周 俠 張一然 張 劍

（武漢數(shù)字工程研究所 武漢 430205）

1 引言

隨著現(xiàn)代戰(zhàn)爭的不斷發(fā)展，戰(zhàn)場空間的信息交互越來越依賴電磁頻譜，電磁空間已經(jīng)成為了現(xiàn)在及未來作戰(zhàn)體系的重要支撐。深度神經(jīng)網(wǎng)絡(luò)（Deep Neural Network，DNN）因其具有自動(dòng)特征提取和高度非線性擬合等優(yōu)勢，進(jìn)而被廣泛應(yīng)用于圖像識(shí)別［1］等領(lǐng)域。電磁信號(hào)調(diào)制識(shí)別是無線通信中的重要一環(huán)，在軍事上有著廣泛的應(yīng)用。為提升軍事智能化，研究人員利用DNN 對電磁信號(hào)的調(diào)制方式進(jìn)行識(shí)別。然而，研究表明深度神經(jīng)網(wǎng)絡(luò)模型容易受到對抗樣本的影響，其中也包括了面向電磁信號(hào)識(shí)別的神經(jīng)網(wǎng)絡(luò)模型。向原始樣本數(shù)據(jù)中添加人為構(gòu)造的細(xì)微擾動(dòng)，生成使得神經(jīng)網(wǎng)絡(luò)模型出現(xiàn)巨大決策錯(cuò)誤的樣本稱為對抗樣本，然而該樣本有著很好的視覺干擾性，人眼不易察覺。

為了能夠有效攻擊敵方智能模型，提升我方智能攻擊水平，本文利用神經(jīng)網(wǎng)絡(luò)可解釋方法Grad-CAM（Gradient-weighted Class Activation Mapping）找尋數(shù)據(jù)樣本中的關(guān)鍵特征點(diǎn)，然后在選取的特征點(diǎn)上添加擾動(dòng)生成對抗樣本。實(shí)驗(yàn)證明，根據(jù)特征顯著圖進(jìn)行特征攻擊能夠在改動(dòng)較少特征點(diǎn)的情況下完成對抗攻擊，顯著提升了對抗樣本的隱蔽性。

2 相關(guān)工作

2.1 電磁信號(hào)調(diào)制識(shí)別

目前，利用DNN 對電磁信號(hào)進(jìn)行調(diào)試識(shí)別主要基于信號(hào)序列和基于圖像兩個(gè)方面?；谛盘?hào)序列，O'Shea等［2］在2016年首次將CNN模型用于電磁信號(hào)調(diào)制識(shí)別，該模型以信號(hào)數(shù)據(jù)的時(shí)間同相和正交（In-phase and Quadrature，IQ）序列作為輸入，以調(diào)制方式為輸出。2018年，O'Shea 等［3］在原來的研究基礎(chǔ)上，將殘差網(wǎng)絡(luò)［4］（Residual Network，ResNet）進(jìn)行調(diào)整用于適用電磁信號(hào)數(shù)據(jù)的數(shù)據(jù)維度，提出了基于ResNet的電磁信號(hào)調(diào)制識(shí)別模型。

由于DNN 在圖像識(shí)別領(lǐng)域的優(yōu)越性能，研究人員便考慮將電磁信號(hào)數(shù)據(jù)轉(zhuǎn)換成圖像進(jìn)而使用傳統(tǒng)面向圖像識(shí)別的高性能網(wǎng)絡(luò)模型［5～6］。

2.2 對抗樣本生成

早在2013年，Szegedy 等［7］便提出了“對抗樣本”（Adversarial Examples）的概念。2015年，Goodfellow 等［8］分析了深度網(wǎng)絡(luò)訓(xùn)練時(shí)的目標(biāo)，即通過梯度下降最小化損失函數(shù)，而對抗攻擊的目標(biāo)則與之相反，因此可以增大目標(biāo)函數(shù)的損失進(jìn)而完成攻擊?；谠撍枷?，提出了快速梯度符號(hào)攻擊方法（Fast Gradient Sign Method，F(xiàn)GSM），該方法通過在梯度下降的反方向添加擾動(dòng)生成對抗樣本。為了生成隱蔽性更好的對抗樣本，Kurakin 等［9］在FGSM的基礎(chǔ)上進(jìn)行多步少量的擾動(dòng)添加優(yōu)化，提出了基本迭代法（Basic Iterative Method，BIM）即在每次迭代中添加少量的擾動(dòng)信息，直到生成使得模型分類錯(cuò)誤的對抗樣本。

總而言之，對抗樣本攻擊過程可以形式化如式（11）所示，該過程也可以理解為尋找對抗擾動(dòng)η的過程。

2.3 可解釋方法

以圖像識(shí)別為例，可視化解釋根據(jù)圖像解釋區(qū)域的視覺表示可分為基于梯度的解釋方法和基于熱力圖的解釋方法。基于梯度的可視化解釋方法以特定類別的預(yù)測分?jǐn)?shù)或高層的特征圖為起點(diǎn)，計(jì)算其關(guān)于輸入的梯度來獲得每個(gè)像素對于預(yù)測結(jié)果的重要性，進(jìn)而通過可視化得到解釋結(jié)果。

基于熱力圖的解釋方法，利用卷積層的輸出（特征圖）作為對模型進(jìn)行解釋的原始信息，通過計(jì)算特征圖的權(quán)重，對特征圖進(jìn)行加權(quán)求和，再經(jīng)過ReLU 激活函數(shù)得到最終的解釋結(jié)果。2016年，Zhou 等［10］最先提出CAM（Class Activation Mapping）方法，該方法需連接一個(gè)全局平均池化層，并重新訓(xùn)練模型，然后通過每一類的輸出得分計(jì)算得到每個(gè)特征圖的權(quán)重。由于需改變模型結(jié)構(gòu)進(jìn)行重新訓(xùn)練，因此它的靈活性較差，代價(jià)高。受CAM 的啟發(fā)，Selvaraju等［11］提出了Grad-CAM，使用特定類別的預(yù)測分?jǐn)?shù)關(guān)于特征層的梯度來計(jì)算權(quán)重，且不用改變模型結(jié)構(gòu)，比CAM更具泛化性。

2.4 電磁信號(hào)對抗樣本

當(dāng)前面向電磁信號(hào)領(lǐng)域的對抗樣本研究還處于起步階段，2019年Sadeghi 等［12］首次嘗試將對抗樣本引入電磁信號(hào)調(diào)試識(shí)別領(lǐng)域，證實(shí)了基于深度學(xué)習(xí)的電磁信號(hào)識(shí)別模型依舊容易受到對抗樣本影響。2020年，Zhao 等［13］進(jìn)一步將Nesteroy Adam應(yīng)用到該領(lǐng)域，生成了與原始樣本更為接近的對抗樣本。2021年，王超等［14］基于FGSM 對目標(biāo)模型的特征空間進(jìn)行攻擊，提出了激活攻擊方法。

然而這些對抗樣本生成方法缺乏特異性，使得攻擊的目的性不強(qiáng)，在進(jìn)行攻擊時(shí)往往需要改動(dòng)大量數(shù)據(jù)點(diǎn)。為了加強(qiáng)特征攻擊，本文將神經(jīng)網(wǎng)絡(luò)可解釋性方法Grad-CAM 引入對抗樣本生成中，通過Grad-CAM 生成特征顯著圖，根據(jù)顯著圖選取顯著特征點(diǎn)進(jìn)行迭代添加擾動(dòng)，直到生成對抗樣本。

3 基于Grad-CAM的迭代攻擊算法

3.1 Grad-CAM原理

Grad-CAM 的原理如圖1所示，將圖像x輸入到模型F中獲取每一類別的logits得分，如式（2）所示，其中θ表示模型參數(shù)，yc表示類別c 的logits 得分。

圖1 Grad-CAM原理

由神經(jīng)網(wǎng)絡(luò)特性可知，目標(biāo)網(wǎng)絡(luò)F從輸入圖像x提取的最高層特征圖(A1，A2，...，Ak)在卷積層和全連接層之間達(dá)到了平衡，具有較好的類別區(qū)分性，因此可以使用最高層特征圖來定位感興趣的目標(biāo)。具體地，Grad-CAM可形式化描述為

其中，Ak表示最高層特征圖的第k個(gè)通道，表示該通道的權(quán)重，其計(jì)算公式為

其中，Ak，i，j表示第k 個(gè)通道位于()i，j的元素，Z 表示歸一化因子。由于通道權(quán)重是從類別c 的導(dǎo)數(shù)得來的，因此通道權(quán)重含有類別c 的相關(guān)信息，這也是Grad-CAM 能夠針對不同決策結(jié)果進(jìn)行解釋的主要原因。

3.2 本文GC-BIM攻擊方法

由圖2所示，本文所提的基于Grad-CAM 的迭代攻擊方法GC-BIM 主要分為兩大步驟：1）選擇攻擊目標(biāo)t，并根據(jù)模型F 對于樣本x 在目標(biāo)t 上的分類得分計(jì)算Grad-CAM 顯著圖；2）根據(jù)顯著圖選擇數(shù)據(jù)點(diǎn)迭代添加擾動(dòng)，直到生成對抗樣本。

圖2 基于GC-BIM的迭代攻擊流程圖

3.2.1 計(jì)算Grad-CAM顯著圖

首先將樣本x 輸入到模型F 中，得到每一類別的得分，然后選擇一個(gè)攻擊目標(biāo)t，根據(jù)類別t 的得分反向計(jì)算最高層特征圖的權(quán)重信息：

然后根據(jù)該權(quán)重值對特征圖進(jìn)行加權(quán)疊加，經(jīng)過ReLU激活得到顯著特征圖：

為了減少特征點(diǎn)的選取數(shù)量，此時(shí)將ReLU 的另一個(gè)參數(shù)設(shè)為δ(δ＞0)以便對特征圖進(jìn)行二值化處理，即大于的特征點(diǎn)上添加擾動(dòng)。

3.2.2 生成對抗樣本

在由3.2.1 節(jié)得到擾動(dòng)特征點(diǎn)之后，計(jì)算擾動(dòng)的方向d，根據(jù)式（7）計(jì)算出模型F 的損失函數(shù)L 對于樣本x在類別t上的損失梯度，然后取符號(hào)信息。

為了使得增加類別t 的分類得分，在方向d 上進(jìn)行梯度下降操作，即當(dāng)d 為正時(shí)，擾動(dòng)方向?yàn)樨?fù)，當(dāng)d 為負(fù)時(shí)，擾動(dòng)方向?yàn)檎?，因此擾動(dòng)迭代添加擾動(dòng)為

具體GC-BIM算法過程如下：

4 實(shí)驗(yàn)結(jié)果及分析

4.1 實(shí)驗(yàn)設(shè)置

4.1.1 數(shù)據(jù)集

本文實(shí)驗(yàn)在華為開源深度學(xué)習(xí)框架Mindspore1.6.2 的環(huán)境下進(jìn)行，使用GPU 版本為CUDA11.1。

為了驗(yàn)證本節(jié)所提目標(biāo)對抗攻擊算法的有效性，受攻擊模型采用基于信號(hào)序列的深度學(xué)習(xí)自動(dòng)識(shí)別模型，而基于信號(hào)序列的識(shí)別模型使用的數(shù)據(jù)集為O'SHEA等人構(gòu)建的公開數(shù)據(jù)集2018.01.OSC，因此本節(jié)實(shí)驗(yàn)也在此數(shù)據(jù)集上進(jìn)行。數(shù)據(jù)集組成結(jié)構(gòu)如圖3所示。

圖3 數(shù)據(jù)集組成結(jié)構(gòu)

該數(shù)據(jù)集以調(diào)制方式為分類類別，包含24 個(gè)類別，也即24 種調(diào)制方式。其中，每種調(diào)制方式又包含了26 種信噪比（SNR∈［-20dB，30dB］，步長2dB），每種信噪比包含4096條數(shù)據(jù)，每條數(shù)據(jù)包含同相和正交波形序列（In-phase and Quadrature），每個(gè)序列包含1024 個(gè)數(shù)據(jù)點(diǎn)。實(shí)驗(yàn)中將該數(shù)據(jù)集按7：3 隨機(jī)劃分為訓(xùn)練集和測試集，為了驗(yàn)證攻擊的有效性，僅使用測試集中的數(shù)據(jù)進(jìn)行添加對抗擾動(dòng)。

數(shù)據(jù)集可視化如圖4所示。

圖4 數(shù)據(jù)集可視化

4.1.2 被攻擊模型

對抗攻擊的目標(biāo)模型是反映攻擊效果的關(guān)鍵，在選擇目標(biāo)模型時(shí)應(yīng)當(dāng)選擇表現(xiàn)良好、穩(wěn)定的模型結(jié)構(gòu)，如果目標(biāo)模型本身識(shí)別正確率不高，那么攻擊也就失去了意義。因此本文選取文獻(xiàn)［2］中搭建的CNN 網(wǎng)絡(luò)模型和文獻(xiàn)［3］中設(shè)計(jì)的ResNet 網(wǎng)絡(luò)模型。

具體地，CNN模型結(jié)構(gòu)以電磁信號(hào)序列為模型輸入，調(diào)制方式為模型輸出。其結(jié)構(gòu)如圖5所示，該模型包括1 個(gè)輸入層、7 個(gè)卷積層、7 個(gè)池化層和3 個(gè)全連接層，F(xiàn)C1 和FC2 后面緊跟SeLU 激活函數(shù)，F(xiàn)C3使用Softmax激活函數(shù)最終得到模型輸出。

圖5 CNN結(jié)構(gòu)

ResNet模型同樣以電磁信號(hào)序列為輸入，調(diào)制類型為輸出，其模型結(jié)構(gòu)如圖6所示，其中包含了1個(gè)輸入層、6個(gè)殘差模塊和3個(gè)全連接層。同樣地，ResNet 模型的前兩個(gè)全連接層采用SeLU 激活函數(shù)，而FC3 采用Softmax 激活函數(shù)。如圖7所示，其中每個(gè)殘差塊包含了1 個(gè)1×1 的線性卷積層、2 個(gè)殘差單元和1個(gè)最大池化層。殘差單元包含了1個(gè)連接ReLU激活函數(shù)的卷積層和1個(gè)線性卷積層。

圖6 ResNet結(jié)構(gòu)

4.2 實(shí)驗(yàn)結(jié)果及分析

為了評估本文對抗攻擊算法的優(yōu)越性，引入如下指標(biāo)：對抗樣本與樣本結(jié)構(gòu)相似度（SSIM），擾動(dòng)比率（L0）單個(gè)樣本耗時(shí)（ATC）。

在CNN 模型和ResNet模型上的攻擊結(jié)果如表1所示。

如表1所示，CNN 模型在受到攻擊時(shí)，準(zhǔn)確率從88.6%急劇下降，而ResNet 模型也從92.6%出現(xiàn)了不同程度的下降，由此可見深度神經(jīng)網(wǎng)絡(luò)模型容易受到對抗樣本的影響。

表1 基于Grad-CAM的對抗攻擊結(jié)果

SSIM 反映的是樣本之間的相似度，該值越高，則二者越相似。對比SSIM 可以發(fā)現(xiàn)，本文所提GC-BIM 算法的結(jié)果由于傳統(tǒng)的FGSM、PGD 和BIM 等算法，這是由于引入例如Grad-CAM 顯著圖，使得添加擾動(dòng)時(shí)更有目的性，從顯著圖中選取顯著特征點(diǎn)迭代進(jìn)行擾動(dòng)添加，避免了在無關(guān)位置上引入額外擾動(dòng)，使得對抗樣本與原始樣本更為相似。

L0指標(biāo)反映的是樣本中平均改動(dòng)的數(shù)據(jù)點(diǎn)的數(shù)量，從表中可知，本文所提算法能夠有效較少特征數(shù)量的選取，促進(jìn)了結(jié)構(gòu)相似度SSIM的提升。

對比ATC 可知，本文算法GC-BIM 需要更多輪迭代才能生成對抗樣本，速度相較其他算法而言較慢，但其效果更好，隱蔽性更高，這種時(shí)間代價(jià)是值得的。

5 結(jié)語

為提升我方智能攻擊水平，本文將深度神經(jīng)網(wǎng)絡(luò)可解釋性方法Grad-CAM 引入到電磁信號(hào)識(shí)別領(lǐng)域的對抗樣本生成中，提出了GC-BIM 攻擊算法，通過Grad-CAM 顯著圖找出對促進(jìn)攻擊類別t分類的關(guān)鍵區(qū)域，然后根據(jù)該顯著圖選取關(guān)鍵特征進(jìn)行擾動(dòng)添加，實(shí)驗(yàn)證明該方法能夠在保證攻擊成功率的同時(shí)有效減少對原始樣本的改動(dòng)，雖然增加了時(shí)間開銷，但是結(jié)構(gòu)相似度SSIM 較傳統(tǒng)攻擊算法FGSM等提升了20%左右。