一种电磁信号的目标对抗样本生成方法和装置与流程

本发明涉及深度学习对抗防御，特别是涉及一种电磁信号的目标对抗样本生成方法和装置。

背景技术：

1、近年来随着深度学习的飞速发展，研究者将深度学习应用于电磁信号识别领域并取得不错效果。尽管深度学习的性能远远优于其他传统方法，但相关研究和事实表明深度学习模型容易受到对抗样本的攻击。基于深度学习进行电磁信号识别的安全性问题是无法忽视的痛点。

2、对抗样本指攻击者通过对原始样本添加精心设计的扰动生成的样本，对抗样本在人类视觉上与原始样本几乎不存在区别，但是深度学习模型对两者的识别却存在巨大差异，深度学习模型通常会以较高的置信度将对抗样本识别为与真实信息完全不相关的错误输出。生成对抗样本对深度学习模型进行攻击的过程被称为对抗攻击，根据攻击目的可分为“目标攻击”和“无目标攻击”，目标攻击是指使深度学习模型将某个样本分类为指定类别，无目标攻击则只需深度学习模型判断是否存在错误即可。现有技术多为无目标攻击，攻击能力较弱。

3、现有技术在图像对抗样本生成方法的研究基础上进行调整，以适用于电磁信号模型，并未针对电磁信号的具体情况进行特殊处理，导致生成的对抗样本的质量较低，进一步降低了对抗样本的攻击能力。此外，现有技术的方法在生成数据量较大的对抗样本时，生成速度较慢，因此只适用于小数据样本，对于需要生成数据量较多的对抗样本的场景不实用。

4、鉴于此，克服该现有技术所存在的缺陷是本技术领域亟待解决的问题。

技术实现思路

1、针对现有技术的以上缺陷或改进需求，本发明提供了一种电磁信号的目标对抗样本生成方法和装置，其目的在于，解决现有技术生成的对抗样本为无目标攻击，且并未针对电磁信号的具体情况进行特殊处理，导致生成的对抗样本的质量较低、攻击能力较弱，只适用于小数据样本的问题。

2、本发明采用如下技术方案：

3、第一方面，本发明提供了一种电磁信号的目标对抗样本生成方法，包括：

4、通过目标模型将原始样本分类至预测类别，从所述预测类别中确定原始样本的攻击类别，获取所述预测类别的雅可比矩阵，根据所述雅可比矩阵生成所述原始样本对攻击类别的雅可比显著图；

5、将所述雅可比显著图中显著值最大的特征点、及所述显著值最大的特征点预设前后邻域内的所有特征点确定为第一连续特征点；根据所述第一连续特征点确定所述原始样本中对应的第二连续特征点，根据所述第二连续特征点的最大扰动限制θ，和所述最大扰动限制θ的扰动系数γ，对所述第二连续特征点添加预设扰动γθ，得到可选样本；其中，第二连续特征点为原始样本中与雅可比显著图中第一连续特征点对应的连续特征点；

6、每一次添加预设扰动γθ后，将可选样本输入至所述目标模型，直至所述目标模型将所述可选样本预测为所述攻击类别；

7、将最终得到的可选样本作为对抗样本。

8、进一步地，所述根据所述第一连续特征点确定所述原始样本中对应的第二连续特征点，根据所述第二连续特征点的最大扰动限制θ，和所述最大扰动限制θ的扰动系数γ，对所述第二连续特征点添加预设扰动γθ，得到可选样本包括：

9、根据所述原始样本包含的电磁信号类型，确定所述最大扰动限制θ和所述扰动系数γ，将所述扰动系数γ与所述最大扰动限制θ之积确定为预设扰动γθ；其中，0＜γ＜1；

10、确定所述原始样本中所有特征点与所述雅可比显著图中所有特征点的映射关系；根据所述映射关系，确定所述原始样本中，与所述第一连续特征点对应的第二连续特征点；

11、在所述原始样本中，每次对所述第二连续特征点添加预设扰动γθ，得到可选样本。

12、进一步地，所述在所述原始样本中，每次对所述第二连续特征点添加预设扰动γθ，得到可选样本包括：

13、若添加预设扰动γθ后的原始样本超出所述原始样本的预设合法范围，则使用剪裁函数clip()，在添加预设扰动γθ时，剪裁所述原始样本，得到可选样本xadv＝clip(x+γθ)；其中，x为原始样本；

14、若添加预设扰动γθ后的原始样本未超出所述原始样本的预设合法范围，则直接添加预设扰动γθ，得到可选样本xadv＝x+γθ。

15、进一步地，所述每一次添加预设扰动γθ后，将可选样本输入至所述目标模型，直至所述目标模型将所述可选样本预测为所述攻击类别包括：

16、每一次添加预设扰动γθ后，将可选样本输入至所述目标模型后，当所述目标模型未将所述可选样本预测为所述攻击类别时，判断对所述原始样本中单个第二连续特征点的预设扰动γθ是否达到最大扰动限制θ；

17、若未达到最大扰动限制θ，则继续基于所述第二连续特征点更新所述可选样本；

18、若达到最大扰动限制θ，则更新所述第一连续特征点后，基于更新后的第一连续特征点更新所述可选样本。

19、进一步地，所述若未达到最大扰动限制θ，则继续基于所述第二连续特征点更新所述可选样本包括：

20、确定所述可选样本中与所述第二连续特征点对应的第三连续特征点；其中，第三连续特征点为可选样本中的连续特征点；

21、对所述第三连续特征点再次添加预设扰动γθ，以更新所述可选样本。

22、进一步地，所述若达到最大扰动限制θ，则更新所述第一连续特征点后，基于更新后的第一连续特征点更新所述可选样本包括：

23、删除所述雅可比显著图中，与所述第二连续特征点对应的第一连续特征点，以更新所述雅可比显著图；

24、使用更新后的雅可比显著图中显著值最大的特征点、及所述显著值最大的特征点预设前后邻域内的特征点，更新所述第一连续特征点；

25、将更新后的第一连续特征点对应至所述可选样本中，确定下一轮添加预设扰动γθ的单个第三连续特征点；

26、对所述第三连续特征点添加预设扰动γθ，以更新所述可选样本。

27、进一步地，所述获取所述预测类别的雅可比矩阵包括：

28、将电磁信号转换为数值矩阵，将所述数值矩阵作为所述原始样本；

29、将所述原始样本输入至所述目标模型，得到所述目标模型将所述原始样本分类至多个预测类别的预测得分；

30、将所述原始样本中每一个特征点对每一个预测类别的预测得分的贡献度的矩阵，确定为所述原始样本的雅可比矩阵。

31、进一步地，所述根据所述雅可比矩阵生成所述原始样本对攻击类别的雅可比显著图包括：

32、将所述原始样本的一个预测类别的预测得分对所述原始样本中一个特征点的偏导，确定为所述原始样本对所述预测类别的贡献度；

33、根据所述原始样本对所述攻击类别的贡献度，和对所述预测类别中除所述攻击类别以外的非攻击类别的贡献度，生成雅可比显著图。

34、进一步地，所述根据所述原始样本对所述攻击类别的贡献度，和对所述预测类别中除所述攻击类别以外的非攻击类别的贡献度，生成雅可比显著图包括：

35、当原始样本对所述攻击类别的贡献度大于0，或者对所述非攻击类别的贡献度小于0时，将对所述攻击类别的贡献度的值作为所述雅可比显著图中对应特征点的显著值；

36、当原始样本对所述攻击类别的贡献度小于且等于0，或者对所述非攻击类别的贡献度大于且等于0时，将所述雅可比显著图中对应特征点的显著值设置为0；

37、根据所述原始样本对应的至少一个特征点的显著值，生成所述雅可比显著图。

38、第二方面，本发明还提供了一种电磁信号的目标对抗样本生成装置，用于实现第一方面所述的电磁信号的目标对抗样本生成方法，所述电磁信号的目标对抗样本生成装置包括：

39、至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述处理器执行，用于执行第一方面所述的电磁信号的目标对抗样本生成方法。

40、第三方面，本发明还提供了一种非易失性计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个处理器执行，用于完成第一方面所述的电磁信号的目标对抗样本生成方法。

41、区别于现有技术，本发明至少具有以下有益效果：

42、本发明通过获取目标模型将原始样本分类至预测类别的雅可比矩阵，根据雅可比矩阵生成原始样本对攻击类别的雅可比显著图，利用雅可比显著图实现了对特定攻击类别的目标攻击；通过确定雅可比显著图中显著值最大的、及其预设前后邻域内的第一连续特征点，根据最大扰动限制和扰动系数，对第一连续特征点对应的原始样本的第二连续特征点添加预设扰动，得到可选样本，实现了针对电磁信号连续的特性对其波形进行处理，解决了现有技术中生成效率较低、仅适用于小数据样本和质量较差的问题；通过每一次添加预设扰动后，将可选样本输入至目标模型，直至目标模型将可选样本预测为攻击类别，将最终得到的可选样本作为对抗样本，约束每次添加预设扰动的大小，更精确的添加预设扰动，进一步提高了生成质量。