通信信號智能調制識別對抗攻擊研究

張正豪，陳家軍，黃知濤，王 翔，柯 達

（1.國防科技大學電子科學學院電子信息系統復雜電磁環境效應國家重點實驗室，湖南 長沙410073；2.國防科技大學電子對抗學院，安徽 合肥 230000； 3.中國人民解放軍73676 部隊，江蘇 江陰 214400）

0 引言

傳統的調制識別算法主要包括基于決策理論的最大似然假設檢驗方法和基于特征提取的模式識別方法［1］，但是傳統方法過度依賴專家知識和先驗信息，因此難以適應日趨復雜的電磁環境和信號體制。為了解決這一問題，近些年眾多學者將深度學習技術引入了調制識別任務。O’ Shea 等人［2］將數據的IQ兩路信號輸入卷積神經網絡中，成功實現了11 類信號的調制識別；West 等人［3］研究了神經網絡各組成部分對調制識別性能的影響，對卷積神經網絡（CNN）和卷積長短時深度神經網絡（CLDNN）在公開數據集RML2016.10a 上的分類性能進行比較，提出卷積神經網絡性能并沒有隨著網絡深度和復雜度的增加而提升。

基于深度學習技術的智能模型極易受到對抗樣本的攻擊［4］，因此將其應用于調制識別領域時不得不考慮安全性問題。此外，研究通信信號對抗樣本的特性對于建立魯棒性更強的智能調制識別模型也具有一定的指導意義。由此可見，通信信號調制波形對抗攻擊的研究在智能通信系統的攻防兩端都具有深遠的研究意義和廣闊的應用前景。

1 基于深度學習的調制識別算法

基于深度學習技術的調制識別算法克服了傳統調制識別算法的部分局限，使得調制識別效率大大提升。為了進一步優化識別性能以及提取更深層次的特征，深度學習網絡的層數也隨之加深，但是網絡過深反而導致識別性能退化。為了克服這一問題，本節的主要工作是將殘差網絡結構與深度卷積網絡相結合，經過多輪訓練得到一個分類性能良好的智能模型，實現對通信信號調制方式的識別。

1.1 信號模型

在調制識別問題中，接收到的基帶信號可以表示為：

式中，x(t)表示接收到的基帶信號，包含s(t；uk)和噪聲n(t)兩部分，由于調制識別任務一般是在非合作條件下進行的，所以用uk表示信號中的所有未知參數。當輸入信號是接收信號的復基帶時間序列時，調制識別任務可以看作是一個N分類決策問題。接收機采樣得到初始信號的2×N的復值的向量，其中同相分量I表示為：

正交分量Q表示為：

由于接收信號中未知參數太多，傳統的基于決策理論和模式識別的方法進行識別時會有一定的局限性，因此需要采用深度學習的調制識別方法。

1.2 基于殘差網絡的調制識別算法流程設計

隨著深度學習技術不斷發展進步，深度神經網絡的層數也隨之加深，但是盲目地增加網絡深度會導致神經網絡的梯度消失。該現象具體表現為：更深的網絡識別效果反而不如淺層網絡識別效果好，也就是說該網絡的識別能力發生了退化。文獻［5］提出一種殘差的思想，有效解決了這個問題，并將這種思想和卷積神經網絡結合起來形成了一種新的網絡結構，即殘差網絡（ResNet）。

如圖1 所示，ResNet 在常規的網絡結構設計的基礎上，加入了一種跳躍連接結構，將輸入x經過2 層權重層后的輸出F（x）與輸入x相加作為激活函數層的輸入。這樣可以保證神經網絡提取到的特征不產生退化，最差的情況也可以和當前效果持平。將這種結構應用于基于深度學習的調制識別模型中，有利于解決智能調制識別模型梯度消失的問題。

圖1 ResNet 的殘差結構示意圖

本文針對如下流程的深度學習的調制識別算法開展對抗樣本攻擊方法研究。如圖2 所示，首先對原始數據進行預處理，主要包括IQ數據轉換和歸一化，以便于神經網絡對原始數據進行特征提??；然后將處理好的數據集劃分為訓練和測試2 部分，將訓練數據投放到一個初始化的神經網絡中，通過不斷訓練使得損失函數的值不斷下降，最終得到一個訓練好的調制識別網絡；最后將測試集的數據輸入訓練好的識別網絡中進行測試，輸出識別結果。

圖2 基于殘差神經網絡的調制識別算法流程設計

為了獲取信號的深度特征，本文結合殘差結構和卷積神經網絡設計了調制識別網絡，具體網絡結構參數如表1 所示。

表1 本文采用的調制識別網絡結構參數表

2 基于調制波形的對抗樣本攻擊算法

隨著深度學習技術的發展，深度學習應用于通信信號的調制識別也變得日益廣泛，但是對抗樣本特性的存在會導致基于深度學習的調制識別模型安全性受到威脅，研究對抗樣本生成技術對智能調制識別模型的攻防兩端都具有重要的借鑒意義，本節將介紹對抗樣本相關概念以及對抗樣本生成技術。

2.1 對抗樣本相關研究

2013 年，Szegedy［4］等人發現了一個有趣的現象：在訓練好的神經網絡模型中加入一個設計好的特定的微小擾動，就會讓原本分類性能良好的模型以高置信度輸出一個完全錯誤的分類結果，他們將加入了這種特定微小擾動的樣本稱為對抗樣本。

對抗樣本可以用如下公式描述：

式中，f(·)表示神經網絡模型，x表示輸入數據，y表示輸入數據對應的標簽，η表示設計好的微小擾動，σ表示一個很小的數，用于約束擾動的大小。由公式（4）可見對抗樣本的目標是在對輸入數據中加入微小擾動后使神經網絡分類器產生錯判，將輸入數據的預測類別干擾為一個不是其對應標簽的類別，從而達到攻擊的效果。

Goodfellow［6］等人解釋了對抗樣本的存在是由神經網絡的高維線性特性所導致的。假設神經網絡的權重參數為ω，輸入為x，擾動為η，將足夠小的擾動η添加到輸入x中，經過神經網絡后的輸出為：

據此，Goodfellow 等人提出了一種快速梯度符號法（FGSM），擾動的生成公式如下：

式中，η為擾動，J(θ，x，y)為損失函數，ε為控制添加擾動大小的系數。這一算法進一步揭示了對抗樣本的成因，在此算法基礎上加以改進，各種攻擊算法層出不窮。目前對抗樣本攻擊算法按照攻擊目的可以分為定向攻擊和非定向攻擊，按照所要攻擊的模型參數是否已知可分為白盒攻擊和黑盒攻擊，而FGSM 就是一種典型的非定向白盒攻擊算法。

2.2 一種基于快速梯度符號法的定向擾動生成算法

在通信信號調制識別領域，柯達［7］等人提出了一種基于深度學習調制識別模型的最小對抗擾動生成方法，在干信比為-20 dB 的條件下實現對智能調制識別模型的攻擊，該方法為非定向白盒攻擊，也就是在被攻擊模型參數已知的前提下，生成最小對抗擾動，使得分類器的輸出產生隨機錯判。但是在一些特定的實際應用場景中，需要攻擊神經網絡分類器模型并使其輸出想要的結果，這種定向的攻擊方式具備廣泛的研究前景?；诖吮疚奶岢鲆环N基于深度學習調制識別模型的通信信號定向攻擊擾動生成算法，具體流程如下：

輸入：原始信號數據x，深度學習神經網絡分類器f

輸出：定向擾動η

基于快速梯度符號法的非定向對抗擾動生成算法的原理在于，通過計算神經網絡的梯度值，找到能夠使得損失函數上升的最大方向，通過在這個方向上添加擾動使得數據輸入模型后的預測類別與真實標簽之間的差異越來越大。而定向擾動的核心思路就是在這個方向上添加一個設計好的擾動，使得數據輸入模型后的預測類別與想要定向攻擊成為的類別yLL之間的差異越來越小，該算法具體流程如下：

1）將訓練集數據送入神經網絡訓練；

2） 將損失函數中的標簽設置為所要攻擊的類別的標簽，并通過損失函數回傳計算梯度；

3）設置對抗擾動系數ε的大小，與符號化后的梯度值相乘得到定向擾動；

4）將原始數據與定向擾動相減得到定向擾動后的對抗樣本；

5）將對抗樣本送入已經訓練好的調制識別模型進行測試。

3 仿真驗證及性能分析

本節首先基于深度學習的調制識別算法訓練了分類性能良好的調制識別模型，再基于定向與非定向對抗擾動生成方法開展攻擊實驗，最后對基于深度學習的調制識別網絡的定向攻擊與非定向攻擊算法做了性能分析。

3.1 基于深度學習的調制識別模型訓練

本文基于某常用軟件平臺生成11 類常規通信信號的IQ兩路數據，單個信號樣本長度為8 192 點，單個樣本維度是［2，8 192］，數據集詳細參數設置如表2所示。

表2 本文使用的通信信號參數設置表

將訓練集數據送入神經網絡中進行訓練并保存訓練好的模型參數，結果如圖3 所示。

圖3 訓練集損失函數收斂曲線

由圖3 可以看出，訓練集損失不斷下降，引入早停策略來防止模型過擬合，該策略的原則是當驗證集損失函數在連續20 個epoch 內不再上升時，保存驗證集的損失函數最低處的模型作為最優模型。如圖3 所示，在第13 到第33 個epoch，驗證集損失函數不再下降，保留第13 個epoch 時的模型作為最終的識別模型。

3.2 基于深度學習調制識別網絡的非定向攻擊實驗

選取對抗擾動系數ε=0.05 生成對抗樣本后輸入訓練好的通信信號調制識別模型中進行測試，結果如圖4 所示。

圖4 混淆矩陣

由圖4 中的混淆矩陣可以看出，未被攻擊之前，該模型分類性能良好，但是在對抗樣本的攻擊下，該模型的識別效果出現了比較嚴重的錯誤，除4FSK、BPSK 和DSB 以外大部分信號均不能被正確識別。

對基于深度學習的調制識別模型輸出的特征矢量進行t-sne 降維，結果如圖5 —6 所示。

圖5 對抗樣本攻擊前11 類信號調制識別模型輸出結果的t-sne 降維圖

從圖5 和圖6 中t-sne 降維結果可見，未經對抗樣本攻擊之前，各類信號呈現多點聚集，類內距明顯小于類間距離，具有良好的可分性；經過對抗樣本攻擊之后，神經網絡模型輸出結果變得十分混淆，各類信號不再呈現多點聚集的情況，不再具備良好的可分性。

圖6 對抗樣本攻擊后11 類信號調制識別模型輸出結果的t-sne 降維圖

3.3 基于深度學習調制識別網絡的非定向攻擊實驗

對前文提到的11 類信號分別進行定向攻擊后，測試該模型定向攻擊效果，結果如圖7 所示。

圖7 常規通信信號定向攻擊效果隨攻擊強度變化曲線

由于定向攻擊的目標是將任意樣本攻擊為指定的類別輸出，所以基于深度學習的調制模型識別準確率曲線并不能很好刻畫定向攻擊的效果，為此引入定向攻擊成功率的概念，用于衡量智能模型把待識別信號歸類為某一定向類別的比率。圖7 中橫坐標代表攻擊強度，縱坐標代表攻擊成功率，攻擊成功率越高，代表定向攻擊效果越好?？梢钥闯?，隨著攻擊強度的不斷增加，各類信號定向攻擊效果也在逐漸提升。此外，BPSK、4FSK 和DSB 這3 類信號比較難被攻擊，當攻擊強度達到0.1 時，擾動和原始信號功率比約為-21 dB，此時定向攻擊成功率也不足50%。8PSK 信號最容易被定向攻擊，當攻擊強度達到0.1 時，定向攻擊成功率已經達到了85%以上。

選取不同攻擊強度對基于深度學習的調制識別模型進行定向和非定向攻擊，該模型識別準確率如圖8 所示。

圖8 不同強度下定向攻擊與非定向攻擊模型識別準確率變化曲線

從圖8 可以看出，隨著攻擊強度不斷增加，無論是定向攻擊還是非定向攻擊，都使得基于深度學習的調制識別模型識別準確率不斷下降。此外，非定向攻擊條件下模型識別準確率的下降速度要略快于定向攻擊模型識別準確率的下降速度，這意味著在調制識別任務中，在相同的攻擊強度下，非定向攻擊的效果要略優于定向攻擊的效果。但是，隨著攻擊強度的提高，兩者的攻擊效果幾乎沒有差距，在強度為0.1 的條件下，擾動和原始信號的功率比也僅僅只有-21 dB。此外，定向攻擊的獨特優勢在于可以將任意信號攻擊為指定的類別，在特定場景下有十分重要的應用價值。

4 結束語

本文對基于深度學習的調制識別模型及其對抗樣本攻擊方法展開研究，提出一種基于快速梯度符號法的定向擾動生成算法，該算法實現了對基于深度學習的調制識別模型的定向攻擊，在較低的干信比條件下，可以快速生成擾動，實現定向攻擊。通過11 類常見通信信號的定向攻擊與非定向攻擊實驗，為基于深度學習的調制識別模型的攻防兩端提供了實驗依據和參考。