CN111368908B - 一种基于深度学习的hrrp无目标对抗样本生成方法 - Google Patents

一种基于深度学习的hrrp无目标对抗样本生成方法 Download PDF

Info

Publication number
CN111368908B
CN111368908B CN202010138302.0A CN202010138302A CN111368908B CN 111368908 B CN111368908 B CN 111368908B CN 202010138302 A CN202010138302 A CN 202010138302A CN 111368908 B CN111368908 B CN 111368908B
Authority
CN
China
Prior art keywords
disturbance
sample
target
samples
neural network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010138302.0A
Other languages
English (en)
Other versions
CN111368908A (zh
Inventor
黄腾
陈湧锋
闫红洋
杨碧芬
姚炳健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou University
Original Assignee
Guangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou University filed Critical Guangzhou University
Priority to CN202010138302.0A priority Critical patent/CN111368908B/zh
Publication of CN111368908A publication Critical patent/CN111368908A/zh
Application granted granted Critical
Publication of CN111368908B publication Critical patent/CN111368908B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Abstract

本发明属于雷达图像识别领域,为基于深度学习的HRRP无目标对抗样本生成方法。包括:利用数据集训练深度神经网络模型,并获得其参数;选取样本并初始化算法参数;对所有的样本类别,基于FGSM算法,采用二分查找方法获得每个类别的扰动缩放因子;在所有类别获得的扰动缩放因子中,选取最小缩放因子,计算该缩放因子对应类别的梯度方向,获得n个样本的无目标细粒度对抗扰动;将无目标细粒度对抗扰动添加至原始样本,生成对抗样本;将n个样本的无目标细粒度对抗扰动聚合,获得无目标通用扰动;将无目标通用扰动添加至任意样本,生成对抗样本。本发明能够获得无目标细粒度扰动和通用扰动,生成相应的对抗样本,提高了雷达目标识别的安全性。

Description

一种基于深度学习的HRRP无目标对抗样本生成方法
技术领域
本发明属于雷达图像识别领域,具体为一种基于深度学习的HRRP无目标对抗样本生成方法。
背景技术
基于深度学习的雷达目标识别算法,具有端对端特征学习的优势,能有效地提高目标识别率,成为雷达目标识别的一类重要方法。但是,最近的研究表明,基于深度学习的光学图像识别方法容易受到对抗样本的对抗攻击。对抗样本的存在表明深度学习方法存在极大的安全隐患。
深度学习的端到端和自动特征学习的优势,为基于HRRP的目标识别提供了一类方法,在实际应用中取得了很好的效果。例如,Jarmo Lunden等人在2016年的IEEE Radar会议上发表了论文《Deep Learning for HRRP-based target recognition in multistaticradar systems》,提出了一种基于深度卷积神经网络的方法,利用卷积神经网络的自动特征提取功能代替传统的手工特征提取方式,降低了特征提取的难度,并提高了识别率。
然而,深度学习方法很容易受到对抗攻击。Szegedy等人在2013年发表论文《Intriguing properties of neural networks》,首次发现了一个“反直觉”的现象,攻击者通过人为设计一种在视觉上不易于察觉的干扰信息注入输入样本,使输入样本具有攻击性。它可以使基于深度学习方法的目标识别系统,以高置信度输出攻击者想要的任意错误结果。随着技术的发展,对抗样本在光学图像中的生成和应用方面不断得到发展,但是,XieC等人在2017年Proceedings of the IEEE International会议上发表了论文《Adversarial examples for semantic segmentation and object detection》,表示对抗样本的生成机理和防御依然没有得到解决。由此引起了其他应用深度学习技术领域的关注。例如,在无线电传播上,Meysam等人在2018年的IEEE Wireless CommunicationsLetters期刊上发表论文《Adversarial attacks on deep-learning based radio signalclassification》,提出了生成白盒和通用黑盒对抗样本的方法,证明了对抗样本对分类器分类性能的破坏性很大,表明了基于深度学习算法的无线电信号分类是非常容易受到攻击的。然而,基于雷达一维距离像的目标识别是否存在对抗样本依然是一个开放性的问题,目前暂未发现相关研究的文献。
因此,本发明在基于深度学习的一维雷达距离像目标识别下,生成无目标对抗样本,将可以为提高雷达目标识别安全性提供帮助,具有重要的研究意义和迫切的实际需求。
发明内容
为了解决现有技术所存在的问题,本发明提供一种基于深度学习的HRRP无目标对抗样本生成方法,该方法能够获得无目标细粒度扰动和通用扰动,生成相应的对抗样本,为对抗样本的生成机理和防御方法提供思路和帮助,提高了雷达目标识别的安全性,具有重要的现实应用价值。
本发明采用以下技术方案来实现,基于深度学习的HRRP无目标对抗样本生成方法,包括以下步骤:
S1、利用数据集训练深度神经网络模型,并获得深度神经网络模型的参数;
S2、选取样本并初始化算法参数;
S3、对所有的样本类别,基于FGSM算法,采用二分查找方法获得每个类别的扰动缩放因子;
S4、在所有类别获得的扰动缩放因子中,选取最小缩放因子,计算该缩放因子对应类别的梯度方向,获得n个样本的无目标细粒度对抗扰动;
S5、将无目标细粒度对抗扰动添加至原始样本,生成对抗样本;
S6、将n个样本的无目标细粒度对抗扰动聚合,获得无目标通用扰动;
S7、将无目标通用扰动添加至任意样本,生成对抗样本。
从以上技术方案可知,本发明通过选取几个样本采用二分查找方法搜索合适的缩放因子以及计算损失函数的梯度的方法来生成无目标细粒度扰动,然后将这些细粒度扰动聚合,获得无目标通用扰动;与现有技术相比,本发明具有如下优点和有益效果:
1、本发明在生成细粒度扰动的过程中使用二分查找法来获得缩放因子,改进了FGSM算法中手工设定缩放因子的缺点,避免了手工设定导致生成的对抗样本容易被检测的缺陷,提高了雷达目标识别的安全性,具有重要的现实应用价值。
2、本发明提出了对HRRP生成无目标对抗样本的方法,能够有效攻击深度神经网络模型,使其错误识别,解决了现有技术存在着深度学习方法的神经网络分类模型易受到对抗攻击的鲁棒性与安全问题。
3、本发明采用针对HRRP生成无目标细粒度对抗扰动的方法是基于FGSM算法,具有计算效率高的特点;最终生成的无目标通用对抗扰动对整个数据集具有泛化能力,能够根据原始样本大批量快速生成对抗样本。
附图说明
图1是本发明生成无目标对抗扰动的流程图;
图2是深度神经网络模型的结构示意图;
图3是本发明生成细粒度扰动获得特定样本的对抗样本的攻击实验效果图;
图4是本发明生成通用扰动获得对抗样本的攻击实验效果图。
具体实施方式
为使本发明的目的、技术方案更加清楚明白,以下结合附图及实施例对本发明进行详细说明;所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例
本发明针对深度学习方法存在的易受到对抗样本攻击的问题,提出一种对HRRP生成无目标攻击对抗样本的方法。其中,通过二分查找法解决了FGSM算法中扰动的系数选择问题,通过聚合的方法生成了通用的扰动。本发明相关的一些基本概念为:
1.深度神经网络:深度神经网络是指多层的神经网络,它是机器学习领域中一种技术。它的特点是,隐藏层节点的输入是上一层网络的输出加上偏置,各个隐藏层节点计算它的带权输入均值,隐藏层节点的输出是非线性激活函数的运算结果,同时,多层神经网络的好处是能够用较少的参数表示复杂的函数。
2.对抗样本:对抗样本指的是攻击者在输入样本中注入一些微小的、难以察觉的扰乱,从而导致深度学习方法给出一个错误输出的一类样本。
3.FGSM:FGSM的全称是Fast Gradient Sign Method(快速梯度符号法),它通过求出模型对输入的梯度,然后用符号函数得到其具体的梯度方向,接着乘以一个步长,得到的“扰动”加在原来的输入上就得到了FGSM攻击下的对抗样本。其攻击表达式如下:
式中,ε为FGSM算法的扰动缩放因子,sign(·)为符号函数,J(·)为损失函数。
4.二分查找方法:通过设定待定参数的最大值、最小值以及期望精度,在未满足期望精度的条件下,不断通过二分法缩小范围,直到达到期望精度的值。
如图1所示,本发明无目标对抗样本生成方法,针对基于深度学习的HRRP目标识别方法可能存在的易受到对抗攻击的问题,对HRRP生成对抗样本,攻击深度神经网络模型分类器,导致分类器识别错误;具体包括以下步骤:
一、生成无目标细粒度扰动。
S1、利用数据集训练一个深度神经网络模型,并获得深度神经网络模型的参数;
本实施例中,深度神经网络模型如图2所示,为MLP模型。
S2、选取n个样本并初始化算法参数;
本实施例采用美国DARPA/AFRL提供的实测地面静止与运动目标(MSTAR)数据作数据集,设定生成通用扰动选取的样本数n为10;从数据集中随机选取n个样本{x1,x2,……,xn},设定通用扰动的约束条件PSR[dB]。
S3、对所有的样本类别,基于FGSM算法,采用二分查找方法获得每个类别的扰动缩放因子;
本实施例中,对FGSM算法所生成的扰动缩放因子进行选择,选择过程中采用二分查找方法不断缩小分区范围,直到获得每个类别对应的符合期望精度的扰动缩放因子。由于扰动的生成基于FGSM算法,因而计算效率高。此外,使用二分查找法来获得缩放因子,改进了FGSM算法中手工设定缩放因子的缺点,避免了手工设定导致生成的对抗样本容易被检测的缺陷。
S4、在所有类别获得的扰动缩放因子中,选取最小缩放因子,计算该缩放因子对应类别的梯度方向,获得n个样本的无目标细粒度对抗扰动;
本步骤可以利用神经网络反向传播以及符号函数计算最小缩放因子所对应类别的交叉熵损失函数的梯度方向,将最小缩放因子乘上该梯度方向,获得样本的细粒度扰动;
设数据集中样本的类别数为cls(可取值为10),对选取的n个样本,针对每个类别,基于FGSM算法,利用神经网络反向传播以及符号函数计算相应类别的交叉熵损失函数的梯度方向pnorm。然后,在给定的范围内,分别采用二分查找算法寻找每个类别中合适的扰动缩放因子ε使得计算得到的对抗扰动(细粒度扰动)p=ε*pnorm能够使神经网络模型误分类;若通过二分查找算法找不到合适的扰动缩放因子,则将缩放因子取值为给定范围的最大值,从而得到了cls个扰动缩放因子{ε12,…,εcls}。
得到cls个目标类别的缩放因子后,计算所有目标类别的缩放因子中最小值εmin以及该目标类别的梯度方向pnorm,此时,通过公式p=εmin*pnorm计算得到所选样本的无目标的细粒度对抗扰动p。
S5、将无目标细粒度对抗扰动添加至原始样本,生成对抗样本。
即将细粒度对抗扰动p添加到原始的HRRP数据中即可得到该HRRP的对抗样本xddv=x+p。
二、生成无目标通用扰动。
S6、通过步骤一中的步骤S2-S4,选取n个样本生成对应的细粒度扰动;将n个样本的无目标细粒度对抗扰动聚合,获得无目标通用扰动。
本步骤中,首先设定通用扰动的功率,再基于设定的通用扰动的功率,对n个样本的无目标细粒度扰动聚合;如果聚合过程中得到的通用扰动的功率超过设定通用扰动功率,则将聚合得到的通用扰动功率约束到与设定通用扰动功率同等大小。
本步骤为了能够根据原始样本大批量快速生成对抗样本,对步骤S2选取的n个样本分别生成无目标细粒度对抗扰动,然后将这些无目标细粒度对抗扰动在给定约束条件PSR下进行聚合,获得给定扰动量的具有泛化能力的通用对抗扰动UAP。也就是说,本步骤生成的扰动对整个数据集具有泛化能力,能够根据原始样本大批量快速生成对抗样本。
S7、将通用扰动添加至任意样本,生成对抗样本。
本步骤将通用扰动添加至任意样本,即以较高的成功率快速地对数据集中任意的样本生成具有攻击性的对抗样本xadv=x+UAP。
对本发明方法进行实验验证如下:
验证实验一:选取少量样本采用上述步骤S1-S3生成细粒度扰动,获得对抗样本;再利用这些对抗样本攻击MLP模型,实验效果如图3所示。本验证实验具体如下:
(1)选取50个样本,基于FGSM算法、二分查找算法,分别生成对抗扰动,然后分别添加对抗扰动到原始样本中,以获得50个对抗样本。
(2)用得到的50个对抗样本攻击MLP模型,并与设定不同缩放因子的FGSM算法生成的对抗样本比较,得到对抗样本的攻击成功率。从图3可知,本发明方法相较于传统的FGSM算法,具有稳定的、较高的误识别率,提高了雷达目标识别的安全性。
验证实验二:采用本发明方法生成的通用对抗扰动UAP,对数据集的每个样本生成对抗样本。再利用这些对抗样本攻击MLP模型,实验效果如图4所示。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。

Claims (5)

1.一种基于深度学习的一维雷达距离像目标识别方法,其特征在于,所述目标识别方法包括HRRP无目标对抗样本生成的步骤,其特征在于,所述HRRP无目标对抗样本生成的步骤包括以下步骤:
S1、利用数据集训练深度神经网络模型,并获得深度神经网络模型的参数;
S2、选取样本并初始化算法参数;
S3、对所有的样本类别,基于FGSM算法,采用二分查找方法获得每个类别的扰动缩放因子;
S4、在所有类别获得的扰动缩放因子中,选取最小缩放因子,计算该缩放因子对应类别的梯度方向,获得n个样本的无目标细粒度对抗扰动;
S5、将无目标细粒度对抗扰动添加至原始样本,生成对抗样本;
S6、将n个样本的无目标细粒度对抗扰动聚合,获得无目标通用扰动;
S7、将无目标通用扰动添加至任意样本,生成对抗样本;
步骤S1将实测地面静止与运动目标MSTAR数据作数据集,设定生成通用扰动选取的样本数n,从数据集中随机选取n个样本,设定通用扰动的约束条件PSR;
步骤S3中,对FGSM算法所生成的扰动缩放因子进行选择,选择过程中采用二分查找方法不断缩小分区范围,直到获得每个类别对应的符合期望精度的扰动缩放因子;
步骤S4中,利用神经网络反向传播以及符号函数计算最小缩放因子所对应类别的交叉熵损失函数的梯度方向,将最小缩放因子乘上该梯度方向,获得样本的细粒度扰动;
设数据集中样本的类别数为cls,对选取的n个样本,针对每个类别,基于FGSM算法,利用神经网络反向传播以及符号函数计算相应类别的交叉熵损失函数的梯度方向pnorm;然后,在给定范围内,分别采用二分查找算法寻找每个类别的扰动缩放因子ε使得计算得到的细粒度扰动p=ε*pnorm能够使深度神经网络模型误分类;若通过二分查找算法找不到扰动缩放因子,则将扰动缩放因子取值为给定范围的最大值,从而得到了cls个扰动缩放因子{ε12,…,εcls};
得到cls个类别的扰动缩放因子后,计算所有类别的扰动缩放因子中最小值εmin以及该类别的梯度方向pnorm;通过公式p=εmin*pnorm计算得到所选样本的无目标的细粒度对抗扰动p。
2.根据权利要求1所述的一维雷达距离像目标识别方法,其特征在于,步骤S6中,首先设定通用扰动的功率,再基于设定的通用扰动的功率,对n个样本的无目标细粒度扰动聚合。
3.根据权利要求2所述的一维雷达距离像目标识别方法,其特征在于,步骤S6中,如果聚合过程中得到的通用扰动的功率超过设定通用扰动功率,则将聚合得到的通用扰动功率约束到与设定通用扰动功率同等大小。
4.根据权利要求1所述的一维雷达距离像目标识别方法,其特征在于,步骤S6中,对步骤S2选取的n个样本分别生成无目标细粒度对抗扰动,然后将这些无目标细粒度对抗扰动在给定约束条件PSR下进行聚合,获得给定扰动量的具有泛化能力的通用对抗扰动。
5.根据权利要求1所述的一维雷达距离像目标识别方法,其特征在于,步骤S1中的深度神经网络模型为MLP模型。
CN202010138302.0A 2020-03-03 2020-03-03 一种基于深度学习的hrrp无目标对抗样本生成方法 Active CN111368908B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010138302.0A CN111368908B (zh) 2020-03-03 2020-03-03 一种基于深度学习的hrrp无目标对抗样本生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010138302.0A CN111368908B (zh) 2020-03-03 2020-03-03 一种基于深度学习的hrrp无目标对抗样本生成方法

Publications (2)

Publication Number Publication Date
CN111368908A CN111368908A (zh) 2020-07-03
CN111368908B true CN111368908B (zh) 2023-12-19

Family

ID=71208446

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010138302.0A Active CN111368908B (zh) 2020-03-03 2020-03-03 一种基于深度学习的hrrp无目标对抗样本生成方法

Country Status (1)

Country Link
CN (1) CN111368908B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112949822B (zh) * 2021-02-02 2023-08-04 中国人民解放军陆军工程大学 一种基于双重注意力机制的低感知性对抗样本构成方法
CN114861893B (zh) * 2022-07-07 2022-09-23 西南石油大学 一种多通路聚合的对抗样本生成方法、系统及终端

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105141604A (zh) * 2015-08-19 2015-12-09 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统
CN109948658A (zh) * 2019-02-25 2019-06-28 浙江工业大学 面向特征图注意力机制的对抗攻击防御方法及应用
CN110516695A (zh) * 2019-07-11 2019-11-29 南京航空航天大学 面向医学图像分类的对抗样本生成方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105141604A (zh) * 2015-08-19 2015-12-09 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统
CN109948658A (zh) * 2019-02-25 2019-06-28 浙江工业大学 面向特征图注意力机制的对抗攻击防御方法及应用
CN110516695A (zh) * 2019-07-11 2019-11-29 南京航空航天大学 面向医学图像分类的对抗样本生成方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于卷积神经网络的高分辨距离像目标识别;杨予昊;孙晶明;虞盛康;彭雄伟;;现代雷达(12);第28-32页 *

Also Published As

Publication number Publication date
CN111368908A (zh) 2020-07-03

Similar Documents

Publication Publication Date Title
CN111291828B (zh) 一种基于深度学习的hrrp对抗样本黑盒攻击方法
Huang et al. Adversarial attacks on deep-learning-based SAR image target recognition
CN111368725B (zh) 一种基于深度学习的hrrp有目标对抗样本生成方法
Wu et al. Misinformation in social media: definition, manipulation, and detection
Ali et al. Hybrid intelligent phishing website prediction using deep neural networks with genetic algorithm‐based feature selection and weighting
Yang et al. Phishing website detection based on multidimensional features driven by deep learning
Huang et al. Adversarial attacks on deep-learning-based radar range profile target recognition
CN111368908B (zh) 一种基于深度学习的hrrp无目标对抗样本生成方法
Dong et al. Recognition of imbalanced underwater acoustic datasets with exponentially weighted cross-entropy loss
CN111222133A (zh) 一种工控网络入侵检测的多级自适应耦合方法
CN111242166A (zh) 一种通用对抗扰动生成方法
Qiu et al. An adaptive social spammer detection model with semi-supervised broad learning
Makkar et al. PROTECTOR: An optimized deep learning-based framework for image spam detection and prevention
CN111178504B (zh) 基于深度神经网络的鲁棒压缩模型的信息处理方法及系统
CN114708479B (zh) 一种基于图结构和特征的自适应防御方法
Feng et al. A phishing webpage detection method based on stacked autoencoder and correlation coefficients
Li et al. Feature selection‐based android malware adversarial sample generation and detection method
CN115907029A (zh) 面向联邦学习投毒攻击的防御方法及系统
Shah et al. Robust approach for AMC in frequency selective fading scenarios using unsupervised sparse‐autoencoder‐based deep neural network
Ren et al. Query-efficient label-only attacks against black-box machine learning models
Ahsan et al. Network intrusion detection using machine learning approaches: Addressing data imbalance
CN117272195A (zh) 基于图卷积注意力网络的区块链异常节点检测方法及系统
Jang et al. Teacher–Explorer–Student Learning: A Novel Learning Method for Open Set Recognition
Yu et al. Adversarial samples generation based on rmsprop
CN115620100A (zh) 一种基于主动学习的神经网络黑盒攻击方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant