基于深度学习的无线电信号分类对抗攻击研究

大家好，欢迎来到IT知识分享网。

摘要

尽管深度学习(DL)在许多计算机视觉和语言处理应用中取得了巨大的成功，但它极易受到对抗性攻击。我们考虑了 DL 在无线电信号(调制)分类任务中的应用，并提出了在该应用中制作白盒和通用黑盒对抗性攻击的实用方法。我们表明，这些攻击可以大大降低分类性能，输入的扰动极小。特别是这些攻击明显比经典干扰攻击更强大，这在无线物理层使用基于 DL 的算法时引起了重大的安全性和鲁棒性问题。

研究背景

深度学习(Deep learning，DL)是通过深度神经网络(Deep neural networks，DNNs)实现的一种机器学习模式，在过去的十年中取得了极大的成功，特别是在计算机视觉和自然语言处理应用中。这场革命也引发了人们对将 DL 应用于许多其他学科的兴趣，包括无线通信系统的算法设计。例如，使用卷积神经网络(CNN)进行信道解码，研究基于 DL 的无线资源分配，某些文献使用 DL 进行无线信号(调制)分类的经典任务。DL 方法在这些应用中取得了良好的性能。

已有研究表明，DNNs 极易受到对抗性示例的影响，这引起了人们对安全性和鲁棒性的担忧。对抗性例子是指通过稍微扰动原始输入而获得的恶意输入，这种方式会使 DL 算法对其进行错误分类。这些扰动不是“随机的白噪声”，而是在特征空间中精心设计的方向，导致错误的模型输出。

研究目的和研究内容

在本文中，我们考虑将 DL 算法应用于文献中的无线电信号(调制)分类问题，并证明了这类算法极易受到对抗性攻击。为了提高本课题研究的可重复性和培养未来研究的能力，我们使用了文献中公开的 GNU 无线电机器学习数据集。我们的具体贡献如下。首先，我们提出了一种新的细粒度白盒输入特定对抗攻击生成算法。其次，我们提出了一个计算效率高的白盒通用对抗扰动(UAP)算法。第三，我们展示了如何创建黑盒 UAP 攻击。第四，我们揭示了 UAPs 的平移不变性。

略论对抗性攻击

为逼近对抗性扰动，人们提出了不同的次优方法来。在这些方法中，快速梯度方法(FGM)类是一种常用的方法。它们以粗粒度扰动为代价，为制作对抗性例子提供了计算效率高的方法。用 L(θ，x，y)表示模型的损失函数，其中 y∈{0，1}C 是标签向量，FGM 将损失函数在 x 附近线性化，然后优化这个线性化函数。FGM 有两种变体，定向 FGM 和非定向 FGM。

除了有针对性的和非针对性的分类，对抗性攻击还可以按照其他维度进行分类。根据敌方对模型的了解程度，可以将对抗性攻击分为白盒攻击和黑盒攻击。在白盒攻击中，敌方拥有分类器的全部知识，而在黑盒攻击中，敌方对分类器没有任何知识(或知识有限)。对抗性攻击也可以根据其范围划分为个体攻击或普遍攻击。

GNU无线电 ML 数据集及其 DNN

为了研究基于 DL 的无线系统的鲁棒性和安全性问题，我们将使用 GNU radio ML 数据集 RML2016.10a 及其相关的 DNN。GNU radio ML 数据集 RML2016.10a 包含 个输入样本，其中每个样本与特定信噪比（SNR）下的一个特定调制方案相关联。它包含 11 种不同的调制方式，分别是 BPSK、QPSK、8PSK、QAM16、QAM64、CPFSK、GFSK、PAM4、WBFM、AM-SSB 和 AM-DSB。在-20dB 到 18dB 的 20 个不同信噪比水平下生成样本，步长为 2dB。每个样本输入是一个大小为 256 的向量，对应于 128 个同相分量和 128 个正交分量。一半的样本作为训练集，另一半作为测试集。使用名为 VT-CNN2 的深层 CNN 分类器。VT-CNN2 的结构如图 1 所示，遵循 TensorFlow 的默认数据格式，即（高度、宽度、通道）。

图 1 VT-CNN2 的图示

基于 DL 调制分类的对抗攻击

在本节中，我们开发了一种白盒对抗性攻击。在基于 DL 的调制分类上，使用 VT-CNN2 作为分类器。在一个无线系统中，当攻击者不在时，接收机(RX)接收一个(或多个)合法发射机(TX)发出的无线信号，用 x 表示，但当攻击者存在时，它也会发射信号在 RX 处产生一个低功率扰动 rx。

为了设计给定输入 x 的对抗性扰动 rx，为了简单起见，我们从白盒攻击开始。在本文的后面，我们将攻击扩展到更多的一般情况。FGMs 是制作对抗性扰动的计算效率很高的方法，但它们提供的是粗粒度的扰动，而且欺骗分类器的成功率也很低。因此，我们提出算法 1 来解决以下这些问题。

算法 1 制作一个对抗性的例子

在对抗性攻击的计算机视觉文献中,重点是寻找人类观察者根本没有注意到的轻微扰动,而造成误分类。给定算法 1，我们可以想到在无线应用中也有类似的类比，即接收器无法察觉(或准无法察觉)的扰动。这里我们提出了两个新的指标，即扰动噪声比(PNR)和扰动信号比(PSR)，其中 PNR 是扰动功率与噪声功率之比，PSR 是扰动功率与信号功率之比。请注意，信噪比(SNR)与 PSR 和 PNR 的关系为：PNR=PSR×SNR，或者等效为 PNR[dB]=PSR[dB]+SNR[dB]。鉴于这些定义，如果对于该扰动，我们可以认为该扰动不可察觉，因为该扰动将处于同一阶甚至低于噪声水平。

图 2 显示了三种不同信噪比下 VT-CNN2 与 PNR 的精度。扰动是用算法 1 产生的。水平虚线表示无攻击时 VT-CNN2 的精度。从图 2 可以明显看出，当扰动与噪声的顺序相同时(对于所有三个 SNR 级别)，攻击可以导致 100%的错误分类。请注意，即使扰动比噪声级小一个或几个数量级，攻击也会显著降低模型的精度模特。这个提出了一个关于基于 DLM 的无线应用程序健壮性的主要关注点，并揭示了它们在白盒对抗性攻击中的脆弱性。

算法 2 有/无对抗性攻击下 VT-CNN2 与 PNR 的准确性

无线通信系统的通用黑盒攻击

在上文中，我们提出了白盒攻击，同时考虑了三个限制性假设。首先，攻击者知道确切的输入。第二，x 的每个元素都被 rx 中相应的元素所干扰，即攻击者与发送器是同步的。第三，当我们考虑白盒攻击时，我们假设攻击者完全了解底层模型，即 f(.;θ)。在本节中，我们将讨论这些限制性假设。

(1)普遍对抗扰动

算法 1 产生依赖于输入的对抗性扰动，即给定输入 x，它产生扰动 rx 来欺骗模型。这迫使攻击者知道模型的输入，这不是一个实际的假设。因此，创建输入感知的对抗性攻击是很有趣的。更准确地说，我们感兴趣的不是 rx，而是找到一个通用的对抗性扰动(UAP)r，它可以高概率地欺骗模型，而不依赖于应用于模型的输入。在 ML 和计算机视觉的文献中，这种扰动称为普遍对抗扰动(UAP)。

在文献中介绍了一种创建 UAP 的常用方法。其中的算法，接收作为输入，1)模型，2)UAP 的期望规范，3)数据输入的随机子集，例如，X={x1，…,xN}。基于这些输入，它生成一个 UAPr 作为输出。该算法的核心是一种迭代方法，在每一次迭代中需要为 X 中的 N 个数据点中的每一个点生成一个对抗性扰动，例如，通过运行算法 1N 次。因此，它的计算成本很高。

在本节中，我们提出了一种新的算法来生成 UAP，与文献相比，该算法的计算复杂度非常低，并且在我们的数据集上提供了更好的欺骗率。该算法使用主成分分析(PCA)来制作 UAP，我们建议使用第一主成分的方向作为 UAP 的方向。

算法 2 一种基于 PCA 的 UAP 生成方法

图 3 研究了算法 2 的性能，它说明了 VT-CNN2 相对于 PSR 的准确性，对于我们提出的 UAP 攻击，在文献中提出的 UAP 攻击，以及干扰攻击。为了在干扰攻击中，敌方产生的高斯噪声与数据点具有相同的均值，与 UAP 攻击具有相同的功率。注意，算法 2 提供了比文献更高的欺骗率。此外，即使对于非常小的 PSR 值，VT-CNN2 的性能也会显著下降，例如，对于 PSR=−10dB，精度会下降一半。同时也注意到，所提出的 UAP 比经典的干扰攻击要强大得多。

图 3 VT-CNN2 在不同攻击下的准确性

为了强调算法 2 的低计算成本，我们还提出了表 1，该表比较了算法 2 与文献的运行时间，单位为秒，SNR=10dB，N=50。所有的模拟都是在 NVIDIA GeForce GTX 1080 Ti 图形处理单元上使用 TensorFlow 进行的。需要注意的是，随着 PSR 的降低，文献需要更多的时间来制作 UAP，而算法 2 则提供了稳定而高效的计算性能。

表 1 算法 2 的运行时间与文献相比，以秒为单位，SNR=10dB，N=50

(2)UAPs的黑盒攻击与移位不变性

在上一小节中，1)我们假设攻击者完全了解模型 f(，，θ)，2）并且它与发送器同步，即 x 的每个元素受到 r 中相应元素的干扰。下面，我们将展示攻击者如何解决这两个限制。

为了解决第一个问题，我们使用了对抗性例子的可转移性属性。由于这个特性，一个为特定 DNN 制作的对抗性例子也可以欺骗其他不同架构的 DNN，而且概率很高。因此，要为 VT-CNN2 制作一个 UAP，我们首先为一个替代 DNN 创建这样一个 UAP，然后将其应用在 VT-CNN2 上。在这里，我们将 256-1024-1024-1024-512-128-11 全连接多层感知器(MLP)作为我们的替代 DNN，并为其制作一个 UAP。

为了解决第二个问题，我们揭示了制作的 UAPs 的一个有趣的属性，即移位不变性。更准确地说，我们证明了由算法 2 创建的 UAPs 是移位不变的，也就是说，它们的任何循环移位版本都可以骗过 DNN 并导致误分类。

图 4 显示了利用算法 2 设计的两种 UAP 攻击的性能，一种是具有完美知识模型的白盒 UAP 攻击，另一种是随机移位的黑盒 UAP 攻击。对于后一种情况，对前述替代 MLP 进行 UAP 制作(黑盒攻击)，然后对 UAP 进行随机移位(非同步攻击)。给出图 4，注意以下观察。首先，黑盒攻击与白盒攻击的效果差不多。其次，UAP 的任何随机移位版本几乎与原始同步版本一样具有破坏性，因此没有必要进行同步攻击。因此，图 4 显示，我们能够制作出极低功率的 UAP，可以造成严重的误分类，而我们既不需要知道底层 DNN 的模型，也不需要同步攻击。

图 4 对所提出的 UAP 攻击的可转移性和移位不变性进行说明

结论

我们考虑将基于 DL 的算法用于无线电信号分类，并表明这些算法极易受到对抗性攻击。具体来说，我们设计了对 DL 分类器的白盒和黑盒攻击，并证明了它们的有效性。与传统的干扰(攻击者只传输随机噪声)相比，攻击者需要更少的传输功率才能造成误分类。这暴露了基于 DL 的解决方案的一个基本弱点。

考虑到无线传输介质的开放性(广播性质)，我们推测，其他基于 DL 的无线物理层信号处理算法可能会受到相同的安全问题的影响。

致谢

本文由南京大学软件学院 2021 级硕士颜昌粤翻译转述。