引用

Zhao Haojun,Tian Qiao,Pan Lei,Lin Yun. The technology of adversarial attacks in signal recognition[J]. Physical Communication,2020,43.

摘要

恒星轮廓图像的广泛应用帮助研究者将信号分类问题转化为图像分类问题，进而解决基于深度学习的信号识别。然而，深度神经网络（DNN）很容易受到对抗攻击的影响，因此简单地在信号序列识别模型上评估对抗攻击性能不能满足当前的安全要求。本研究从攻击者的角度出发，将单个信号转换成恒星轮廓图像，然后生成对抗样本来评估对抗性效果。结果表明，无论当前输入样本是信号序列还是转换后的图像，DNN 都容易受到对抗样本的威胁。在所选方法中，无论是在不同的扰动还是不同的信噪比*(SNRs)下，动量迭代法的性能都是其中最好的，在 0.01*扰动下，其攻击性能比快速梯度符号法高出 10%以上。同时，为了测量对抗样本的隐蔽性，我们对攻击前后的轮廓恒星图像进行了比较，以保持攻击的成功率和隐蔽性之间的平衡。

1. 研究背景

通信技术和加密技术的飞速发展，使得无线设备在许多领域得到了广泛的应用。无线设备虽然极大地改善了人们的行为方式，方便了人们的生活和工作，但也带来了新的挑战。在军事领域，在日益复杂的电磁环境下作战使得获取战场上的局部情报信息越来越困难。在民用领域，传统的通信设备使用公开标识符或密钥进行识别。然而，由于无线网络的开放性，其对不良信息或非法设备的屏蔽能力有限，使得无线通信容易受到恶意软件的攻击。为了减少恶意用户的潜在威胁，无线通信设备射频指纹提取和识别方法被提了出来。由于各种类型的设备在物理层的特征差异是唯一且通常可以测量的，这种硬件上的差异会反映在通信信号上，并可以通过分析接收到的射频信号来提取。因此，这种基于通信设备独特硬件特性的识别方法受到了越来越多的关注，对提高无线网络的安全性起到了重要的作用。

传统的特征提取方法存在许多局限性，通过人工指纹设计难以充分反映发射机个体信号中具体模型和调制方式的细微差异。考虑到深度学习可以自动提取有效的信号分量，避免了人工特征提取的负担，将深度学习应用于目标识别具有以下优点：(1)直接从输入数据中提取指纹特征，跳过指纹特征人工设计阶段，节约成本；(2)与有限的已知样本相比，深度学习方法可以更好地利用大量的未标记发射机样本，充分训练学习机模型，提高“小样本”问题对指纹特征提取的影响；(3)最终提取的指纹特征具有较低的维数，使模型能够有效地表征单个通信发射源。

虽然深度学习在目标识别中有很多优势，并取得了很好的分类效果，但是对抗样本的发现严重地暴露了深度学习模型的安全风险。更令人不安的是，对抗样本的可转移性使得任何卷积神经网络(CNN)模型都有可能被任意攻击，这使得对对抗样本的防御更加困难。如图 1 所示，在基于深度学习识别的通信场景中加入对抗样本，可以看出，如果一个 CNN 受到对抗样本的威胁，模型将无法有效地正确分类，最终影响对通信发射源的识别。

图1. 将对抗样本添加到基于深度学习识别的通信场景中，这将对通信发射源的错误分类产生影响

总的来说，对抗攻击在信号识别中的研究已经取得了一定的进展。这些研究人员直接在信号序列上生成对抗样本，然后传输给 CNN 进行识别，完成调制分类或个体分类任务。然而，随着星座图和轮廓恒星图像的广泛应用，越来越多的研究人员利用这些方法将信号分类问题转化为图像分类问题，从而解决基于深度学习的信号识别。因此，简单地在信号序列中加入扰动来评估对抗性攻击的性能已经不能满足当前的安全需求，甚至会导致更严重的风险。为此，本研究对基于轮廓恒星图像的通信发射源在对抗攻击场景下的识别效果进行了综合评估和探索，即收集发射源的单个信号，将其转换成轮廓恒星图像，然后据此生成对抗样本，发起对CNN*的攻击。通过以上研究，本研究旨在唤起人们对基于深度学习的目标识别安全性的关注，激励研究者做出更有利的防御措施。

2.研究方法

2.1.通信发射机数据集生成

首先，为了识别单个通信信号发射机，我们将采集到的通信发射机源信号作为初步处理对象。其中，数据采集功率放大器是发射机的重要组成部分。由于发射机功率放大器固有的非线性，这些特征指纹为发射机识别提供了独特的功能，因此我们从整个发射系统中提取功率放大器。且不同的接收设备会严重影响目标识别的结果，我们采用统一的接收设备。在本节中，我们将介绍图 3 所示的信号产生和接收过程。下面详细介绍一下信号发生器、功率放大器和信号采集设备。

图3.通信发射机数据集生成流程图

**2.1.1.**信号发生器 考虑到 MATLAB 可以生成多种调制信号类型，我们在 PC 上使用 MATLAB 工具生成传输所需的基带信号，然后以固有格式提供给信号发生器。最终由信号发生器设定输入信号的载频，将输入功率、载频上转换为传输信号。

本文设定信号发生器到功放的最大输出功率为 10dBm。在采集过程中，利用信号发生器改变功放输入信号的输入功率、调制方式和中心频率，并使用 16 正交调幅(QAM16)编程信号发生器，在 433MHz 传输随机数据。

**2.1.2.**功率放大器 功率放大器是目标识别过程中的核心部件。调制信号通过射频连接线传送到功率放大器，输入信号功率设置为 0dBm。为了保证提取的所有特征都来自物理层特征，我们选择了 8 个相同型号的功率放大器，即 BLT53A。通过这些放大器的输出来产生所需的个体信号，我们在后续的目标识别中充分利用了放大器固有的动态非线性带来的个体差异。图 4 显示了本文测试的功率放大器。

图4. 用来产生单个信号的功率放大器

**2.1.3.**信号采集设备 最后，利用信号采集设备对功率放大器的 I/Q 数据进行采集。在本实验中，我们将目标识别信号的 I/Q 数据的采样率设置为 5MHz，采样点设置为 20000，采样带宽设置为 500KHz。我们为每个功放收集了 2400 个样本和 300 个样本，并确保这些样本在 CNN 训练时都是均匀分布的，以避免样本倾斜。图 5 显示了功率放大器输出的 I 原始信号和 Q 原始信号。

图5. 功率放大器输出的 I 源信号和 Q 源信号

2.2.恒星轮廓图像的生成

星座图可以将 I/Q信号问题转化为图像识别问题。考虑到数据集中每个样本的长度为 20000，大量的随机样本会在星座图上反映射频信号的统计特征，故该方法在识别振幅不平衡正交误差、相关干扰、振幅噪声、相位调制等调制问题方面取得了研究成果。

在本文中，由于采集的数据集是发射端信号，并且具有相同的调制类型，所以不适用熵特征提取、高阶累积特征提取等用于识别不同调制方法的特征提取方法。然而，传统星座图在信号特征提取方面仍存在缺陷。因此需要对星座图进行改进，以获得更高级的特征。本研究在星座图的基础上引入了一个更高级的轮廓图像模型,对收集的数据进行更有效的特征提取信号,从而对采集到的数据信号进行更有效的特征提取，更深入挖掘设备差异引起的振幅不平衡、正交误差、相关干扰、相位、振幅噪声、相位误差、调制误差等特征。首先，将每个采样点的同相分量和正交分量解析为星座图的水平坐标和垂直坐标，如图 6 所示。

图6.星座图由单个信号转换而成

在星座图中，不同的区域有不同的样本点密度。为了使结果更加直观，提高可视化效果，本研究对不同样本点密度给予不同的颜色。我们使用矩形窗函数来计算点密度，并将窗函数定义为密度窗函数。该窗口将以有序的方式在图像上滑动。滑动一个单元时，对当前区域内的采样点进行统计，除以总数据采样点，得到当前归一化点密度值。让 ρ(i)是第 i 个点的归一化点密度，让 H(i)是第 i 个点的横坐标，让 V(i)是第 i 个点的纵坐标，让 r 为边长的正方形区域归一化点密度，最后让 N 点的总数，特定的窗口函数公式可以被描述为：

我们使用不同的颜色来标记当前区域的不同密度值。其中，按采样点的区域密度从低到高分别为蓝色、绿色和黄色表示。计算每个样本点的归一化密度后，根据颜色条对星座图进行着色，形成一幅含有 RGB 信息的图像，即等高线恒星图像。从图 7 可以看出，由于调制信号 QAM16 的星座是一个矩形区域，所以大部分点都集中在中间的正方形区域。

图7. 从单个信号生成恒星轮廓图像的过程

然而由于在传输过程中受到外部因素的干扰，如带通滤波器的噪声，使得大部分采样点受到中心区域周围噪声的干扰。我们将每组数据转换成一个轮廓恒星图像的形式。在移除图片的坐标轴和标题后，对每组数据进行严格统一的存储参数保存，并将图片作为识别的数据集。结果如图 8 所示：

最后，得到了 8 个放大器的恒星轮廓图像，并且可以根据这些图像生成对抗样本。

图8. 不同放大器个体的轮廓恒星图像

2.3.攻击方法

一般来说，给定一个训练有素的深度学习模型和原始样本，对抗样本的生成可以看作是一个有界变量约束优化问题。设 l 为输出标号，设 x 和 x’分别为干净样本和对抗样本，设 ε 为对原始信号的扰动，对抗样本的产生可以表示为：

可以看出，有界变量约束问题的目的是寻求当前的扰动最小化，同时导致 CNN 对输入做出错误的预测。本文我们用到以下三种攻击方式：

*2.3.1.**快速梯度符号法(FGSM) 该方法在良性样本的范数范围内生成对抗样本。FGSM 是一种典型的单步攻击算法，它沿着对敌损失函数J*(*θ,x,l)的梯度方向(即符号)进行一步更新，以在最陡峭的方向增加损失。FGSM 生成的对抗样本如下：

在公式中，ε 是扰动的水平。通过减小J(θ,x,l’)(其中 l'代表目标类别)的梯度，可以很容易地将 FGSM 扩展为一种有针对性的攻击算法(targeted FGSM)。

**2.3.2.**基本迭代法(BIM) BIM，即采用梯度下降的思想，逐步推进。通过多次使用步长较小的 FGSM，并对每一步中间结果的像素值进行裁剪，可以保证它们在原始图像的邻域内。这种方法可以表示为：

**2.3.3.**投影梯度下降(PGD) PGD 将投影步骤添加到法梯度下降算法中，以确保解在正确的区域内。PGD 可用于防御和产生干扰。PGD 试图找到在特定输入上最大化模型损失的扰动，同时保持扰动的大小小于指定的数 ε。优化 CNN 鲁棒性的算法如下：

其中 E(x,y)D 为已定义的总体风险，D 为样本分布，S 为允许的扰动。这个方程也被称为鞍公式，涉及到内部最大化和外部最小化。内部最大化是一个攻击问题，当模型损失最大时需要相应的扰动。最大的扰动可能是必需的对抗样本。外部最小化是一个防御问题。在对抗性攻击下，以最小损失求模型参数。这也是一个训练分类器的鲁棒性问题。

**2.3.4.**动量迭代法

MIM 算法将动量集成到 BIM 的迭代过程中。在目标函数中计算梯度 ▽xJθ(x’t,l)，gt+1 可以通过以下方式更新：

那么通过积累梯度方向上的速度向量，将符号梯度应用到 x’t+1 即可得到：

3.实验

3.1. 实验设置

我们使用 AlexNet 作为等势行星图的分类和识别模型。其中，我们将轮廓星图的分辨率设置为 256256，这与 AlexNet 中接收场的大小一致。输出的数量从默认的 1000 减少到 8，以便它匹配我们任务中的发送器类型的数量。我们在 TensorFlow 中使用 Adam 对目标 DNN 进行优化，并在实验中尝试了分类交叉熵和稀疏分类交叉熵损失函数。我们也观察到 2000 次迭代后收敛的损失或精度。

3.2. 不同扰动的性能比较

为了研究攻击对目标识别通信发射源的影响，我们比较了在 0dB 和 15dB 时四种不同的生成对抗样本的攻击效果。图 9(a)(b)分别显示了在 0dB 和 15dB 扰动下 AlexNet 输出精度的变化。如图 9(a)所示，黑线表示无攻击场景，此时准确率约为 89%，说明 AlexNet 模型对目标识别具有较高的分类准确率。随着摄动的增加，模型的输出精度逐渐下降，当摄动为 0.01 时，FGSM 攻击下的精度下降，而其他三种迭代方法的精度都下降到较低水平。PGD、BIM和 MIM 的性能优于 FGSM。并且由于引入了动量，MIM 在这些攻击方法中具有一定的优势。

图9. AlexNet 的准确性在信噪比为 0dB(a)和(b)15 分贝下增加扰动的变化

为了验证攻击效果的一致性，我们也在 15dB 下进行了相同的实验。如图 9(b)所示，在没有攻击的情况下，模型的预测准确率为 91%，具有较高的准确率。随着扰动的逐渐增加，四条不同的曲线呈现出有规律的下降趋势。该算法在高信噪比下具有低噪声、高信号纯度的特点，较好地提高了算法的性能。其中，随着扰动的增加，MIM 的优势不断扩大，攻击效果优于 BIM 和 PGD。由此可以得出，不同的方法对噪声的敏感性不同，这就要求我们在选择最优攻击模型时结合具体的场景。

3.3. 不同信噪比的性能比较

在图 9 中，我们发现对抗样本生成方法也受到信噪比变化的影响。因此，本节研究不同攻击方法下不同信噪比下 AlexNet 输出精度的变化，图 10(a)(b)中添加的扰动水平分别为 0.01 和 0.02。如图 10(a)所示，随着信噪比的增加，模型输出的整体精度呈现出整体上升、部分点浮动的趋势。在迭代法中，BIM 和 PGD 的性能差别不大，对 AlexNet 的攻击效果几乎相同。可以认为对于图像样本，由于摄动程度为 0.01，不同算法的性能在当前水平下无法充分发挥。随着扰动的增加，它可以看到从图 10(b)，在扰动水平的 0.02，MIM 显示出更多优秀的性能，尤其是在 10dB，分类器模型输出的准确性为 10%低于 PGD 和 MIM 和 25%低于 FGSM 输出的准确性。

图10. 当信噪比增加时，AlexNet 的攻击精度会发生变化，其中(a)的摄动水平为 0.01，(b)的摄动水平为 0.02

一般来说，在低信噪比时，由于噪声干扰，单个信号更加混乱，使得分类器的输出置信度较低。此时，分类器的预测精度也很低。随着信噪比的增加，模型的预测信心个人信号越来越高，所以为了达到同样程度的攻击效果，需要更强的扰动水平在高信噪比的情况下，以促进分类器模型的预测误差，实现理想的程度。

根据图 9 和图 10 的结果，还可以得出另一个结论，由于每个放大器采集了 300 个样本，所以选择的样本数量有限，这使得攻击效果在一定的单个信噪比下略微浮动。但总的来说，MIM*仍然是最突出的生成对抗样本的方法，并且验证了对于基于轮廓恒星图像的个体信号，使用基于 DNN 的目标识别很容易受到对抗攻击。

3.4. 恒星轮廓图像比较

我们检查对抗性攻击对轮廓恒星图像的攻击影响，验证当前添加的扰动在改变当前样本类别时是否小到人眼无法识别。我们恢复了被攻击后的恒星轮廓图像，并与原始样本进行比较。图 11 为 BIM 在 15db 攻击前后相同放大器样品的对比。从这两张图中可以看出，添加扰动后的样本仍然与干净的样本相似，但 DNN 将其错分类为其他类别，体现了对抗样本的归纳性质。此外，轮廓恒星图像所添加的扰动受 L 范数限制，即本文使用的四种方法 FGSM、BIM、PGD 和 MIM 均受 L 范数限制。虽然添加对抗样本并不会改变图像本身的类别，但是由于 L 范数是当前摄动区域的最大值，所以整个图像看起来与添加噪声相似。

图 12 显示了在 0.02 和 0.01 扰动下攻击后的对比。从图 12 可以看出，不同的 L 范数扰动对轮廓恒星图像的影响是不同的。其中，扰动程度越高，图像被分类器误判为其他类别的可能性越大，但也会导致图像上的噪声增大，从而增加被发现和检测到攻击的风险；而扰动程度越低，图像的伪装性能越高，被检测的可能性越小，但可能不足以达到理想的攻击效果。很明显，在实际场景中，我们需要在对抗攻击的能力和隐藏之间取得平衡。

图 11.攻击对轮廓恒星图像的影响，其中(a)为对抗性攻击后的图像，(b)为未受干扰的干净样本

图 12.攻击对轮廓恒星图像的影响程度，其中(a)为添加微扰级别 0.02 后的图像，b 为添加微扰级别 0.01 后的图像

4.结论

在本研究中，我们将通讯发射源的个别讯号转换成等高线恒星影像，以评估对抗性攻击对个别识别任务的性能。结论表明，无论当前输入样本是信号序列还是转换图像，CNN 很容易受到对抗样本的威胁。BIM、PGD 和 MIM 三种迭代方法的性能均优于 FGSM 的一步攻击。其中，由于引入了动量，MIM*具有突出的攻击效果，并且从信噪比的角度来看仍然有效，对轮廓恒星图像的攻击性能最好。

为了测量对抗攻击的隐蔽性，我们对攻击前后的轮廓星像样本进行了比较，结果表明，扰动程度越高，攻击成功率越高，但可能会在图像中加入更多的噪声，从而增加攻击被检测到的可能性；而较低的扰动程度，可以有效地躲过对当前攻击的检测，但也可能导致攻击效果达不到理想要求。因此，这就要求我们结合具体的应用场景，选择合适的攻击方式和扰动级别，以保证攻击效果和攻击隐蔽性的平衡。

通过以上实验我们得到结论，基于DNN*的目标识别技术很容易受到对抗样本的威胁，从而给该领域带来很大的安全隐患。当然，我们的实验也有一定的缺点和局限性。例如，我们的对抗样本是在接收机上添加的，而忽略了其他因素，如发射机误差、信道模型损失和窃听者干扰。并且，我们假设目标模型是一个白盒模型，即我们已经知道所使用 DNN 的权值、框架和超参数。在未来的工作中，我们将考虑在发射机上增加摄动，以充分评估对抗样本的附加情况，并探究在黑箱模型下对抗样本对目标识别任务的影响，从而使本实验更加全面，吸引研究者重视目标识别的安全问题。

结果表明，无论当前输入样本是信号序列还是转换后的图像，DNN*都容易受到敌方实例的威胁。在选定的方法在不同的扰动或信噪比下，动量迭代法的性能最好，在 0.01 的扰动下，攻击性能比快速梯度符号法提高 10%*以上。同时，为了衡量敌方实例的不可见性，对攻击前后的轮廓恒星图像进行了比较，以保持攻击成功率和攻击隐蔽性之间的平衡。

致谢

本文由南京大学软件学院 2021 级硕士林聚翻译转述。