiáng)于單步攻擊法；從平均效果來看，攻擊效果在不同攻擊系數(shù)下略有波動(dòng)，但MIM仍然是三者中最有效的迭代攻擊模型。且在低擾動(dòng)的情況下，單步迭代攻擊FGSM的性能與其余4種迭代算法的效果近似，不同算法的攻擊優(yōu)勢沒有體現(xiàn)出來。

4 結(jié)束語

電磁信號(hào)識(shí)別任務(wù)中，深度學(xué)習(xí)表現(xiàn)出很強(qiáng)的優(yōu)越性，但是很容易被對(duì)抗樣本所干擾，這是深度學(xué)習(xí)模型實(shí)際部署應(yīng)用的最大障礙。電磁對(duì)抗樣本存在研究時(shí)間短、解釋機(jī)理不明、對(duì)抗攻擊研究仍有較大發(fā)展空間等問題，故本文針對(duì)通信領(lǐng)域的對(duì)抗樣本研究存在著大量的空白的問題，就電磁信號(hào)領(lǐng)域的對(duì)抗攻擊技術(shù)進(jìn)行了分析,實(shí)現(xiàn)了自動(dòng)調(diào)制信號(hào)分類，所設(shè)計(jì)的深度學(xué)習(xí)模型對(duì)調(diào)制信號(hào)數(shù)據(jù)集可在0 dB時(shí)達(dá)到80%以上的識(shí)別準(zhǔn)確率；對(duì)于通信信號(hào)對(duì)抗樣本生成機(jī)理不明的現(xiàn)狀，結(jié)合通信信號(hào)特性分析，對(duì)其進(jìn)行了分析闡述；使用基于梯度的對(duì)抗攻擊樣本生成技術(shù)實(shí)現(xiàn)攻擊，實(shí)現(xiàn)了通信信號(hào)偽裝,評(píng)估了對(duì)抗攻擊對(duì)調(diào)制識(shí)別造成的安全問題，實(shí)現(xiàn)在不同擾動(dòng)大小下，對(duì)所研究的4種對(duì)抗攻擊算法進(jìn)行實(shí)驗(yàn)，可使得模型識(shí)別率下降30%以上。結(jié)果證明，卷積神經(jīng)網(wǎng)絡(luò)極易受到對(duì)抗性攻擊，且迭代方法的攻擊效果一般都好于單步攻擊法。

然而本文工作仍然存在不足，本文進(jìn)行的對(duì)抗攻擊研究結(jié)果是以基于梯度的方法產(chǎn)生的白盒攻擊的對(duì)抗樣本，需要進(jìn)一步研究其他的對(duì)抗樣本產(chǎn)生方式(例如基于優(yōu)化的生成方式、基于生成對(duì)抗網(wǎng)絡(luò)的對(duì)抗樣本)、黑盒下的替代模型等，并進(jìn)行進(jìn)一步的實(shí)驗(yàn)對(duì)比分析，以及對(duì)抗防御策略的研究(例如對(duì)抗訓(xùn)練、遺傳對(duì)抗訓(xùn)練或基于模型的防御措施)，這都是未來工作的方向。