基于特征梯度均值化的调制信号对抗样本攻击算法

• •

基于特征梯度均值化的调制信号对抗样本攻击算法

石锐¹,李勇²,朱延晗¹

1. 南京信息工程大学
2. 国防科技大学第六十三研究所

收稿日期:2023-08-30 修回日期:2023-10-31 发布日期:2023-12-18
通讯作者: 石锐
基金资助:
XXX博弈理论研究

Adversarial sample attack algorithm of modulation signal based on equalization of characteristic gradient

Received:2023-08-30 Revised:2023-10-31 Online:2023-12-18

摘要/Abstract

摘要： 针对调制瞄准干扰通过深度神经网络(DNN)识别信号调制方式进而发起灵巧干扰使通信性能下降的问题，提出一种基于特征梯度均值化的调制信号对抗样本攻击算法。该算法不同于传统的标签反向传播求取梯度的方法，而是利用调制信号在DNN高维空间中的丰富空时特征计算梯度，并使用局部平均特征梯度代替单点特征梯度用于算法迭代，解决损失函数曲面存在局部振荡现象而带来的梯度不可靠问题。基于处理后的梯度和现有动量攻击方法，可生成更精细的对抗扰动并添加进正常通信信号来构造对抗样本，从而降低DNN对通信信号的识别率，减弱了调制瞄准干扰的效果。在RADIOML 2016.10A数据集上的实验结果表明，与快速梯度符号法(FGSM)、MI-FGSM(Momentum Iterative Fast Gradient Sign Method)相比，尽管所提算法在VTCNN2(Visual Transformer Convolutional Neural Network)模型上的运行时间分别增加了1.36h、0.58h ，但生成的无目标对抗样本取得了显著的效果。在信噪比为10dB时，白盒攻击成功率分别提升了36、26个百分点，将其直接迁移到CLDNN(Convolutional Long Short-Term Memory-Deep Neural Network)模型中，黑盒攻击成功率分别提升了19、14个百分点。所提算法提高了对抗样本的攻击成功率，具备良好的可迁移性。

关键词: 深度神经网络, 调制识别, 对抗样本, 特征梯度, 均值化

Abstract: Concern the issue that modulation aiming jamming could reduce the communication performance by identifying the modulation mode of signal through Deep Neural Network (DNN), a adversarial attack algorithm of modulation signal based on equalization of characteristic gradient was proposed. The algorithm was different from the traditional method of label back propagation to obtain the gradient, but instead used the rich space-time characteristic of the modulation signal in the DNN high-dimensional space to calculate the gradient, and used the local average characteristic gradient to replace the single point characteristic gradient for the algorithm iteration, which solved the problem of unreliable gradient caused by the local oscillation of the loss function surface. Based on the processed gradient and existing momentum attack methods, it could generate more subtle adversarial disturbance and added to the normal communication signal to structure the adversarial sample, so as to reduce the recognition rate of DNN to the communication signal and weaken the effect of modulation aiming jamming. The experimental results on the RADIOML 2016.10A dataset showed that, compared to FGSM (Fast Gradient Sign Method) and MI-FGSM (Momentum Iterative Fast Gradient Sign Method), although the running time of the proposed algorithm on VTCNN2 (Visual Transformer Convolutional Neural Network) model respectively increased by 1.36h and 0.58h, the attack effect of the no-target adversarial samples generated by the proposed algorithm was significant. At a signal-to-noise ratio of 10dB, the success rates of white box attack respectively increased by 36 and 26 percentage points. These were directly transferred to the CLDNN (Convolutional Long Short-Term Memory-Deep Neural Network) model, the success rates of black box attack increased by 19 and 14 percentage points respectively. The proposed algorithm improves the attack success rate of adversarial samples and indicate good transferability.

Key words: Deep Neural Network(DNN), modulation recognition, adversarial sample, characteristic gradient, equalization

中图分类号:

TN973
TP183

石锐李勇朱延晗. 基于特征梯度均值化的调制信号对抗样本攻击算法[J]. 计算机应用.

[1]	肖斌, 杨模, 汪敏, 秦光源, 李欢. 独立性视角下的相频融合领域泛化方法[J]. 《计算机应用》唯一官方网站, 2024, 44(4): 1002-1009.
[2]	张瑜, 昌燕, 张仕斌. 基于量子局部内在维度的对抗样本检测算法[J]. 《计算机应用》唯一官方网站, 2024, 44(2): 490-495.
[3]	颜梦玫, 杨冬平. 深度神经网络平均场理论综述[J]. 《计算机应用》唯一官方网站, 2024, 44(2): 331-343.
[4]	陈彤, 位纪伟, 何仕远, 宋井宽, 杨阳. 基于自适应攻击强度的对抗训练方法[J]. 《计算机应用》唯一官方网站, 2024, 44(1): 94-100.
[5]	申云飞, 申飞, 李芳, 张俊. 基于张量虚拟机的深度神经网络模型加速方法[J]. 《计算机应用》唯一官方网站, 2023, 43(9): 2836-2844.
[6]	赵旭剑, 李杭霖. 基于混合机制的深度神经网络压缩算法[J]. 《计算机应用》唯一官方网站, 2023, 43(9): 2686-2691.
[7]	李淦, 牛洺第, 陈路, 杨静, 闫涛, 陈斌. 融合视觉特征增强机制的机器人弱光环境抓取检测[J]. 《计算机应用》唯一官方网站, 2023, 43(8): 2564-2571.
[8]	李校林, 杨松佳. 基于深度学习的多用户毫米波中继网络混合波束赋形[J]. 《计算机应用》唯一官方网站, 2023, 43(8): 2511-2516.
[9]	杨海宇, 郭文普, 康凯. 基于卷积长短时深度神经网络的信号调制方式识别方法[J]. 《计算机应用》唯一官方网站, 2023, 43(4): 1318-1322.
[10]	张济慈, 范纯龙, 李彩龙, 郑学东. 基于几何关系的跨模型通用扰动生成方法[J]. 《计算机应用》唯一官方网站, 2023, 43(11): 3428-3435.
[11]	李宇航, 杨玉丽, 马垚, 于丹, 陈永乐. 基于BERT模型的文本对抗样本生成方法[J]. 《计算机应用》唯一官方网站, 2023, 43(10): 3093-3098.
[12]	高媛媛, 余振华, 杜方, 宋丽娟. 基于贝叶斯优化的无标签网络剪枝算法[J]. 《计算机应用》唯一官方网站, 2023, 43(1): 30-36.
[13]	刘小宇, 陈怀新, 刘壁源, 林英, 马腾. 自适应置信度阈值的非限制场景车牌检测算法[J]. 《计算机应用》唯一官方网站, 2023, 43(1): 67-73.
[14]	魏佳璇, 杜世康, 于志轩, 张瑞生. 图像分类中的白盒对抗攻击技术综述[J]. 《计算机应用》唯一官方网站, 2022, 42(9): 2732-2741.
[15]	杨博, 张恒巍, 李哲铭, 徐开勇. 基于图像翻转变换的对抗样本生成方法[J]. 《计算机应用》唯一官方网站, 2022, 42(8): 2319-2325.