CN112488023A - 基于梯度扰动的电磁信号智能识别系统诱骗方法 - Google Patents

Abstract

本发明提供了一种基于梯度扰动的电磁信号智能识别系统诱骗方法，采用梯度扰动技术进行非定向诱骗和定向诱骗，构造两种类型的电磁信号对抗样本，并通过调节扰动因子的大小控制扰动的幅度，观察不同参数下对抗样本的隐蔽性效果和对电磁信号智能识别系统的诱骗结果。本发明提出了面向电磁信号的对抗诱骗，利用基于梯度扰动的方法，同时采用定向诱骗和非定向诱骗，实现了高效、隐蔽的在电磁信号上添加微小的扰动，简单且高效的生成对抗样本，诱骗成功率高，使得智能识别系统的识别准确率与可靠性大幅下降。

Description

基于梯度扰动的电磁信号智能识别系统诱骗方法

技术领域

本发明涉及电磁信号传输领域的可靠性和安全性问题，尤其是一种面向电磁信号智能识别系统，采用梯度扰动技术进行非定向诱骗和定向诱骗，在仅对原始样本做微小扰动的情况下，使得电磁信号智能识别系统的识别准确率与可靠性大幅下降。

背景技术

在复杂的信号环境下实现电磁行为智能感知与威胁自主识别是目前的一个重要研究方向。通过对电磁信号的感知与识别，能够反演无线电应用的意图，监测其应用的合法性，在机场、边境等重点区域及重大活动现场的电磁信号监管，具有重要的现实意义和迫切需求。近年来，以深度学习为典型代表的人工智能技术飞速发展，特征可以通过神经网络根据训练数据自动学习，并将训练完成的网络用于分类识别任务，逐渐成为新一轮产业革命的引擎。随着深度学习技术在智能电磁频谱感知中的深度融合应用，对电磁信号波形、调制参数等信息的识别准确率显著提高，并具有识别准确率高、实时性高等特点。

虽然深度神经网络在电磁信号识别任务上发挥了很大的作用，但是深度学习模型内在的“不成熟性”导致其容易受到对抗诱骗，导致模型错误分类，造成了严重的安全隐患。对于智能电磁信号识别系统，通过添加人眼无法察觉的噪声信息，使得对抗样本和原始样本存在微弱的差异，破坏了深度学习模型的高识别准确率和泛化推理性能，使得应用机器学习的产品可靠性降低。考虑到电磁信号的开放性和广延性，一旦被诱骗，将会对国家无线电安全造成较大的威胁。

发明内容

为了克服现有技术的不足，本发明提供一种基于梯度扰动的电磁信号智能识别系统诱骗方法。为了更好地评估电磁信号智能识别系统的鲁棒性和安全性，本发明提出了基于梯度扰动的电磁信号智能识别系统诱骗方法，通过生成虚假的电磁信号样本，快速、高效的对电磁信号智能识别系统进行对抗诱骗。

本发明创新性地提出面向电磁信号智能识别系统的对抗诱骗方法，采用梯度扰动技术进行非定向诱骗和定向诱骗，构造两种类型的电磁信号对抗样本。本发明基于电磁信号智能识别系统，使用电磁信号数据集训练基于深度学习的神经网络模型，通过在原始样本时域上添加微小的扰动，构造对抗样本诱骗神经网络模型。扰动的生成是通过求解损失函数的梯度，同时引入符号函数使得扰动同梯度变化方向一致，确保对抗样本能够最大程度的影响识别模型，并通过调节扰动因子的大小控制扰动的幅度，观察不同参数下对抗样本的隐蔽性效果和对电磁信号智能识别系统的诱骗结果。对于不同信噪比下的同种调制方式的输入信号，信噪比越低，识别准确率越低，生成的扰动越隐蔽；对于同一信噪比下的同种调制方式的输入信号，扰动因子越大，识别准确率越低，生成的扰动越明显。本发明高效、隐蔽的在电磁信号上添加微小的扰动，通过生成虚假的电磁信号样本，使得智能识别系统的识别准确率大幅下降，实现了快速、高效的对电磁信号智能识别系统进行对抗诱骗。

本发明解决其技术问题所采用的技术方案是包括如下步骤：

步骤一：搭建电磁信号智能识别系统；

电磁信号智能识别系统的输入使用电磁信号数据集，数据集大小为M×2×N，其中M表示样本总数，N表示采样点数，每个原始样本是一个2×N的矩阵，其中第一行是实部，第二行是虚部；每个原始样本对应有信噪比和调制方式两个标签，将数据集划分为训练集和测试集，其中训练集的比例在50％到80％之间，利用训练集对搭建好的神经网络进行训练学习，训练好的神经网络将不同信噪比的原始样本识别出对应的调制方式；

步骤二：生成扰动；

对抗诱骗分为非定向诱骗和定向诱骗两种模式，非定向诱骗不指定诱骗后的类别，只要求达到诱骗网络的目的，定向诱骗指定诱骗结果的类别，使得模型将对抗样本错误地识别为指定的类别；

损失函数用来衡量电磁信号智能识别系统的预测标签与真实标签之间的差距，交叉熵损失函数的定义如下：

其中J(·)为交叉熵损失函数，x表示原始样本，y表示原始样本对应的真实标签，y_i表示真实标签，y′_i是x经过网络模型的预测值；

步骤三：生成对抗样本；

将生成的非定向诱骗扰动η或定向诱骗扰动η添加到原始样本x上，当加入非定向诱骗扰动或定向诱骗扰动后的原始信号，使得电磁信号智能识别系统判别出和真实信号不一致的调制方式时，即认为诱骗成功，生成对抗样本x：

其中，

为对抗样本；

对于非定向诱骗，模型将对抗样本错误识别成除正确类别以外的其他任何一个类别都算诱骗成功，那么只需要损失函数的值尽可能大来达到这个目标，因此需要在原始样本中加上计算得到的扰动，这样对抗样本经过识别网络时的损失值就比原始样本经过识别网络时的损失值要大，模型预测正确的概率变小了，也就达到了诱骗的目的。

对于定向诱骗，与非定向诱骗相反，希望模型能将对抗样本识别为指定的定向诱骗目标标签，因此需要在原始样本中减去得到的扰动，这样就能使得损失值越来越小，从而模型预测为定向标签的概率越来越大。

步骤四：分别取对抗样本与原始样本的实部和虚部，绘制原始样本与对抗样本实部和虚部的对比曲线，并通过求解均方根误差衡量对抗诱骗前后电磁信号实部和虚部的变化情况，均方根误差为：

其中，N表示样本总数，x表示原始样本，x表示对抗样本；

步骤五：将生成的非定向诱骗对抗样本和定向诱骗对抗样本输入到步骤一中的神经网络模型，得到模型识别对抗样本的准确率；

步骤六：根据选择的非定向诱骗或定向诱骗，将对应的参数进行调整；

(1)对于非定向诱骗，设置非定向扰动因子ε初始值和迭代步长，逐步增大非定向诱骗扰动η，当加入非定向诱骗扰动的原始样本使得电磁信号智能识别系统将原始样本对应的真实标签y识别为除y以外的其他值，停止迭代，诱骗成功；对于同一原始样本，通过调整ε的大小，由步骤四和步骤五得到不同的均方根误差和识别准确率；

(2)对于定向诱骗，指定定向诱骗目标标签为y，通过设置定向扰动因子ε_t初始值和迭代步长，逐步增大定向诱骗扰动η，当加入定向诱骗扰动的原始样本使得电磁信号智能识别系统的识别结果为定向诱骗目标标签为y时，停止迭代，诱骗成功；对于同一原始样本，指定不同的y，当诱骗成功时，得到相应的ε_t的大小，由步骤四和步骤五得到不同的均方根误差和识别准确率。

通过均方根误差和识别准确率可以衡量基于梯度扰动的对抗样本的质量。均方根误差可以说明扰动的大小，反映了扰动的隐蔽程度，均方根误差越小，说明扰动越隐蔽，越不易被察觉；识别准确率反映了对抗样本的诱骗效果，对抗样本的识别准确率越低，说明对抗样本的诱骗效果越好；

步骤七：将对抗样本用于电磁信号智能识别系统的训练，提高电磁信号智能识别系统的鲁棒性，对电磁信号智能识别系统起到防御作用。

所述步骤二中，选择非定向诱骗或定向诱骗模式下不同的扰动为：

(1)非定向诱骗；

求解关于损失函数的梯度▽_xJ(x,y)，使用符号函数确定梯度扰动的方向，得sign(▽_xJ(x,y))，通过设置非定向扰动因子的大小控制扰动的幅值，并考虑到扰动的隐蔽性，设置非定向扰动因子从0.05开始，并以步长0.05进行增加，最终获得的非定向诱骗扰动η为：

η＝ε·sign(▽_xJ(x，y)) (2)

其中J(·)表示非定向诱骗的损失函数，x表示原始样本，y表示原始样本对应的真实标签，sign表示符号函数，ε为非定向诱骗的扰动因子；

(2)定向诱骗

求解关于损失函数的梯度▽_xJ_t(x,y)，使用符号函数确定梯度扰动的方向，得到sign(▽_xJ_t(x,y))，通过设置定向扰动因子的大小控制扰动的幅值，并考虑到扰动的隐蔽性，设置定向扰动因子从0.05开始，并以步长0.05进行增加，最终获得的定向诱骗扰动η为：

η＝ε_t·sign(▽_xJ_t(x,y)) (3)

其中J_t(·)表示定向诱骗的损失函数，y表示定向诱骗目标标签(y≠y)，ε_t是定向诱骗的扰动因子；

所述ε初始值为0.05。

所述迭代步长为0.05。

本发明的有益效果在于提出了面向电磁信号的对抗诱骗，利用基于梯度扰动的方法，同时采用定向诱骗和非定向诱骗，实现了高效、隐蔽的在电磁信号上添加微小的扰动，简单且高效的生成对抗样本，诱骗成功率高，使得智能识别系统的识别准确率与可靠性大幅下降。

附图说明

图1是本发明的诱骗方法实现流程。

图2是本发明所用的智能电磁信号识别系统的网络模型结构。

图3是非定向诱骗的结果。原始样本的调制方式y＝QAM64，图中绘出了非定向诱骗下原始样本与对抗样本实部和虚部的对比曲线。图3(a)是信噪比SNR＝－10dB，扰动因子ε＝0.15条件下的曲线。图3(b)是信噪比SNR＝10dB，扰动因子ε＝0.5条件下的曲线。图3(c)是信噪比SNR＝10dB，扰动因子ε＝1.0条件下的曲线。图3(d)是信噪比SNR＝10dB，扰动因子ε＝1.5条件下的曲线。

图4是定向诱骗的结果。原始样本的调制方式y＝QAM64，图中绘出了定向诱骗下原始样本与对抗样本实部和虚部的对比曲线。图4(a)是信噪比SNR＝－10dB，定向诱骗目标标签y＝QAM16，扰动因子ε_t＝0.15条件下的曲线。图4(b)是信噪比SNR＝10dB，定向诱骗目标标签y＝QAM16，扰动因子ε_t＝0.70条件下曲线。图4(c)是信噪比SNR＝10dB，定向诱骗目标标签y＝PAM4，扰动因子ε_t＝2.60条件下的曲线。图4(d)是信噪比SNR＝10dB，定向诱骗目标标签y＝CPFSK，扰动因子ε_t＝2.65条件下的曲线。

图5为识别准确率的柱状图，其中图5(a)为信噪比SNR＝－10dB的QAM64，非定向诱骗扰动因子ε＝0.15、定向诱骗目标标签y＝QAM16情况下识别准确率的柱状图，图5(b)和信噪比SNR＝10dB的QAM64，非定向诱骗扰动因子ε＝0.70、定向诱骗目标标签y＝QAM16情况下识别准确率的柱状图。

具体实施方式

下面结合附图和实施例对本发明进一步说明。

以下实施过程如图1所示。

基于电磁信号的对抗诱骗算法的具体步骤如下：

步骤一：搭建电磁信号智能识别系统。

本发明中使用的数据集是DeepSig公司公开的调制信号数据集RML2016.04C。数据集中共有162060个数据样本，包含8种数字调制和3种模拟调制两大类调制方式。在11种调制方式中，每种调制方式的样本都具有不同的信噪比SNR，从－20dB到18dB，间隔2dB，共有20种不同的信噪比，每个样本有两路数据，每路信号包含128个采样点。由于电磁信号中通常采用复数的表达，而在机器学习的框架中并不支持复数，因此数据的保存是通过组成一个2×128的矩阵，数据集大小是162060×2×128。

电磁信号智能识别系统共有三层网络结构，神经元个数分别为512、135、11，采用Relu激活函数，有效避免了训练模型过程中出现梯度消失和梯度爆炸现象，全连接层之间为避免过拟合采用了Dropout，输出层使用Softmax分类函数，神经网络结构可见图2。将数据集以1：1的比例划分为测试集和训练集，大小为81030×2×128，并使用训练集训练神经网络，训练好的神经网络能够将指定信噪比的原始样本识别出对应的调制方式。

步骤二：生成扰动。

本发明采用的损失函数的如下：

其中i＝11，x表示原始样本，y表示真实标签，y′_i表示电磁信号智能识别系统输出的概率分布。

(1)非定向诱骗

非定向诱骗扰动η为：

η＝ε·sign(▽_xJ(x，y)) (7)

其中J(·)表示非定向诱骗的损失函数，x为SNR＝－10dB的原始样本，y＝QAM64，ε＝0.15。

(2)定向诱骗

定向诱骗扰动η为：

η＝ε_t·sign(▽_xJ_t(x,y)) (8)

其中J_t(·)表示定向诱骗的损失函数，x为SNR＝－10dB的原始样本，y＝QAM64，y＝QAM16，ε_t＝0.15。

步骤三：生成对抗样本。

将生成的非定向诱骗扰动η或定向诱骗扰动η添加到原始样本x上，当加入非定向诱骗扰动或定向诱骗扰动后的原始信号能诱骗电磁信号智能识别系统给出错误的识别结果时，即生成对抗样本x。

其中，

为对抗样本。

步骤四：分别取对抗样本x与原始样本x的实部和虚部，绘制原始样本与对抗样本实部和虚部的对比曲线，并通过求解均方根误差来衡量对抗诱骗前后电磁信号实部和虚部的变化情况，均方根误差为：

其中，N＝128，绘制曲线分别如图3(a)和图4(a)所示，均方根误差可见表1、表2。

步骤五：将生成的非定向诱骗对抗样本和定向诱骗对抗样本输入到训练好的神经网络模型，得到模型识别对抗样本的相应准确率，具体结果可见表1、表2。

步骤六：参数的调整。

(1)非定向诱骗

ε初始值为0.05，迭代步长为0.05。x为SNR＝10dB下的原始样本，y＝QAM64，诱骗成功时，ε分别取0.5、1.0、1.5，生成的对抗样本经过步骤四、步骤五得到结果可见图3(b)、图3(c)、图3(d)和表1。

表1显示了对抗诱骗前后原始样本和对抗样本的识别准确率和对抗诱骗成功时扰动因子的大小，均方根误差用来衡量扰动的大小和隐蔽程度。

表1非定向诱骗

(2)定向诱骗

ε_t初始值为0.05，迭代步长为0.05。x为SNR＝10dB下的原始样本，y＝QAM64，y分别取QAM16、AM-DSB、WBFM，诱骗成功时，ε_t分别取0.70、2.60、2.65，生成的对抗样本经过步骤四、步骤五得到结果可见图4(b)、图4(c)、图4(d)和表2。

表2显示了对抗诱骗前后原始样本和对抗样本的识别准确率和定向诱骗成功时扰动因子的大小，均方根误差用来衡量扰动的大小和隐蔽程度。

表2定向诱骗

对于非定向诱骗，从图3(a)和图3(b)两张图可以看出，低信噪比的情况下，相对较小的ε即可对抗诱骗成功，扰动的隐蔽性很好。从图3(c)和图3(d)可以看出，非定向扰动因子ε越大，干扰越明显，隐蔽性越差。对于定向诱骗，虽然指定了诱骗后的识别类型，但仍符合低信噪比情况下以低扰动因子实现定向诱骗，如表2所示，ε_t分别为0.15和0.70，可见图4(a)和图4(b)，显然图4(a)的扰动隐蔽性更好。当指定不同的定向诱骗类别时，具体所需要的扰动因子的大小取决于原始信号被神经网络错误识别为定向诱骗类别的概率。图5(a)给出了SNR＝－10dB的QAM64，非定向诱骗ε＝0.15、定向诱骗y＝QAM16情况下识别准确率的柱状图，图5(b)为SNR＝10dB的QAM64，非定向诱骗ε＝0.70、定向诱骗y＝QAM16情况下识别准确率的柱状图，可直观看到诱骗后生成的对抗样本识别准确率下降。

Claims (4)

1.一种基于梯度扰动的电磁信号智能识别系统诱骗方法，其特征在于包括下述步骤：

步骤一：搭建电磁信号智能识别系统；

电磁信号智能识别系统的输入使用电磁信号数据集，数据集大小为M×2×N，其中M表示样本总数，N表示采样点数，每个原始样本是一个2×N的矩阵，其中第一行是实部，第二行是虚部；每个原始样本对应有信噪比和调制方式两个标签，将数据集划分为训练集和测试集，其中训练集的比例在50％到80％之间，利用训练集对搭建好的神经网络进行训练学习，训练好的神经网络将不同信噪比的原始样本识别出对应的调制方式；

步骤二：生成扰动；

对抗诱骗分为非定向诱骗和定向诱骗两种模式，非定向诱骗不指定诱骗后的类别，只要求达到诱骗网络的目的，定向诱骗指定诱骗结果的类别，使得模型将对抗样本错误地识别为指定的类别；

损失函数用来衡量电磁信号智能识别系统的预测标签与真实标签之间的差距，交叉熵损失函数的定义如下：

其中J(·)为交叉熵损失函数，x表示原始样本，y表示原始样本对应的真实标签，y_i表示真实标签，y′_i是x经过网络模型的预测值；

步骤三：生成对抗样本；

将生成的非定向诱骗扰动η或定向诱骗扰动η添加到原始样本x上，当加入非定向诱骗扰动或定向诱骗扰动后的原始信号，使得电磁信号智能识别系统判别出和真实信号不一致的调制方式时，即认为诱骗成功，生成对抗样本x：

其中，

为对抗样本；

步骤四：分别取对抗样本与原始样本的实部和虚部，绘制原始样本与对抗样本实部和虚部的对比曲线，并通过求解均方根误差衡量对抗诱骗前后电磁信号实部和虚部的变化情况，均方根误差为：

其中，N表示样本总数，x表示原始样本，x表示对抗样本；

步骤五：将生成的非定向诱骗对抗样本和定向诱骗对抗样本输入到步骤一中的神经网络模型，得到模型识别对抗样本的准确率；

步骤六：根据选择的非定向诱骗或定向诱骗，将对应的参数进行调整；

(1)对于非定向诱骗，设置非定向扰动因子ε初始值和迭代步长，逐步增大非定向诱骗扰动η，当加入非定向诱骗扰动的原始样本使得电磁信号智能识别系统将原始样本对应的真实标签y识别为除y以外的其他值，停止迭代，诱骗成功；对于同一原始样本，通过调整ε的大小，由步骤四和步骤五得到不同的均方根误差和识别准确率；

(2)对于定向诱骗，指定定向诱骗目标标签为y，通过设置定向扰动因子ε_t初始值和迭代步长，逐步增大定向诱骗扰动η，当加入定向诱骗扰动的原始样本使得电磁信号智能识别系统的识别结果为定向诱骗目标标签为y时，停止迭代，诱骗成功；对于同一原始样本，指定不同的y，当诱骗成功时，得到相应的ε_t的大小，由步骤四和步骤五得到不同的均方根误差和识别准确率。

步骤七：将对抗样本用于电磁信号智能识别系统的训练，提高电磁信号智能识别系统的鲁棒性，对电磁信号智能识别系统起到防御作用。

2.根据权利要求1所述的一种基于梯度扰动的电磁信号智能识别系统诱骗方法，其特征在于：

所述步骤二中，选择非定向诱骗或定向诱骗模式下不同的扰动为：

(1)非定向诱骗；

求解关于损失函数的梯度

使用符号函数确定梯度扰动的方向，得

通过设置非定向扰动因子的大小控制扰动的幅值，并考虑到扰动的隐蔽性，设置非定向扰动因子从0.05开始，并以步长0.05进行增加，最终获得的非定向诱骗扰动η为：

其中J(·)表示非定向诱骗的损失函数，x表示原始样本，y表示原始样本对应的真实标签，sign表示符号函数，ε为非定向诱骗的扰动因子；

(2)定向诱骗

求解关于损失函数的梯度

使用符号函数确定梯度扰动的方向，得到

通过设置定向扰动因子的大小控制扰动的幅值，并考虑到扰动的隐蔽性，设置定向扰动因子从0.05开始，并以步长0.05进行增加，最终获得的定向诱骗扰动η为：

其中J_t(·)表示定向诱骗的损失函数，y表示定向诱骗目标标签(y≠y)，ε_t是定向诱骗的扰动因子。

3.根据权利要求1所述的一种基于梯度扰动的电磁信号智能识别系统诱骗方法，其特征在于：

所述ε初始值为0.05。

4.根据权利要求1所述的一种基于梯度扰动的电磁信号智能识别系统诱骗方法，其特征在于：

所述迭代步长为0.05。

Images