通信信号调制识别的跨层智能对抗方法、系统、介质及设备

1.本发明属于通信信号智能识别对抗技术领域，尤其涉及一种通信信号调制识别的跨层智能对抗方法、系统、介质及设备。


背景技术：

2.随着无线通信技术的日益发展，频谱资源变得越来越稀缺。调制识别作为信号检测和解调之间的重要步骤，在缓解频谱资源短缺方面起着关键作用。近年来，随着深度学习(dl)的快速发展，将深度神经网络(dnn)应用到调制识别中，能够自动提取输入信号的特征，极大地提高了调制识别的准确率和速度。然而，dl在可解释性方面的缺陷使得dnn模型容易受到攻击，这也引起了研究者对于对抗样本的重视。通过研究对抗方法，研究人员可以更好地提高dnn在调制信号识别领域中的鲁棒性。因此，针对自动调制识别模型，研究具有更强攻击性能的对抗方法具有重要意义。
3.现阶段，文献中已经有很多研究对抗攻击的方法，szegedy等人首先提出了对抗样本的概念，他们通过向输入样本中添加人眼无法感知的微小扰动，成功改变了分类器对输入样本的预测结果(szegedy c,zaremba w,sutskever i,et al.intriguing properties of neural networks[c].proc.int.conf.learn.representations,2015:1-10.)。在对抗样本被提出后，涌现了许多对抗攻击方法，其中包括：快速梯度符号法(goodfellow i,shlens j,szegedyn c,et al.explaining and harnessing adversarial examples[c].proc.int.conf.learn.representations,2015:189-199.)、基本迭代法(kurakin a,goodfellow i,bengio s,et al.adversarial examples in the physical world[c].proc.int.conf.learn.representations,2016:128-141.)、基于雅可比矩阵的显著性映射攻击(papernot n,mcdaniel p,jha s,et al.the limitations of deep learning in adversarial settings[j].ieee european symposium on security and privacy,2016,1(1):372-387.)、投影梯度下降法(madry a,schmidt l,tsipras d,et al.towards deep learning models resistant to adversarial attacks[c].proc.int.conf.learn.representations,2018:1-23.)、动量迭代法(dong y,liao f,pang t,et al.boosting adversarial attacks with momentum[c].proc.ieee.conf.comput.vis.pattern recognit,2018:9185-9903.)等。为了防御这些对抗攻击，研究人员针对不同攻击方法提出了不同的防御模型，yuan等人总结了近年来具有代表性的对抗防御方法，包括网络蒸馏、对抗训练、输入重构、集成防御以及其他一些新的防御方法，这些防御方法在不同环境下对不同攻击的防御性能也不同(yuan x,he p,zhu q,et al.adversarial examples:attacks and defenses for deep learning[j].ieee transactions on neural networks and learning systems,2019,30(9):2805-2824.)。然而，上述攻击和防御的方法大多是应用在图像识别领域，但在调制信号识别领域中，鲜有研究将对抗攻击引入调制识别模型，这会导致自动调制识别模型更容易受到攻击。
[0004]
为了将对抗样本引入调制信号识别领域以提高识别模型的鲁棒性，sadeghi等人
首先将对抗攻击引入无线通信，发起了直接访问攻击(sadeghi m,larsson e g.adversarial attacks on deep-learning based radio signal classification[j].ieee wireless communications letters,2019,8(1):213-216.)。zhao等人将nesterov adam迭代法应用在调制信号识别中，并且增加了生成的信号对抗样本与原始信号的波形相似度(zhao h,lin y,gao s,et al.evaluating and improving adversarial attacks on dnn-based modulation recognition[c].globecom 2020-2020ieee global communications conference,2020:1-5.)。lin等人将基于标签计算梯度的四种攻击方法应用到了调制信号识别中，验证了用于将调制信号分类的dnn模型容易受对抗样本的攻击(lin y,zhao h,ma x,et al.adversarial attacks in modulation recognition with convolutional neural networks[j].ieee transactions on reliability,2021,70(1):389-401.)。但是，上述文献中使用的目标模型为结构简单的神经网络模型，使用的迭代攻击方法难以自适应地调节迭代步长，所以由它们生成的对抗样本在高性能识别模型上的表现并不理想。
[0005]
通过上述分析，现有技术存在的缺点为：(1)现有技术攻击的目标模型结构较为简单，由它们产生的对抗样本的迁移性较差，难以在复杂网络中实现高攻击成功率。(2)现有技术在产生对抗时很少能够有效利用信号在网络内部的特征映射特性，这使得产生的对抗信号的波形相似性和攻击性能两者难以兼得。(3)现有技术只考虑使用单个网络层或多个功能相似网络层的简单叠加生成对抗，导致在迭代结束后产生的对抗信号性能不佳，不足以诱使识别网络或防御模型分类错误。


技术实现要素：

[0006]
为了克服上述现有技术的缺点，本发明的目的在于提供了一种通信信号调制识别的跨层智能对抗方法、系统、介质及设备，充分利用调制信号在网络内部的特征以产生初始特征对抗，使用统计决策方法增强对抗性能，不仅可以有效利用信号的内部特性增强对抗样本对识别网络的攻击性，而且可以通过对抗训练等防御手段提升识别网络抵御对抗样本的鲁棒性。
[0007]
为了实现上述目的，本发明采取的技术方案为：
[0008]
一种通信信号调制识别的跨层智能对抗方法，包括以下步骤：
[0009]
步骤一，提取识别网络在特征空间中对调制信号的分类特征，将分类特征作为信号在特征空间中的软标签；
[0010]
步骤二，根据信号在识别网络中的真实特征确定特征层损失，产生初始特征对抗；
[0011]
步骤三，将特征对抗输入识别网络得到预测概率，根据信号的真实标签确定决策层损失，产生对抗样本，实现跨层对抗。
[0012]
所述步骤一具体为：
[0013]
将原始调制信号记为x，调制识别网络在特征空间中对输入信号的特征映射函数为f(x)；为了得到信号在特征空间中的聚集特性，将识别网络对每个信号映射的特征点投影到二维平面上，形成特征散点图；对于远离特征聚集区域的特征点，求得所有特征点在不同坐标轴上的中位数，并将其作为特征中心；
[0014]
识别网络在第k层特征空间中对信号的分类特征中心表示为：
[0015][0016]
其中，fk(x)表示类别特征，m表示相关特征点的个数，f
*
(x)表示对输入特征映射的坐标值由小到大进行排序；
[0017]
得到分类特征中心后，将特征中心作为特征标签标注在输入信号上进行匹配；将原始调制信号x的真实标签为记为l，在得到类别特征fk(x)后，为每个输入信号标注特征标签。
[0018]
所述步骤二具体为：将信号输入到识别网络中，对于每个输入都会在识别网络的特征空间产生一个真实特征，将目标的真实特征与对应的类别特征之间的差异作为特征损失，通过增大特征损失和减小特征损失分别实现对识别网络的非定向攻击和定向攻击；
[0019]
确定特征层损失具体过程为：使用欧式距离衡量信号在网络特征空间的真实特征与信号的类别特征之间的差异lf，表示为：
[0020][0021]
其中，m表示相关特征点的个数，n表示输入识别网络信号样本的个数，fk(x
ij
)和fk(x
ij
)分别表示信号在该特征层的真实特征及其对应的类别特征，表示欧式距离的平方；
[0022]
产生初始特征对抗具体过程为：在得到损失函数后，利用损失函数对输入信号的梯度确定特征层对抗扰动gf的方向；特征层扰动方向表示为：
[0023][0024]
其中，gn表示第n次迭代的梯度累积量，μ表示衰减因子，x
n*
表示第n次迭代产生的对抗，表示第n步特征损失对于对抗的梯度，sign符号函数确定了特征对抗扰动的方向，||
·
||1表示向量中各个元素绝对值之和；
[0025]
确定对抗扰动的方向后，利用损失对输入梯度的特性及梯度的历史信息，构建迭代步长，调节对抗扰动的水平；特征层迭代步长表示为：
[0026][0027]
其中，αn为每次迭代的总步长，λ(0≤λ≤1)为迭代步长因子，表示在特征层产生对抗时使用迭代步长的比例，|
·
|表示向量的绝对值，表示第n-1步特征损失对于对抗的梯度；
[0028]
在无穷范数约束下确定扰动方向和扰动大小后，通过对输入信号在扰动方向上添加一定大小的扰动产生特征对抗。
[0029]
所述步骤三中产生对抗样本具体过程为：在产生初始特征对抗后，将初始对抗输
入到识别网络中，得到识别网络对于特征对抗的预测概率；将特征对抗的真实标签作为真实概率分布，同预测概率一起输入到交叉熵损失函数中，计算决策损失ld，表示为：
[0030][0031]
其中，k表示信号分类标签的个数即类别数，x
f*
表示初始特征对抗，l
ij
(x
f*
)为特征对抗的真实标签，p
ij
(x
f*
)为识别网络对特征对抗的预测概率分布；
[0032]
在特征层梯度累积量gf的基础上，继续累加决策损失对特征对抗x
f*
的梯度，确定决策级对抗扰动的方向，扰动方向表示为：
[0033][0034]
同时，将特征层对抗的剩余迭代步长作为决策级对抗扰动的大小，则决策级迭代步长为(1-λ)
·
αn；最后，利用决策级对抗扰动的方向和大小生成决策级对抗，在整个迭代过程结束后即产生了最终的跨层对抗。
[0035]
一种实现所述通信信号调制识别的跨层智能对抗方法的系统，包括：
[0036]
特征提取及匹配模块：用于提取识别网络在特征空间中对调制信号的分类特征，将分类特征作为信号在特征空间中的软标签；
[0037]
特征层对抗生成模块：用于根据信号在识别网络中的真实特征确定特征层损失，产生初始特征对抗；
[0038]
决策层对抗生成模块：用于将特征对抗输入识别网络得到预测概率，根据信号的真实标签确定决策层损失，产生对抗样本，实现跨层对抗。
[0039]
一种通信信号调制识别的跨层智能对抗方法的存储介质，接收用户输入的计算机程序，使电子设备执行所述通信信号调制识别的跨层智能对抗方法。
[0040]
一种实现通信信号调制识别的跨层智能对抗方法的设备，包括存储在计算机可读介质上的计算机程序，提供用户输入接口以实施所述通信信号调制识别的跨层智能对抗方法。
[0041]
结合上述的所有技术方案，本发明所具备的优点及积极效果为：本发明提取了识别网络的分类特征并为信号标注了类别特征标签，克服了传统对抗方法中仅通过个体信号特征难以实现定向攻击的问题；本发明提出了跨层对抗方法，克服了传统对抗方法中因对抗层单一而导致对抗性能不佳的问题；本发明可以有效实现已知目标网络的详细信息时对该网络的迭代攻击，且在较小对抗扰动的条件下仍然具有较好的攻击性能。
附图说明
[0042]
图1是本发明实施例通信信号调制识别的跨层智能对抗方法流程图。
[0043]
图2是本发明实施例通信信号调制识别的跨层智能对抗系统示意图。
[0044]
图3是本发明实施例通信信号调制识别的跨层智能对抗实现流程图。
[0045]
图4是本发明实施例通信信号调制识别的跨层智能对抗攻击系统的仿真实验结果示意图。
具体实施方式
[0046]
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0047]
如图1所示，一种通信信号调制识别的跨层智能对抗方法，包括以下步骤：
[0048]
s101：提取识别网络在特征空间中对调制信号的分类特征，将该特征作为信号在特征空间中的软标签；本发明中提取的分类特征用于在产生特征对抗时作为衡量特征距离的基准，决定了特征损失的初始大小，分类特征选取的好坏直接影响着生成的对抗的性能，将分类特征作为信号的软标签可以方便与信号的真实特征作比较；
[0049]
s102：根据信号在识别网络中的真实特征确定特征层损失，产生初始特征对抗；本发明中的特征层损失用于确定对抗扰动的方向和大小，特征损失的变化剧烈程度直接影响着对抗扰动的波动水平，通过最优化特征损失，实现非定向特征对抗和定向特征对抗；
[0050]
s103：将特征对抗输入识别网络得到预测概率，根据信号的真实标签确定决策层损失，产生对抗样本，实现跨层对抗；本发明中的决策层损失用于处理特征对抗结果，可以进一步增强对抗的性能。
[0051]
步骤s101具体过程为：
[0052]
将原始调制信号记为x，调制识别网络在特征空间中对输入信号的特征映射函数为f(x)；在识别网络的特征空间中，调制信号的特征会被非线性映射为空间特征点，这些特征点包含了信号的内部特征信息，通过分析这些特征点的聚集性，可以提取网络对不同信号的分类特征；为了得到信号在特征空间中的聚集特性，将识别网络对每个信号映射的特征点投影到二维平面上，形成特征散点图；对于远离特征聚集区域的特征点，求得所有特征点在不同坐标轴上的中位数，并将其作为特征中心，这样在特征点较多时能够很好地减小异常特征对特征中心取值的影响；
[0053]
识别网络在第k层特征空间中对信号的分类特征中心可以表示为：
[0054][0055]
其中，fk(x)表示类别特征，m表示相关特征点的个数，f
*
(x)表示对输入特征映射的坐标值由小到大进行排序；
[0056]
由于特征中位数是以它在所有特征值中所处的位置确定的整体特征值的代表值，因而在一定程度上能够很好的代表特征点的分布特性；得到分类特征中心后，将特征中心作为特征标签标注在输入信号上进行匹配；将原始调制信号x的真实标签为记为l，在得到类别特征fk(x)后，为每个输入信号标注特征标签。
[0057]
步骤s102具体过程为：
[0058]
将信号输入到识别网络中，对于每个输入都会在识别网络的特征空间产生一个真实特征，将目标的真实特征与对应的类别特征之间的差异作为特征损失，通过增大特征损失和减小特征损失可以分别实现对识别网络的非定向攻击和定向攻击；
[0059]
本发明使用欧式距离衡量信号在网络特征空间的真实特征与信号的类别特征之
间的差异，此时识别网络在第k层的特征损失lf可以表示为：
[0060][0061]
其中，m表示相关特征点的个数，n表示输入识别网络信号样本的个数，fk(x
ij
)和fk(x
ij
)分别表示信号在该特征层的真实特征及其对应的类别特征，表示欧式距离的平方；非定向攻击时，对抗的目的是通过最大化损失函数使网络模型识别错误，此时fk(x
ij
)表示目标对应的类别特征；定向攻击时，对抗的目的是通过最小化损失函数使网络模型将目标错误识别为指定类型，此时fk(x
ij
)＝fk(x
t
)，表示指定一种目标信号x
t
；
[0062]
在得到损失函数后，利用损失函数对输入信号的梯度确定特征层对抗扰动gf的方向；特征层扰动方向可以表示为：
[0063][0064]
其中，gn表示第n次迭代的梯度累积量，μ表示衰减因子，x
n*
表示第n次迭代产生的对抗，表示第n步特征损失对于对抗的梯度，||
·
||1表示向量中各个元素绝对值之和，sign符号函数确定了本轮迭代的方向是向前迭代还是向后迭代，即
[0065][0066]
确定对抗扰动的方向后，利用损失对输入梯度的特性及梯度的历史信息，构建迭代步长，调节对抗扰动的水平；在每轮迭代中，将整体迭代步长分为特征层迭代步长和决策层迭代步长，其中特征层迭代步长可以表示为：
[0067][0068]
其中，αn为每次迭代的总步长，λ(0≤λ≤1)为迭代步长因子，表示在特征层产生对抗时使用迭代步长的比例，|
·
|表示向量的绝对值，表示第n-1步特征损失对于对抗的梯度；事实上，αn在归一化之前由和两部分组成，用于根据梯度绝对值的大小调节迭代步长的大小，利用损失函数变化的剧烈程度和历史梯度信息补充迭代步长的变化；
[0069]
在无穷范数约束下确定扰动方向和扰动大小后，可由公式：
[0070]
x
f*
＝clip
x,
ε{x
n*
+λ
·
αn·
sign(gf)}
[0071]
生成初始特征对抗；其中，ε表示产生的对抗样本相比于原始输入信号所允许的最大扰动，clip
x,ε
表示将x限制在[x-ε,x+ε]的范围内。
[0072]
步骤s103具体过程为：
[0073]
交叉熵损失能够很好地表征样本的真实概率分布和预测概率分布之间的相似性，两个概率分布之间的交叉熵越小，则表明两个分布越接近；在产生初始特征对抗后，将初始对抗输入到识别网络中，得到识别网络将特征对抗预测为标签t
ij
的概率pr记为：
[0074]
p
ij
(x
f*
)＝pr(t
ij
＝1)
[0075]
其中，p
ij
(x
f*
)为网络对特征对抗的预测概率分布；将特征对抗信号的真实标签作为真实概率分布，同预测概率一起输入到交叉熵损失函数中，计算决策损失ld，可以表示为：
[0076][0077]
其中，k表示信号分类标签的个数即类别数，l
ij
(x
f*
)为特征对抗的真实标签；
[0078]
在特征层梯度累积量gf的基础上，继续累加决策损失对特征对抗x
f*
的梯度，确定决策级对抗扰动的方向，扰动方向可以表示为：
[0079][0080]
同时，将特征层对抗的剩余迭代步长作为决策级对抗扰动的大小，则决策级迭代步长为(1-λ)
·
αn；
[0081]
在确定决策级对抗扰动的方向和大小后，利用公式：
[0082]
x
n+1*
＝clip
x,
ε{x
f*
+(1-λ)
·
αn·
sign(g
n+1
)}
[0083]
生成决策级对抗；最后，在整个迭代过程结束后就产生了最终的跨层对抗。
[0084]
在整个产生跨层对抗的过程中，迭代步长λ的取值直接影响了对抗的性能。当λ＝0时，表示特征层对抗扰动大小为0，此时跨层对抗退化为了决策级对抗；当0＜λ＜1时，表示在特征层利用部分迭代步长产生初始特征对抗后，继续在决策层利用剩余迭代步长处理特征对抗结果以增强对抗性能；当λ＝1时，表示决策层对抗扰动大小为0，此时跨层对抗退化为了特征级对抗。
[0085]
如图2所示，一种通信信号调制识别的跨层智能对抗系统，包括：
[0086]
特征提取及匹配模块1：用于提取识别网络在特征空间中对调制信号的分类特征，将该特征作为信号在特征空间中的软标签；
[0087]
特征层对抗生成模块2：用于根据信号在识别网络中的真实特征确定特征层损失，产生初始特征对抗；
[0088]
决策层对抗生成模块3：用于将特征对抗输入识别网络得到预测概率，根据信号的真实标签确定决策层损失，产生对抗样本，实现跨层对抗。
[0089]
如图3所示，一种通信信号调制识别的跨层智能对抗实现流程，过程为：
[0090]
在迭代前，利用识别网络提取输入信号集的特征，分析特征聚集性后确定不同信号的类别特征并作为软标签标注在信号上；迭代时，识别网络映射出输入信号的真实特征，将该特征与输入信号类别特征的差异作为特征损失，产生初始特征对抗，利用识别网络预测特征对抗的类别，将预测概率与特征对抗真实标签之间的交叉熵作为决策损失，生成本
次迭代的跨层对抗；迭代结束后，得到最终的跨层对抗。
[0091]
本发明提供的通信信号调制识别的跨层智能对抗方法除可用于对通信信号调制识别模型的定向攻击和非定向攻击外，还可用于对模式识别领域的识别模型的攻击。
[0092]
下面结合仿真实验对本发明系统的技术效果作详细的描述。
[0093]
为了评估本发明的性能，进行仿真验证。在仿真实验中，考虑一种通信信号调制识别的跨层智能对抗攻击系统，待攻击的调制识别模型为resnet网络，待识别的调制信号类型包括8种数字信号：8psk、qpsk、bpsk、gfsk、cpfsk、pam4、qam16和qam64，以及两种模拟信号：wbfm和am-dsb。研究扰动水平对攻击性能影响时的仿真参数设置如下：调制信号信噪比为snr＝10db，扰动水平ε分别选用在区间[0,0.003]内且间隔为0.0003的值，动量衰减因子为μ＝1，特征层迭代步长因子为λ＝0.2。研究信噪比对攻击性能影响时的仿真参数设置如下：扰动水平为ε＝0.0015，信噪比分别选用在区间[-20,18]内且间隔为2db的值，动量衰减因子为μ＝1，特征层迭代步长因子为λ＝0.2。仿真实验采取1000次迭代的统计仿真，验证性能。本发明所提的跨层攻击(double-level attack，dla)与现有的对抗攻击方法进行对比分析，其仿真结果如图4所示。图4中的(a)给出了不同扰动水平下四种传统攻击方法和本发明所提方法的攻击性能，由图4的(a)可以看出，随着扰动水平ε的增加，本发明所提方法使得识别网络的识别准确率逐渐下降，且下降幅度大于传统攻击方法，表明所提方法的攻击性能优于传统攻击方法。图4的(b)给出了不同信噪比条件下四种传统攻击方法和本发明所提方法的攻击性能，由图4的(b)可以看出，随着信噪比的增加，识别网络在受到不同攻击后的识别准确率逐渐上升并在snr≥6db时稳定，且本发明所提方法在不同信噪比下使得识别网络的识别准确率下降最多。因此，与现有方法比较，本发明方法具有明显的攻击性能优势。
[0094]
应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、cd或dvd-rom的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。
[0095]
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。