CN115270891A

CN115270891A - 一种信号对抗样本的生成方法、装置、设备及存储介质

Info

Publication number: CN115270891A
Application number: CN202211009603.9A
Authority: CN
Inventors: 黄鹤; 刘剑全
Original assignee: Suzhou University
Current assignee: Suzhou University
Priority date: 2022-08-22
Filing date: 2022-08-22
Publication date: 2022-11-01

Abstract

本发明公开了一种信号对抗样本的生成方法，包括将信号样本训练集输入所述经过充分训练的复数值深度神经网络模型中，得到所述样本训练集的预测标签，基于信号样本训练集的类型标签和预测标签计算损失函数梯度，利用幅度因子、旋转因子和上一次迭代步长计算本次迭代步长，基于本次迭代步长和所述损失函数梯度，计算得候选对抗样本，基于候选对抗样本，利用交叉熵损失函数计算得更新后的损失值，将所述更新后的损失值以降序方式排序，选前K对候选对抗样本，选取损失值最大的候选对抗样本为最终对抗样本，通过引入自适应复步长，使步长幅值能够在攻击过程中自适应变化，增加了攻击成功率，同时扩大了样本迭代轨迹的搜索空间，提高了样本的可迁移性。

Description

一种信号对抗样本的生成方法、装置、设备及存储介质

技术领域

本发明涉及深度学习模型安全技术领域，特别是涉及一种信号对抗样本的生成方法、装置、设备及存储介质。

背景技术

近年来，深度学习在许多计算机视觉和自然语言处理的应用中取得了巨大成功，这一趋势也激发了将深度学习应用于许多其它领域的兴趣，包括无线通信领域，例如使用卷积神经网络进行信道解码，研究基于深度学习的无线资源分配以及使用深度学习进行无线电信号调制方式识别等任务。但是深度学习模型容易受到对抗性攻击，通过添加人眼无法察觉的细微扰动，会导致深度学习模型产生错误结果，从而大大降低深度学习模型的可靠性和安全性。深度学习的发展给科技带来了一次新的革命，不论是对于个人还是社会都影响巨大，但其带来的安全风险却往往被人忽视。研究人员已经发现在输入数据上添加少量精心构造的人眼无法识别的“扰动”，可以使深度学习模型输出错误结果，这种添加扰动的输入数据被称为对抗样本。许多表现良好的人工智能算法很容易受到对抗样本欺骗，导致人工智能系统判断失准。在图像识别领域，通过在图像上添加微小的扰动，生成对抗样本，可以以高概率地欺骗深度学习分类模型；在语音识别领域，攻击者可以通过加入噪声扰动，控制家用语音控制系统运行恶意应用；在自然语音处理领域，攻击者通过刻意与聊天机器人进行某些恶意对话，可以导致后端人工智能系统预测错误；在信号识别领域，已经有研究成果表明，通过在信号波形添加扰动噪声，可以构造出信号领域中的对抗样本，导致人工智能模型预测或者识别产生错误，这就给现代无线通信系统、认知无线网络、卫星导航、电磁侦察等应用带来了严重的危害。由此可见，对抗样本攻击所带来的危害日益严重。

对抗样本的生成方法，根据是否事先对模型参数和结构的可知程度，分为白盒攻击和黑盒攻击。经典的白盒攻击方法有，快速梯度符号法(FGSM)，对抗样本是通过计算损失函数相对于输入本身的梯度来计算的；此后，在基于FGSM的算法上，有学者提出的一种迭代性的攻击手段，基本迭代法(BIM)，该方法将梯度下降的过程分为了若干步，然后每一小步地迭代下降，结果证明了所提算法优异的性能；Carlini和Wagner提出了三种生成扰动的方法，这些方法通过使用三个不同的距离矩阵(L1、L2和L∞)避开了鲁棒的深度学习分类模型。经典的黑盒攻击分为基于迁移的、基于优化的、基于决策的等，对抗样本是可转移的，也就是说，与具有相同任务的其它模型相比，为特定模型生成的对抗样本具有更高的对抗成功率。这是由于模型边界对同一任务的相似性，基于动量的迭代算法(MI-FGSM)是一种经典的基于迁移的攻击算法，通过将动量项集成到攻击的迭代过程中，可以稳定更新方向并在迭代期间摆脱不良的局部最大值，攻击替代模型从而产生更多可转移的对抗样本；除了攻击替代模型之外，还可以通过随机改变输入来估计损失函数的梯度直接攻击目标模型来生成对抗样本，一种零阶随机坐标下降法(ZOO)以像素为估计单位，不断对模型进行查询得到对抗样本。

自动调制分类(AMC)是现代无线通信中的一个经典问题。调制方式识别是介于信号检测和信号解调之间的一项关键技术，可以根据接收到的通信信号判断其调制方式，实现调制信号的智能接收与处理。目前，高数据速率和无线通信数据的爆炸式增长使得传统算法难以实现精确分类。为此，深度学习为处理原始的高维无线数据提供了一种非常有前途的解决方案，而不是提取手工制作的和专门的特征。最近的研究为无线通信设计和应用提供了深度学习框架。尽管关于深度学习在通信中的应用的文献相对丰富，考虑信号属性的复值表示的例子很少，众所周知，信号相位中存在的信息量足以恢复以其幅度编码的大部分信息。大多数通信模型倾向于使用复信号来表示其幅度和相位信息。用于无线通信的复值深度神经网络在处理这种复数数据方面具有很大的优势。Sadeghi等人首次将对抗样本应用于调制识别的信号领域。作者的研究发现，虽然深度学习在无线通信系统的算法设计等应用中已经实现了良好的性能，但深度学习模型非常容易受到对抗样本的攻击，因此作者使用了深度神经网络进行无线通信信号的识别，并设计出了一种白盒与黑盒场景中对抗样本的生成算法。研究结果表明，这些攻击会以很小的输入扰动来大大降低分类性能。这种攻击比传统的噪声干扰攻击效果更显著。但是诸如上述的信号对抗攻击都是基于实数的，忽视了复数数据实部和虚部之间的相位关系。

综上所述可以看出，如何在深度学习邻域中实现基于复数的对抗样本是目前有待解决的问题。

发明内容

本发明的目的是提供一种信号对抗样本的生成方法、装置、设备及存储介质，以解决现有技术针对复数的对抗攻击技术空缺的问题。

为解决上述技术问题，本发明提供一种信号对抗样本的生成方法，包括：

S1.针对调制信号的调制方式识别问题，构建复数值深度神经网络模型，利用信号样本训练集进行充分训练；

S2.预设置候选对抗样本数量K、幅度因子数量N、旋转因子数量M、对抗样本与原始样本之间最大距离∈、迭代次数T、初始步长α和初始迭代次数t＝0；

S3.将所述信号样本训练集输入所述充分训练的复数值深度神经网络模型中，得到所述信号样本训练集的预测标签；

S4.基于所述信号样本训练集的类型标签和所述信号样本训练集的预测标签，计算得损失函数梯度；

S5.利用所述幅度因子、所述旋转因子和上一次迭代保存的步长计算得本次迭代预选的候选步长；

S6.基于所述本次迭代预选的候选步长和所述损失函数梯度，计算得预选的信号候选对抗样本；

S7.基于所述预选的信号候选对抗样本，利用交叉熵损失函数计算得更新后的损失函数值；

S8.将所述更新后的损失函数值以降序方式排序，保存前K对预选的候选对抗样本；

S9.若t≤T，则令t＝t+1，返回执行S3，若t>T，则选取最大损失函数值所对应的候选对抗样本为最终对抗样本。

优选地，所述利用所述幅度因子、所述旋转因子和上一次迭代步长计算得本次迭代预选的候选步长计算公式为：

其中，k为第k个候选样本，t为第t次迭代，r_n代表第n个幅度因子，θ_m代表第m个旋转因子，i为虚部单位。

优选地，所述基于所述本次迭代预选步长和所述损失函数梯度，计算得信号候选对抗样本计算公式为：

其中，

为第t次迭代预选的候选对抗样本，总计k*n*m个，

表示第t-1次迭代的第k个候选对抗样本，

为第t次迭代预选的候选步长；

前一次迭代损失的复数梯度计算公式为：

为损失值对

的复梯度运算，

为

的实部，

为

的虚部，i表示复数单位，c表示复数标识，y表示该信号样本对应的目标标签。

优选地，所述基于所述预选的信号候选对抗样本，利用交叉熵损失函数计算得更新后的损失值计算公式为：

其中，

表示根据第t次迭代预选的候选对抗样本计算得到的交叉熵损失值，

表示第t次迭代预选的候选对抗样本，y表示该信号样本对应的目标标签，k为第k个候选样本，t为第t次迭代。

优选地，所述针对调制信号的调制方式识别问题，构建复数值深度神经网络模型，利用信号样本训练集进行充分训练包括：

获取用于信号调制方式识别的信号样本数据集并将其数据进行打乱处理，得到所述信号样本训练集和信号样本测试集；

利用复值卷积层、复值批量归一化层、复值平均池化层和复值全连接层构建复数值深度神经网络模型；

利用所述信号样本训练集对所述复数值深度神经网络模型训练，得到充分训练的复数值深度神经网络模型。

优选地，所述利用复值卷积层、复值批量归一化层、复值平均池化层和复值全连接层构建复数值深度学习模型包括：

所述复值卷积层的输入数据为h＝x+iy，卷积核矩阵为W＝A+iB，x，y为实向量，A，B为实数矩阵，其计算公式为：

W*h＝(A*x-B*y)+i(B*x+A*y)

其中，卷积核矩阵中A，B均为1×n维的矩阵，x，y均为m维的输入向量，i为虚部单位；

所述复值批量标准化层采用标准化处理，其计算公式为：

其中，x为输入，E[x]为x的期望；协方差矩阵V为：

R{x}，I{x}分别表示x的实部和虚部。

优选地，所述若t>T，则选取损失值最大的候选对抗样本为最终对抗样本后包括：

利用所述信号样本测试集对所述最终对抗样本进行测试，所述测试包括白盒测试和黑盒测试。

本发明还提供一种信号对抗样本的生成的装置，包括：

模型获取模块，针对调制信号的调制方式识别问题，构建复数值深度神经网络模型，利用信号样本训练集进行充分训练；

初始化参数模块，预设置候选对抗样本数量K、幅度因子数量N、旋转因子数量M、对抗样本与原始样本之间最大距离∈、迭代次数T、初始步长α和初始迭代次数t＝0；

预测标签生成模块，将所述信号样本训练集输入所述充分训练的复数值深度神经网络模型中，得到所述信号样本训练集的预测标签；

梯度计算模块，基于所述信号样本训练集的类型标签和所述信号样本训练集的预测标签，计算得损失函数梯度；

迭代步长计算模块，利用所述幅度因子、所述旋转因子和上一次迭代保存的步长计算得本次迭代步长；

信号候选对抗样本生成模块，基于所述本次迭代步长和所述损失函数梯度，计算得信号候选对抗样本；

损失值计算模块，基于所述候选对抗样本，利用交叉熵损失函数计算得更新后的损失函数值；

候选对抗样本模块，将所述更新后的损失函数值以降序方式排序，保存前K对候选对抗样本；

最终对抗样本生成模块，若t≤T，则令t＝t+1，返回执行所述预测标签生成模块，若t>T，则选取最大损失函数值所对应的的候选对抗样本为最终对抗样本。

本发明还提供一种信号对抗样本的生成设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述任一项所述一种信号对抗样本的生成方法的步骤。

本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一项所述一种信号对抗样本的生成方法的步骤。

本发明所提供的一种信号对抗样本的生成方法、装置、设备及存储介质，设计一种复数域信号对抗算法，利用复数实部和虚部之间的关联性弥补实数域攻击算法，通过引入幅度因子，使步长幅值能够在攻击过程中自适应变换，在迭代过程中扩大搜索空间，提高了样本迁移性，提高了算法的性能，增加了攻击成功率。

附图说明

为了更清楚的说明本发明实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明所提供的一种信号对抗样本的生成方法的第一种具体实施例的流程图；

图2为攻击算法的流程图；

图3为迭代过程图；

图4为模型CV-VTCNN2结构图；

图5为模型CV-DSN结构图；

图6为白盒场景第一测试图；

图7为白盒场景第二测试图；

图8为黑盒场景第一测试图；

图9为黑盒场景第二测试图；

图10为本发明实施例提供的一种信号对抗样本的生成装置的结构框图。

具体实施方式

本发明的核心是提供一种信号对抗样本的生成方法、装置、设备及存储介质，提高了样本迁移性，提高了算法的性能，增加了攻击成功率。

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参考图1，图1为本发明所提供的一种信号对抗样本的生成方法的第一种具体实施例的流程图；具体操作步骤如下：

步骤S101：针对调制信号的调制方式识别问题，构建复数值深度神经网络模型，利用信号样本训练集进行充分训练；

获取信号样本数据集并将其数据进行打乱处理，得到所述信号样本训练集和信号样本测试集；

利用复值卷积层、复值批量归一化层、复值平均池化层和复值全连接层构建复数值深度学习模型；

利用所述信号样本训练集对所述复数值深度学习模型训练，得到训练结束的深度学习模型；

W*h＝(A*x-B*y)+i(B*x+A*y)

其中，卷积核矩阵中A，B均为1×n维的矩阵，x，y均为m维的输入向量，i为虚部标识；

所述复值批量标准化层采用标准化处理，其计算公式为：

其中，x为输入，E[x]为x的期望；协方差矩阵V为：

R{x}，I{x}分别表示x的实部和虚部。

步骤S102：预设置候选对抗样本数量K、幅度因子数量N、旋转因子数量M、对抗样本与原始样本之间最大距离∈、迭代次数T、初始步长α和初始迭代次数t＝0；

设置相关参数，第一个步骤为：输入数据从输入层输入，经过传播，到达了输出层，利用交叉熵损失函数得到预测值和真实值之间的误差；

第二个步骤为：针对误差，从输出层输入进行反向传播，最后到达输入层，经过每一层时逐步调整各层的权重值和偏置值，其中交叉熵损失函数为：

L(f(x),y)＝-[y ln f(x)+(1-y)ln(1-f(x))]

其中，y表示数据样本对应的标签，f(x)表示数据样本经过网络后得到的预测值。

步骤S103：将所述信号样本训练集输入所述充分训练的复数值深度神经网络模型中，得到所述信号样本训练集的预测标签。

步骤S104：基于所述信号样本训练集的类型标签和所述信号样本训练集的预测标签，计算得损失函数梯度。

步骤S105：利用所述幅度因子、所述旋转因子和上一次迭代步长计算得本次迭代预选的候选步长；

其其中，k为候选样本，t为第t次迭代，r_n代表第n个幅度因子，θ_m代表第m个旋转因子，i为虚部单位。

步骤S106：基于所述本次迭代预选的候选步长和所述损失函数梯度，计算得预选的信号候选对抗样本；

如图2所示，候选样本选择过程，其计算公式为：

其中，

为第t次迭代预选的候选对抗样本，总计k*n*m个，

表示第t-1次迭代的第k个候选对抗样本，

为第t次迭代预选的候选步长；

前一次迭代损失的复数梯度计算公式为：

为损失值对

的复梯度运算，

为

的实部，

为

步骤S107：基于所述预选的信号候选对抗样本，利用交叉熵损失函数计算得更新后的损失值；

其中，

表示第t次迭代可能的候选对抗样本，y表示该信号样本对应的目标标签，k为候选样本，t为第t次迭代，adv_k,n,m为根据第k个候选结点的对抗样本和第n个幅度因子和第m个旋转因子确定的本轮迭代的未经处理的候选对抗样本。

步骤S108：将所述更新后的损失值以降序方式排序，选取前K对预选的候选对抗样本。

步骤S109：若t≤T，则令t＝t+1，返回执行S3，若t>T，则选取最大损失函数值所对应的的候选对抗样本为最终对抗样本；

利用所述信号样本测试集对所述最终对抗样本进行测试，所述测试包括白盒测试和黑盒测试；

白盒场景，目标模型为A，将本方案的算法用于对目标信号分类模型进行对抗攻击，测试准确率；

黑盒场景：目标模型为A，替代模型为B，将本方案的算法用于对替代模型B进行对抗攻击，产生的对抗样本在目标模型A上测试准确率。

本实施例提供一种信号对抗样本的生成方法，利用复数域的对抗攻击算法，直接对复数数据进行攻击，弥补实数域攻击算法将复数数据的实部和虚部分开考虑的不足，通过引入幅度因子，使步长幅值能够在攻击过程中自适应变化，保证了算法的收敛，大幅提升攻击效果，在攻击过程中攻击效果的趋势作出有效的反应，降低了步长选值的影响。

基于上述实施例，本实施例使用具体数据对本方法进一步阐述，如图3所示，具体如下：

信号预处理：对pkl格式的数据集，依照11种调制方式、20种信噪比依次提取、保存在变量x中，得到的x变量的维度为(220000,1,128)，通过轴互换函数，将变量维度进行扩充，得到维度为(220000,1,1,128)的变量x。可以知道数据集总共有220000个样本，每个样本中为128的复数向量。为了神经网络训练和测试的准确性，将数据集进行随机打乱，再从中随机选取80％的数据作为训练集，20％的数据作为测试集，最后对数据集中的11种调制方式对应的标签进行one-hot编码；

搭建复数值神经网络：本实施例使用了深度学习库pytorch，该库对复数链式求导法则有良好的支持。以pytorch的函数搭建网路，其中主要使用了复值卷积层、复值批量标准化层、复值平均池化层、复值全连接层，准备了2个复数深度模型，如图4所示，第一个是复数的VTCNN2，第一个模块包括填充为(0,2)的零填充，卷积核个数为256，尺寸为1×3，步长为1的复值卷积层和dropout率为0.5的复数DropOut层；第二个模块将卷积核个数设置为80，其他参数与第一个模块相同；第三个模块将层数展平，包含一层有256个神经元的全连接层和一层有11个神经元的输出层。如图5所示，第二个是复数的DSN，第一个模块包含卷积核个数为32，尺寸为1×6，填充为(0,2)，步长为1×2的复值卷积层、复值批量标准化层和尺寸为1×2，步长为2的平均池化层；第二个模块、第三个模块和第四个模块分别将卷积核改为64、128和256，尺寸为1×3，其他参数与第一个模块相同；第五个模块将层数展平，包含一层有1024个神经元的全连接层和一层有11个神经元的输出层；

训练复数值神经网络：在复数值神经网络结构搭建完成后，设置epoch参数为20，batch_size为1024，选取设置交叉熵损失函数cross_entropy、优化器Adam，学习率为0.001，网络对输入的训练集样本进行学习；

攻击复数值神经网络：范数约束大小设置∈＝0.003，迭代次数T设置为5，每次迭代的候选节点个数设置K＝4，幅度因子N＝3，r_n＝{0.8,1,2}，旋转因子M＝3，θ_m＝{-π/8,0,π/8}；

如图6、图7、图8、图9所示，测试对抗攻击效果：白盒场景下，分别对复数值VTCNN2和复数值DSN在不同信噪比下进行测试：

黑盒场景下，目标模型设为复数值VTCNN2，替代模型设为复数值DSN在不同信噪比下进行测试和目标模型设为复数值DSN，替代模型设为复数值VTCNN2在不同信噪比下进行测试：

本实施例提供一种信号对抗样本的生成方法，在对复数样本进行对抗攻击时，引入复梯度，考虑了样本实部和虚部的关联性，利用幅度因子，在迭代攻击过程中根据优化趋势改变步长的幅度大小，避免了要求过多冗余的迭代才能达到一定的攻击效果，引入旋转因子，可以在迭代攻击过程中扩大搜索范围，避免一个方向的单一性进而导致迁移性较差，通过实验数据可看出本方法攻击效果显著，在迭代过程中扩大搜索空间，提高了样本迁移性，提高了算法的性能，增加了攻击成功率，在通信邻域中实现了对抗技术。

请参考图10，图10为本发明实施例提供的一种信号对抗样本的生成装置的结构框图；具体装置可以包括：

模型获取模块100，针对调制信号的调制方式识别问题，构建复数值深度神经网络模型，利用信号样本训练集进行充分训练；

初始化参数模块200，预设置候选对抗样本数量K、幅度因子数量N、旋转因子数量M、对抗样本与原始样本之间最大距离∈、迭代次数T、初始步长α和初始迭代次数t＝0；

预测标签生成模块300，将所述信号样本训练集输入所述充分训练的复数值深度神经网络模型中，得到所述信号样本训练集的预测标签；

梯度计算模块400，基于所述信号样本训练集的类型标签和所述信号样本训练集的预测标签，计算得损失函数梯度；

迭代步长计算模块500，利用所述幅度因子、所述旋转因子和上一次迭代保存的步长计算得本次迭代步长；

信号候选对抗样本生成模块600，基于所述本次迭代步长和所述损失函数梯度，计算得信号候选对抗样本；

损失值计算模块700，基于所述候选对抗样本，利用交叉熵损失函数计算得更新后的损失函数值；

候选对抗样本模块800，将所述更新后的损失值以降序方式排序，选取前K对候选对抗样本；

最终对抗样本生成模块900，若t≤T，则令t＝t+1，返回执行所述预测标签生成模块，若t>T，则选取最大损失函数值所对应的的候选对抗样本为最终对抗样本。

本实施例的一种信号对抗样本的生成装置用于实现前述的一种信号对抗样本的生成方法，因此一种信号对抗样本的生成装置中的具体实施方式可见前文中的一种信号对抗样本的生成方法的实施例部分，例如，模型获取模块100，初始化参数模块200，预测标签生成模块300，梯度计算模块400，迭代步长计算模块500，信号候选对抗样本生成模块600，损失值计算模块700，候选对抗样本模块800，最终对抗样本生成模块900，分别用于实现上述一种信号对抗样本的生成方法中步骤S101，S102，S103、S104、S105、S106、S107、S108和S109，所以，其具体实施方式可以参照相应的各个部分实施例的描述，在此不再赘述。

本发明具体实施例还提供了一种信号对抗样本的生成设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现上述一种信号对抗样本的生成方法的步骤。

本发明具体实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述一种信号对抗样本的生成方法的步骤。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上对本发明所提供的一种信号对抗样本的生成方法以及装置进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。