CN113378910B - 一种基于纯净标签的电磁信号调制类型识别的中毒攻击方法 - Google Patents

Abstract

一种基于纯净标签的电磁信号调制类型识别的中毒攻击方法，首先搭建电磁信号分类模型，使电磁信号数据集能以高精度预测识别调制类型；并采用纯净标签的中毒攻击方法，通过寻找与目标样本特征空间相似的样本，生成中毒样本；最后采用前向后分裂迭代法进行优化，生成最优中毒样本后使用迁移学习重新训练分类网络；最终使得分类模型产生误分类，达到中毒攻击效果。本发明提供了一种基于纯净标签的电磁信号调制类型识别的中毒攻击方法，可以在不需要了解训练数据，只需了解训练模型及其参数的情况下进行中毒攻击，并且使得基于训练数据衡量的中毒防御措施无效。

Description

一种基于纯净标签的电磁信号调制类型识别的中毒攻击方法

技术领域

本发明属于深度学习安全领域，涉及一种在电磁信号调制类型识别中采用纯净标签的中毒攻击方法。

背景技术

随着人工智能技术的不断发展,深度学习的研究成果在图像识别、语音识别、无线电调制类型分类等领域得到广泛应用。尽管神经网络有着极高的准确率，但却非常脆弱。因此，通过对深度学习模型进行攻击，进而发现模型存在的漏洞显得异常重要。中毒攻击发生在模型训练阶段,攻击者通过在深度学习模型中嵌入后门触发器。进一步，在测试阶段输入中毒样本时,后门将被触发进行攻击。

针对深度学习模型的中毒攻击包括两个方面：第一：数据中毒，攻击者先对训练部分数据下毒得到中毒数据，将中毒数据与原始数据一起输入模型进行训练，从而产生后门。在测试阶段中，中毒模型对触发样本进行判断时，模型出现分类错误。第二：模型中毒，攻击者直接模型结构和模型参数，修改后的模型能够以极高准确率实现用户要求，但是对于特定目标样本会显示中毒行为。

现阶段，对于中毒数据的生成，一般采用对训练数据的标签进行控制，产生中毒样本。这种方法不仅要求攻击者对原始数据十分了解，而且在中毒训练过程中整个分类器的性能也会受到影响，这在很多情况下很难实现。本发明提出的一种基于纯净标签的中毒攻击方法，不要求攻击者对原始数据的标签有任何的控制，而是利用一种基于优化的中毒样本生成方法，创立一个专属于攻击者的后门，将目标样本错误分类到攻击者选定的类别上，并对于神经网络分类精度和表现没有任何影响。

发明内容

为了克服已有技术的不足，本发明提供了一种基于纯净标签的电磁信号调制类型识别的中毒攻击方法，可以在不需要了解训练数据，只需了解训练模型及其参数的情况下进行中毒攻击，并且使得基于训练数据衡量的中毒防御措施无效。

本发明解决其技术问题所采用的技术方案是：

一种基于纯净标签的电磁信号调制类型识别的中毒攻击方法，含有以下步骤：

1)对电磁信号数据进行预处理：对已有的数据进行标准化处理，同时划分训练集与测试集，根据信号数据类型和特征，构造信号调制分类器；

2)搭建信号神经网络分类模型：利用1D_Resnet深度残差网络搭建电磁信号的神经网络分类模型，加入Softmax分类器，输入训练样本进行模型训练；并根据信号分类准确率评估模型性能，获取电磁信号分类模型的结构和权重参数；

3)获取中毒样本：在测试样本中采样信号样本，获取样本通过网络传播到Softmax分类层的特征输出，即获取样本输入的特征空间的表示；先指定需要攻击的目标样本，再选择需要攻击的类别，从该类别中选择特征表示空间最接近目标的一个样本，将其视为基样本；

4)优化中毒样本：以基样本为起始点，利用Adam优化算法进行迭代生成中毒样本，每次迭代过程中更新信号样本的特征表示空间，最终使目标样本与中毒样本特征表示空间接近，但输入空间几乎不改变；

5)进行中毒攻击：利用迁移学习方法，保留预先训练的特征提取网络，将最终的Softmax分类层进行重新训练，由于目标样本的特征空间与中毒样本特征空间极为相似，使得Softmax层训练时分类决策边界产生旋转，造成目标样本被分类到特定的基类中，最终通过分类结果，统计中毒样本生成成功率和模型攻击效果。

本发明中，对电磁信号数据进行预处理，搭建电磁信号调制类别的分类模型，通过特征空间构造中毒样本，前向后向迭代优化中毒样本，进行迁移学习攻击，旋转网络模型的决策边界。

本发明的有益效果主要表现在：通过纯净标签方法生成中毒样本，获取将中毒样本与目标样本特征空间，并重新训练网络Softmax层。本发明可以在无需改变原始样本的情况下生成中毒样本，实现目标样本的误分类，并使得以衡量原始训练数据的中毒防御措施无效。

附图说明

图1是Residual模块图。

图2是神经网络模型结构图。

图3是整体技术方案框图。

具体实施方式

下面结合附图对本发明作进一步描述。

参照图1～图3，一种基于纯净标签的电磁信号调制类型识别的中毒攻击方法，含有以下步骤：

1)对电磁信号数据进行预处理

将信号数据划分为训练集与测试集，并对信号数据进行标准化，标准化后的信号数据样本与其调制类型的标签分别用X和Z表示，X＝{x₁,x₂,…,x_n}，标准化公式如下：

其中，x_i表示标准化后的信号样本，表示为原始信号样本，n表示信号样本的总数，i为信号数据集中的第i个样本，/>表示信号样本的最小值，/>表示信号样本的最大值。

2)搭建电磁信号分类模型

本发明所使用的信号分类模型为深度残差网络1D_Resnet，网络结构如图1和图2所示。此分类模型主要包含卷积层，池化层，批归一化层和全连接层；

卷积层数学表达式为：

其中Out_c表示卷积层输出的尺寸，即输出卷积层的长度和宽度，N_c表示卷积核的大小，F_c表示输入卷积层尺寸，Pad_c表示padding大小，padding为输入卷积层前张量每条边补充0的层数，str_c表示卷积核移动步长；

池化层数学表达式如下：

其中Out_p表示池化层输出的尺寸，N_p表示池化层输入的尺寸，str_p表示池化滤波器移动步长，F_p表示池化层滤波器尺寸；

将输入向量与经过卷积池化后输出向量进行对应维度进行叠加构成残差单元Residual Stack，残差单元的公式如下：

z＝w₂σ(w₁s)+s (4)

其中σ表示激活函数ReLU，w₁和w₂分别表示单元中两个权重层的权重参数。s表示输入张量，z表示输出张量；；

若模型输入向量为X,则经过第m个残差单元后输出为：

X^(m)＝Residual Stack(X^(m-1)) (5)

其中X⁽⁰⁾＝X，Residual Stack表示残差单元，然后用Flatten函数将残差网络的输出变为一维矩阵输入至全连接层：

Z⁽⁰⁾＝Flatten(X⁽ⁱ⁾) (6)

Z^(l)＝ReLU(W^(l)·Z^(l-1)+c^(l)) (7)

其中i表示残差单元的总个数，Z^(l-1)和Z^(l)分别表示第l个全连接层的输入和输出，这里1≤l≤j-1，j表示全连接层的总数量，W^(l)表示该层的权重矩阵，c^(l)表示该层的偏置矩阵，ReLU为激活函数。

本发明将此模型在150种调制类别的电磁信号数据集上进行训练，使其拥有良好的特征提取能力，并将其作为电磁信号分类任务迁移训练的模板。

3)构造中毒样本，过程如下：

3.1：获取特征空间

将上述电磁信号数据集输入到预训练的分类网络中，保存样本通过分类网络传播至Softmax层之前的全连接层特征输出，并记为特征空间，特征空间的表达式为：

G(x)＝ReLU(W^(j-1)·Z^(j-2)+c^(j-1)) (8)

其中，x表示输入信号样本，G(x)表示样本x的特征输出，即此样本的特征空间,j表示全连接层的总数量，由于特征表示空间层包含高级信号编码特征，表示信号样本在分类决策面上的分布，因此不同调制类型的信号样本特征表示空间有明显差异；

3.2：选择攻击目标样本和基样本

在测试集样本中，选择特定攻击目标类别T和基类别B。目的是通过修改基样本生成中毒样本，加入模型中毒训练后，使得目标类别为T的样本被模型错误分类为基类别B。

首先在标签为T的目标类别中随机选取一个目标样本t_i，再从标签为B的基类别中挑选特征空间最接近目标样本t_i的中毒样本p_i，同时保证中毒样本p_i与基样本b_i不会相差过大，选择公式如下：

其中，G(p)、G(t_i)分别表示中毒样本与目标样本的特征空间。β为超参数，约束中毒样本与基样本间的相似程度，使最终生成的中毒样本p_i不仅特征空间贴近目标样本，其信号本身的特征相对于基样本几乎不改变。

3.3：调整超参数

超参数β的计算表示如下：

β＝β₀×(N/M)² (10)

其中，β₀为初始参数，N表示特征提取层神经元数量，M表示样本输入维度，由此选择的β可根据样本不同的维数自适应调整。

4)前向后向迭代法优化中毒样本

为了优化满足条件的中毒实例，通过采用前向后向分裂迭代法对3)中所初始化的中毒样本进行优化，步骤如下：

4.1：利用前向传播梯度下降算法更新优化中毒样本，寻找特征空间离目标样本距离最近的中毒样本，样本优化更新的表达式如下：

其中，i为迭代步数，为第i步迭代更新的样本，p_i-1为迭代前样本，λ为学习率，为i-1步时损失函数相对于中毒样本p_i-1的梯度。

4.2：利用后向传播算法优化中毒样本与原始基样本的距离：

为了使中毒样本与基样本的信号特征更相似，限制中毒样本与基样本的区别，以此欺骗样本标签标注者，对中毒样本进一步更新优化，表达式如下：

其中p_i为后向迭代更新的中毒样本，η是调整信号特征相似度的超参数。

4.3：重复4.2至4.3，直至样本特征空间的距离小于指定阈值或迭代次数超出给定范围，保存中毒样本。

5)进行迁移学习攻击

利用4)中提出的方法优化中毒样本，将中毒样本扩充到训练集中对1)所提出的分类网络进行迁移训练，加入中毒样本后的新训练集Γ’定义如下：

Γ′＝{p₁,p₂,...p_n}∪Γ (14)

其中,Γ表示迁移任务的原训练集，p_i表示本发明生成的中毒样本，n代表原训练集的样本数量；

通过上述新训练集针对网络分类层重新训练，在网络其他权重不变的情况下替换Softmax层，使得网络线性决策边界向目标类扩张；进一步，样本通过中毒后的分类网络输出的结果被误判定为选定目标类，实现本发明所提出的中毒攻击效果。

实际实验中的数据，过程如下：

(1)选取实验数据

实验数据集选取的是由仿真生成的data.mat电磁信号数据集，其包含150种调制类别。每个类别的信噪比(SNR)从-20db均匀分布到30db。每个数据样本都是IQ电磁信号，每个样本的采样点数为8192个。为了减少分类的时间，采用了电磁信号的高信噪比部分，训练集和测试集的大小分别为16800个和4200个。进行迁移学习攻击样本大小为600个样本。

(2)参数确定

在搭建电磁信号模型时，本发明所使用的分类模型为1D_Resnet，其中包含6个Residual Stack残差单元。

对于每个Residual Stack单元，其包括一个卷积核大小为1×1的卷积层，此外还包含两个残差块和一个最大池化层。每个残差块中包含2个卷积层，第一个卷积层的大小为3×2，卷积核数量为32，激活函数为ReLU，第二个卷积层的大小为3×2，卷积核数量为32。整体分类网络1D_Resnet通过Softmax函数连接最后一层进行150分类。

在生成中毒样本时，我们选择从测试样本中随机采样600个电磁信号样本进行中毒攻击，模型的输入维度为8192×2，选择择优化器为Adam优化器，学习率为0.05，最终得到50个目标样本实例和50个中毒样本实例。

(3)实验结果

利用1D_Resnet网络对电磁信号进行分类的精度可以达到训练集99.71％，测试集96.93％，在生成的50个中毒样本均被正确分类到基类中，对应50个目标样本有38个由原来的目标类被误分类到基类中，攻击成功率为76％，结果如表1所示：

	中毒样本	目标样本
			样本数	50	50
测试精度	96.93％	94.72％
			正确分类数	50	12
错误分类数	0	38

表1。

本说明书的实施例所述的内容仅仅是对发明构思的实现形式的列举，仅作说明用途。本发明的保护范围不应当被视为仅限于本实施例所陈述的具体形式，本发明的保护范围也及于本领域的普通技术人员根据本发明构思所能想到的等同技术手段。

Claims (6)

1.一种基于纯净标签的电磁信号调制类型识别的中毒攻击方法，其特征在于，所述方法包括以下步骤：

1)对电磁信号数据进行预处理：对已有的数据进行标准化处理，同时划分训练集与测试集，根据信号数据类型和特征，构造信号调制分类器；

2)搭建信号神经网络分类模型：利用1D_Resnet深度残差网络搭建电磁信号的神经网络分类模型，加入Softmax分类器，输入训练样本进行模型训练；并根据信号分类准确率评估模型性能，获取电磁信号分类模型的结构和权重参数；

3)获取中毒样本：在测试样本中采样信号样本，获取样本通过网络传播到Softmax分类层的特征输出，即获取样本输入的特征空间的表示；先指定需要攻击的目标样本，再选择需要攻击的类别，从该类别中选择特征表示空间最接近目标的一个样本，将其视为基样本；

4)优化中毒样本：以基样本为起始点，利用Adam优化算法进行迭代生成中毒样本，每次迭代过程中更新信号样本的特征表示空间，最终使目标样本与中毒样本特征表示空间接近，但输入空间几乎不改变；

5)进行中毒攻击：利用迁移学习方法，保留预先训练的特征提取网络，将最终的Softmax分类层进行重新训练，由于目标样本的特征空间与中毒样本特征空间极为相似，使得Softmax层训练时分类决策边界产生旋转，造成目标样本被分类到特定的基类中，最终通过分类结果，统计中毒样本生成成功率和模型攻击效果。

2.如权利要求1所述的基于纯净标签的电磁信号调制类型识别的中毒攻击方法，其特征在于，所述步骤1)中，将信号数据划分为训练集与测试集，并对信号数据进行标准化，标准化后的信号数据样本与其调制类型的标签分别用X和Z表示，X＝{x₁,x₂,…,x_n}，标准化公式如下：

其中，x_i表示标准化后的信号样本，x_i*表示为原始信号样本，n表示信号样本的总数，i为信号数据集中的第i个样本，min_x*表示信号样本的最小值，max_x*表示信号样本的最大值。

3.如权利要求1或2所述的基于纯净标签的电磁信号调制类型识别的中毒攻击方法，其特征在于，所述步骤2)中，所使用的信号分类模型为深度残差网络1D_Resnet，此分类模型包含卷积层，池化层，批归一化层和全连接层；

卷积层数学表达式为：

其中Out_c表示卷积层输出的尺寸，即输出卷积层的长度和宽度，N_c表示卷积核的大小，F_c表示输入卷积层尺寸，Pad_c表示padding大小，padding为输入卷积层前张量每条边补充0的层数，str_c表示卷积核移动步长；

池化层数学表达式如下：

其中Out_p表示池化层输出的尺寸，N_p表示池化层输入的尺寸，str_p表示池化滤波器移动步长，F_p表示池化层滤波器尺寸；

将输入向量与经过卷积池化后输出向量进行对应维度进行叠加构成残差单元Residual Stack，残差单元的公式如下：

z＝w₂σ(w₁s)+s (4)

其中σ表示激活函数ReLU，w₁和w₂分别表示单元中两个权重层的权重参数，s表示输入张量，z表示输出张量；

若模型输入向量为X,则经过第m个残差单元后输出为：

X^(m)＝Residual Stack(X^(m-1)) (5)

其中X⁽⁰⁾＝X，Residual Stack表示残差单元，然后用Flatten函数将残差网络的输出变为一维矩阵输入至全连接层：

Z⁽⁰⁾＝Flatten(X⁽ⁱ⁾) (6)

Z^(l)＝ReLU(W^(l)·Z^(l-1)+c^(l)) (7)

其中i表示残差单元的总个数，Z^(l-1)和Z^(l)分别表示第l个全连接层的输入和输出，这里1≤l≤j-1，j表示全连接层的总数量，W^(l)表示该层的权重矩阵，c^(l)表示该层的偏置矩阵，ReLU为激活函数；

将此模型在150种调制类别的电磁信号数据集上进行训练，使其拥有良好的特征提取能力，并将其作为电磁信号分类任务迁移训练的模板。

4.如权利要求3所述的基于纯净标签的电磁信号调制类型识别的中毒攻击方法，其特征在于，所述步骤3)的过程如下：

3.1：获取特征空间

将电磁信号数据集输入到预训练的分类网络中，保存样本通过分类网络传播至Softmax层之前的全连接层特征输出，并记为特征空间，特征空间的表达式为：

G(x)＝ReLU(W^(j-1)·Z^(j-2)+c^(j-1)) (8)

其中，x表示输入信号样本，G(x)表示样本x的特征输出，即此样本的特征空间,j表示全连接层的总数量，由于特征表示空间层包含高级信号编码特征，表示信号样本在分类决策面上的分布，因此不同调制类型的信号样本特征表示空间有明显差异；

3.2：选择攻击目标样本和基样本

在测试集样本中，选择特定攻击目标类别T和基类别B，目的是通过修改基样本生成中毒样本，加入模型中毒训练后，使得目标类别为T的样本被模型错误分类为基类别B；

首先在标签为T的目标类别中随机选取一个目标样本t_i，再从标签为B的基类别中挑选特征空间最接近目标样本t_i的中毒样本p_i，同时保证中毒样本p_i与基样本b_i不会相差过大，选择公式如下：

其中，G(p)、G(t_i)分别表示中毒样本与目标样本的特征空间，β为超参数，约束中毒样本与基样本间的相似程度，使最终生成的中毒样本p_i不仅特征空间贴近目标样本，其信号本身的特征相对于基样本几乎不改变；

3.3：调整超参数

超参数β的计算表示如下：

β＝β₀×(N/M)² (10)

其中，β₀为初始参数，N表示特征提取层神经元数量，M表示样本输入维度，由此选择的β可根据样本不同的维数自适应调整。

5.如权利要求1或2所述的基于纯净标签的电磁信号调制类型识别的中毒攻击方法，其特征在于，所述步骤4)中，通过采用前向后向分裂迭代法对步骤3)中所初始化的中毒样本进行优化，步骤如下：

4.1：利用前向传播梯度下降算法更新优化中毒样本，寻找特征空间离目标样本距离最近的中毒样本，样本优化更新的表达式如下：

其中，i为迭代步数，为第i步迭代更新的样本，p_i-1为迭代前样本，λ为学习率，为i-1步时损失函数相对于中毒样本p_i-1的梯度；

4.2：利用后向传播算法优化中毒样本与原始基样本的距离：

为了使中毒样本与基样本的信号特征更相似，限制中毒样本与基样本的区别，以此欺骗样本标签标注者，对中毒样本进一步更新优化，表达式如下：

其中p_i为后向迭代更新的中毒样本，η是调整信号特征相似度的超参数；

4.3：重复4.2至4.3，直至样本特征空间的距离小于指定阈值或迭代次数超出给定范围，保存中毒样本。

6.如权利要求1或2所述的基于纯净标签的电磁信号调制类型识别的中毒攻击方法，其特征在于，所述步骤5)中，利用步骤4)中提出的方法优化中毒样本，将中毒样本扩充到训练集中对1)所提出的分类网络进行迁移训练，加入中毒样本后的新训练集Γ’定义如下：

Γ′＝{p₁,p₂,...p_n}∪Γ (14)

其中,Γ表示迁移任务的原训练集，p_i表示本发明生成的中毒样本，n代表原训练集的样本数量；

通过上述新训练集针对网络分类层重新训练，在网络其他权重不变的情况下替换Softmax层，使得网络线性决策边界向目标类扩张；进一步，样本通过中毒后的分类网络输出的结果被误判定为选定目标类，实现中毒攻击效果。