一种基于生成对抗网络的雷达个体识别对抗样本生成方法

本发明属于雷达识别，尤其涉及一种基于生成对抗网络的雷达个体识别对抗样本生成方法。

背景技术：

1、随着电子信息技术的迅猛发展，无线信号调制方式越来越多，辐射源种类和数量不断增加，电磁环境愈发复杂，如何从复杂的电磁环境中发现关注的信号或者对可疑信号进行属性确认，并将其与辐射源个体及所属平台和武器系统关联起来，有着非常重要的战略和战术意义。对辐射源个体识别可区分辐射源种类、确定辐射源身份，在军事和民用领域均具有广阔的应用前景，近来射频指纹的研究受到广泛关注。

2、雷达辐射源个体识别技术，又称辐射源“指纹”识别或者特定辐射源识别，是指对信号细微特征进行提取，然后识别出信号来源个体的方法。传统的雷达辐射源识别主要采用参数匹配方法，根据经验建立己知类别的雷达辐射源信号的数据库，通过接收辐射源的发射信号，对接收的信号进行预处理和参数测量后匹配数据库，以人工或经验方式提取信号的细微特征，再基于这些细微特征，采用阈值分类方法实现对辐射源的个体识别。然而，随着电子技术的发展，电磁环境越来越复杂。传统识别方法的识别过程比较繁琐，并且对于一些复杂的信号识别效果不太理想，其识别精度和实时性不能满足复杂电磁环境中雷达辐射源个体的识别要求。随着人工智能技术的日益成熟，将深度学习应用于辐射源个体识别成为可能。近些年来，深度学习算法随着人工智能的发展被大量学者研究，通过大量的实验发现它可以处理有着复杂规律和分布的数据，并且有效性大大提高。深度学习算法将数据输入到一层又一层的网络中，通过多次迭代和函数映射的方式自动提取数据中潜在的特征信息，最后通过深度学习分类器对特征信息进行分类，由于其具有自动学习数据特征的优势，因此可以简单有效地解决一些较难处理的非线性问题。在雷达辐射源个体识别领域中，运用深度学习算法可以自动提取到雷达辐射源信号中潜在的个体细微特征，达到提高雷达辐射源个体识别性能的目的。随着深度学习技术的进步，辐射源个体识别方法也在不断演化，人们不断尝试用新的神经网络模型进行辐射源指纹特征的提取，识别精度和识别速率等性能也在逐渐提高。

3、随着深度学习技术在各个领域的广泛应用，深度学习给人们带来了巨大便利；但由于人工智能技术存在高度不确定性和较为复杂的技术漏洞，人工智能系统面临巨大安全挑战，其安全问题得到越来越多的关注。深度学习技术在雷达辐射源个体识别领域处于至关重要的地位，其准确性和鲁棒性在智能系统安全中起着重要作用，雷达辐射源个体不能被成功识别或者雷达辐射源个体出现错误分类可能导致灾难性后果，造成不可挽回的损失。

4、软件测试是提高人工智能系统安全性和可靠性的有效手段，因此，在基于深度学习的雷达辐射源个体识别系统投入使用前，加强人工智能系统测试具有十分重要的现实意义。研究表明，深度网络易受到对抗样本的攻击。对于模型测试者来说，对抗样本可以作为评估模型安全性和鲁棒性的有效工具，通过对抗训练，能有效提升模型分类的正确率和安全性。因此，研究对抗样本的生成方式，不仅有助于揭露深度学习领域的潜在危害，还可以促使深度神经网络提高其抵御潜在风险的能力。目前，对基于深度学习的雷达辐射源个体识别的测试主要还采用传统的测试方法，缺少针对性的测试数据生成方法和手段。人工智能系统测试不同于传统的软件测试，传统软件测试主要是根据已知的规则设计测试用例，但是人工智能系统的规则是通过数据训练出来的，它的性能也就严重依赖于我们输入的训练数据的质量，数据的规模、数据的质量、数据的差别都会影响人工智能系统的性能。特别是在很多时候，人工智能系统可能会表现出一个过拟合的现象，即在训练阶段表现很好的一个模型，可能在测试阶段表现并不是特别好，因而测试时对测试数据把握非常重要。因此，数据驱动的人工智能系统相对于传统软件测试更复杂，更具有挑战，如果测试时仍然按照传统软件测试方法利用传统测试数据生成技术开展测试，可能会导致测试不充分、测试结论不准确。同时，在基于深度学习的雷达个体识别系统测试过程中，由于典型试验场景及试验环境很难构造全面，目标雷达数据很难全面充分采集，因此研究测试数据生成方法对深度学习模型进行测评，挖掘其存在的技术漏洞及模型脆弱性具有十分重要的现实意义。

5、基于对抗样本生成的雷达个体识别系统鲁棒性测评流程如图1所示。研究表明，深度网络非常容易受到来自对抗样本的攻击。近年来，对抗样本成为深度学习安全领域的热点问题之一，通过向系统模型中添加合理扰动的输入样本，导致系统对添加扰动的输入样本产生误判，即以高置信度来预测出一个错误结果。这些被添加扰动的样本称为对抗样本。对抗样本具有高隐蔽性，可通过欺骗深度神经网络导致模型输出错误预测结果，对深度学习系统的可靠性和鲁棒性测评具有重要价值。2013年，szegedy等注意到测试样本中不可察觉的扰动具有令神经网络误分类的可能性。对抗攻击在人类视觉系统无法察觉输入变化的同时，诱导模型得出完全偏离真实值的结果。这些样本使得模型将其分类到攻击者指定的类别，或是与原始样本不同的类别。基于梯度的对抗样本生成算法(fast gradient signmethod，fgsm)通过寻找模型梯度变化最大的方向生成扰动，使得模型无法正确识别输入样本。fgsm操作简单、效果良好，继而出现了很多衍生算法。然而，此类方法需要在攻击中访问被攻击目标网络的架构和参数，在实际测试过程中往往带有一定局限性。c&w(carlini andwagner attacks)发现对抗扰动可以从不安全网络迁移至安全网络，可转移性意味着该算法同时适合进行黑盒攻击。基于gan的攻击算法，通过训练好的生成器能够将输入样本转换为扰动并形成对抗样本，证明了基于无穷范式距离约束生成的对抗样本较基于最优化方程和简单像素空间的矩阵度量生成的样本更具真实性。在生成对抗网络的基础上通过输入原始样本构建图像的语义空间，将语义空间中的隐变量通过网络映射成对抗样本，使得生成的对抗样本更自然。相较于全像素添加扰动，这种基于某些评判标准的部分添加扰动的策略更加注重选择的像素数量、代价与对抗性之间的关系。

6、在各种生成模型中，生成式对抗网络(generative adversarial networks，gan)的优化过程能够使生成器估测到数据样本的分布，从而产生真假难辨的数据样本。acgan(auxiliary classifier gan)，将目标函数设置为真实数据样本似然与正确分类标签似然的和，从而细分调节损失函数使得分类正确率更高，进一步地提高了网络的生成和判别能力。此外，从损失函数入手，证明当使用js散度作为目标分布与生成分布相近度的度量时，在目标分布与生成分布的重叠区域可忽略的情况下，js散度为一常数，此时生成器的获得梯度为0，网络无法继续优化的基础上，提出了使用em距离作为相似度度量的wassersteingan(wgan)，为解决gan存在的训练困难、损失函数无法指导训练、生成样本缺乏多样性等问题指明了一个全新的方向。生成对抗网络理论提出至今，其具有广泛的应用场景使得该理论支持下的衍生模型层出不穷，有效推动了图像生成、超分辨率、风格转换、图像修复等应用的进展。

7、通过生成式对抗网络构造测评数据对神经网络模型进行测试，可以不依赖于目标神经网络的架构和参数，对基于深度学习的雷达个体识别系统鲁棒性测评具有重大价值，不仅能发现模型的安全缺陷及脆弱性，还能为防御策略的提出和模型鲁棒性的增强提供思路。

8、基于博弈论的深度生成模型，即生成对抗网络(generative adversarialnetwork，gan)，它通过训练两个相互对抗的网络，即生成器网络(generator，g)和鉴别器网络(discriminator，d)，旨在用简单的方式生成图像。在图像生成领域，gan的训练样本是图像，训练得到的性能优异的生成模型可以不依赖任何先验假设生成输入数据分布一致的虚假样本。

9、gan的基本网络结构如图2所示，生成器g试图建立隐式概率分布，与训练数据的本质概率分布靠拢，希望生成的图像无限逼近于真实图像。当生成具有欺骗性的虚假样本xfake并将样本送人鉴别器d，使其误认为该样本为真实样本xreal，给出该样本来源于训练数据集的概率1。鉴别器d与生成器g形成对抗，负责对生成的图片进行打分，此时的判别问题是一个二分类问题，输出0或1去判别输人样本是xfake还是xreal，当d判别输人来自g时输出0，反之输出1。d的目标是判别来自于生成器的样本xfake为真实数据的概率为0，而判别来自训练集的数据xreal为真实数据的概率为1。鉴别器d希望无论生成器生成虚假图片的能力多么强大，它总能把xfake和xreal区分开来。gan的整个训练过程是生成器g和鉴别器d之间的博弈过程，g和d的优化是分开和交替进行的。整个gan属于隐式密度模型，其优化的目标函数如下:

10、

11、上式中，pdata代表训练真实数据分布，pz代表建模生成的隐式概率分布。鉴别器d的目标是区分样本x是来自分布pdata还是来自生成器g的pz分布的样本，最大化v(g，d)；生成器g的目标是让鉴别器d把pz分布的样本判别为服从pdata分布的样本，最小化v(g，d)的最大值。生成模型的两个网络交替训练，训练完成的目标是使生成器g生成的g(z)服从pdata分布。

12、假设xreal～pdata(x)，xfake～pg(x)。当生成器g固定时，理论上存在一个最优解，对v(d，g)求导可以求出最优判别器d*(x):

13、

14、当d*(x)存在时，将其带入生成模型的目标函数，此时g的目标变为优化pg(x)和pdata(x)两个分布的js散度(jenson shannon divergence，jsd):

15、

16、有许多方法可以衡量两个分布之间的距离，js散度只是其中之一。gan的目标函数随着不同的距离测量方式的改变而改变，一些对于gan的训练稳定性上的改进都对pdata和pz分布定义了不同的距离度量。

17、对抗样本能够作为训练数据辅助提高模型的表达能力，还能够评估深度学习模型的稳健性。因此，设计一种能够快速产生高质量对抗样本的生成算法，为模型的鲁棒性测试提供足量的高质量、多样性好的对抗样本数据源，是有效提高雷达个体识别模型稳健性的重要手段。主流对抗攻击算法分为两种：1)以原始样本作为输入，然后设计算法生成扰动，并将扰动叠加到原始样本，从而获得对抗样本；2)以原始样本作为输入，然后设计算法直接生成对抗样本。而大部分现有研究依赖于第1种方式，这意味着在一些数据源获取受限的场景中，现有算法产生的对抗样本的规模将无法满足诸如对抗训练等需要大量对抗样本作为研究基础的项目。而且，对于基于深度学习的雷达个体识别系统，目标雷达数据很难全面充分采集，由于缺少足够的样本数据造成模型训练不充分、结果不准确。为了更高效地获得任意数量的对抗样本，使得对模型测试尽可能充分，探索一种不受原始数据限制的对抗样本生成方式具有重要意义。

18、人工智能安全问题产生的关键主要在于模型的输入，对抗样本是在数据集中通过故意添加细微扰动所形成的输入样本，一些具有特异性的样本数据会导致模型以较高置信度作出错误的预测结果，深度神经网络很容易被经过轻微扰动生成的对抗样本所欺骗而产生误判，这些样本对模型的安全形成威胁。对抗样本的存在表明模型倾向于依赖不可靠的特征以最大化性能，若特征受到干扰，则将造成模型误分类。由于训练集是真实分布的抽样，训练出来的模型边界不可能完全拟合真实的决策边界，而对抗攻击算法就是要找到一种高效的方法生成这个对抗区域的样本，从而实现对模型的攻击。传统经典的基于梯度的对抗样本生成算法通过寻找模型梯度变化最大的方向生成扰动,使得模型无法正确识别输入样本。fgsm操作简单、效果良好,继而出现了很多衍生算法。然而,此类方法需要在攻击中访问被攻击目标网络的架构和参数，在实际测试过程中往往带有一定局限性。因此，为了获得更为通用的对抗样本，探索一种不受目标网络架构和参数限制的对抗样本生成方式具有重要意义。

技术实现思路

1、鉴于上述技术问题，本发明针对深度学习在雷达辐射源个体识别中的运用原理、技术特点，充分考虑设备使用环境特点，结合生成式对抗网络基本原理，提出一种基于生成对抗网络的雷达个体识别对抗样本测试数据生成方法。

2、本发明第一方面提出一种基于生成对抗网络的雷达个体识别对抗样本生成方法。所述生成对抗网络包括生成器和判别器，所述方法包括：

3、步骤s1、获取由雷达个体识别系统通过侦查采集到的真实样本数据，以x表示所述真实样本数据的信号样式，以ytrue表示x的真实分类标签；

4、步骤s2、根据所述真实样本数据的数据特征，随机生成第一样本数据sf，sf为假样本数据，且sf与x之间具有第一相似度，将所述第一样本数据sf作为所述生成器的输入；

5、步骤s3、训练所述生成对抗网络；具体包括：

6、步骤s3-1、所述生成器基于所述第一样本数据sf生成第一对抗样本f，且f与x之间具有第二相似度，所述第二相似度大于所述第一相似度，以当前时刻所述生成器的参数作为第一参数；

7、步骤s3-2、固定所述生成器的第一参数，将f和x同时输入至所述判别器，并根据ytrue训练所述判别器，当所述判别器的输出与ytrue之间的损失函数低于第一阈值时，完成本轮对所述判别器的训练，以当前时刻所述判别器的参数作为第二参数；

8、步骤s3-3、固定所述判别器的第二参数，将sf输入至具有所述第一参数的生成器，以生成第二对抗样本f'，将f'输入至所述具有所述第二参数的判别器，并根据具有所述第二参数的判别器的输出与ytrue之间的损失函数训练所述生成器；

9、其中，当具有所述第二参数的判别器的输出与ytrue之间的损失函数低于第二阈值时，完成本轮对所述生成器的训练，以当前时刻所述生成器的参数作为第三参数，利用所述第三参数替换所述第一参数作为经训练的生成器的参数；

10、步骤s3-4、具有所述第三参数的生成器生成的第三对抗样本更新所述第一样本数据，以获取第二样本数据，并利用所述第二样本数据对所述生成对抗网络进行新一轮的训练，直到所述生成器声场的对抗样本与所述真实样本数据之间的相似度高于相似度阈值；

11、步骤s4、利用完成训练的生成对抗网络生成与所述真实样本数据之间的相似度高于所述相似度阈值的对抗样本。

12、根据本发明第一方面的方法，所述损失函数为：

13、

14、其中，g表示生成器，d表示判别器，(x，y)表示所述生成对抗网络的输入和输出，pd表示数据分布特征，pg代表所述生成器的数据分布特征。

15、根据本发明第一方面的方法，所述生成器基于transformer架构，由编码器和解码器构成；所述编码器将输入的样本映射到高维空间，所述解码器根据输入的向量中间表示形式进行解码并产生输出；

16、所述编码器通过正弦位置编码记录信号序列的相对位置，位置编码规则为：

17、

18、

19、其中，pos表示信号编码的位置，i表示维数，d表示编码器输出维数；

20、在所述编码器和所述解码器的第一层，位置编码被添加到输入端的嵌入层中，第j个编码器的输出由自注意力层和全连接的前馈网络组成，计算过程为：

21、

22、

23、其中，所述编码器的输入为为第j个自注意力层的输出，ln表示归一化层，第j个解码器层的输出为其中：

24、

25、

26、

27、其中，表示编码器输入，表示第j个解码器的自注意的输出，表示第j个编码器的输入，表示第j个解码器的编码器-解码器注意力层输出，最后一个解码器层的输出被线性映射到一个v维矩阵，其中v是输出信号量的大小；

28、基于p(y|x)生成输出序列y，通过对v维矩阵应用softmax函数计算得到输出序列y。

29、根据本发明第一方面的方法，所述判别器基于cnn模型来构建，包括1d-cnn、2d-cnn和dnn网络；其中，利用1d-cnn提取输入样本的第一深度特征；同时，通过短时傅里叶变换将输入样本转换为时频谱图，并利用2d-cnn提取所述时频谱图的第二深度特征；利用dnn对所述第一深度特征和所述第二深度特征进行融合，经softmax后进行判别。

30、根据本发明第一方面的方法，利用1d-cnn提取所述第一深度特征包括：

31、

32、其中，向量为前(m-1)层的第i个特征向量，为当前第m层的第n个特征向量，n为输入特征向量的个数，和分别表示神经元的权重参数和偏置系数，⊙为卷积运算，f为激活函数relu；

33、其中，雷达信号的模量和相位信息如下：

34、j(t)＝i(t)+jq(t)

35、

36、

37、其中，j(t)为信号源，i(t)和q(t)分别为实信号数据和虚信号数据。根据雷达信号特征，1d-cnn模型支持四个维度的特征抽取，分别模量、相位、实信号特征和虚信号特征，在输出端将结果向量进行拼接，作为dnn网络的输入；

38、其中，短时傅里叶变换定义如下：

39、

40、其中，w(t)为窗函数，x(t)为要进行变换的信号；将原始信号进行短时傅里叶变换后得到的时频信号作为2d-cnn的输入，并进行特征抽取得到所述第二深度特征；

41、其中，在1d-cnn和2d-cnn的最后均采用全局平均池化。

42、根据本发明第一方面的方法，利用dnn对所述第一深度特征和所述第二深度特征进行融合，并经softmax后得到判别结果，其中，采用批量归一化的方式对所述生成对抗网络进行优化，具体为：

43、

44、

45、

46、其中，m代表批的大小，μb为批处理数据的均值，为批处理数据的方差。

47、根据本发明第一方面的方法，所述判别器d定义如下：

48、

49、生成器g的训练目标函数为最大化期望奖励，定义如下：

50、

51、本发明第二方面提出一种基于生成对抗网络的雷达个体识别对抗样本生成系统。所述生成对抗网络包括生成器和判别器，所述系统包括：

52、第一处理单元，被配置为：获取由雷达个体识别系统通过侦查采集到的真实样本数据，以x表示所述真实样本数据的信号样式，以ytrue表示x的真实分类标签；

53、第二处理单元，被配置为：根据所述真实样本数据的数据特征，随机生成第一样本数据sf，sf为假样本数据，且sf与x之间具有第一相似度，将所述第一样本数据sf作为所述生成器的输入；

54、第三处理单元，被配置为：训练所述生成对抗网络；具体包括：

55、所述生成器基于所述第一样本数据sf生成第一对抗样本f，且f与x之间具有第二相似度，所述第二相似度大于所述第一相似度，以当前时刻所述生成器的参数作为第一参数；

56、固定所述生成器的第一参数，将f和x同时输入至所述判别器，并根据ytrue训练所述判别器，当所述判别器的输出与ytrue之间的损失函数低于第一阈值时，完成本轮对所述判别器的训练，以当前时刻所述判别器的参数作为第二参数；

57、固定所述判别器的第二参数，将sf输入至具有所述第一参数的生成器，以生成第二对抗样本f'，将f'输入至所述具有所述第二参数的判别器，并根据具有所述第二参数的判别器的输出与ytrue之间的损失函数训练所述生成器；

58、其中，当具有所述第二参数的判别器的输出与ytrue之间的损失函数低于第二阈值时，完成本轮对所述生成器的训练，以当前时刻所述生成器的参数作为第三参数，利用所述第三参数替换所述第一参数作为经训练的生成器的参数；

59、具有所述第三参数的生成器生成的第三对抗样本更新所述第一样本数据，以获取第二样本数据，并利用所述第二样本数据对所述生成对抗网络进行新一轮的训练，直到所述生成器声场的对抗样本与所述真实样本数据之间的相似度高于相似度阈值；

60、第四处理单元，被配置为：利用完成训练的生成对抗网络生成与所述真实样本数据之间的相似度高于所述相似度阈值的对抗样本。

61、本发明第三方面公开了一种电子设备。电子设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时，实现本公开一种基于生成对抗网络的雷达个体识别对抗样本生成方法中的步骤。

62、本发明第四方面公开了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现本公开一种基于生成对抗网络的雷达个体识别对抗样本生成方法中的步骤。

63、综上，本发明的技术方案能够稳定高效地生成可迁移性对抗样本，可以用来进行对抗训练从而提升雷达个体分类模型在实际应用场景下的鲁棒性。该算法不需要在攻击中访问被攻击目标网络的架构和参数，而且在训练后能够不受原始数据限制，高效地产生任意数量的对抗样本数据，能够为雷达个体识别系统的可靠性和安全性测评提供数据支撑。