張正豪，陳家軍，黃知濤，王 翔，柯 達(dá)

（1.國(guó)防科技大學(xué)電子科學(xué)學(xué)院電子信息系統(tǒng)復(fù)雜電磁環(huán)境效應(yīng)國(guó)家重點(diǎn)實(shí)驗(yàn)室，湖南 長(zhǎng)沙410073；2.國(guó)防科技大學(xué)電子對(duì)抗學(xué)院，安徽 合肥 230000； 3.中國(guó)人民解放軍73676 部隊(duì)，江蘇 江陰 214400）

0 引言

傳統(tǒng)的調(diào)制識(shí)別算法主要包括基于決策理論的最大似然假設(shè)檢驗(yàn)方法和基于特征提取的模式識(shí)別方法［1］，但是傳統(tǒng)方法過(guò)度依賴(lài)專(zhuān)家知識(shí)和先驗(yàn)信息，因此難以適應(yīng)日趨復(fù)雜的電磁環(huán)境和信號(hào)體制。為了解決這一問(wèn)題，近些年眾多學(xué)者將深度學(xué)習(xí)技術(shù)引入了調(diào)制識(shí)別任務(wù)。O’ Shea 等人［2］將數(shù)據(jù)的IQ兩路信號(hào)輸入卷積神經(jīng)網(wǎng)絡(luò)中，成功實(shí)現(xiàn)了11 類(lèi)信號(hào)的調(diào)制識(shí)別；West 等人［3］研究了神經(jīng)網(wǎng)絡(luò)各組成部分對(duì)調(diào)制識(shí)別性能的影響，對(duì)卷積神經(jīng)網(wǎng)絡(luò)（CNN）和卷積長(zhǎng)短時(shí)深度神經(jīng)網(wǎng)絡(luò)（CLDNN）在公開(kāi)數(shù)據(jù)集RML2016.10a 上的分類(lèi)性能進(jìn)行比較，提出卷積神經(jīng)網(wǎng)絡(luò)性能并沒(méi)有隨著網(wǎng)絡(luò)深度和復(fù)雜度的增加而提升。

基于深度學(xué)習(xí)技術(shù)的智能模型極易受到對(duì)抗樣本的攻擊［4］，因此將其應(yīng)用于調(diào)制識(shí)別領(lǐng)域時(shí)不得不考慮安全性問(wèn)題。此外，研究通信信號(hào)對(duì)抗樣本的特性對(duì)于建立魯棒性更強(qiáng)的智能調(diào)制識(shí)別模型也具有一定的指導(dǎo)意義。由此可見(jiàn)，通信信號(hào)調(diào)制波形對(duì)抗攻擊的研究在智能通信系統(tǒng)的攻防兩端都具有深遠(yuǎn)的研究意義和廣闊的應(yīng)用前景。

1 基于深度學(xué)習(xí)的調(diào)制識(shí)別算法

基于深度學(xué)習(xí)技術(shù)的調(diào)制識(shí)別算法克服了傳統(tǒng)調(diào)制識(shí)別算法的部分局限，使得調(diào)制識(shí)別效率大大提升。為了進(jìn)一步優(yōu)化識(shí)別性能以及提取更深層次的特征，深度學(xué)習(xí)網(wǎng)絡(luò)的層數(shù)也隨之加深，但是網(wǎng)絡(luò)過(guò)深反而導(dǎo)致識(shí)別性能退化。為了克服這一問(wèn)題，本節(jié)的主要工作是將殘差網(wǎng)絡(luò)結(jié)構(gòu)與深度卷積網(wǎng)絡(luò)相結(jié)合，經(jīng)過(guò)多輪訓(xùn)練得到一個(gè)分類(lèi)性能良好的智能模型，實(shí)現(xiàn)對(duì)通信信號(hào)調(diào)制方式的識(shí)別。

1.1 信號(hào)模型

在調(diào)制識(shí)別問(wèn)題中，接收到的基帶信號(hào)可以表示為：

式中，x(t)表示接收到的基帶信號(hào)，包含s(t；uk)和噪聲n(t)兩部分，由于調(diào)制識(shí)別任務(wù)一般是在非合作條件下進(jìn)行的，所以用uk表示信號(hào)中的所有未知參數(shù)。當(dāng)輸入信號(hào)是接收信號(hào)的復(fù)基帶時(shí)間序列時(shí)，調(diào)制識(shí)別任務(wù)可以看作是一個(gè)N分類(lèi)決策問(wèn)題。接收機(jī)采樣得到初始信號(hào)的2×N的復(fù)值的向量，其中同相分量I表示為：

正交分量Q表示為：

由于接收信號(hào)中未知參數(shù)太多，傳統(tǒng)的基于決策理論和模式識(shí)別的方法進(jìn)行識(shí)別時(shí)會(huì)有一定的局限性，因此需要采用深度學(xué)習(xí)的調(diào)制識(shí)別方法。

1.2 基于殘差網(wǎng)絡(luò)的調(diào)制識(shí)別算法流程設(shè)計(jì)

隨著深度學(xué)習(xí)技術(shù)不斷發(fā)展進(jìn)步，深度神經(jīng)網(wǎng)絡(luò)的層數(shù)也隨之加深，但是盲目地增加網(wǎng)絡(luò)深度會(huì)導(dǎo)致神經(jīng)網(wǎng)絡(luò)的梯度消失。該現(xiàn)象具體表現(xiàn)為：更深的網(wǎng)絡(luò)識(shí)別效果反而不如淺層網(wǎng)絡(luò)識(shí)別效果好，也就是說(shuō)該網(wǎng)絡(luò)的識(shí)別能力發(fā)生了退化。文獻(xiàn)［5］提出一種殘差的思想，有效解決了這個(gè)問(wèn)題，并將這種思想和卷積神經(jīng)網(wǎng)絡(luò)結(jié)合起來(lái)形成了一種新的網(wǎng)絡(luò)結(jié)構(gòu)，即殘差網(wǎng)絡(luò)（ResNet）。

如圖1 所示，ResNet 在常規(guī)的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)的基礎(chǔ)上，加入了一種跳躍連接結(jié)構(gòu)，將輸入x經(jīng)過(guò)2 層權(quán)重層后的輸出F（x）與輸入x相加作為激活函數(shù)層的輸入。這樣可以保證神經(jīng)網(wǎng)絡(luò)提取到的特征不產(chǎn)生退化，最差的情況也可以和當(dāng)前效果持平。將這種結(jié)構(gòu)應(yīng)用于基于深度學(xué)習(xí)的調(diào)制識(shí)別模型中，有利于解決智能調(diào)制識(shí)別模型梯度消失的問(wèn)題。

圖1 ResNet 的殘差結(jié)構(gòu)示意圖

本文針對(duì)如下流程的深度學(xué)習(xí)的調(diào)制識(shí)別算法開(kāi)展對(duì)抗樣本攻擊方法研究。如圖2 所示，首先對(duì)原始數(shù)據(jù)進(jìn)行預(yù)處理，主要包括IQ數(shù)據(jù)轉(zhuǎn)換和歸一化，以便于神經(jīng)網(wǎng)絡(luò)對(duì)原始數(shù)據(jù)進(jìn)行特征提取；然后將處理好的數(shù)據(jù)集劃分為訓(xùn)練和測(cè)試2 部分，將訓(xùn)練數(shù)據(jù)投放到一個(gè)初始化的神經(jīng)網(wǎng)絡(luò)中，通過(guò)不斷訓(xùn)練使得損失函數(shù)的值不斷下降，最終得到一個(gè)訓(xùn)練好的調(diào)制識(shí)別網(wǎng)絡(luò)；最后將測(cè)試集的數(shù)據(jù)輸入訓(xùn)練好的識(shí)別網(wǎng)絡(luò)中進(jìn)行測(cè)試，輸出識(shí)別結(jié)果。

圖2 基于殘差神經(jīng)網(wǎng)絡(luò)的調(diào)制識(shí)別算法流程設(shè)計(jì)

為了獲取信號(hào)的深度特征，本文結(jié)合殘差結(jié)構(gòu)和卷積神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)了調(diào)制識(shí)別網(wǎng)絡(luò)，具體網(wǎng)絡(luò)結(jié)構(gòu)參數(shù)如表1 所示。

表1 本文采用的調(diào)制識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)參數(shù)表

2 基于調(diào)制波形的對(duì)抗樣本攻擊算法

隨著深度學(xué)習(xí)技術(shù)的發(fā)展，深度學(xué)習(xí)應(yīng)用于通信信號(hào)的調(diào)制識(shí)別也變得日益廣泛，但是對(duì)抗樣本特性的存在會(huì)導(dǎo)致基于深度學(xué)習(xí)的調(diào)制識(shí)別模型安全性受到威脅，研究對(duì)抗樣本生成技術(shù)對(duì)智能調(diào)制識(shí)別模型的攻防兩端都具有重要的借鑒意義，本節(jié)將介紹對(duì)抗樣本相關(guān)概念以及對(duì)抗樣本生成技術(shù)。

2.1 對(duì)抗樣本相關(guān)研究

2013 年，Szegedy［4］等人發(fā)現(xiàn)了一個(gè)有趣的現(xiàn)象：在訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)模型中加入一個(gè)設(shè)計(jì)好的特定的微小擾動(dòng)，就會(huì)讓原本分類(lèi)性能良好的模型以高置信度輸出一個(gè)完全錯(cuò)誤的分類(lèi)結(jié)果，他們將加入了這種特定微小擾動(dòng)的樣本稱(chēng)為對(duì)抗樣本。

對(duì)抗樣本可以用如下公式描述：

式中，f(·)表示神經(jīng)網(wǎng)絡(luò)模型，x表示輸入數(shù)據(jù)，y表示輸入數(shù)據(jù)對(duì)應(yīng)的標(biāo)簽，η表示設(shè)計(jì)好的微小擾動(dòng)，σ表示一個(gè)很小的數(shù)，用于約束擾動(dòng)的大小。由公式（4）可見(jiàn)對(duì)抗樣本的目標(biāo)是在對(duì)輸入數(shù)據(jù)中加入微小擾動(dòng)后使神經(jīng)網(wǎng)絡(luò)分類(lèi)器產(chǎn)生錯(cuò)判，將輸入數(shù)據(jù)的預(yù)測(cè)類(lèi)別干擾為一個(gè)不是其對(duì)應(yīng)標(biāo)簽的類(lèi)別，從而達(dá)到攻擊的效果。

Goodfellow［6］等人解釋了對(duì)抗樣本的存在是由神經(jīng)網(wǎng)絡(luò)的高維線(xiàn)性特性所導(dǎo)致的。假設(shè)神經(jīng)網(wǎng)絡(luò)的權(quán)重參數(shù)為ω，輸入為x，擾動(dòng)為η，將足夠小的擾動(dòng)η添加到輸入x中，經(jīng)過(guò)神經(jīng)網(wǎng)絡(luò)后的輸出為：

據(jù)此，Goodfellow 等人提出了一種快速梯度符號(hào)法（FGSM），擾動(dòng)的生成公式如下：

式中，η為擾動(dòng)，J(θ，x，y)為損失函數(shù)，ε為控制添加擾動(dòng)大小的系數(shù)。這一算法進(jìn)一步揭示了對(duì)抗樣本的成因，在此算法基礎(chǔ)上加以改進(jìn)，各種攻擊算法層出不窮。目前對(duì)抗樣本攻擊算法按照攻擊目的可以分為定向攻擊和非定向攻擊，按照所要攻擊的模型參數(shù)是否已知可分為白盒攻擊和黑盒攻擊，而FGSM 就是一種典型的非定向白盒攻擊算法。

2.2 一種基于快速梯度符號(hào)法的定向擾動(dòng)生成算法

在通信信號(hào)調(diào)制識(shí)別領(lǐng)域，柯達(dá)［7］等人提出了一種基于深度學(xué)習(xí)調(diào)制識(shí)別模型的最小對(duì)抗擾動(dòng)生成方法，在干信比為-20 dB 的條件下實(shí)現(xiàn)對(duì)智能調(diào)制識(shí)別模型的攻擊，該方法為非定向白盒攻擊，也就是在被攻擊模型參數(shù)已知的前提下，生成最小對(duì)抗擾動(dòng)，使得分類(lèi)器的輸出產(chǎn)生隨機(jī)錯(cuò)判。但是在一些特定的實(shí)際應(yīng)用場(chǎng)景中，需要攻擊神經(jīng)網(wǎng)絡(luò)分類(lèi)器模型并使其輸出想要的結(jié)果，這種定向的攻擊方式具備廣泛的研究前景。基于此本文提出一種基于深度學(xué)習(xí)調(diào)制識(shí)別模型的通信信號(hào)定向攻擊擾動(dòng)生成算法，具體流程如下：

輸入：原始信號(hào)數(shù)據(jù)x，深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)分類(lèi)器f

輸出：定向擾動(dòng)η

基于快速梯度符號(hào)法的非定向?qū)箶_動(dòng)生成算法的原理在于，通過(guò)計(jì)算神經(jīng)網(wǎng)絡(luò)的梯度值，找到能夠使得損失函數(shù)上升的最大方向，通過(guò)在這個(gè)方向上添加擾動(dòng)使得數(shù)據(jù)輸入模型后的預(yù)測(cè)類(lèi)別與真實(shí)標(biāo)簽之間的差異越來(lái)越大。而定向擾動(dòng)的核心思路就是在這個(gè)方向上添加一個(gè)設(shè)計(jì)好的擾動(dòng)，使得數(shù)據(jù)輸入模型后的預(yù)測(cè)類(lèi)別與想要定向攻擊成為的類(lèi)別yLL之間的差異越來(lái)越小，該算法具體流程如下：

1）將訓(xùn)練集數(shù)據(jù)送入神經(jīng)網(wǎng)絡(luò)訓(xùn)練；

2） 將損失函數(shù)中的標(biāo)簽設(shè)置為所要攻擊的類(lèi)別的標(biāo)簽，并通過(guò)損失函數(shù)回傳計(jì)算梯度；

3）設(shè)置對(duì)抗擾動(dòng)系數(shù)ε的大小，與符號(hào)化后的梯度值相乘得到定向擾動(dòng)；

4）將原始數(shù)據(jù)與定向擾動(dòng)相減得到定向擾動(dòng)后的對(duì)抗樣本；

5）將對(duì)抗樣本送入已經(jīng)訓(xùn)練好的調(diào)制識(shí)別模型進(jìn)行測(cè)試。

3 仿真驗(yàn)證及性能分析

本節(jié)首先基于深度學(xué)習(xí)的調(diào)制識(shí)別算法訓(xùn)練了分類(lèi)性能良好的調(diào)制識(shí)別模型，再基于定向與非定向?qū)箶_動(dòng)生成方法開(kāi)展攻擊實(shí)驗(yàn)，最后對(duì)基于深度學(xué)習(xí)的調(diào)制識(shí)別網(wǎng)絡(luò)的定向攻擊與非定向攻擊算法做了性能分析。

3.1 基于深度學(xué)習(xí)的調(diào)制識(shí)別模型訓(xùn)練

本文基于某常用軟件平臺(tái)生成11 類(lèi)常規(guī)通信信號(hào)的IQ兩路數(shù)據(jù)，單個(gè)信號(hào)樣本長(zhǎng)度為8 192 點(diǎn)，單個(gè)樣本維度是［2，8 192］，數(shù)據(jù)集詳細(xì)參數(shù)設(shè)置如表2所示。

表2 本文使用的通信信號(hào)參數(shù)設(shè)置表

將訓(xùn)練集數(shù)據(jù)送入神經(jīng)網(wǎng)絡(luò)中進(jìn)行訓(xùn)練并保存訓(xùn)練好的模型參數(shù)，結(jié)果如圖3 所示。

圖3 訓(xùn)練集損失函數(shù)收斂曲線(xiàn)

由圖3 可以看出，訓(xùn)練集損失不斷下降，引入早停策略來(lái)防止模型過(guò)擬合，該策略的原則是當(dāng)驗(yàn)證集損失函數(shù)在連續(xù)20 個(gè)epoch 內(nèi)不再上升時(shí)，保存驗(yàn)證集的損失函數(shù)最低處的模型作為最優(yōu)模型。如圖3 所示，在第13 到第33 個(gè)epoch，驗(yàn)證集損失函數(shù)不再下降，保留第13 個(gè)epoch 時(shí)的模型作為最終的識(shí)別模型。

3.2 基于深度學(xué)習(xí)調(diào)制識(shí)別網(wǎng)絡(luò)的非定向攻擊實(shí)驗(yàn)

選取對(duì)抗擾動(dòng)系數(shù)ε=0.05 生成對(duì)抗樣本后輸入訓(xùn)練好的通信信號(hào)調(diào)制識(shí)別模型中進(jìn)行測(cè)試，結(jié)果如圖4 所示。

圖4 混淆矩陣

由圖4 中的混淆矩陣可以看出，未被攻擊之前，該模型分類(lèi)性能良好，但是在對(duì)抗樣本的攻擊下，該模型的識(shí)別效果出現(xiàn)了比較嚴(yán)重的錯(cuò)誤，除4FSK、BPSK 和DSB 以外大部分信號(hào)均不能被正確識(shí)別。

對(duì)基于深度學(xué)習(xí)的調(diào)制識(shí)別模型輸出的特征矢量進(jìn)行t-sne 降維，結(jié)果如圖5 —6 所示。

圖5 對(duì)抗樣本攻擊前11 類(lèi)信號(hào)調(diào)制識(shí)別模型輸出結(jié)果的t-sne 降維圖

從圖5 和圖6 中t-sne 降維結(jié)果可見(jiàn)，未經(jīng)對(duì)抗樣本攻擊之前，各類(lèi)信號(hào)呈現(xiàn)多點(diǎn)聚集，類(lèi)內(nèi)距明顯小于類(lèi)間距離，具有良好的可分性；經(jīng)過(guò)對(duì)抗樣本攻擊之后，神經(jīng)網(wǎng)絡(luò)模型輸出結(jié)果變得十分混淆，各類(lèi)信號(hào)不再呈現(xiàn)多點(diǎn)聚集的情況，不再具備良好的可分性。

圖6 對(duì)抗樣本攻擊后11 類(lèi)信號(hào)調(diào)制識(shí)別模型輸出結(jié)果的t-sne 降維圖

3.3 基于深度學(xué)習(xí)調(diào)制識(shí)別網(wǎng)絡(luò)的非定向攻擊實(shí)驗(yàn)

對(duì)前文提到的11 類(lèi)信號(hào)分別進(jìn)行定向攻擊后，測(cè)試該模型定向攻擊效果，結(jié)果如圖7 所示。

圖7 常規(guī)通信信號(hào)定向攻擊效果隨攻擊強(qiáng)度變化曲線(xiàn)

由于定向攻擊的目標(biāo)是將任意樣本攻擊為指定的類(lèi)別輸出，所以基于深度學(xué)習(xí)的調(diào)制模型識(shí)別準(zhǔn)確率曲線(xiàn)并不能很好刻畫(huà)定向攻擊的效果，為此引入定向攻擊成功率的概念，用于衡量智能模型把待識(shí)別信號(hào)歸類(lèi)為某一定向類(lèi)別的比率。圖7 中橫坐標(biāo)代表攻擊強(qiáng)度，縱坐標(biāo)代表攻擊成功率，攻擊成功率越高，代表定向攻擊效果越好?？梢钥闯?，隨著攻擊強(qiáng)度的不斷增加，各類(lèi)信號(hào)定向攻擊效果也在逐漸提升。此外，BPSK、4FSK 和DSB 這3 類(lèi)信號(hào)比較難被攻擊，當(dāng)攻擊強(qiáng)度達(dá)到0.1 時(shí)，擾動(dòng)和原始信號(hào)功率比約為-21 dB，此時(shí)定向攻擊成功率也不足50%。8PSK 信號(hào)最容易被定向攻擊，當(dāng)攻擊強(qiáng)度達(dá)到0.1 時(shí)，定向攻擊成功率已經(jīng)達(dá)到了85%以上。

選取不同攻擊強(qiáng)度對(duì)基于深度學(xué)習(xí)的調(diào)制識(shí)別模型進(jìn)行定向和非定向攻擊，該模型識(shí)別準(zhǔn)確率如圖8 所示。

圖8 不同強(qiáng)度下定向攻擊與非定向攻擊模型識(shí)別準(zhǔn)確率變化曲線(xiàn)

從圖8 可以看出，隨著攻擊強(qiáng)度不斷增加，無(wú)論是定向攻擊還是非定向攻擊，都使得基于深度學(xué)習(xí)的調(diào)制識(shí)別模型識(shí)別準(zhǔn)確率不斷下降。此外，非定向攻擊條件下模型識(shí)別準(zhǔn)確率的下降速度要略快于定向攻擊模型識(shí)別準(zhǔn)確率的下降速度，這意味著在調(diào)制識(shí)別任務(wù)中，在相同的攻擊強(qiáng)度下，非定向攻擊的效果要略?xún)?yōu)于定向攻擊的效果。但是，隨著攻擊強(qiáng)度的提高，兩者的攻擊效果幾乎沒(méi)有差距，在強(qiáng)度為0.1 的條件下，擾動(dòng)和原始信號(hào)的功率比也僅僅只有-21 dB。此外，定向攻擊的獨(dú)特優(yōu)勢(shì)在于可以將任意信號(hào)攻擊為指定的類(lèi)別，在特定場(chǎng)景下有十分重要的應(yīng)用價(jià)值。

4 結(jié)束語(yǔ)

本文對(duì)基于深度學(xué)習(xí)的調(diào)制識(shí)別模型及其對(duì)抗樣本攻擊方法展開(kāi)研究，提出一種基于快速梯度符號(hào)法的定向擾動(dòng)生成算法，該算法實(shí)現(xiàn)了對(duì)基于深度學(xué)習(xí)的調(diào)制識(shí)別模型的定向攻擊，在較低的干信比條件下，可以快速生成擾動(dòng)，實(shí)現(xiàn)定向攻擊。通過(guò)11 類(lèi)常見(jiàn)通信信號(hào)的定向攻擊與非定向攻擊實(shí)驗(yàn)，為基于深度學(xué)習(xí)的調(diào)制識(shí)別模型的攻防兩端提供了實(shí)驗(yàn)依據(jù)和參考。