1、总第348期1引言随着现代战争的不断发展,战场空间的信息交互越来越依赖电磁频谱,电磁空间已经成为了现在及未来作战体系的重要支撑。深度神经网络(Deep Neural Network,DNN)因其具有自动特征提取和高度非线性拟合等优势,进而被广泛应用于图像识别1等领域。电磁信号调制识别是无线通信中的重要一环,在军事上有着广泛的应用。为提升军事智能化,研究人员利用DNN对电磁信号的调制方式进行识别。然而,研究表明深度神经网络模型容易受到对抗样本的影响,其中也包括了面向电磁信号识别的神经网络模型。向原始样本数据中添加人为构造的细微扰动,生成使得神经网络模型出现巨大决策错误的样本称为对抗样本,然而该样
2、本有着很好的视觉干扰性,人眼不易察觉。为了能够有效攻击敌方智能模型,提升我方智能攻击水平,本文利用神经网络可解释方法Grad-CAM(Gradient-weighted Class Activation Mapping)找寻数据样本中的关键特征点,然后在选取的特征点上添加扰动生成对抗样本。实验证明,根据特征显著图进行特征攻击能够在改动较少特征点的情况下完成对抗攻击,显著提升了对抗样本的隐蔽性。收稿日期:2022年12月2日,修回日期:2023年1月15日作者简介:周侠,男,硕士研究生,研究方向:人工智能对抗样本生成与防御。张一然,女,硕士研究生,研究方向:人工智能可解释性。张剑,男,博士生导师
3、,研究员,研究方向:人工智能,舰载指挥系统。基于 Grad-CAM 的电磁信号对抗攻击方法周侠张一然张剑(武汉数字工程研究所武汉430205)摘要随着深度神经网络在电磁信号识别上的应用越来越广泛,为提升我方智能攻击能力,使得敌方智能模型陷入瘫痪,论文将深度学习可解释方法Grad-CAM引入到对抗样本生成领域,通过生成攻击目标类别t的显著特征图,然后结合梯度下降的方式增加样本在类别t上的分类得分,直至模型将其识别为t。实验表明,显著图的对抗攻击方法能够进行针对性攻击,大幅减少无关数据点的扰动,在尽可能少地改动数据点数量的情况下就能完成对抗攻击。关键词深度神经网络;电磁信号识别;对抗样本;显著图中
4、图分类号TN929.5DOI:10.3969/j.issn.1672-9730.2023.06.044Adversarial Attack Algorithm for Electromagnetic Signal Based onGrad-CAMZHOU XiaZHANG YiranZHANG Jian(Wuhan Digital Engineering Institute,Wuhan430205)AbstractWith the application of deep neural network in electromagnetic signal recognition becoming
5、more and more extensive,in order to improve our intelligent attack capability and paralyze the enemys intelligent model,this paper introduces thein-depth learning interpretable method Grad-CAM into the field of adversary sample generation,by generating the salient featuremap of the attack target cat
6、egory t,and then increasing the classification score of the sample on category t through gradient descentuntil the model recognizes it as t.The experiment shows that the adversary attack method with saliency map can carry out targeted attack,greatly reduce the disturbance of irrelevant data points,a
7、nd complete the adversary attack with as few changes to the numberof data points as possible.Key Wordsdeep neural network,electromagnetic signal recognition,adversarial examples,saliency mapClass NumberTN929.5舰 船 电 子 工 程Ship Electronic Engineering总第 348 期2023 年第 6 期Vol.43 No.6204舰 船 电 子 工 程2023 年第 6
8、 期2相关工作2.1电磁信号调制识别目前,利用DNN对电磁信号进行调试识别主要基于信号序列和基于图像两个方面。基于信号序列,OShea等2在2016年首次将CNN模型用于电磁信号调制识别,该模型以信号数据的时间同相和正交(In-phase and Quadrature,IQ)序列作为输入,以调制方式为输出。2018年,OShea等3在原来的研 究 基 础 上,将 残 差 网 络4(Residual Network,ResNet)进行调整用于适用电磁信号数据的数据维度,提出了基于ResNet的电磁信号调制识别模型。由于DNN在图像识别领域的优越性能,研究人员便考虑将电磁信号数据转换成图像进而使用
9、传统面向图像识别的高性能网络模型56。2.2对抗样本生成早在 2013 年,Szegedy 等7便提出了“对抗样本”(Adversarial Examples)的概念。2015年,Goodfellow等8分析了深度网络训练时的目标,即通过梯度下降最小化损失函数,而对抗攻击的目标则与之相反,因此可以增大目标函数的损失进而完成攻击。基于该思想,提出了快速梯度符号攻击方法(Fast Gradient Sign Method,FGSM),该方法通过在梯度下降的反方向添加扰动生成对抗样本。为了生成隐蔽性更好的对抗样本,Kurakin等9在FGSM的基础上进行多步少量的扰动添加优化,提出了基本迭代法(Ba
10、sic Iterative Method,BIM)即在每次迭代中添加少量的扰动信息,直到生成使得模型分类错误的对抗样本。总而言之,对抗样本攻击过程可以形式化如式(11)所示,该过程也可以理解为寻找对抗扰动的过程。x=x+(1)2.3可解释方法以图像识别为例,可视化解释根据图像解释区域的视觉表示可分为基于梯度的解释方法和基于热力图的解释方法。基于梯度的可视化解释方法以特定类别的预测分数或高层的特征图为起点,计算其关于输入的梯度来获得每个像素对于预测结果的重要性,进而通过可视化得到解释结果。基于热力图的解释方法,利用卷积层的输出(特征图)作为对模型进行解释的原始信息,通过计算特征图的权重,对特征图
11、进行加权求和,再经过ReLU 激活函数得到最终的解释结果。2016 年,Zhou等10最先提出CAM(Class Activation Mapping)方法,该方法需连接一个全局平均池化层,并重新训练模型,然后通过每一类的输出得分计算得到每个特征图的权重。由于需改变模型结构进行重新训练,因此它的灵活性较差,代价高。受CAM的启发,Selvaraju等11提出了Grad-CAM,使用特定类别的预测分数关于特征层的梯度来计算权重,且不用改变模型结构,比CAM更具泛化性。2.4电磁信号对抗样本当前面向电磁信号领域的对抗样本研究还处于起步阶段,2019年Sadeghi等12首次尝试将对抗样本引入电磁信
12、号调试识别领域,证实了基于深度学习的电磁信号识别模型依旧容易受到对抗样本影响。2020年,Zhao等13进一步将 Nesteroy Adam应用到该领域,生成了与原始样本更为接近的对抗样本。2021年,王超等14基于FGSM对目标模型的特征空间进行攻击,提出了激活攻击方法。然而这些对抗样本生成方法缺乏特异性,使得攻击的目的性不强,在进行攻击时往往需要改动大量数据点。为了加强特征攻击,本文将神经网络可解释性方法Grad-CAM引入对抗样本生成中,通过Grad-CAM生成特征显著图,根据显著图选取显著特征点进行迭代添加扰动,直到生成对抗样本。3基于Grad-CAM的迭代攻击算法3.1Grad-CA
13、M原理输入图像Grad-CAM卷积层ReLU特征图分类层CA1A2A3Ak-1Ak权重c1c2c3ck-1ckkckAk图1Grad-CAM原理Grad-CAM的原理如图1所示,将图像x输入到模型F中获取每一类别的logits得分,如式(2)所示,其中表示模型参数,yc表示类别c的logits得分。F()x;=()y1.yc.yN(2)由神经网络特性可知,目标网络F从输入图像x提取的最高层特征图()A1A2.Ak在卷积层和全连接层之间达到了平衡,具有较好的类别区分性,因此可以使用最高层特征图来定位感兴趣的目205总第348期标。具体地,Grad-CAM可形式化描述为LcGrad-CAM=ReL
14、U(kckAk)(3)其中,Ak表示最高层特征图的第k个通道,ck表示该通道的权重,其计算公式为ck=1ZijycAkij(4)其中,Akij表示第k个通道位于()ij的元素,Z表示归一化因子。由于通道权重是从类别c的导数得来的,因此通道权重含有类别c的相关信息,这也是Grad-CAM能够针对不同决策结果进行解释的主要原因。3.2本文GC-BIM攻击方法由图2所示,本文所提的基于Grad-CAM的迭代攻击方法GC-BIM主要分为两大步骤:1)选择攻击目标t,并根据模型F对于样本x在目标t上的分类得分计算Grad-CAM显著图;2)根据显著图选择数据点迭代添加扰动,直到生成对抗样本。3210-1
15、-2振幅0 200 400 600 800 1000BPSKxF类别t的Grad-CAM210-1-2幅值0 200 400 600 800 1000迭代xL(xt;)3210-1-2振幅0 200 400 600 800 1000ASK(=0.6)x图2基于GC-BIM的迭代攻击流程图3.2.1计算Grad-CAM显著图首先将样本x输入到模型F中,得到每一类别的得分,然后选择一个攻击目标t,根据类别t的得分反向计算最高层特征图的权重信息:tk=1ZijytAkij(5)然后根据该权重值对特征图进行加权叠加,经过ReLU激活得到显著特征图:LtGrad-CAM=ReLU(ktkAk)(6)为了
16、减少特征点的选取数量,此时将ReLU的另一个参数设为()0以便对特征图进行二值化处理,即大于的特征点上添加扰动。3.2.2生成对抗样本在由3.2.1节得到扰动特征点之后,计算扰动的方向d,根据式(7)计算出模型F的损失函数L对于样本x在类别t上的损失梯度,然后取符号信息。d=Sign()xL()xt;(7)为了使得增加类别t的分类得分,在方向d上进行梯度下降操作,即当d为正时,扰动方向为负,当d为负时,扰动方向为正,因此扰动迭代添加扰动为x0=xxi=xi-1-sign()L()xi-1t;(8)具体GC-BIM算法过程如下:输入:样本x,模型F,损失函数L,攻击目标t,单步扰动,迭代次数M输
17、出:对抗样本x,F()x=t1.将样本x输入模型F中获取类别t的得分yt2.根据yt反向计算生成Grad-CAM显著图3.对显著图进行二值化处理选出显著区域4.For()i=0iMi+:5.x0=x6.xi=xi-1-sign()xL()xi-1t;7.IfF()xi=t:8.Returnxi9.Else10.Continue11.返回对抗样本x4实验结果及分析4.1实验设置4.1.1数据集本文实验在华为开源深度学习框架 Mindspore1.6.2 的环境下进行,使用 GPU 版本为 CUDA11.1。为了验证本节所提目标对抗攻击算法的有效性,受攻击模型采用基于信号序列的深度学习自动识别模型
18、,而基于信号序列的识别模型使用的数据集为OSHEA等人构建的公开数据集2018.01.OSC,因此本节实验也在此数据集上进行。数据集组成结构如图3所示。该数据集以调制方式为分类类别,包含24个类别,也即24种调制方式。其中,每种调制方式又包含了 26 种信噪比(SNR-20dB,30dB,步长2dB),每种信噪比包含4096条数据,每条数据包含同相和正交波形序列(In-phase and Quadrature),每个序列包含1024个数据点。实验中将该数据集按7:3随机划分为训练集和测试集,为了验证攻击的有效性,仅使用测试集中的数据进行添加对抗扰动。周侠等:基于Grad-CAM的电磁信号对抗攻
19、击方法206舰 船 电 子 工 程2023 年第 6 期8.01.OSCOOK4ASK8ASK-20db-18db-16db4096条数据4096条数据4096条数据4096条数据4096条数据28db30db数据(I&Q)FMGMSKOQPSK24种调制方式 26种信噪比图3数据集组成结构数据集可视化如图4所示。02004006008001000FM210-1-2幅值IQ图4数据集可视化4.1.2被攻击模型对抗攻击的目标模型是反映攻击效果的关键,在选择目标模型时应当选择表现良好、稳定的模型结构,如果目标模型本身识别正确率不高,那么攻击也就失去了意义。因此本文选取文献 2 中搭建的CNN网络模
20、型和文献 3 中设计的ResNet网络模型。Input21024Conv1:641024Max-Pool1:645127个卷积层7个池化层Conv7:6416Max-Pool7:648FC1:128FC2:128FC3:24图5CNN结构具体地,CNN模型结构以电磁信号序列为模型输入,调制方式为模型输出。其结构如图5所示,该模型包括1个输入层、7个卷积层、7个池化层和3 个全连接层,FC1 和 FC2 后面紧跟 SeLU 激活函数,FC3使用Softmax激活函数最终得到模型输出。ResNet模型同样以电磁信号序列为输入,调制类型为输出,其模型结构如图6所示,其中包含了1个输入层、6个残差模块
21、和3个全连接层。同样地,ResNet 模型的前两个全连接层采用 SeLU 激活函数,而FC3采用Softmax激活函数。如图7所示,其中每个残差块包含了1个11的线性卷积层、2个残差单元和1个最大池化层。残差单元包含了1个连接ReLU激活函数的卷积层和1个线性卷积层。Input21024Residual-Stack132512Residual-Stack63212FC/SeLU128FC/SeLU128FC/Softmax246个残差块图6ResNet结构11ConvLinear残差单元残差单元MaxPoolingConvReLUConvLinear(1)残差块(2)残差单元图7残差块和残差单
22、元4.2实验结果及分析为了评估本文对抗攻击算法的优越性,引入如下指标:对抗样本与样本结构相似度(SSIM),扰动比率(L0)单个样本耗时(ATC)。在CNN模型和ResNet模型上的攻击结果如表1所示。如表1所示,CNN模型在受到攻击时,准确率从88.6%急剧下降,而ResNet模型也从92.6%出现了不同程度的下降,由此可见深度神经网络模型容易受到对抗样本的影响。SSIM反映的是样本之间的相似度,该值越高,则二者越相似。对比 SSIM 可以发现,本文所提GC-BIM 算法的结果由于传统的 FGSM、PGD 和BIM 等算法,这是由于引入例如 Grad-CAM 显著图,使得添加扰动时更有目的性
23、,从显著图中选取显著特征点迭代进行扰动添加,避免了在无关位置上引入额外扰动,使得对抗样本与原始样本更为相似。L0指标反映的是样本中平均改动的数据点的数量,从表中可知,本文所提算法能够有效较少特征数量的选取,促进了结构相似度SSIM的提升。对比ATC可知,本文算法GC-BIM需要更多轮迭代才能生成对抗样本,速度相较其他算法而言较慢,但其效果更好,隐蔽性更高,这种时间代价是值得的。207总第348期5结语为提升我方智能攻击水平,本文将深度神经网络可解释性方法Grad-CAM引入到电磁信号识别领域的对抗样本生成中,提出了 GC-BIM 攻击算法,通过 Grad-CAM显著图找出对促进攻击类别 t分类
24、的关键区域,然后根据该显著图选取关键特征进行扰动添加,实验证明该方法能够在保证攻击成功率的同时有效减少对原始样本的改动,虽然增加了时间开销,但是结构相似度SSIM较传统攻击算法FGSM等提升了20%左右。参 考 文 献1Krizhevsky A,Sutskever I,Hinton G.ImageNet Classification with Deep Convolutional Neural Networks J.Advances in Neural Information Processing Systems,2012.2OShea T J,Corgan J,Clancy T C.Conv
25、olutional RadioModulation Recognition NetworksJ.International Conference on Engineering Applications of Neural Networks,2016:213-226.3O Shea T J,Roy T,Clancy T C.Over-the-Air DeepLearning Based Radio Signal Classification J.IEEE Journal of Selected Topics in Signal Processing,2018,12(1):168-179.4He
26、K,Zhang X,Ren S,et al.Deep Residual Learning forImage RecognitionC/Proceedings of the 2016 IEEEConference on Computer Vision and Pattern Recognition(CVPR),Las Vegas,NV,USA,2016:770-778.5Tang B,Tu Y,Zhang Z,et al.Digital Signal ModulationClassification With Data Augmentation Using GenerativeAdversari
27、al Nets in Cognitive Radio NetworksJ.IEEEAccess,2018,6:15713-15722.6周鑫,何晓新,郑昌文.基于图像深度学习的无线电信号识别 J.通信学报,2019,40(07):114-125.7Szegedy C,Zarmerba W,Sutskever I,et al.Intriguingproperties of neural networks C/Proceedings of the International Conference on Learning Representations(ICLR),2013:1-10.8Goodfe
28、llow I J,Shlens J,Szegedy C.Explaining and Harnessing Adversarial Examples C/proceedings of the InternationalConferenceonLearningRepresentations(ICLR),2015:1-11.9Kurakin A,Goodfellow I,Bengio S.Adversarial examplesin the physical world C/Proceedings of the InternationalConference on Learning Represe
29、ntations(ICLR),2016:1-14.10Zhou B,Khosla A,Lapedriza A,et al.Learning deepfeatures for discriminative localizationC/Proceedingsof the IEEE conference on Computer Vision and PatternRecognition,2016:2921-2929.11Selvaraju R R,Cogswell M,Das A,et al.Grad-cam:Visualexplanationsfromdeepnetworksviagradient
30、-based localizationC/proceedings of the IEEE international conference on computer vision,Venice,Italy,2017:618-626.12 Sadeghi M,Larsson E G.Adversarial Attacks onDeep-Learning Based Radio Signal ClassificationJ.IEEE Wireless Communications Letters,2019,8(1):213-216.13Zhao H,Lin Y,Gao S,et al.Evaluat
31、ing and ImprovingAdversarial Attacks on DNN-Based Modulation RecognitionC/proceedings of the GLOBECOM 2020-2020IEEE Global Communications Conference,Taipei,Taiwan,2020:1-5.14王超,魏祥麟,田青,等.基于特征梯度的调制识别深度网络对抗攻击方法 J.计算机科学,2021,48(7):25-32.表1基于Grad-CAM的对抗攻击结果CleanFGSMPGDBIMGC-BIMCNN准确率/%88.653.643.336.635.7SSIM/%/63.568.374.894.6L0/%/94.692.694.711.4ATC/s/0.684.666.9410.32ResNet准确率/%92.655.448.138.336.9SSIM/%/68.170.667.895.7L0/%/93.294.595.39.6ATC/s/0.835.777.8611.45周侠等:基于Grad-CAM的电磁信号对抗攻击方法208
浙ICP备2021020529号-1 | 浙B2-20240490 
