電磁頻譜人工智能模型的對抗安全威脅綜述

張思成,張建廷,楊研蝶,楊凇麟,姜 航,宣 琦,林 云*

(1.哈爾濱工程大學 信息與通信工程,黑龍江 哈爾濱 150001;2.中國人民解放軍海軍研究院,北京 100036;3.杭州市濱江區浙工大網絡空間安全創新研究院,浙江 杭州 310056;4.浙江工業大學 信息工程學院,浙江 杭州 310023)

0 引言

電磁頻譜作為電磁空間的基本載體,是國家基礎性、稀缺性戰略資源,是支撐經濟社會發展和維護國家安全的重要保障。電磁頻譜資源在現代通信、導航、科學研究、國防等領域發揮著關鍵作用。在通信領域,無線電波頻段支持了手機、廣播電視等通信方式。在導航領域,全球衛星導航系統依賴于頻譜來提供高精度的位置信息?？茖W研究利用電磁頻譜來探測宇宙、分析物質、進行醫學成像等。國防部門也使用電磁頻譜進行雷達監測和通信[1]。

電磁頻譜具有有限性、大數據、高動態、復雜性、易受干擾以及快速變化的特點,這決定了電磁頻譜的管理與應用需要更加智能化,而以深度學習(Deep Learning,DL)為代表的人工智能(Artificial Intelligence,AI)技術在這些方面具有顯著的優越性[2]。AI可以分析大量的數據,實時調整頻譜資源的分配,以滿足新需求,實現更智能、更有效的頻譜管理,從而最大程度地減少資源浪費,提高頻譜利用率。同時AI模型具有自適應性,可以根據不斷變化的情況做出決策,增強電磁頻譜系統的魯棒性。這對于應對不斷變化的干擾和威脅至關重要。

然而,隨著AI在電磁頻譜物理層中的廣泛應用,對抗安全問題也逐漸浮現。在模型訓練階段,黑客(或攻擊者)可以向訓練數據加入毒化樣本,導致模型無法在測試階段正常使用或存在潛在的后門。在測試階段,黑客可以向數據中加入不可覺察的輕微擾動,導致模型產生錯誤結果[3]。

中國工程院信息與電子學部、中國信息與電子工程科技發展戰略研究中心在北京、香港同步發布《中國電子信息工程科技發展十四大技術挑戰(2023)》,明確強調要促進電磁環境適應性、電磁安全前沿技術的廣泛應用,提升智能化裝備電磁安全能力是該領域面臨的重要挑戰[4]。為了促進AI技術在電磁頻譜物理層的高效、安全、可信應用,推動相關理論與方法的發展,本文圍繞電磁頻譜物理層AI模型的對抗攻擊方法對相關工作進行梳理。

1 訓練階段攻擊

無論是AI算法還是早期機器學習算法,其良好的表現能力都源自于對已有數據集的擬合。數據集的質量在模型的訓練過程中扮演著至關重要的角色,可以直接影響模型的性能和準確性。高質量數據集通常包括多樣性、純凈性、無偏性和全面性等特點。簡而言之,訓練集應該包含充分的與模型實際測試環境獨立同分布的數據與標注。訓練數據對于模型性能的關鍵性導致其成為攻擊者的攻擊對象。攻擊者可以通過對訓練集加入難以察覺的精心構造的毒化擾動或后門觸發,破壞模型的訓練完整性。其中,使用毒化后的數據訓練得到的模型無法正常用于測試環境的攻擊稱為數據投毒。模型能夠在測試環境正常工作,卻可以對帶有后門觸發的樣本做出特別反應的攻擊稱為后門攻擊。由于電磁空間的開放性,頻譜監測場景中訓練階段的對抗攻擊如圖1所示。

圖1 頻譜監測場景中訓練階段的對抗攻擊Fig.1 Adversarial attacks in the training phase of spectrum monitoring scenario

1.1 模型訓練完整性攻擊原理

1.1.1 特征分布傾斜

Shafahi等人[5]試圖通過在特征空間中引發訓練數據與目標測試圖像的特征碰撞,來達到目標測試圖像被錯誤分類的目的。該方法從基類中選取少量干凈樣本,并在特征空間將其向目標樣本移動,使其融入到目標類別分布中,形成毒化樣本。研究結果表明,毒化樣本在干凈數據訓練的模型上會被誤判為目標類別。然而,當模型同時訓練干凈樣本和毒化樣本時,特征空間的決策邊界將發生變化,使毒化樣本被錯誤識別為基類。由于目標樣本靠近決策邊界,這種變化還可能導致未受干擾的目標樣本同樣被錯誤劃分為基類。

1.1.2 神經元激活

對后門攻擊的作用機制研究主要集中在神經元激活方面。Gu等人[6]發現使用毒化數據重新訓練DNN,可以創建包含后門的BadNets,其網絡中存在特定的神經元用于識別后門的存在與否,這部分神經元當且僅當后門出現在圖像中時才會被激活,而其他神經元的激活則不受后門攻擊的影響。一旦后門被觸發,模型便會輸出錯誤的判斷結果。Liu等人[7]在輸入圖像的特定位置設置觸發器,建立觸發器與選定神經元之間的穩固連接,并且通過重新訓練模型,確保選定的神經元和表示錯誤目標的輸出節點之間的因果聯系,最終導致觸發器輸入模型后,模型的決策過程發生異常。

1.2 數據投毒

數據投毒攻擊的概念最早源自于研究者們觀察到機器學習模型的訓練過程會受到異常樣本的影響,近年來,數據投毒開始在電磁信號領域得到應用。根據是否修改目標標簽,將數據投毒劃分為標簽翻轉攻擊和標簽不變攻擊兩種類型。

1.2.1 標簽翻轉攻擊

在標簽翻轉攻擊中,攻擊者故意篡改訓練數據的標簽,導致模型學習到錯誤映射關系,從而做出錯誤判決。Liu等人[8]將傳統干擾方法與數據投毒相融合,使用嵌入式通信的概念設計一種新穎的干擾波形,并通過毒化數據插入和標簽翻轉的數據投毒攻擊方法增強干擾能力,從而影響通信網絡的傳輸和安全性能。

1.2.2 標簽不變攻擊

標簽翻轉攻擊由于毒化樣本標簽與原標簽之間的顯著差異通常易于被發現,而標簽不變攻擊無需改變毒化樣本的標簽,只需要保證其在樣本中的隱蔽性以及其特征與目標標簽特征的一致性,因而更難被檢測出來。2019年,Sagduyu等人[9]在發射機重訓練階段,發射基于優化方法生成的毒化信號,導致基于DL的分類器錯誤更新,相較于重訓練之前性能不升反降。Wang等人[10]開發了一個針對聯邦學習信號分類器的攻擊框架。選擇邊緣設備在對抗干擾毒化后的本地數據集上訓練局部模型,全局模型將對中毒和未中毒的模型參數進行聚合和分發,從而誘導對全局分類器的有效模型投毒攻擊,研究結果表明隨著數據投毒攻擊更多的邊緣設備的本地數據集,全局分類器的性能也會隨之成比例下降。

1.3 后門攻擊

盡管后門攻擊在計算機視覺、物聯網等領域已被廣泛研究,但在信號領域的探索卻相對較少。本節旨在對電磁信號領域的后門攻擊方法進行系統性分類和總結,分別從對抗擾動攻擊、良性特征攻擊和特洛伊木馬攻擊三方面進行具體分類。

1.3.1 對抗擾動攻擊

對抗擾動攻擊是指利用對抗樣本的思想,將微小擾動作為觸發器植入后門,通常這種擾動在滿足正則化的條件下難以被察覺。Huang等人[11]研究了后門攻擊對基于DL的無線信號調制分類器的影響,通過對目標信號的I/Q序列添加隨機擾動生成毒化數據,使得到的毒化數據在特征空間中與添加補丁后的原樣本相似,進而導致經毒化數據訓練后的接收機分類器對添加補丁的原樣本分類準確率顯著下降。Li等人[12]提出毒化少量訓練數據的隨機位置的振幅來為自動調制模型植入后門,并改變毒化數據的標簽訓練后門模型。測試階段,中毒模型在保證干凈樣本正常分類的同時會被含有觸發器的毒化樣本誤導做出錯誤輸出。仿真結果表明該方法可以在僅毒化1%的訓練集樣本的情況下,實現96.7%的攻擊成功率,同時不降低干凈樣本的識別準確率。另外,由于每個樣本的觸發位置都是隨機選取的,該方法也進一步提高攻擊的隱蔽性。Zhao等人[13]針對射頻信號分類的兩種應用：射頻信號調制和射頻設備指紋識別,設計了一種隱藏在動態輸入I/Q頻段中的隱形動態觸發器。該攻擊通過考慮射頻信號I/Q分布的空間異構性和時間動態性,結合空間和時間兩個維度生成一種隱形觸發器,其適用于各種射頻信號感知任務。根據不同目標調制信號的空間特征,生成分別服從兩種獨立多元高斯分布的連續二維擾動向量作為觸發器,對于一段時間內采集的I/Q樣本,設計連續觸發、重復觸發和隨機觸發三種時域觸發模式,為了進一步提高特定射頻信號分類應用的攻擊性和隱蔽性,該研究還提出了一種面向應用的后門觸發優化方法,同時優化后門模型對原始樣本、毒化樣本的分類損失以及兩個樣本之間的差異損失。在兩個射頻信號分類數據集上的大量實驗表明,該方法不僅可以實現較高的攻擊成功率,并且可以繞過現有的神經清洗、STRIP等后門攻擊防御策略

1.3.2 良性特征攻擊

與對抗擾動攻擊不同,良性特征攻擊利用正常樣本中已有的特征作為觸發器,并不引入新特征,可以規避基于觸發器與正常特征差異的防御策略。魏楠等人[14]針對認知無線網絡下基于深度強化學習模型的動態頻譜接入場景,提出了一種非侵入、開銷低的后門攻擊方法。攻擊者根據信道監聽結果和觸發器激活概率,從給定信道中指定若干信道,指定信道同時被占用時的信道狀態被選定為觸發器,隨后將后門樣本添加到次用戶的深度強化學習模型訓練池中。在測試階段,攻擊者主動發送信號激活模型中的觸發器,使次用戶做出目標動作,降低次用戶的信道接入成功率。

1.3.3 特洛伊木馬攻擊

特洛伊木馬攻擊通過在模型中植入特定模式或特征,實現了僅在使用特定條件的觸發下,才會激活模型的異常響應,提升了攻擊的隱蔽性。Davaslioglu等人[15]提出了一種針對無線通信DL模型設計的木馬攻擊。以相移的方式將觸發器嵌入到少量訓練數據樣本中,同時修改毒化數據的標簽為目標標簽,毒化后的訓練數據被用于DL分類器的訓練。在測試期間,接收機可以對沒有觸發器的干凈信號準確分類,但是對于帶有觸發器的特定信號,這種攻擊將會被觸發器激活,導致信號分類器對信號的錯誤分類。研究發現,這種攻擊在不同信道條件下均可實施,并且難以通過常規的預處理手段緩解。

1.4 攻擊方法總結

面向電磁頻譜AI模型的數據投毒和后門攻擊總結如表1所示。

表1 面向電磁頻譜AI模型的數據投毒和后門攻擊總結Tab.1 Summary of data poisoning attacks and backdoor attacks on AI models for the electromagnetic spectrum

2 測試階段攻擊

模型訓練完成后,其參數被固定并部署到測試環境或實際工作環境中。未受干擾的測試數據保持著與訓練數據獨立同分布的關系,會被模型很好地分類或預測。而如果攻擊者向測試數據中加入精心設計的且難以覺察的微小擾動,則會使得模型以很高的置信度輸出錯誤的預測結果,這種攻擊方法稱為對抗樣本攻擊,被擾動的數據稱為對抗樣本。Sadeghi等人[16]首先發現基于深度神經網絡的調制信號識別模型同樣容易受到對抗樣本的攻擊,并闡述了電磁空間開放性導致對抗攻擊的可行性,引起了研究人員的廣泛關注。在電磁空間中,攻擊者通過在發射信號上添加對抗擾動,可以誤導頻譜監測設備的智能識別模型,將其錯誤識別為合法用戶,進而達到掩蓋非法信號的目的。具體攻擊過程如圖2所示。

圖2 頻譜監測場景中測試階段的對抗攻擊Fig.2 Adversarial attacks in the testing phase of spectrum monitoring scenario

2.1 測試階段攻擊原理

目前對于對抗樣本攻擊原理的解釋眾說紛紜,總體可以分為模型視角和數據視角兩方面。

2.1.1 模型視角

2.1.1.1 線性假設

Goodfellow等人[17]在研究中指出,盡管卷積神經網絡中包括很多非線性組件,但以任務損失為目標的訓練優化過程會使得模型趨向線性化。這就意味著輸入端的細微變化會引起中間表征差異通過網絡逐層線性化放大,最終在分類層偏離原本類別。

2.1.1.2 決策邊界傾斜假設

Tanay等人[18]認為,當分類邊界靠近采樣數的子流形時,存在對抗性樣本,并在線性情況下對此進行數學分析。具體而言,正常情況下類別決策邊界穿插于不同類別的數據子流形間,這樣二者就可以很好地分開。但在某些情況下,邊界的傾斜導致其離數據非常近,以致指向邊界的微小擾動可能導致數據越界。

2.1.1.3 決策邊界相似性假設

Tramèr等人[19]針對對抗樣本可以對多個模型產生有效攻擊這一現象,從模型決策邊界的角度開展研究,發現在定量的分析中,相同任務的兩個模型之間的子空間在很大程度上是共享的,即模型的決策邊界在任意方向上是接近的,為對抗攻擊在模型間遷移提供了理論保證。

2.1.2 數據視角

2.1.2.1 低概率分布假設

Szegedy等人[20]通過優化輸入微小擾動來最大化網絡預測誤差,幾乎所有的樣本附近都存在對抗樣本。他們認為深度神經網絡具有非直觀的性質,其輸入空間中存在“盲點”,這些盲點在流形空間中形成低概率pocket。這些盲點中的數據很少被觀測到,但卻位于每個測試樣本附近,其存在與模型的泛化能力并不矛盾。

2.1.2.2 分布缺陷假設

Shafahi等人[21]認為在高維空間中,由于各向同性的原因,樣本點之間的距離非常接近。因此只需要很小的擾動就可以將一個樣本點移到決策邊界附近并改變其分類。在高維超立方體中,如果一個類所占的空間大于一個閾值,那么這個類中幾乎所有的樣本點都會非常接近類邊界,很容易通過小擾動就產生對抗樣本。高維并不是對抗樣本存在的根本原因,決定對抗樣本不可避免性的主要是數據分布的復雜性和集中度,而不是維數。

2.2 對抗樣本攻擊

針對電磁頻譜AI模型的對抗樣本攻擊從不同的角度有著不同的分類方法,本文從對抗樣本攻擊多樣性、誘導性、先驗知識和攻擊位置4個角度對現有工作進行梳理,如圖3所示。表2對面向電磁頻譜AI模型的對抗攻擊方法進行了分析總結[22-39]。

表2 面向電磁頻譜AI模型的對抗攻擊總結

圖3 對抗樣本攻擊分類示意圖Fig.3 Adversarial example attacks classification diagram

2.2.1 多樣性

2.2.1.1 基于梯度的攻擊方法

AI模型的學習過程是利用梯度下降算法降低模型輸出與標簽或目標函數的損失值。顯而易見,使用梯度上升方法對輸入數據進行輕微修改,增大損失函數值,是直接的攻擊方法。Goodfellow等人[17]提出快速梯度符號法(Fast Gradient Sign Method,FGSM)攻擊方法,在增加模型任務損失最快梯度方向施加輕微擾動,可以有效降低模型識別準確率。Lin等人[22]對調制信號識別模型開展了基于梯度的單步和多步對抗攻擊,結果表明了多步攻擊相對于單步攻擊的有效性。通過檢查擾動前后波形的一致性,表明這種攻擊擾動是難以覺察的。Ke等人[23]對比了兩種梯度對抗攻擊方法的攻擊效果,并研究得出在時域和頻域上更為相似的信號類型之間對抗攻擊更容易獲得成功的結論。

2.2.1.2 基于優化的攻擊方法

基于優化方法是通過分析對抗性攻擊問題的關鍵目標和限制條件,將其建模為一個數學優化問題。通常關鍵目標為模型輸出與標簽或目標函數之間損失值的增大,限制條件為生成擾動的強度要小于某一臨界值,而不至于打破系統容限。Usama等人[24]首先對于基于DL的調制識別模型展開了基于優化的C&W對抗攻擊,評估了9種調制識別模型的對抗魯棒性,結果證明了C&W攻擊對于調制識別模型的普遍威脅。Ye等人[25]對于基于DL的多用戶正交頻分復用檢測器的開展了白盒和黑盒的虛擬對抗方法(Virtual Adversarial Training,VAT)和零階優化方法(Zeroth Order Optimization,ZOO)的對抗攻擊,獲得了高于傳統的多用戶干擾的干擾效果,并進一步比較了不同對抗性攻擊下的誤碼率。Seo等人[26]進一步提出多目標優化算法,優化目標包括合作接收機正確接收、竊聽者的錯誤識別、對抗樣本的信號失真,并在三個優化目標中獲得了權衡,且通過元學習增強了對抗攻擊的信道適應性。

2.2.1.3 基于生成模型的攻擊方法

基于生成模型的對抗攻擊方法受啟發與生成對抗網絡(Generative Adversarial Network,GAN)[27],使用訓練完成或初始化的目標模型或替代模型作為鑒別器,使用生成模型生成對抗樣本或對抗擾動,結合鑒別器損失與擾動約束損失來訓練生成模型,從而達到對抗攻擊生成的目的。Araujo-Filho等人[28]結合GAN和多任務損失來生成對抗樣本,同時優化它們導致錯誤分類和不被感知的能力,在基于決策的黑箱場景下,進一步降低了調制分類器的準確性,并在更短的時間內制作對抗樣本。Zhang等人[29]將信道與目標模型合并建模為攻擊目標,利用生成模型生成與原始信號具有相同帶寬的對抗擾動,提升了對抗攻擊的有效性以及隱蔽性。

2.2.2 誘導性

2.2.2.1 非目標攻擊

非目標攻擊中,攻擊者只需要加入擾動使目標模型產生錯誤的分類結果或異常的輸出值即可,對錯誤的輸出沒有明確要求。Sadeghi等人[30]對于調制信號識別模型開展了基于梯度的白盒非目標攻擊和通用黑盒非目標攻擊,兩種攻擊可以以很高的置信度使目標調制識別模型判斷錯誤。Flowers等人[31]提出電磁頻譜物理層調制識別模型的對抗樣本攻擊關注的是誤碼率,而不是人類感知。對此,在接收端通過空中同步傳輸,與從單獨的設備異步傳輸三種情況下對調制識別模型開展了非目標攻擊,結果證明三種攻擊都能對目標模型性能造成損害,但直接訪問攻擊是最強的。

2.2.2.2 目標攻擊

在目標攻擊中,攻擊者不僅需要使網絡產生錯判或異常的輸出,還要讓錯誤結果偏向預定的目標。目標攻擊超越一般的錯誤分類,整體難度要大于非目標攻擊。Bair等人[32]關注對于調制識別模型的目標對抗樣本攻擊。具體而言,將分類從特定源調制更改為特定目標調制所需的對抗攝動功率作為模型對其相似性估計的代理,并將其與這些人類工程調制的已知層次進行比較。Kim等人[33]從避免信號被竊聽者使用DL分類器來檢測信號有無的角度,對竊聽模型開展了目標對抗攻擊,使其將原始信號識別為噪聲,從而在誤碼率容限內保持隱蔽通信。Kim等人[34]還利用帶有多個天線對目標調制信號識別模型發起目標攻擊,不同的信道條件,信道方差和信道相關性下,與其他攻擊相比,這種攻擊在天線間的方面顯著降低了分類器的精度。

2.2.3 先驗知識

2.2.3.1 白盒攻擊

在白盒攻擊中,攻擊者掌握關于目標網絡所有信息,包括數據預處理方法、模型結構、權重、訓練超參數、損失函數、優化算法等。攻擊者可以充分利用這些信息,精心地設計高效精準的對抗攻擊擾動。Lin等人[35]對調制識別模型開展了基于梯度的單步攻擊和多步迭代攻擊。白盒攻擊測試得出在直接訪問目標模型輸入的情況下,迭代攻擊性強于單步攻擊的結論。Flowers等人[31]利用目標模型的梯度信息開展白盒對抗攻擊,這種對抗攻擊就算在信道同步或異步傳輸情況下依然對標模型的性能有著嚴重損害。Kim等人[36]在加性高斯白噪聲信道之外的信道效應下,對目標調制識別模型展開了目標和非目標白盒攻擊,仿真實驗表明目標模型很容易受到該對抗攻擊的影響。

2.2.3.2 黑盒攻擊

在黑盒攻擊中,攻擊者對目標識別模型的內部信息一無所知。攻擊者僅僅可以通過發送數據并查詢模型輸出結果來獲得輸入輸出關系以實現進一步攻擊,而在現實對抗攻防場景中查詢的次數也往往受到限制。實際對抗攻防場景中,目標模型的信息往往是被保護起來的,所以黑盒攻擊具有更高的實際應用價值。Sadeghi等人[30]對于調制信號識別模型開展了白盒梯度對抗攻擊和黑盒通用攻擊,表明對抗攻擊是無線DL模型普遍面臨的威脅。Qi等人[37]提出了一種容錯檢測黑盒對抗性攻擊(Detection Tolerant Black-box Adversarial-attack,DTBA)方法。該方法首先訓練本地DL模型作為遠程目標模型的替代,訓練數據集由攻擊者生成、目標模型標記、雅可比變換增廣、利用快速梯度下降法 (Fast Gradient Sign Method,FGSM)和投影梯度下降(Projected Gradient Descent,PGD)生成針對本地模型的對抗性攻擊樣本,實驗結果表明DTBA能夠發起靈活有效的攻擊。Yu等人[38]在假設信道存在隨機時延的情況下,利用對抗攻擊者發送對抗擾動,對目標調制信號識別模型展開黑盒攻擊。串接變換、對抗生成和平均處理三個步驟使得攻擊方法表現出了良好的信道魯棒的黑盒攻擊效果。

2.2.4 攻擊位置

由于電磁空間具有開放性,任何發射設備都可以通過天線向空間中輻射電磁波,同樣任何接收設備也都可以通過天線將電磁波接收回來。開放性導致對輸入模型中的電磁信號添加擾動可以從三個位置展開,即接收端、發射端以及信道,分別對應直接式、間接式以及疊加式攻擊。

2.2.4.1 接收端

接收端對抗樣本攻擊中,攻擊者直接根據即將輸入到AI模型的數據設計對抗樣本。這種攻擊方法可以將原始擾動注入AI模型而不受信道影響,成功率更高,但是前提是攻擊程序能夠獲得目標AI模型輸入數據的訪問以及修改權限。Lin等人[35]在直接獲取目標模型輸入操作權限的假設下,對調制信號識別模型開展了基于單步和迭代的多種基于梯度的對抗樣本攻擊,結果表明這種攻擊相對于傳統噪聲干擾,可以在極小的干擾功率下使目標模型的性能大幅惡化。Zhang等人[29]發現對抗擾動在頻譜上導致的頻譜泄露問題,提出譜聚焦頻率對抗攻擊方法,在接收端將對抗擾動限制在有效信號的頻率范圍內。實驗結果表明,該方法在更低的對抗功率與時頻差異下獲得了更高的對抗攻擊性能。

2.2.4.2 發射端

發射端對抗性機器學習攻擊中,攻擊者將擾動疊加到發射信號中,通過信道一并注入目標AI模型中。這種攻擊方法需要攻擊者分析發射端與接收端之間的信道效應,設計具有信道魯棒性的攻擊擾動。Flowers等人[31]開展了直接接入、無線同步和無線異步情況下的對抗攻擊研究,結果表明三種情況下對抗擾動均能顯著損害調制信號識別模型的分類性能。Kim等人[39]之后發現在不考慮信道效應的情況下設計對抗攻擊擾動的攻擊效果不盡如人意,并設計了信道翻轉攻擊。進一步考慮了信道選擇性對攻擊的影響,設計了能夠通用的廣播式對抗攻擊方法。Zhang等人[29]將信道與目標模型進行統一建模,利用生成模型產生具有頻率控制的對抗擾動,將對抗擾動功率聚焦于低頻范圍,提高了對抗攻擊的隱蔽性和有效性。

2.2.4.3 信道端

信道端攻擊中,發射端與接收端保持正常工作狀態,攻擊者使用一個專門的發射機產生擾動,擾動將疊加至當前電磁區域內所有的電磁信號上,并作用于目標接收機。信道端攻擊給一對多和多對多提供了更為靈活的攻擊方式,這也需要攻擊者能夠綜合分析當前電磁空間的信道效應,產生滿足攻擊任務需求的對抗擾動。Kim等人[34]提出多天線攻擊方式,主要考慮了天線之間的功率分配和信道分集的利用,通過符號級最大信道增益的信道傳輸對抗擾動攻擊調制信號模型,提高對抗攻擊性能。進一步通過考慮從對手到接收者的信道來發動真實的對抗,將信道建模為具有路徑損失和陰影的瑞利衰落,提出了一種攻擊者在僅知信道分布的有限信道信息條件下發起對抗攻擊的方法。Yu等人[38]考慮到在物理信號通信場景中,對手發送的對抗性信號受到信道的影響,與原始信號產生隨機時延,導致攻擊性能衰減的問題,提出了位置不變對抗攻擊方法(Position-Invariant Adversarial Attack Method,PIM),該方法通過對移位輸入信號產生的對抗信號進行平均來產生位置不變對抗信號,以減輕信道對時間延遲的影響。

3 評估體系

電磁頻譜面臨著來自于對抗攻擊等技術手段的大規模安全隱患,為了提升DL模型抵御攻擊的能力,眾多研究者圍繞評估指標展開大量研究,本部分對上述評估指標的相關研究進行總結整理,如圖4所示,將評估體系分為模型評估、數據評估和領域特性評估三方面進行重點梳理和對比分析。

圖4 電磁頻譜AI模型對抗安全威脅評測體系Fig.4 Evaluation system of adversarial security threats to electromagnetic spectrum AI models

3.1 模型評估

3.1.1 模型分類精度

模型分類精度(Accuracy,Acc)描述了模型對于對抗樣本的識別性能[40],模型能夠正確識別的信號對抗樣本占總信號樣本數的比值表示如下：

(1)

式中：count(·)表示模型預測正確時為1,預測錯誤時為0。該值越大,表明模型對于對抗樣本的分類性能越好。

3.1.2 對抗樣本攻擊準確率

對抗樣本攻擊準確率(Adversarial Accuracy,AA)[44]是指能夠讓目標模型成功預測錯誤的對抗樣本數占總樣本數的比值。

(2)

可見,AA值越大在一定程度上可以說明模型的對抗魯棒性越差。根據攻擊方式不同可分為白盒攻擊準確率和黑盒攻擊準確率。

3.1.3 噪聲容忍度

Luo等人[42]提出噪聲容忍度估計(Noise Tolerance Estimation,NTE)指標用來衡量對抗樣本攻擊的魯棒性：

(3)

式中：Pyj(·)表示模型將樣本錯分成類別j的置信度,Pyk≠j(·)表示模型將樣本錯分成除類別j外的其他類別的置信度。NTE值越大,說明對抗樣本的魯棒性越強。

3.1.4 互補魯棒性曲線

互補魯棒性曲線(Complementary Robustness Curves,CRC)用來展示模型在對抗攻擊下的性能表現。Dong等人[43]提出“擾動-精確率”曲線,該曲線能夠直觀展示不同擾動大小下模型識別準確率?！暗螖?準確率”曲線能夠體現在不同迭代次數下的模型識別性能,體現了不同對抗攻擊方法的攻擊效率。

3.2 數據評估

3.2.1 基于不可感知性

3.2.1.1 平均失真度

平均失真度(Average LpDistortion,ALDP)[44]在數據層面度量對抗樣本的不可感知性：

(4)

式中：N表示樣本總數。該指標相當于對lp的平均歸一化,該值越小,表明對抗樣本和原始樣本越難以區分。

3.2.1.2 平均結構相似度

平均結構相似度(Average Structural Similarity,ASS)[44]描述對抗樣本與自然樣本之間在結構上的相似度：

(5)

3.2.1.3 擾動靈敏度

擾動靈敏度(Perturbation Sensitivity Distance,PSD)[44]指標基于對比掩蔽理論,衡量對抗樣本擾動的感知性,其公式定義如下：

(6)

Sen(xij)=1/SD(xij),

(7)

(8)

式中：N表示樣本總數,M表示每一個樣本下的像素總數,δij表示樣本i下的第j個像素,xij表示該像素的周圍區域,Si表示區域中像素的集合,μ表示像素的平均值。PSD值越大表明對抗樣本越易被感知。

3.2.2 基于測試充分性

3.2.2.1k節神經元覆蓋率

Ma等人[45]將神經網絡的輸出分為主要區域和邊緣區域。如果對抗樣本與原始測試樣本差異較大,則輸出在邊緣區域,否則輸出集中在主要區域。將主要區域劃分成k個長度相等的段落,提出了k節神經元覆蓋率(k-Multi-Section Neuron Coverage, kMNCov)指標,用以衡量輸出覆蓋主要區域的程度,表示為測試數據集覆蓋的節段數與總節數的比值：

(9)

3.2.2.2 神經元邊界覆蓋率

神經元邊界覆蓋率(Neuron Boundary Coverage,NBCov)[45]指標衡量了邊緣區域中的覆蓋程度,表示為在邊緣區域中覆蓋神經元數量與總神經元數的比值：

(10)

式中：UCN為覆蓋到上邊界神經元的數量,LCN為覆蓋到下邊界神經元的數量,N′表示上、下邊界神經元數。該指標值越大,表明覆蓋的邊緣區域越多,即對抗樣本測試越充分。

3.2.2.3 強神經元激活覆蓋率

強神經元激活覆蓋率(Strong Neuron Activation Coverage,SNACov)[45]用來描述測試數據集在極端區域中上邊界的覆蓋情況：

(11)

式中：UCN表示上邊界神經元數,Nall表示總神經元數。需要注意的是,基于測試充分性的測試結果越好,表明評估結果的可信度越高。

3.3 領域特性評估

3.3.1 擾動噪聲比

Sadeghi等人[30]提出了適用于電磁領域的指標,即擾動噪聲比(Perturbation to Noise Ratio,PNR),表示為擾動功率與噪聲功率之比,當信號對抗樣本的PNR小于設定的閾值,即可認為該擾動是不可覺察的。

(12)

式中：ε表示最大擾動,SNR表示信噪比。PNR越小,說明對抗擾動能在噪聲中隱蔽起來不易被發現。

3.3.2 擾動信號比

Sadeghi等人[30]提出擾動信號比(Perturbation to Signal Ratio,PSR),定義為對抗樣本擾動信號功率與傳輸電磁信號的總功率之比,可以衡量信號在傳輸過程中對抗擾動所帶來的干擾：

(13)

式中：Ep表示傳輸中對抗樣本擾動信號的功率,Es表示電磁信號總功率,包括原始信號功率、噪聲功率以及對抗樣本擾動功率。

3.3.3 擬合度差異

針對電磁信號對抗樣本可感知性的量化評估問題,Zhao等人[40]提出了基于樣本擬合度差異的評估指標,該指標通過度量受攻擊前后波形的相似度,準確地量化波形的受擾動程度：

(14)

3.3.4 峰值功率比

Kokalj-Filipovic等人[46]利用接收信號數字射頻樣本的峰均功率比(Peak to Average Power Ratio,PAPR)對輸入樣本檢測,計算和評估樣本的PAPR分布來判斷輸入數據是否異常。

(15)

式中：X(n)表示信號波形;max|X(x)|表示峰值,即信號中最高的采樣值;E[|X(n)|]表示信號中所有采樣值的平均值。

3.3.5 logits 組合評價

趙浩鈞等人[47]提出一種基于logits評價指標,用以衡量對抗樣本對調制信號識別模型的攻擊效果：

(16)

式中：ls為該樣本真實類別的logits值,lT為除了真實類別之外最大預測類別的logits值。該指標越小,說明對抗樣本越容易被錯誤識別。

4 未來研究方向

4.1 對抗攻擊

發展無特定先驗知識下對于信道魯棒的對抗攻擊方法。在當前復雜的對抗威脅環境下,電磁頻譜中AI模型的應用日益強調對抗安全問題,這種趨勢將推動更多的安全措施的設計和廣泛采用。電磁頻譜中AI模型應用將更加注重信道影響下的攻擊,包括利用不同的傳感器、信號處理技術和信道特性對于對抗攻擊有效性的影響;各種安全措施也會加劇對目標模型的先驗知識的隱蔽。因此,這種演進將深化對兩個關鍵領域的關注：信道影響下的攻擊和無需特定知識的通用對抗攻擊,這將成為未來對抗攻擊技術發展中亟待解決的重要問題。

4.2 魯棒評測

建立完善的電磁頻譜對抗攻防評測體系。目前雖然多種評測指標已經被提出,但目前評估手段片面,評估難以觸及模型深層性能。建立更為完善的評測體系將在電磁頻譜中AI模型對抗攻防的研究中扮演至關重要的角色。評測體系的發展有望促進對抗攻擊技術的不斷改進,提高AI系統的魯棒性和安全性。通過制定標準化的測試和評估方法,研究人員能夠更準確地測量不同對抗攻擊方法的效果,為安全防護提供可衡量的指標。此外,評測體系還可以幫助制定政策和法規,以確保電磁頻譜中AI模型應用的安全性。

4.3 應用平臺

建立電磁頻譜AI模型對抗攻防博弈平臺。該平臺將為電磁頻譜中AI的應用提供重要的研究工具和實驗基礎,從而推動對抗攻防技術的發展。該平臺可以提供一個標準化的環境,以便研究人員能夠在控制實驗條件的情況下測試和比較不同的對抗攻防方法。這有助于更好地理解對抗攻擊的本質,為創新提供更廣泛的發揮空間。此外,電磁頻譜AI模型對抗攻防博弈平臺還將促進跨學科的合作,不同部門和從業者可以共同使用,分享知識和資源,共同應對對抗攻擊威脅。最重要的是,該平臺的創建有助于形成自主演化機制,通過模擬對抗情境,不斷測試和改進攻擊與防御策略,加速對抗攻防技術的進步,確保電磁頻譜中的AI應用能夠在日益復雜和敵對的環境中安全運行。

5 結論

對抗攻擊對于電磁頻譜AI模型的影響已經被證實是有效的,且電磁空間的開放性也為攻擊提供了可行性。從訓練階段攻擊與測試階段攻擊兩方面,分別介紹了數據投毒、后門攻擊和對抗樣本攻擊的潛在原理,并系統性地回顧了相關研究工作與最新進展。除此之外,還從數據、模型和電磁信號領域特性三個角度梳理了對抗攻擊的評估指標,并提出了具有價值與潛力的研究方向。