基于特征梯度均值化的调制信号对抗样本攻击算法

doi:10.11772/j.issn.1001-9081.2023081165

《计算机应用》唯一官方网站 ›› 2024, Vol. 44 ›› Issue (8): 2521-2527.DOI: 10.11772/j.issn.1001-9081.2023081165

基于特征梯度均值化的调制信号对抗样本攻击算法

石锐¹^,²(), 李勇², 朱延晗¹^,²

^1.南京信息工程大学电子与信息工程学院，南京 210044
^2.国防科技大学第六十三研究所，南京 210007

收稿日期:2023-08-31 修回日期:2023-10-31 接受日期:2023-11-14 发布日期:2024-08-22 出版日期:2024-08-10
通讯作者: 石锐
作者简介:石锐（1999—），男，江苏兴化人，硕士研究生，主要研究方向：深度神经网络、无线通信智能抗干扰 1164852907@qq.com
李勇（1977—），男，四川遂宁人，副研究员，博士，主要研究方向：无线通信抗干扰
朱延晗（1998—），男，江苏淮安人，硕士研究生，主要研究方向：深度神经网络、无线通信智能抗干扰。
基金资助:
国家社会科学基金资助项目(2022?SKJJ?B?112)

Adversarial sample attack algorithm of modulation signal based on equalization of feature gradient

Rui SHI¹^,²(), Yong LI², Yanhan ZHU¹^,²

^1.School of Electronics & Information Engineering，Nanjing University of Information Science & Technology，Nanjing Jiangsu 210044，China
^2.The Sixty?third Research Institute，National University of Defense Technology，Nanjing Jiangsu 210007，China

Received:2023-08-31 Revised:2023-10-31 Accepted:2023-11-14 Online:2024-08-22 Published:2024-08-10
Contact: Rui SHI
About author:LI Yong， born in 1977， Ph. D.， associate research fellow. His research interests include anti-jamming of wireless communication.
ZHU Yanhan， born in 1998， M. S. candidate. His research interests include deep neural network， intelligent anti-jamming of wireless communication.
Supported by:
National Social Science Foundation of China(2022-SKJJ-B-112)

摘要/Abstract

摘要：

针对调制瞄准干扰通过深度神经网络（DNN）识别信号调制方式，进而发起灵巧干扰使通信性能下降的问题，提出一种基于特征梯度均值化的调制信号对抗样本攻击算法。不同于传统的标签反向传播求取梯度的方法，所提算法利用调制信号在DNN高维空间中的丰富空时特征计算梯度，并使用局部平均特征梯度代替单点特征梯度用于算法迭代，解决损失函数曲面局部振荡带来的梯度不可靠问题。基于处理后的梯度和现有动量攻击方法，可生成更精细的对抗扰动，并叠加在正常通信信号上以构造对抗样本，降低DNN对通信信号的识别准确率，减弱调制瞄准干扰的效果。在RADIOML 2016.10A数据集上的实验结果表明，与快速梯度符号法（FGSM）、MI-FGSM（Momentum Iterative Fast Gradient Sign Method）相比，尽管所提算法在VTCNN2（Visual Transformer Convolutional Neural Network）模型上的运行时间分别增加了1.36 h、0.58 h，但生成的无目标对抗样本取得了显著的效果。当信噪比为10 dB时，白盒攻击成功率分别提升了36、26个百分点，将生成的对抗样本直接迁移到CLDNN（Convolutional Long short-term memory-Deep Neural Network）模型中，黑盒攻击成功率分别提升了19和14个百分点。所提算法提高了对抗样本的攻击成功率，具有良好的可迁移性。

关键词: 深度神经网络, 调制识别, 对抗样本, 特征梯度, 均值化

Abstract:

Concerning the issue that modulation aiming jamming reduces the communication performance by identifying the modulation mode of signal through Deep Neural Network （DNN）， an adversarial attack algorithm of modulation signal based on equalization of feature gradient was proposed. Different from the traditional method of label back propagation to obtain the gradient， rich space-time features of the modulation signal in the DNN high-dimensional space were used to calculate the gradients， and local average feature gradient was used to replace the single point feature gradient for the algorithm iteration， which solved the problem of unreliable gradient caused by the local oscillation of the loss function surface. Based on the processed gradient and existing momentum attack method， more subtle adversarial disturbance was generated and superimposed on the normal communication signal to construct the adversarial sample， so as to reduce the recognition rate of DNN to the communication signal and weaken the effect of modulation aiming jamming. The experimental results on RADIOML 2016.10A dataset showed that， compared to FGSM （Fast Gradient Sign Method） and MI-FGSM （Momentum Iterative Fast Gradient Sign Method）， although the running time of the proposed algorithm on VTCNN2 （Visual Transformer Convolutional Neural Network） model respectively improved by 1.36 h and 0.58 h， the attack effect of the no-target adversarial samples generated by the proposed algorithm was significant； at a signal-to-noise ratio of 10 dB， the success rate of white box attack respectively improved by 36 and 26 percentage points； when directly transferred to the CLDNN （Convolutional Long Short-Term Memory-Deep Neural Network） model， the success rate of black box attack increased by 19 and 14 percentage points respectively. The proposed algorithm improves the attack success rate of adversarial samples and has good transferability.

Key words: Deep Neural Network (DNN), modulation recognition, adversarial sample, feature gradient, equalization

中图分类号:

TN973

石锐, 李勇, 朱延晗. 基于特征梯度均值化的调制信号对抗样本攻击算法[J]. 计算机应用, 2024, 44(8): 2521-2527.

Rui SHI, Yong LI, Yanhan ZHU. Adversarial sample attack algorithm of modulation signal based on equalization of feature gradient[J]. Journal of Computer Applications, 2024, 44(8): 2521-2527.

图/表 10

图1 调制信号对抗样本

Fig. 1 Adversarial sample of modulation signal

图2 损失函数曲面均值化处理

Fig. 2 Equalization processing of loss function surface

图3 常规梯度攻击框架

Fig. 3 Attack architecture based on conventional gradient attack

图4 特征梯度均值化攻击框架

Fig. 4 Attack architecture based on equalization of feature gradient

图5 三种模型的调制识别准确率

Fig. 5 Modulation recognition rates of three models

图6 三种模型在白盒无目标攻击下的识别准确率

Fig. 6 Recognition rates of three models under white box no-target attack

表1 VTCNNN2上的白盒攻击运行时间 (h)

Tab. 1 Running time of white box attack on VTCNN2

算法	时间	算法	时间
FGSM	0.12	PGD	0.78
I-FGSM	0.81	EFG-MI-FGSM	1.48
MI-FGSM	0.90

图7 两种模型在黑盒无目标攻击下的识别准确率

Fig. 7 Recognition rates of two models under black box no-target attack

图8 10 dB下邻域边界与识别准确率关系

Fig. 8 Relationship between neighborhood boundary and recognition rate at 10 dB

图9 10 dB下邻域内采样次数与识别准确率关系

Fig. 9 Relationship between sampling times in neighborhood and recognition rate at 10 dB

参考文献 30

1	季长清，高志勇，秦静，等.基于卷积神经网络的图像分类算法综述［J］.计算机应用，2022， 42（4）： 1044-1049.
	JI C Q， GAO Z Y， QIN J， et al. Review of image classification algorithms based on convolutional neural networks［J］. Journal of Computer Applications，2022， 42（4）： 1044-1049.
2	冯志伟.神经网络、深度学习与自然语言处理［J］.上海师范大学学报（哲学社会科学版），2021， 50（2）： 110-122.
	FENG Z W. Artificial neural network， deep learning， and natural language processing［J］. Journal of Shanghai Normal University （Philosophy & Social Sciences Edition），2021， 50（2）： 110-122.
3	李思敏，谷宇，张宝华，等. 基于改进ResNeXt的肺癌病理图像分类［J］. 计算机工程与设计， 2023， 44（8）： 2439-2446.
	LI S M， GU Y， ZHANG B H， et al. Lung cancer pathological image classification based on improved ResNeXt［J］. Computer Engineering and Design， 2023， 44（8）： 2439-2446.
4	张开生，赵小芬. 复杂环境下自适应深度神经网络的鲁棒语音识别［J］. 计算机工程与科学， 2022， 44（6）： 1105-1113.
	ZHANG K S， ZHAO X F. Robust speech recognition based on adaptive deep neural network in complex environment［J］. Computer Engineering & Science，2022， 44（6）： 1105-1113.
5	梁应敞，谭俊杰， NIYATO D.智能无线通信技术研究概况［J］.通信学报，2020， 41（7）： 1-17.
	LIANG Y C， TAN J J， NIYATO D. Overview on intelligent wireless communication technology［J］. Journal on Communications，2020， 41（7）： 1-17.
6	XIE X， NI Y， PENG S， et al. Deep learning based automatic modulation classification for varying SNR environment［C］// Proceedings of the 2019 28th Wireless and Optical Communications Conference. Piscataway： IEEE， 2019： 1-5.
7	陈梦轩，张振永，纪守领，等.图像对抗样本研究综述［J］.计算机科学， 2022， 49（2）： 92-106.
	CHEN M X， ZHANG Z Y， JI S L， et al. Survey of research progress on adversarial examples in images［J］. Computer Science， 2022， 49（2）： 92-106.
8	YU J A， PENG L. Black-box attacks on DNN classifier based on fuzzy adversarial examples［C］// Proceedings of the 2020 IEEE 5th International Conference on Signal and Image Processing. Piscataway：IEEE， 2020： 965-969.
9	胡明雪，王磊， ZERWAS J.基于遗传算法的数据中心流量对抗样本生成方法［J］.计算机应用， 2022， 42（）： 146-151.
	HU M X， WANG L， ZERWAS J. Data center traffic adversarial samples generation method based on genetic algorithm［J］.Journal of Computer Applications， 2022， 42（S1）： 146-151.
10	YANG X， LIN J， ZHANG H， et al. Improving the transferability of adversarial examples via direction tuning［J］.Information Sciences，2023， 647： 119491.
11	LIU Y， LIU Y， YANG C. Modulation recognition with graph convolutional network［J］. IEEE Wireless Communications Letters， 2020， 9（5）： 624-627.
12	O’SHEA T J， CORGAN J， CLANCY T C. Convolutional radio modulation recognition networks［C］// Proceedings of the 17th International Conference on Engineering Applications of Neural Networks. Cham： Springer， 2016： 213-226.
13	MENG F， CHEN P， WU L. Automatic modulation classification： a deep learning enabled approach［J］. IEEE Transactions on Vehicular Technology， 2018， 67（11）： 10760-10772.
14	翁建新，赵知劲，占锦敏.利用并联CNN-LSTM的调制样式识别算法［J］.信号处理， 2019， 35（5）： 870-876.
	WENG J X， ZHAO Z J， ZHAN J M. Modulation recognition algorithm by using parallel CNN-LSTM［J］. Journal of Signal Processing， 2019， 35（5）： 870-876.
15	庞伊琼，许华，蒋磊，等.基于元学习的小样本调制识别算法［J］.空军工程大学学报（自然科学版）， 2022， 23（5）： 77-82.
	PANG Y Q， XU H， JIANG L， et al. A few-shot modulation recognition algorithm based on meta-learning［J］.Journal of Air Force Engineering University， 2022， 23（5）： 77-82.
16	JEONG S， LEE U， KIM S C. Spectrogram-based automatic modulation recognition using convolution neural network［C］// Proceedings of 2018 10th International Conference on Ubiquitous and Future Networks. Piscataway： IEEE， 2018： 843-845.
17	LI Y， SHAO G， WANG B. Automatic modulation classification based on bispectrum and CNN［C］// Proceedings of 2019 IEEE 8th Joint International Information Technology and Artificial Intelligence Conference. Piscataway： IEEE， 2019：311-316.
18	KHAN F N， ZHONG K， AL-ARASHI W H， et al. Modulation format identification in coherent receivers using deep machine learning［J］. IEEE Photonics Technology Letters， 2016， 28（17）： 1886-1889.
19	李红光，郭英，眭萍，等.基于时频特征的卷积神经网络跳频调制识别［J］.浙江大学学报（工学版）， 2020， 54（10）： 1945-1954.
	LI H G， GUO Y， SUI P， et al. Frequency hopping modulation recognition of convolutional neural network based on time-frequency characteristics［J］.Journal of Zhejiang University （Engineering Science）， 2020， 54（10）： 1945-1954.
20	SZEGEDY C， ZAREMBA W， SUTSKEVER I， et al. Intriguing properties of neural networks［EB/OL］.（2014-02-19）［2023-08-20］..
21	闫嘉乐，徐洋，张思聪，等.图像分类模型的对抗样本攻防研究综述［J］.计算机工程与应用，2022， 58（23）： 24-41.
	YAN J L， XU Y， ZHANG S C， et al. Survey of research on adversarial examples attack and defense in image classification model［J］.Computer Engineering and Applications，2022， 58（23）： 24-41.
22	GOODFELLOW I J， SHLENS J， SZEGEDY C. Explaining and harnessing adversarial examples［EB/OL］.（2015-03-20）［2023-08-20］..
23	KURAKIN A， GOODFELLOW I， BENGIO S. Adversarial examples in the physical world［EB/OL］.（2017-02-11）［2023-08-20］..
24	DONG Y， LIAO F， PANG T， et al. Boosting adversarial attacks with momentum［C］// Proceedings of the 2018 IEEE/CVF Conference on Computer Vision and Pattern Recognition. Piscataway： IEEE， 2018： 9185-9193.
25	MADRY A， MAKELOV A， SCHMIDT L， et al. Towards deep learning models resistant to adversarial attacks［EB/OL］.（2019-09-04）［2023-08-20］..
26	SADEGHI M， LARSSON E G. Adversarial attacks on deep learning based radio signal classification［J］. IEEE Wireless Communications Letters， 2019， 8（1）： 213-216.
27	ZHAO H， LIN Y， GAO S， et al. Evaluating and improving adversarial attacks on DNN-based modulation recognition［C］// Proceedings of 2020 IEEE Global Communications Conference. Piscataway：IEEE，2020：1-5.
28	陶明亮，唐舒婷，王伶.面向智能调制识别的电磁信号灵巧诱骗方法［J］.信号处理， 2022， 38（12）： 2496-2506.
	TAO M L， TANG S T， WANG L. Radio signal smart deception method for intelligent modulation classification［J］.Journal of Signal Processing，2022， 38（12）： 2496-2506.
29	KIM B， SAGDUYU Y E， DAVASLIOGLU K， et al. Channel-aware adversarial attacks against deep learning-based wireless signal classifiers［J］. IEEE Transactions on Wireless Communications，2022， 21（6）： 3868-3880.
30	XIE H， TAN J， ZHANG X Y， et al. Low-interception waveform： to prevent the recognition of spectrum waveform modulation via adversarial example［C］// Proceedings of 2021 XXXIVth General Assembly and Scientific Symposium of the International Union of Radio Science. Piscataway： IEEE， 2021： 1-4.

[1]	吴锦富, 柳毅. 基于随机噪声和自适应步长的快速对抗训练方法[J]. 《计算机应用》唯一官方网站, 2024, 44(6): 1807-1815.
[2]	王美, 苏雪松, 刘佳, 殷若南, 黄珊. 时频域多尺度交叉注意力融合的时间序列分类方法[J]. 《计算机应用》唯一官方网站, 2024, 44(6): 1842-1847.
[3]	肖斌, 杨模, 汪敏, 秦光源, 李欢. 独立性视角下的相频融合领域泛化方法[J]. 《计算机应用》唯一官方网站, 2024, 44(4): 1002-1009.
[4]	张瑜, 昌燕, 张仕斌. 基于量子局部内在维度的对抗样本检测算法[J]. 《计算机应用》唯一官方网站, 2024, 44(2): 490-495.
[5]	颜梦玫, 杨冬平. 深度神经网络平均场理论综述[J]. 《计算机应用》唯一官方网站, 2024, 44(2): 331-343.
[6]	宋逸飞, 柳毅. 基于数据增强和标签噪声的快速对抗训练方法[J]. 《计算机应用》唯一官方网站, 2024, 44(12): 3798-3807.
[7]	柴汶泽, 范菁, 孙书魁, 梁一鸣, 刘竟锋. 深度度量学习综述[J]. 《计算机应用》唯一官方网站, 2024, 44(10): 2995-3010.
[8]	陈彤, 位纪伟, 何仕远, 宋井宽, 杨阳. 基于自适应攻击强度的对抗训练方法[J]. 《计算机应用》唯一官方网站, 2024, 44(1): 94-100.
[9]	申云飞, 申飞, 李芳, 张俊. 基于张量虚拟机的深度神经网络模型加速方法[J]. 《计算机应用》唯一官方网站, 2023, 43(9): 2836-2844.
[10]	赵旭剑, 李杭霖. 基于混合机制的深度神经网络压缩算法[J]. 《计算机应用》唯一官方网站, 2023, 43(9): 2686-2691.
[11]	李校林, 杨松佳. 基于深度学习的多用户毫米波中继网络混合波束赋形[J]. 《计算机应用》唯一官方网站, 2023, 43(8): 2511-2516.
[12]	李淦, 牛洺第, 陈路, 杨静, 闫涛, 陈斌. 融合视觉特征增强机制的机器人弱光环境抓取检测[J]. 《计算机应用》唯一官方网站, 2023, 43(8): 2564-2571.
[13]	杨海宇, 郭文普, 康凯. 基于卷积长短时深度神经网络的信号调制方式识别方法[J]. 《计算机应用》唯一官方网站, 2023, 43(4): 1318-1322.
[14]	张济慈, 范纯龙, 李彩龙, 郑学东. 基于几何关系的跨模型通用扰动生成方法[J]. 《计算机应用》唯一官方网站, 2023, 43(11): 3428-3435.
[15]	李宇航, 杨玉丽, 马垚, 于丹, 陈永乐. 基于BERT模型的文本对抗样本生成方法[J]. 《计算机应用》唯一官方网站, 2023, 43(10): 3093-3098.

基于特征梯度均值化的调制信号对抗样本攻击算法

Adversarial sample attack algorithm of modulation signal based on equalization of feature gradient

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 10

参考文献 30

相关文章 15

编辑推荐

Metrics