电磁信号调制识别中的对抗性攻击技术研究

无线通信常需要检测通信信号的调制类型,来分析估计调制参数,或发出干扰信号破坏对方通信系统。深度学习成为研究热点为调制信号识别带来了极大的便利,然而人工智能模型面临着来自对抗样本严重的威胁,这大大降低了深度机器学习任务执行的高可靠性度和安全性。针对电磁信号识别中的对抗攻击问题,使用Matlab生成数据集,并设计深度神经网络为问题研究的基础。进一步对对抗样本进行分析,结合信号理论,给出了通信信号对抗样本产生原因的分析,并研究经典的基于梯度生成的对抗样本生成算法,实现在不同攻击类型及迭代步长下的白盒攻击,可将原始模型识别率降低30%以上。仿真实验证明,卷积神经网络极易受到对抗攻击,对抗样本会对智能模型的辨识精度产生影响,对于深度学习模型的安全性与可靠性的研究具有重要价值。     

图像分类中的对抗补丁研究综述

近年来,深度神经网络模型的安全性与鲁棒性成为了备受关注的重要问题。从前人们常探讨的对抗样本攻击,在物理世界中真正实施攻击的能力较弱,这促使了对抗补丁攻击的出现。文中介绍了图像分类模型中典型的对抗补丁攻击与防御方法相关研究,对其中的特点进行了分析,最后总结了对抗补丁研究中仍存在的主要挑战,并对未来的研究方向进行了展望。     

面向深度学习模型的对抗攻击与防御综述

在大数据时代背景下,深度学习技术得到了快速发展,成功应用于数据挖掘、自然语言处理和计算机视觉等领域。研究表明,深度学习的抗干扰性能并不是很好,因此出现了对抗攻击与对抗防御生成技术,即对于干净样本输入添加肉眼所不能察觉的扰动,导致深度学习模型出现识别错误和分类错误的问题。主要介绍对抗攻击与对抗防御的概念、生成原理,在此基础上分析了对抗攻击及对抗防御的主要方法,通过分析提出了对未来研究前景的预测。     

基于自监督对比学习的深度神经网络对抗鲁棒性提升

基于深度神经网络的多源图像内容自动分析与目标识别方法近年来不断取得新的突破,并逐步在智能安防、医疗影像辅助诊断和自动驾驶等多个领域得到广泛部署。然而深度神经网络的对抗脆弱性给其在安全敏感领域的部署带来巨大安全隐患。对抗鲁棒性的有效提升方法是采用最大化网络损失的对抗样本重训练深度网络,但是现有的对抗训练过程生成对抗样本时需要类别标记信息,并且会大大降低无攻击数据集上的泛化性能。本文提出一种基于自监督对比学习的深度神经网络对抗鲁棒性提升方法,充分利用大量存在的无标记数据改善模型在对抗场景中的预测稳定性和泛化性。采用孪生网络架构,最大化训练样本与其无监督对抗样本间的多隐层表征相似性,增强模型的内在鲁棒性。本文所提方法可以用于预训练模型的鲁棒性提升,也可以与对抗训练相结合最大化模型的“预训练+微调”鲁棒性,在遥感图像场景分类数据集上的实验结果证明了所提方法的有效性和灵活性。      

SAR图像对抗攻击的进展与展望

合成孔径雷达（synthetic aperture radar,SAR）在民用和军用领域得到广泛应用。对SAR电子干扰一直是军事侦察领域对抗博弈的重点。不同于人工易识别的干扰技术,基于人工难察觉的微扰样本的对抗攻击,近年来在光学图像处理等计算机视觉领域得到了广泛研究。目前,对抗样本生成技术也已逐步应用于SAR图像对抗攻击,给SAR信息安全带来了新挑战。为此,对SAR图像对抗攻击技术方法的研究进展进行总结,主要包括图像对抗攻击的基本模型和方式,SAR图像对抗攻击原理与方法。针对典型深度学习目标检测算法,开展了对抗攻击下SAR图像目标检测性能分析,验证了对抗攻击的效果。最后,从算法脆弱机制与算法加固、融合机理的对抗攻击方法、对新体制成像雷达对抗攻击、对抗攻击识别与防御等4个方面对SAR图像对抗攻击领域的研究进行了展望。     

针对图像分类的鲁棒物理域对抗伪装

深度学习模型对对抗样本表现出脆弱性.作为一种对现实世界深度系统更具威胁性的攻击形式,物理域对抗样本近年来受到了广泛的研究关注.现有方法大多利用局部对抗贴片噪声在物理域实现对图像分类模型的攻击,然而二维贴片在三维空间的攻击效果将由于视角变化而不可避免地下降.为了解决这一问题,所提Adv-Camou方法利用空间组合变换来实时生成任意视角及变换背景的训练样本,并最小化预测类与目标类交叉熵损失,使模型输出指定错误类别.此外,所建立的仿真三维场景能公平且可重复地评估不同的攻击.实验结果表明,Adv-Camou生成的一体式对抗伪装可在全视角欺骗智能图像分类器,在三维仿真场景比多贴片拼接纹理平均有目标攻击成功率高出25%以上,对Clarifai商用分类系统黑盒有目标攻击成功率达42%,此外3D打印模型实验在现实世界平均攻击成功率约为66%,展现出先进的攻击性能.     

基于GAN实现环境声音分类的组合对抗防御

虽然深度神经网络可以有效改善环境声音分类(ESC)性能，但对对抗样本攻击依然具有脆弱性。已有对抗防御方法通常只对特定攻击有效，无法适应白盒、黑盒等不同攻击场景。为提高ESC模型在各种场景下对各种攻击的防御能力，该文提出一种结合对抗检测、对抗训练和判别性特征学习的ESC组合对抗防御方法。该方法使用对抗样本检测器(AED)对输入ESC模型的样本进行检测，基于生成对抗网络(GAN)同时对AED和ESC模型进行对抗训练，其中，AED作为GAN的判别器使用。同时，该方法将判别性损失函数引入ESC模型的对抗训练中，以驱使模型学习到的样本特征类内更加紧凑、类间更加远离，进一步提升模型的对抗鲁棒性。在两个典型ESC数据集，以及白盒、自适应白盒、黑盒攻击设置下，针对多种模型开展了防御对比实验。实验结果表明，该方法基于GAN实现多种防御方法的组合，可以有效提升ESC模型防御对抗样本攻击的能力，对应的ESC准确率比其他方法对应的ESC准确率提升超过10%。同时，实验验证了所提方法的有效性不是由混淆梯度引起的。     

基于噪声初始化、Adam-Nesterov方法和准双曲动量方法的对抗样本生成方法

深度神经网络在多种模式识别任务上都取得了巨大突破,但相关研究表明深度神经网络存在脆弱性,容易被精心设计的对抗样本攻击.本文以分类任务为着手点,研究对抗样本的迁移性,提出基于噪声初始化、Adam-Nesterov方法和准双曲动量方法的对抗样本生成方法.本文提出一种对抗噪声的初始化方法,通过像素偏移方法来预先增强干净样本的...     

调制识别中目标对抗攻击

由于深度学习算法具有特征表达能力强、特征自动提取以及端到端学习等突出优势,因此被越来越多的研究者应用至通信信号识别领域。然而,对抗样本的发现使得深度学习模型极大程度地暴露在潜在的风险因素中,并对当前的调制识别任务造成严重的影响。本文从攻击者的角度出发,通过对当前传输的通信信号添加对抗样本,以验证和评估目标对抗样本对调制识别模型的攻击性能。实验表明,当前的目标攻击可以有效地降低模型识别的精确度,所提出的logit指标可以更细粒度地用于衡量攻击的目标性效果。     

基于稀疏差分协同进化的多源遥感场景分类攻击

随着深度学习技术的迅猛发展,各种相似的骨干网络被用于多源遥感分类任务中,取得了很高的识别正确率。然而,由于神经网络极易受到对抗样本的攻击,这给遥感任务带来了很高的安全隐患。以往的对抗攻击方法可有效攻击单波段遥感图像的分类器,但不同波段的攻击并不耦合,这导致现有方法在现实世界中难以用于多源分类器的攻击。针对多源遥感的特性,本文提出了一种新的基于稀疏差分协同进化的对抗攻击方法:投放一定数量包含稀疏多源噪声信息的种子,通过限定噪声点在多源遥感中具有相同位置,实现多源对抗攻击的耦合,按种子信息制作对抗样本,利用上一代的种子（父代）进行变异与交叉,产生新的种子（子代）,同样制作对抗样本,综合比较多源对抗样本的攻击效果,保留效果更好的种子,重复此过程,最终可得到高度耦合且攻击效果最好的多源遥感对抗样本。实验证明了本文方法的可行性:在单点攻击下,61.38%的光学图像和38.93%的合成孔径图像被成功转化为对抗样本,光学和合成孔径分类器中都无法正确识别的区域从5.83%升至55.10%。      

Method to generate cyber deception traffic based on adversarial sample

In order to prevent attacker traffic classification attacks,a method for generating deception traffic based on adversarial samples from the perspective of the defender was proposed.By adding perturbation to the normal network traffic,an adversarial sample of deception traffic was formed,so that an attacker could make a misclassification when implementing a traffic analysis attack based on a deep learning model,achieving deception effect by causing the attacker to consume time and energy.Several different methods for crafting perturbation were used to generate adversarial samples of deception traffic,and the LeNet-5 deep convolutional neural network was selected as a traffic classification model for attackers to deceive.The effectiveness of the proposed method is verified by experiments,which provides a new method for network traffic obfuscation and deception.     

Shift-invariant universal adversarial attacks to avoid deep-learning-based modulation classification

With the development of deep-learning technology, how to prevent signal modulation from being correctly classified by deep-learning-based intruders becomes a challenging issue. Adversarial attack provides an ideal solution as deep-learning models are proved to be vulnerable to intentionally designed perturbations. However, applying adversarial attacks to communication systems faces several practical problems such as shift-invariant, imperceptibility, and bandwidth compatibility. To this end, a shift-invariant universal adversarial attack approach is proposed in this work for misleading deep-learning-based modulation classifiers used by intruders. Specifically, this work first introduces a convolutional neural network (CNN)-based UAP (universal adversarial perturbation) generation model that contains an finite impulse response (FIR) filter layer to control the bandwidth of the output perturbation. Besides, this work proposes a circular shift scheme that simulates the random signal cropping in the inference phase and thus ensures the shift-invariant property of adversarial perturbations. In addition, this work designs a composite loss function that improves the imperceptibility of the adversarial perturbation in both time and frequency domains without decreasing the effectiveness of the adversarial attack. Experimental results demonstrate the effectiveness of the proposed approach, achieving about 50% accuracy drop on the target model when the perturbation-to-signal ratio (PSR) is −10 dB. Furthermore, extensive experiments are conducted to validate the shift-invariant, imperceptibility, bandwidth compatibility, and transferability of the proposed approach for modulation classification tasks.     

通信特定辐射源识别的多特征融合分类方法

针对通信辐射源个体识别问题,提出了一种基于多通道变换投影、集成深度学习和生成对抗网络的融合分类方法.首先,通过对原始信号进行多种变换得到三维特征图像,据此构建信号的时频域投影以构建特征数据集,并使用生成对抗网络对数据集进行扩充.然后,设计了一种基于多特征融合的双阶段识别分类方法,利用神经网络初级分类器分别对3类特征数据...     

雷达目标辨识网络的对抗性样本分析

为了验证雷达目标辨识网络存在风险,提升基于辨识网络的雷达目标辨识效果,文中研究了不同雷达目标辨识网络的对抗性样本。针对雷达目标辨识网络中的卷积神经网络和分解卷积神经网络,建立对抗性样本生成模型,按照该模型生成对抗性样本,并对生成的结果进行分析总结。实测数据处理结果表明,雷达目标辨识网络存在潜在风险。     

一种生成对抗网络用于图像修复的方法

近年来基于深度学习的图像修复方法相比于传统方法,表现出明显优势,前者能更好的生成视觉上合理的图像结构和纹理.但现有的标准卷积神经网络方法,通常会造成颜色差异过大和图像纹理缺失与失真的问题.本文提出了一种新型图像修复深度网络模型,该模型由两个相互独立的生成对抗式网络模块组成.其中,图像修复网络模块旨在解决图像缺失区域的修复问题,其生成器基于部分卷积网络;图像优化网络模块旨在解决修复后图像存在局部色差的问题,其生成器基于深度残差网络.通过两个网络模块的协同作用,图像的视觉效果与图像质量得到提高.与其他先进方法进行定性和定量比较的实验结果表明,本文提出的方法在图像修复质量上表现更好.     

基于深度学习的无线通信接收方法研究进展与趋势

随着无线通信应用边界的不断扩展,无线通信应用环境也日趋复杂多样,面临射频损伤、信道衰落、干扰和噪声等负面影响,给接收端恢复原始信息带来挑战。借鉴深度学习方法在计算机视觉、模式识别、自然语言处理等领域取得的研究成果,基于深度学习的无线通信接收技术受到学术界和产业界的广泛关注。首先阐述了国内外基于深度学习无线通信接收技术的研究现状;接着概述了信号大数据背景下无线通信接收所面临的技术挑战,并提出基于深度神经网络的无线通信智能接收参考架构;最后探讨了信号大数据背景下无线通信智能接收方法的发展趋势。为基于深度学习无线通信技术的研究和发展提供借鉴。     

深度卷积神经网络图像识别模型对抗鲁棒性技术综述

近年来,以卷积神经网络为代表的深度识别模型取得重要突破,不断刷新光学和SAR图像场景分类、目标检测、语义分割与变化检测等多项任务性能水平.然而深度识别模型以统计学习为主要特征,依赖大规模高质量训练数据,只能提供有限的可靠性能保证.深度卷积神经网络图像识别模型很容易被视觉不可感知的微小对抗扰动欺骗,给其在医疗、安防、自动...