CN116304618A - 应用于电磁信号调制识别的通用对抗扰动生成方法和装置 - Google Patents

Abstract

本发明公开了一种应用于电磁信号调制识别的通用对抗扰动生成方法和装置。方法包括：步骤S1，预先训练好电磁信号调制识别的分类模型；步骤S2，获取分类模型的结构和权重参数，从训练集中随机采样预定数量的信号样本，对预定数量的信号样本逐一进行攻击，依次生成每种白盒攻击算法对应的对抗样本；步骤S3，水平拼接同一攻击算法的不同对抗样本的信号对抗扰动得到单攻击算法的扰动矩阵，将不同攻击算法的扰动矩阵作为不同通道堆叠得到融合的扰动矩阵；步骤S4，将融合的扰动矩阵输入事先构建好的卷积自编码器进行训练，训练完成后将卷积自编码器编码层的输出作为生成的通用对抗扰动。本发明的方案所生成的通用对抗扰动攻击成功率更高、稳定性更好。

Description

应用于电磁信号调制识别的通用对抗扰动生成方法和装置

技术领域

本发明涉及深度学习的安全技术领域，尤其涉及一种应用于电磁信号调制识别的通用对抗扰动生成方法和装置。

背景技术

二十世纪以来，电子信息技术飞速发展，使得信号种类及数量呈指数级增长，面对新时期各种多元化的信号，各种不同的信号识别方法也开始涌现。此外，深度学习逐渐广泛应用于各个领域(生物医学、视觉场景、语音识别、自然语言处理)。它在调制信号类型识别上的应用也随之取得巨大发展，如O'Shea T J等人研究了卷积神经网络对复值时域信号的适应性，并使用深度卷积神经网络信号序列上进行盲时间学习得到一种有效的信号分类方法。O'Shea T J等人又在原有的研究基础上，提出了基于深度残差网络的调制识别方法。

随着模型结构的日渐复杂，这些模型的精度持续稳步提高，但它们在强对抗环境下依旧是非常脆弱的，尤其是在通信领域。Sadeghi M等人提出了一种使用通用对抗网络生成和传输无法与预期信号可靠区分的合成信号来欺骗无线信号分类模型，成功使信号分类精度显著降低的新颖方法。Kim B等人研究发现，攻击方天线数量的增加会使攻击成功率显著提高，并证实了调制分类器对空中对抗攻击的脆弱性，为此深度学习的安全问题也在逐渐显现。

深度学习作为一个复杂的系统，也会遭受来自各方的威胁，这样的威胁主要包括以下三个方面：第一：模型偷取，黑客通过一定的技术手段，将部署在用户本地或中心服务器上的模型进行非法窃取。第二：数据投毒，通过在训练数据中加入异常数据，使得训练得到的模型在特定情况下出现分类错误。第三：对抗样本，在输入样本中添加微小的扰动，使得模型以高置信度给出一个错误的分类结果，这个微小的扰动是通过一定的算法精心设计的，而不是随机扰动。深度学习的安全，已成为当今我们需要去迫切解决的问题。

申请号为CN112215078A的专利公开了一种基于自动编码器的电磁信号调制识别的通用对抗扰动生成方法。该方法利用Deepfool白盒攻击算法获取少量样本的信号对抗扰动，而后结合自动编码器训练后得到编码层的输出数据作为通用对抗扰动，以对所有信号样本进行扰动攻击。然而在实现本发明的过程中，发明人发现：

CN112215078A的专利方法的攻击效果并不特别出色，其在实际使用中，用于生成通用对抗扰动的对抗样本是从所有攻击后的对抗样本中筛选出TOP-K的强攻击成功样本，因此对获取的少量样本生成的白盒攻击扰动质量要求较高、随机性较大，并且由于其仍然需要在所有样本攻击以后才可以进行通用对抗扰动的生成，因此计算复杂度并没有降低，并不是一个高效的通用对抗扰动生成框架；同时针对无法预知何种攻击算法能够奏效的场景，由于其仅利用一种白盒攻击算法生成通用对抗扰动，因此所提供的通用扰动生成方法稳定性不是很好。

发明内容

针对以上技术问题，本发明提供了一种应用于电磁信号调制识别的通用对抗扰动生成方法和装置，无需筛选强对抗样本，仅依靠少量的信号样本即可生成通用对抗扰动，且所生成的通用对抗扰动攻击成功率更高、稳定性更好。

为实现上述目的，本发明采用如下的技术方案：

一方面，本发明提供了一种应用于电磁信号调制识别的通用对抗扰动生成方法，包括：

步骤S1，将电磁信号数据集分为训练集和测试集，预先训练好电磁信号调制识别的分类模型；

步骤S2，获取所述分类模型的结构和权重参数，从训练集中随机采样预定数量的信号样本，使用两种及以上的白盒攻击算法对所述预定数量的信号样本逐一进行攻击，依次生成每种白盒攻击算法对应的对抗样本本；

步骤S3，水平拼接同一攻击算法的不同对抗样本的信号对抗扰动得到单攻击算法的扰动矩阵，将不同攻击算法的扰动矩阵作为不同通道堆叠得到融合的扰动矩阵；

步骤S4，将所述融合的扰动矩阵输入事先构建好的卷积自编码器进行训练，训练完成后将所述卷积自编码器编码层的输出作为生成的通用对抗扰动。

另一方面，本发明提供了一种应用于电磁信号调制识别的通用对抗扰动生成装置，包括：

分类模型训练单元，被配置为将电磁信号数据集分为训练集和测试集，预先训练好电磁信号调制识别的分类模型；

多攻击算法的对抗样本生成单元，被配置为获取所述分类模型的结构和权重参数，从训练集中随机采样预定数量的信号样本，使用两种及以上的白盒攻击算法对所述预定数量的信号样本逐一进行攻击，依次生成每种白盒攻击算法对应的对抗样本；

融合扰动矩阵生成单元，被配置为水平拼接同一攻击算法的不同对抗样本的信号对抗扰动得到单攻击算法的扰动矩阵，将不同攻击算法的扰动矩阵作为不同通道堆叠得到融合的扰动矩阵；

通用对抗扰动生成单元，被配置为将所述融合的扰动矩阵输入事先构建好的卷积自编码器进行训练，训练完成后将所述卷积自编码器编码层的输出作为生成的通用对抗扰动。

本发明的技术方案能够达到以下有益效果：

本发明的应用于电磁信号调制识别的通用对抗扰动生成方法和装置，相比于仅利用一种白盒攻击算法生成通用对抗扰动的现有方案，本发明使用两种及以上的白盒攻击算法对预定数量的信号样本逐一进行攻击，依次生成每种白盒攻击算法对应的对抗样本，水平拼接同一攻击算法的不同对抗样本的信号对抗扰动得到单攻击算法的扰动矩阵，将不同攻击算法的扰动矩阵作为不同通道堆叠得到融合的扰动矩阵，将融合的扰动矩阵输入事先构建好的卷积自编码器进行训练，训练完成后将卷积自编码器编码层的输出作为生成的通用对抗扰动。由此可知，本发明综合两种及以上的白盒多种攻击算法，可以仅依靠少量的信号样本，且无需筛选强对抗样本即可生成通用对抗扰动，有效降低计算消耗的同时提供更高的攻击成功率，同时针对无法预知何种攻击算法能够奏效的场景，提供一种更为稳定的融合的通用扰动生成方法。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的应用于电磁信号调制识别的通用对抗扰动生成方法的流程图；

图2为本发明提供的通用对抗扰动的生成框架图；

图3为本发明提供的多种攻击算法的通用对抗扰动分类精度损失折线对比图，其中横坐标为扰动强度大小，纵坐标为分类精度损失；

图4为本发明提供的应用于电磁信号调制识别的通用对抗扰动生成装置的结构框图。

具体实施方式

下面结合附图并基于调制信号数据集RML2016.10A，以无线电调制识别任务为例对本发明进行详述。本发明所列举的各实施例仅用以说明本发明，并非用以限制本发明的范围。对本发明所作的任何显而易知的修饰或变更都不脱离本发明的精神与范围。

图1为本发明提供的应用于电磁信号调制识别的通用对抗扰动生成方法的流程图。如图1所示，本发明提供的通用对抗扰动生成方法，包括以下步骤：

步骤S1，将电磁信号数据集分为训练集和测试集，预先训练好电磁信号调制识别的分类模型。

针对调制信号数据集RML2016.10A，本发明所使用的分类模型为：1D_Resnet，其结构主要包含卷积层、池化层、全连接层。IQ电磁信号样本数据集包括：信号长度L及各个时间点对应的I和Q值。

为训练分类模型，事先将电磁信号数据集分为训练集和测试集，使用训练集训练分类模型识别电磁信号调制类型，使用测试集测试分类模式的训练结果。其中分类模型训练好的标准是，能够保证数据集中信号能被该分类模型以高精度预测输出。

步骤S2，获取分类模型的结构和权重参数，从训练集中随机采样预定数量的信号样本，使用两种及以上的白盒攻击算法对所述预定数量的信号样本逐一进行攻击，依次生成每种白盒攻击算法对应的对抗样本。

图2为本发明提供的通用对抗扰动的生成框架图。结合图2，本步骤S2是从训练集中随机采样N个信号样本，使用S种白盒攻击算法对采样的N个信号样本依次生成对应的对抗样本，得到相应的单种攻击算法的对抗扰动{p₁,...,p_i,...,p_N}，其中p∈R^L×2，生成的对抗样本数量是：N×S。

步骤S3，水平拼接同一攻击算法的不同对抗样本的信号对抗扰动得到单攻击算法的扰动矩阵，将不同攻击算法的扰动矩阵作为不同通道堆叠得到融合的扰动矩阵。

本步骤S3具体包括：

步骤S3.1：水平拼接同一攻击算法的对抗扰动得到单攻击算法的扰动矩阵m∈R^{L ×2N}；

步骤S3.2：将S个不同攻击算法的扰动矩阵作为不同通道堆叠得到融合的扰动矩阵M∈R^L×2N×S。

步骤S4，将融合的扰动矩阵输入事先构建好的卷积自编码器进行训练，训练完成后将卷积自编码器编码层的输出作为生成的通用对抗扰动。

本步骤S4具体包括：

步骤S4.1：采用卷积自编码器的结构，其编码器结构包含两层二维卷积层及两层最大池化层，其解码层包含两层反卷积层及两层上采样层，同时设置编码层输出的维度与单个信号对抗扰动的维度一致，将信号扰动矩阵输入自动编码器进行训练，其中损失函数定义为给定输入空间x∈R^L×2N×S、特征空间h∈R^L×2以及输出空间x'∈R^L×2N×S，卷积自编码器通过求解编码层和解码层的映射f和g使输入特征的重构误差最小化，即

h＝f(x)

x'＝g(h)

Loss＝min‖x-g(f(x))‖₂

步骤S4.2：训练完成后将编码层的输出作为通用对抗扰动p^*∈R^L×2。

本发明方案的有益效果如下：

在以少量样本生成通用对抗扰动的场景下，现有的方法通常攻击效果不佳，同时需要优先挑选高质量TOP-K的强对抗扰动用于生成通用对抗扰动，条件较为苛刻，其仍然需要在所有样本上攻击以后才可以进行通用对抗扰动的生成，计算复杂度并没有降低，并不是一个高效的通用对抗扰动生成框架。本发明提供的通用对抗扰动生成方法，综合了两种及以上的白盒攻击算法，仅依靠少量信号样本，无需筛选强对抗样本即可生成通用对抗扰动，有效降低计算消耗的同时提供更高的攻击成功率，同时针对无法预知何种攻击算法能够奏效的场景，提供一种更为稳定的融合的通用扰动生成方法。

下面结合图2，对本发明提供的通用对抗扰动的生成方法再做示例性说明。

针对调制信号数据集RML2016.10A，IQ电磁信号样本数据集包括：信号长度L＝128及各个时间点对应的I和Q值。

从训练集中随机采样N＝36个信号样本，使用S＝3种白盒攻击算法(FGSM、PGD和DeepFool)对采样的信号样本依次生成对应的对抗样本，由于128个采样点，每个采样点有I和Q两个值，因此得到相应的单信号对抗扰动{p₁,...,p_i,...,p_N＝36}，其中p∈R^128×2。

水平拼接同一攻击算法的对抗扰动得到单攻击算法的扰动矩阵m∈R^128×72。

将三种不同攻击算法的扰动矩阵作为不同通道堆叠得到融合的扰动矩阵M∈R^{128 ×72×3}。

采用卷积自编码器结构，其编码器结构包含两层二维卷积层及两层最大池化层，其解码层包含两层反卷积层及两层上采样层，同时设置编码层输出的维度与单个信号对抗扰动的维度一致，将信号扰动矩阵输入自动编码器进行训练，其中损失函数定义为给定输入空间x∈R^128×72×3、特征空间h∈R^128×2以及输出空间x'∈R^128×72×3，卷积自编码器通过求解编码层和解码层的映射f和g使输入特征的重构误差最小化，即

h＝f(x)

x'＝g(h)

Loss＝min‖x-g(f(x))‖₂

训练完成后将编码层的输出作为通用对抗扰动p^*∈R^128×2。

在本发明的一个优选实施例中，仍参见图1，本发明的方法还包括：

步骤S5，对生成的通用对抗扰动进行性能测试，得到通用对抗扰动的分类精度损失。

步骤S5具体包括：

将测试集中的所有信号样本输入分类模型，得到分类模型的原始分类精度；对分类正确的信号样本添加通用对抗扰动，之后将测试集中的所有信号样本再次输入分类模型，得到分类模型的添加通用对抗扰动后的分类精度；将分类模型的原始分类精度与添加通用对抗扰动后的分类精度相减得到分类模型的分类精度差值，再将分类模型的分类精度差值与原始分类精度相除得到通用对抗扰动的分类精度损失。

该分类精度损失越大表示生成的通用对抗扰动的性能越好，根据通用对抗扰动的分类精度损失，可以方便评估不同白盒攻击算法的性能高低。

图3为本发明提供的多种攻击算法的通用对抗扰动分类精度损失折线对比图，其中横坐标为扰动强度大小，纵坐标为分类精度损失。可以理解的是，纵坐标越大表示该扰动量下该种攻击算法的攻击效果越好。其中：图例AE_deepfool为采用申请号为CN112215078A的专利方法生成的通用对抗扰动的效果，图例Deepfool、FGSM以及PGD为使用单种白盒攻击算法生成的通用对抗扰动的效果，图例Deepfool+FGSM、FGSM+PGD、Deepfool+PGD以及Deepfool+FGSM+PGD为使用两种及以上的白盒攻击算法生成的通用对抗扰动的效果。

根据图3可以发现：即使CN112215078A的专利方法筛选了TOP-36的强对抗扰动样本用作生成通用对抗扰动，但是其致使模型错误分类的效果并没有优于所有的在本方法框架下随机挑选样本生成的通用对抗扰动造成的模型分类精度下降效果。对于攻击算法来说，攻击后的模型的分类精度越低，即分类精度损失越大，攻击效果越好，这可以有效地验证本发明所述方法的有效性。同时，还可以发现融合的通用对抗扰动可能在扰动量较小的情况下效果一般，但是当扰动量增大时，其扰动效果增长很快。除此之外，Deepfool分别与FGSM和PGD的融合会导致攻击效果的下降，但是当三种攻击算法融合后又能有一定的补偿效果，更适用于不清楚何种攻击算法能够奏效的实际攻击场景。

需要说明的是，根据实验结果来看，图例FGSM+PGD这两种白盒攻击算法的融合效果最佳，图例Deepfool+FGSM+PGD这三种白盒攻击算法的融合效果并非最佳，攻击算法之间的耦合效果没有实际的理论依据，目前只能根据实验尝试来总结。

与前述通用对抗扰动生成方法同属于一个技术构思，本发明还提供了一种通用对抗扰动生成装置。图4为本发明提供的应用于电磁信号调制识别的通用对抗扰动生成装置的结构框图，参见图4，本发明的通用对抗扰动生成装置，包括：

分类模型训练单元410，被配置为将电磁信号数据集分为训练集和测试集，预先训练好电磁信号调制识别的分类模型；

对抗样本生成单元420，被配置为获取所述分类模型的结构和权重参数，从训练集中随机采样预定数量的信号样本，使用两种及以上的白盒攻击算法对所述预定数量的信号样本逐一进行攻击，依次生成每种白盒攻击算法对应的对抗样本；

融合扰动矩阵生成单元430，被配置为水平拼接同一攻击算法的不同对抗样本的信号对抗扰动得到单攻击算法的扰动矩阵，将不同攻击算法的扰动矩阵作为不同通道堆叠得到融合的扰动矩阵；

通用对抗扰动生成单元440，被配置为将所述融合的扰动矩阵输入事先构建好的卷积自编码器进行训练，训练完成后将所述卷积自编码器编码层的输出作为生成的通用对抗扰动。

在本发明的一个实施例中，仍参见图4，本发明的通用对抗扰动生成装置还可以包括：

性能测试单元450，被配置为对生成的通用对抗扰动进行性能测试，得到所述通用对抗扰动的分类精度损失。

在本发明的一个实施例中，所述性能测试单元450具体被配置为：

将测试集中的所有信号样本输入所述分类模型，得到所述分类模型的原始分类精度；

对分类正确的信号样本添加所述通用对抗扰动，之后将测试集中的所有信号样本再次输入所述分类模型，得到所述分类模型的添加通用对抗扰动后的分类精度；

将所述分类模型的原始分类精度与添加通用对抗扰动后的分类精度相减得到所述分类模型的分类精度差值，再将所述分类模型的分类精度差值与所述原始分类精度相除得到所述通用对抗扰动的分类精度损失。

其中，分类精度损失越大表示生成的通用对抗扰动的性能越好。

在本发明的一个实施例中，所述通用对抗扰动生成单元440具体被配置为：

构建卷积自编码器的结构和损失函数，其编码器结构包含两层二维卷积层及两层最大池化层，其解码层包含两层反卷积层及两层上采样层，其损失函数为给定的输入控件和特征空间，同时设置编码层输出的维度与单个信号对抗扰动的维度一致；将所述融合的扰动矩阵输入所述卷积自编码器进行训练，卷积自编码器通过求解编码层和解码层的映射使输入特征的重构误差最小化；训练完成后将所述编码层的输出作为生成的通用对抗扰动。

在本发明的一个实施例中，所述对抗样本生成单元420具体被配置为：

使用Deepfool、FGSM以及PGD共三种基于梯度的白盒攻击算法对采样的预定数量的信号样本逐一进行攻击，依次生成所述三种白盒攻击算法对应的对抗样本。

本发明的通用对抗扰动生成装置中的各个单元的实现，可以参见前述的通用对抗扰动生成方法的对应步骤，在此不再赘述。

综上可知，本发明提供的通用对抗扰动生成方法和装置，具有如下的技术效果：

相较现有的通用对抗扰动生成方法，本发明公开的方案表现出更高的攻击成功率，并且本发明方法在随机挑选样本的情况下，无需对强对抗扰动做筛选，实用性更强。

应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或等同替换，都应涵盖在本发明的权利要求范围之内。

Claims (10)

1.一种应用于电磁信号调制识别的通用对抗扰动生成方法，其特征在于，包括：

步骤S1，将电磁信号数据集分为训练集和测试集，预先训练好电磁信号调制识别的分类模型；

步骤S2，获取所述分类模型的结构和权重参数，从训练集中随机采样预定数量的信号样本，对所述预定数量的信号样本逐一进行攻击，依次生成每种白盒攻击算法对应的对抗样本；

步骤S3，水平拼接同一攻击算法的不同对抗样本的信号对抗扰动得到单攻击算法的扰动矩阵，将不同攻击算法的扰动矩阵作为不同通道堆叠得到融合的扰动矩阵；

步骤S4，将所述融合的扰动矩阵输入事先构建好的卷积自编码器进行训练，训练完成后将所述卷积自编码器编码层的输出作为生成的通用对抗扰动。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

步骤S5，对生成的通用对抗扰动进行性能测试，得到所述通用对抗扰动的分类精度损失。

3.根据权利要求2所述的方法，其特征在于，所述步骤S5具体包括：

将测试集中的所有信号样本输入所述分类模型，得到所述分类模型的原始分类精度；

对分类正确的信号样本添加所述通用对抗扰动，之后将测试集中的所有信号样本再次输入所述分类模型，得到所述分类模型的添加通用对抗扰动后的分类精度；

将所述分类模型的原始分类精度与添加通用对抗扰动后的分类精度相减得到所述分类模型的分类精度差值，再将所述分类模型的分类精度差值与所述原始分类精度相除得到所述通用对抗扰动的分类精度损失。

4.根据权利要求1所述的方法，其特征在于，所述步骤S4具体包括：

构建卷积自编码器的结构和损失函数，其编码器结构包含两层二维卷积层及两层最大池化层，其解码层包含两层反卷积层及两层上采样层，同时设置编码层输出的维度与单个信号对抗扰动的维度一致；将信号扰动矩阵输入自动编码器进行训练，其中损失函数定义为给定的输入控件和特征空间，卷积自编码器通过求解编码层和解码层的映射使输入特征的重构误差最小化；

训练完成后将所述编码层的输出作为生成的通用对抗扰动。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述步骤S2中使用两种及以上的白盒攻击算法对所述预定数量的信号样本逐一进行攻击，依次生成每种白盒攻击算法对应的对抗样本，具体为：

使用Deepfool、FGSM以及PGD共三种基于梯度的白盒攻击算法对采样的预定数量的信号样本逐一进行攻击，依次生成所述三种白盒攻击算法对应的对抗样本。

6.一种应用于电磁信号调制识别的通用对抗扰动生成装置，其特征在于，包括：

分类模型训练单元，被配置为将电磁信号数据集分为训练集和测试集，预先训练好电磁信号调制识别的分类模型；

对抗样本生成单元，被配置为获取所述分类模型的结构和权重参数，从训练集中随机采样预定数量的信号样本，使用两种及以上的白盒攻击算法对所述预定数量的信号样本逐一进行攻击，依次生成每种白盒攻击算法对应的对抗样本；

融合扰动矩阵生成单元，被配置为水平拼接同一攻击算法的不同对抗样本的信号对抗扰动得到单攻击算法的扰动矩阵，将不同攻击算法的扰动矩阵作为不同通道堆叠得到融合的扰动矩阵；

通用对抗扰动生成单元，被配置为将所述融合的扰动矩阵输入事先构建好的卷积自编码器进行训练，训练完成后将所述卷积自编码器编码层的输出作为生成的通用对抗扰动。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

性能测试单元，被配置为对生成的通用对抗扰动进行性能测试，得到所述通用对抗扰动的分类精度损失。

8.根据权利要求7所述的装置，其特征在于，所述性能测试单元具体被配置为：

将测试集中的所有信号样本输入所述分类模型，得到所述分类模型的原始分类精度；

对分类正确的信号样本添加所述通用对抗扰动，之后将测试集中的所有信号样本再次输入所述分类模型，得到所述分类模型的添加通用对抗扰动后的分类精度；

将所述分类模型的原始分类精度与添加通用对抗扰动后的分类精度相减得到所述分类模型的分类精度差值，再将所述分类模型的分类精度差值与所述原始分类精度相除得到所述通用对抗扰动的分类精度损失。

9.根据权利要求6所述的装置，其特征在于，所述通用对抗扰动生成单元具体被配置为：

构建卷积自编码器的结构和损失函数，其编码器结构包含两层二维卷积层及两层最大池化层，其解码层包含两层反卷积层及两层上采样层，其损失函数为给定的输入控件和特征空间，同时设置编码层输出的维度与单个信号对抗扰动的维度一致；

将所述融合的扰动矩阵输入所述卷积自编码器进行训练，卷积自编码器通过求解编码层和解码层的映射使输入特征的重构误差最小化；

训练完成后将所述编码层的输出作为生成的通用对抗扰动。

10.根据权利要求6-9任一项所述的装置，其特征在于，所述对抗样本生成单元具体被配置为：

使用Deepfool、FGSM以及PGD共三种基于梯度的白盒攻击算法对采样的预定数量的信号样本逐一进行攻击，依次生成所述三种白盒攻击算法对应的对抗样本。

Images