CN116628468A - 一种样本攻击防御效果可解释驱动的电磁信号感知方法 - Google Patents
一种样本攻击防御效果可解释驱动的电磁信号感知方法 Download PDFInfo
- Publication number
- CN116628468A CN116628468A CN202310231794.1A CN202310231794A CN116628468A CN 116628468 A CN116628468 A CN 116628468A CN 202310231794 A CN202310231794 A CN 202310231794A CN 116628468 A CN116628468 A CN 116628468A
- Authority
- CN
- China
- Prior art keywords
- sample
- attack
- challenge
- electromagnetic signal
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 138
- 230000007123 defense Effects 0.000 title claims abstract description 96
- 230000000694 effects Effects 0.000 title claims abstract description 79
- 238000012549 training Methods 0.000 claims abstract description 84
- 238000013528 artificial neural network Methods 0.000 claims abstract description 48
- 230000008569 process Effects 0.000 claims abstract description 44
- 238000013507 mapping Methods 0.000 claims abstract description 32
- 230000004913 activation Effects 0.000 claims abstract description 30
- 238000003062 neural network model Methods 0.000 claims abstract description 26
- 238000012795 verification Methods 0.000 claims abstract description 16
- 125000004122 cyclic group Chemical group 0.000 claims description 50
- 238000001228 spectrum Methods 0.000 claims description 45
- 238000010586 diagram Methods 0.000 claims description 43
- 238000011176 pooling Methods 0.000 claims description 20
- 230000006870 function Effects 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 16
- 238000005311 autocorrelation function Methods 0.000 claims description 15
- 238000010276 construction Methods 0.000 claims description 13
- 230000009466 transformation Effects 0.000 claims description 10
- 239000013598 vector Substances 0.000 claims description 7
- 230000000007 visual effect Effects 0.000 claims description 7
- 238000012935 Averaging Methods 0.000 claims description 4
- 230000003213 activating effect Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 5
- 238000012360 testing method Methods 0.000 description 13
- 238000004458 analytical method Methods 0.000 description 10
- 241000282414 Homo sapiens Species 0.000 description 8
- 238000011160 research Methods 0.000 description 6
- 208000037170 Delayed Emergence from Anesthesia Diseases 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 5
- 238000013135 deep learning Methods 0.000 description 5
- 238000010801 machine learning Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000013527 convolutional neural network Methods 0.000 description 4
- 230000008447 perception Effects 0.000 description 4
- 238000012800 visualization Methods 0.000 description 4
- 238000013136 deep learning model Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000002474 experimental method Methods 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 230000003042 antagnostic effect Effects 0.000 description 2
- 230000008485 antagonism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000739 chaotic effect Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 210000000887 face Anatomy 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003595 spectral effect Effects 0.000 description 1
- 230000016776 visual perception Effects 0.000 description 1
- 238000007794 visualization technique Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2218/00—Aspects of pattern recognition specially adapted for signal processing
- G06F2218/08—Feature extraction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2218/00—Aspects of pattern recognition specially adapted for signal processing
- G06F2218/12—Classification; Matching
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Image Analysis (AREA)
Abstract
本申请实施例涉及无线通信技术领域,特别涉及一种样本攻击防御效果可解释驱动的电磁信号感知方法,包括:获取原始电磁信号的IQ数据,并基于所述IQ数据,生成正常样本;对IQ数据添加攻击,得到攻击后的IQ数据,并基于攻击后的IQ数据,生成对抗样本;基于对抗样本,从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释,验证对抗样本生成成功;基于深度神经网络模型,通过对抗训练进行对抗防御,采用基于梯度的类激活映射方法,从可解释角度对使用对抗训练进行对抗防御验证进行验证。本申请提供的样本攻击防御效果可解释驱动的电磁信号感知方法,能够实现攻击防御效果都可解释的电磁信号样本智能感知。
Description
技术领域
本申请实施例涉及无线通信技术领域,特别涉及一种样本攻击防御效果可解释驱动的电磁信号感知方法。
背景技术
无线电频谱是通信领域的基础性资源,而且这种资源非常稀有且不可再生。无线通信业务在生活中越来越重要,并且通信技术对频谱带宽的需求也在增加,这都使得有限的频谱资源变得越来越少,频谱资源短缺的问题也随之而来。频谱感知能帮助用户找出空闲的频谱资源,并重复利用空闲的频谱资源。频谱感知的效果直接影响了电磁频谱的使用效率,对于缓解频谱资源稀缺的现状具有重要意义。
深度学习成为研究热点为调制信号频谱感知带来了极大的便利,然而人工智能模型面临着来自对抗样本严重的威胁,这大大降低了深度机器学习任务执行的高可靠性和安全性。攻击者可以根据深度神经网络的梯度信息,在原始干净样本上添加微小的像素扰动来欺骗深度学习模型,使得模型的性能显著降低,深度神经网络本身的黑盒特性以及使深度神经网络失效的对抗样本,使得它们难以直接应用到医疗决策等高风险领域中。因此,深度网络的可解释性备受关注,对抗攻击也成为了神经网络安全的一个重要研究方向。
目前,关于深度学习可解释性主要分为两类:事前可解释性与事后可解释性。事前可解释性多适用于传统的机器学习。这些机器学习模型通常结构简单、易于实现,属于自解释模型,其自身内嵌可解释性,人们很容易理解其决策过程,线性回归、决策树是这类模型典型代表。由于深度神经网络在很多情况下就不具备可解释性,其特征较难理解,因此,比起事前可解释性方法,事后可解释性方法更适合于深度学习。
事后可解释性方法灵活性强,适用范围广,在不修改模型结构和参数给出决策依据;同时也解决了事前可解释性方法无法对复杂模型进行解释的问题。事后可解释性方法大部分都是在测试阶段针对单幅图像的预测情况给出解释,这类解释方法通常表现为可视化解释,即给出一幅热力图或显著图突出原始图像中对预测起重要作用的区域或者像素。然而,目前对于可解释性方法的研究主要是针对于图片分类领域,而且仅仅关注模型对于正常样本的预测进行解释与分析,忽视了模型在现实场景中可能遇到的对抗样本。
发明内容
本申请实施例提供一种样本攻击防御效果可解释驱动的电磁信号感知方法,利用对抗样本从模型失败的角度检验神经网络内部的特征表示,从而实现攻击防御效果都可解释的电磁信号样本智能感知。
为解决上述技术问题,第一方面,本申请实施例提供一种样本攻击防御效果可解释驱动的电磁信号感知方法,包括以下步骤:获取原始电磁信号的IQ数据,并基于所述IQ数据,生成正常样本;对所述IQ数据添加攻击,得到攻击后的IQ数据,并基于所述攻击后的IQ数据,生成对抗样本;基于所述对抗样本,从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释,验证对抗样本生成成功;基于深度神经网络模型,通过对抗训练进行对抗防御,采用基于梯度的类激活映射方法,从可解释角度对使用对抗训练进行对抗防御验证进行验证。
一些示例性实施例中,基于所述IQ数据,生成正常样本,包括:基于所述IQ数据,绘制循环谱图;基于所述循环谱图,生成正常样本;其中,所述绘制循环谱图包括以下步骤:对原始电磁信号的自相关函数进行傅里叶展开处理,其中,展开处理后的自相关函数的系数为循环自相关函数;将循环自相关函数进行傅里叶变换,得到循环谱函数;将原始电磁信号进行离散化处理,离散化处理后时域相卷对应频域相乘,时域的相关采用DFT变成频域的逐点相乘来计算,从频域获得循环谱,得到循环谱图。
一些示例性实施例中,采用快速梯度符号攻击方法对所述IQ数据添加攻击。
一些示例性实施例中,基于所述对抗样本,从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释,验证对抗样本生成成功,包括以下步骤:通过基于梯度的类激活映射方法,并通过全局平均梯度来计算权重,得到特征图;对所述特征图对应的权重进行加权求和,以热力图的方式对神经网络的区别区域进行可视化处理,对电磁信号感知过程中样本的攻击效果进行解释,验证对抗样本生成成功。
一些示例性实施例中,所述基于梯度的类激活映射方法,包括以下步骤:在分类情况下,深度神经网络在最终输出层之前,对卷积特征映射进行池化处理,并将所述卷积特征用作产生所需输出的全连接层的特征;计算反向传播过程中最高层特征图的每个像素点关于目标类别得分的梯度;对各个通道像素点的梯度进行平均,得到各个通道对应的权重;将各个通道对应的权重与每一张特征图相乘,得到高亮的图片;将高亮的图片通过变换叠加至原始图片上,得到类激活图。
一些示例性实施例中,所述基于深度神经网络模型,通过对抗训练进行对抗防御,包括:构建深度神经网络模型;其中,所述深度神经网络模型为深度残差网络模型;将所述对抗样本加入到对抗训练过程中,对深度神经网络模型的参数进行更新,使更新后的参数能够抵御所述对抗样本的影响;其中,所述对抗训练过程表示为:
其中,D表示数据分布,S(x)表示所允许的对抗样本区域,L(fθ(x*),y)表示网络损失函数。
一些示例性实施例中,所述构建深度神经网络模型,包括以下步骤:以所述正常样本和所述对抗样本的循环谱图作为网络输入;经过若干个基本的卷积层后,对若干个残差模块进行级联,得到特征;所述特征经平均池化层处理后,得到池化处理后的特征,并将池化处理后的特征发往全连接层;分类层输出信号类置信向量以及噪声类置信向量;基于池化处理后的特征以及超参数训练网络,利用分类层的输出置信度对信号的有无进行判断。
第二方面,本申请实施例还提供了一种样本攻击防御效果可解释驱动的电磁信号感知***,包括:依次连接的正常样本构建模块、对抗样本构建模块、攻击效果解释模块以及对抗防御验证模块;所述正常样本构建模块用于获取原始电磁信号的IQ数据,并基于所述IQ数据,生成正常样本;所述对抗样本构建模块用于对所述IQ数据添加攻击,得到攻击后的IQ数据,并基于所述攻击后的IQ数据,生成对抗样本;所述攻击效果解释模块用于根据所述对抗样本,从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释,验证对抗样本生成成功;所述对抗防御验证模块用于根据深度神经网络模型,通过对抗训练进行对抗防御,采用基于梯度的类激活映射方法,从可解释角度对使用对抗训练进行对抗防御验证进行验证。
本申请实施例提供的技术方案至少具有以下优点:
本申请实施例提供一种样本攻击防御效果可解释驱动的电磁信号感知方法,该方法包括以下步骤:获取原始电磁信号的IQ数据,并基于所述IQ数据,生成正常样本;对IQ数据添加攻击,得到攻击后的IQ数据,并基于攻击后的IQ数据,生成对抗样本;基于对抗样本,从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释,验证对抗样本生成成功;基于深度神经网络模型,通过对抗训练进行对抗防御,采用基于梯度的类激活映射方法,从可解释角度对使用对抗训练进行对抗防御验证进行验证。
本申请实施例提供了一种样本攻击防御效果可解释驱动的电磁信号感知方法,针对电磁信号循环谱感知问题,利用对抗样本从模型失败的角度检验神经网络内部的特征表示。通过可视化分析,发现深度神经网络学习到的特征与人类所看到的特征之间存在着不一致性,对电磁信号感知过程中样本的攻击效果进行解释;同时,本申请还使用对抗训练的方式进行对抗防御,并利用基于梯度的类激活映射方法从可解释角度对样本防御效果进行了解释,从而实现了攻击防御效果都可解释的电磁信号样本智能感知。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,除非有特别申明,附图中的图不构成比例限制。
图1为本申请一实施例提供的一种样本攻击防御效果可解释驱动的电磁信号感知方法的流程示意图;
图2为本申请一实施例提供的一种样本攻击防御效果可解释驱动的电磁信号感知***的结构示意图;
图3为本申请一实施例提供的样本攻击防御效果可解释驱动的电磁信号感知方法的框架示意图;
图4为本申请一实施例提供的基于梯度的类激活映射方法(Grad-CAM)原理图;
图5为本申请一实施例提供的基于IQ数据生成对抗样本的过程示意图;
图6为本申请一实施例方法在一种实施方式中涉及的基本残差块的结构示意图;
图7为本申请一实施例方法在对抗防御前后,深度神经网络模型训练准确率曲线和测试准确率曲线示意图;
图8为不同预训练模型下,调制信号BPSK识别准确率随扰动量变化曲线;
图9为调制信号BPSK在SNR=10dB时,本申请实施例方法循环谱示意图及在不同扰动下防御前后对抗样本Grad-CAM热力图示意图;
图10为调制信号BPSK在SNR=5dB时,本申请实施例方法循环谱示意图及在不同扰动下防御前后对抗样本Grad-CAM热力图示意图;
图11为调制信号BPSK在SNR=0dB时,本申请实施例方法循环谱示意图及在不同扰动下防御前后对抗样本Grad-CAM热力图示意图;
图12为调制信号BPSK在SNR=-5dB时,本申请实施例方法循环谱示意图及在不同扰动下防御前后对抗样本Grad-CAM热力图示意图;
图13为调制信号BPSK在SNR=-10dB时,本申请实施例方法循环谱示意图及在不同扰动下防御前后对抗样本Grad-CAM热力图示意图;
图14为本申请一实施例提供的一种电子设备的结构示意图。
具体实施方式
由背景技术可知,现有的针对上述现有可解释性方法的研究大部分都是针对于图片分类领域,而且仅仅关注模型对于正常样本的预测进行解释与分析,而忽视了模型在现实场景中可能遇到的对抗样本。
目前,关于深度学习可解释性的研究仍在探索中前进。现有的可解释性主要分为两类:事前可解释性与事后可解释性。事前可解释性多适用于传统的机器学习。这些机器学习模型通常结构简单、易于实现,属于自解释模型,其自身内嵌可解释性,人们很容易理解其决策过程,线性回归、决策树是这类模型典型代表。目前也有一些研究者在深度学习模型结构上添加了一些约束,在保证模型性能的同时降低模型复杂性,从而对模型内部特征解释。例如,一相关技术对滤波器的学习进行约束,训练出可解释的滤波器,使每个滤波器有针对性地关注特定目标部位。但是由于深度神经网络在很多情况下就不具备可解释性,其特征较难理解,因此,比起事前可解释性方法,事后可解释性方法更适合于深度学习。
事后可解释性方法灵活性强,适用范围广,在不修改模型结构和参数给出决策依据;同时也解决了事前可解释性方法无法对复杂模型进行解释的问题。事后可解释性方法大部分都是在测试阶段针对单幅图像的预测情况给出解释,这类解释方法通常表现为可视化解释,即给出一幅热力图或显著图突出原始图像中对预测起重要作用的区域或者像素。还有一相关技术提出基于反卷积的可视化方法,通过将中间层特征反向映射到像素空间中,观察得到什么输入会导致特定的输出,从而理解卷积神经网络内部的每层学***均池化层,因此它的灵活性较差,不能适用于所有的模型。Selvaraju提出了一种名为梯度加权类激活映射(Gradientweighted ClassActivation Mapping,Grad-CAM)的方法,专注于更准确地定位特征,进一步提升了可视化效果。
综上所述,目前对于可解释性方法的研究大部分都是针对于图片分类领域,而且仅仅关注模型对于正常样本的预测进行解释与分析,而忽视了模型在现实场景中可能遇到的对抗样本。
为了解决上述问题,本申请实施例提供一种样本攻击防御效果可解释驱动的电磁信号感知方法,包括以下步骤:获取原始电磁信号的IQ数据,并基于所述IQ数据,生成正常样本;对IQ数据添加攻击,得到攻击后的IQ数据,并基于攻击后的IQ数据,生成对抗样本;基于对抗样本,从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释;基于深度神经网络模型,通过对抗训练进行对抗防御,采用基于梯度的类激活映射方法,从可解释角度对使用对抗训练进行对抗防御验证进行验证。本申请实施例提供一种样本攻击防御效果可解释驱动的电磁信号感知方法,利用对抗样本从模型失败的角度检验神经网络内部的特征表示,从而实现攻击防御效果都可解释的电磁信号样本智能感知。
下面将结合附图对本申请的各实施例进行详细的阐述。然而,本领域的普通技术人员可以理解,在本申请各实施例中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施例的种种变化和修改,也可以实现本申请所要求保护的技术方案。
参看图1,本申请实施例提供一种样本攻击防御效果可解释驱动的电磁信号感知方法,包括以下步骤:
步骤S1、获取原始电磁信号的IQ数据,并基于所述IQ数据,生成正常样本。
步骤S2、对IQ数据添加攻击,得到攻击后的IQ数据,并基于攻击后的IQ数据,生成对抗样本。
步骤S3、基于对抗样本,从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释,验证对抗样本生成成功。
步骤S4、基于深度神经网络模型,通过对抗训练进行对抗防御,采用基于梯度的类激活映射方法,从可解释角度对使用对抗训练进行对抗防御验证进行验证。
本申请提供了一种样本攻击防御效果可解释驱动的电磁信号感知方法,首先,获取原始电磁信号的IQ数据,并基于IQ数据绘制循环谱图,生成正常样本;接下来,对原始IQ数据添加攻击,得到攻击后的IQ数据,并根据攻击后的IQ数据绘制循环谱图,生成对抗样本;然后,利用对抗样本从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释,以验证对抗样本生成成功;最后,通过对抗训练进行对抗防御,利用Grad-CAM方法从可解释角度结合类激活映射方法的基本原理,通过利用卷积神经网络最高层特征图的加权组合,获得了具有类别区分性的可解释效果;本申请通过实验验证了使用对抗训练可以进行一定的对抗防御,从而实现了攻击防御效果都可解释的电磁信号样本智能感知。
参见图2,本申请实施例还提供了一种可解释驱动的电磁信号感知***,其特征在于,包括:依次连接的正常样本构建模块101、对抗样本构建模块102、攻击效果解释模块103以及对抗防御验证模块104;所述正常样本构建模块101用于获取原始电磁信号的IQ数据,并基于所述IQ数据,生成正常样本;所述对抗样本构建模块102用于对所述IQ数据添加攻击,得到攻击后的IQ数据,并基于所述攻击后的IQ数据,生成对抗样本;所述攻击效果解释模块103用于根据所述对抗样本,从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释,验证对抗样本生成成功;所述对抗防御验证模块104用于根据深度神经网络模型,通过对抗训练进行对抗防御,采用基于梯度的类激活映射方法,从可解释角度对使用对抗训练进行对抗防御验证进行验证。
在一些实施例中,步骤S1中基于所述IQ数据,生成正常样本,包括以下步骤:
步骤S101、基于IQ数据,绘制循环谱图。
步骤S102、基于循环谱图,生成正常样本。
其中,步骤S101中绘制循环谱图包括以下步骤:
步骤S1011、对原始电磁信号的自相关函数进行傅里叶展开处理,其中,展开处理后的自相关函数的系数为循环自相关函数。
步骤S1012、将循环自相关函数进行傅里叶变换,得到循环谱函数。
步骤S1013、将原始电磁信号进行离散化处理,离散化处理后时域相卷对应频域相乘,时域的相关采用DFT变成频域的逐点相乘来计算,从频域获得循环谱,得到循环谱图。
具体的,在步骤S1中对原始电磁信号自相关函数做傅里叶展开,展开以后的系数就是循环自相关函数。将所述循环自相关函数进行傅里叶变换,得到的函数就是循环谱函数。在计算机处理中,需要将信号进行离散化处理,离散化处理以后时域相卷对应频域相乘,时域的相关也可以用DFT变成频域的逐点相乘来计算,就可以从频域获得循环谱。
在一些实施例中,步骤S2中采用快速梯度符号攻击方法对所述IQ数据添加攻击。
需要说明的是,对抗样本是指攻击者通过向真实样本添加微小的,人眼不可察觉的扰动,导致模型发生预测错误的样本。对抗样本的构建方法应先对原始IQ数据添加攻击,根据攻击后的IQ数据绘制循环谱图。
在一些实施例中,步骤S3中基于所述对抗样本,从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释,验证对抗样本生成成功,包括以下步骤:
步骤S301、通过基于梯度的类激活映射方法,并通过全局平均梯度来计算权重,得到特征图。
步骤S302、对所述特征图对应的权重进行加权求和,以热力图的方式对神经网络的区别区域进行可视化处理,对电磁信号感知过程中样本的攻击效果进行解释,验证对抗样本生成成功。
具体的,正常样本(真实样本)和对抗样本可以从正反两方面研究深度神经网络的行为,既可以通过真实样本分析模型产生正确预测的原因,同时可以通过对抗样本分析模型发生错误的原因,以深入对神经网络进行可解释性分析。成功在正常样本(干净样本)上添加扰动后,通过基于梯度的类激活映射方法,通过全局平均梯度来计算权重,通过得到特征图对应的权重进行加权求和,最后以热力图的方式可视化神经网络的区别区域,从人眼识别的角度来看,正常样本和对抗样本内容并没有区别。通过基于梯度的类激活映射方法,两幅图标注了不同的位置,对电磁信号感知过程中样本的攻击效果进行解释。
在一些实施例中,步骤S301中所述基于梯度的类激活映射方法,包括以下步骤:在分类情况下,深度神经网络在最终输出层之前,对卷积特征映射进行池化处理,并将所述卷积特征用作产生所需输出的全连接层的特征;计算反向传播过程中最高层特征图的每个像素点关于目标类别得分的梯度;对各个通道像素点的梯度进行平均,得到各个通道对应的权重;将各个通道对应的权重与每一张特征图相乘,得到高亮的图片;将高亮的图片通过变换叠加至原始图片上,得到类激活图。
具体的,在所用于分类的深度神经网络在最终输出层(分类情况下为softmax)之前,对卷积特征映射执行池化,并将其用作产生所需输出(分类或其他)的全连接层的特征。在这种网络结构下,通过计算反向传播过程中最高层特征图每个像素点关于目标类别得分的梯度,再对各通道像素点的梯度加以平均,即得到各通道对应的权重大小。权重和每一张特征图相乘得到高亮的图片,然后把高亮的图片通过变换叠加到原图上得到类激活图。基于梯度的类激活映射方法可以直观地标注特定类别的区别区域,进而对样本攻击防御效果分别进行解释。
在一些实施例中,步骤S4中基于深度神经网络模型,通过对抗训练进行对抗防御,包括:
步骤S401、构建深度神经网络模型;其中,所述深度神经网络模型为深度残差网络模型。
步骤S402、将所述对抗样本加入到对抗训练过程中,对深度神经网络模型的参数进行更新,使更新后的参数能够抵御所述对抗样本的影响;其中,所述对抗训练过程的表达式为:
其中,D表示数据分布,S(x)表示所允许的对抗样本区域,L(fθ(x*),y)表示网络损失函数。
具体的,对抗训练是一类典型且有效的对抗防御算法。数据扩充是一种经典有效的神经网络训练方法,其基本思想就是通过添加数据集来增强模型的决策经验。基于上述思想,本申请提出使用对抗样本来扩充数据集以进行对抗防御。本申请通过将对抗样本加入到训练过程中来更新模型参数,使其可以抵御对抗样本的影响。具体地,对抗训练可以被定义为一个最大最小化问题,如上述对抗训练过程的表达式所示。式中内层的最大化问题通常与通过攻击算法产生的对抗样本近似,而外层的最小化问题可以将对抗样本作为训练数据得到防攻击性更好的模型。
在一些实施例中,步骤S401中构建深度神经网络模型,包括以下步骤:
步骤S4011、以所述正常样本和所述对抗样本的循环谱图作为网络输入。
步骤S4012、经过若干个基本的卷积层后,对若干个残差模块进行级联,得到特征.
步骤S4013、所述特征经平均池化层处理后,得到池化处理后的特征,并将池化处理后的特征发往全连接层.
步骤S4014、分类层输出信号类置信向量以及噪声类置信向量。
步骤S4015、基于池化处理后的特征以及超参数训练网络,利用分类层的输出置信度对信号的有无进行判断。
需要说明的是,池化处理后的特征是在神经网络进行训练过程中提取得到特征,级联然后经平均池化层处理后得到的特征。
本申请提供一种样本攻击防御效果可解释驱动的电磁信号感知方法。本申请主要是采用Grad-CAM方法,将其从图片领域推广到电磁信号领域,从正常样本推广到对抗样本,利用对抗样本从模型失败的角度检验神经网络内部的特征表示。通过可视化分析,发现深度神经网络学习到的特征与人类所看到的特征之间存在着不一致性,对电磁信号感知过程中样本的攻击效果进行解释。同时,本申请还通过对抗训练进行对抗防御,利用基于梯度的类激活映射方法从可解释角度验证了使用对抗训练进行一定的对抗防御,从而实现了攻击防御效果都可解释的电磁信号样本智能感知。
下面结合附图和实施例对本申请提供的样本攻击防御效果可解释驱动的电磁信号感知方法及***作进一步详细说明。
参照图3,攻击时所使用的预训练模型一为:信号样本全部使用正常样本时训练的深度模型。攻击后的使用的预训练模型二:信号样本同时使用正常样本和对抗样本时训练的深度模型。预训练模型是指已经在某个预先设定的数据集上完成训练的深度学习模型。图3中正常样本以SNR=-10dB下的BPSK循环谱图为例,攻击时,正常样本经过预训练模型一以后分类结果为“BPSK”,识别置信度为88.6%。设置扰动量ε的大小为0.006,经过FSGM攻击生成的扰动噪声的扰动后,扰动以后的图像在人眼看起来仍然是“BPSK”,经过神经网络以后,却被识别为“noise”,置信度为53.5%。
需要说明的是,BPSK信号为原始电磁信号。
视觉感知上完全相同的两张图片,经过对抗攻击以后,被判定为不同的类别,通过Grad-CAM对分类时所关注的区别区域进行标注,对样本攻击效果进行了可解释说明。图3中正常样本也以SNR=-10dB下的BPSK循环谱图为例,防御时,正常样本经过使用对抗训练以后的预训练模型二以后分类结果为“BPSK”,识别置信度为89.3%,说明对抗训练不会降低模型对原始样本的分类准确率,经过FSGM攻击生成的扰动噪声的扰动后,再次送入预训练模型二,分类结果仍为“BPSK”,置信度降低至61.7%,证明了对抗训练让网络具有了一定的防攻击性,通过Grad-CAM标记了的识别时所关注的区域,对防御效果进行了解释。
在上述实施方式中,Grad-CAM强调特定类别的区别区域。Grad-CAM的标注原理图如图4所示。设分类网络最后一个卷积层有n张特征图,记为A1,A2,...An,设最终分类结果为类别c,则最后一个卷积层每张特征图的权重分别为
Grad-CAM的思想是选择softmax值最大的节点(对应置信度最高的类别,即类别c)反向传播,对最后一层卷积层求梯度,每张特征图的梯度的均值作为该张特征图的权重。
其中,A代表某个特征层,本申请中指的是最后一个卷积层输出的特征;k代表特征层A中的第k个通道;c代表类别c;Ak代表特征层A中通道k的数据;代表针对Ak的权重,/>的计算方式如下:
其中,yc代表网络针对类别c预测的分数,其中yc没有经过softmax激活层。代表特征层A的第k个通道中,左边为ij位置处的数据;Z为特征图的大小,计算方式为宽度乘高度。
Grad-CAM方法并不需要改变网络结构,而是通过计算反向传播过程中最高层特征图每个像素点关于目标类别得分的梯度,再对各通道像素点的梯度加以平均,即得到各通道对应的权重大小。通过权重和每一张特征图相乘得到高亮的图片,然后把高亮的图片通过变换叠加到原图上得到最终的Grad-CAM图,生成该方法不需要对原始网络做任何修改,即可生成基于梯度的类激活图。特征图中的一个像素对应原图中的一个区域,而像素值表示该区域提取到的特征,由上式可知的大小由特征图中像素值与权重决定,特征图中像素值与权重的乘积大于0,有利于将样本分到该类,即CNN认为原图中的该区域具有类别相关特征。可视化的结果也表明,CNN正确分类的确是因为注意到了原图中正确的类别相关特征。虽然Grad-CAM需要反向传播计算梯度,但涉及对单张输入图像的可视化时,只用获取梯度来计算权重,而无需更新网络参数,因此不需要重新训练网络,极大地节省了计算资源。
在上述实施方式中,对抗样本的产生可使用FSGM攻击方法产生。前面提到,对抗样本是指攻击者通过向真实样本添加微小的,人眼不可察觉的扰动,导致模型发生预测错误的样本。本申请提供的样本攻击防御效果可解释驱动的电磁信号感知方法应先对原始IQ数据添加攻击,根据攻击后的IQ数据绘制循环谱图。快速梯度符号攻击方法(Fast GradientSign Attack,FSGM)是最常用的产生对抗样本的方法之一,其思想来源于:随机梯度下降使得模型对于输入图像输出的损失函数值变小,从而使网络输出正确的预测;如果将计算得出的损失值加到输入图像上使得网络输出的损失值变大即可使网络趋向于输出错误的预测结果。
FSGM可以表示为
x*=x+η
其中,ε为扰动大小,x为输入样本,l为样本标签,为求取损失函数关于x的梯度,sign()为符号函数,η为生成的扰动,将扰动叠加到原输入样本上得到攻击样本x*。
具体的,FSGM首先计算损失函数对于输入的梯度,然后取梯度的符号将其归一化,并乘以扰动大小ε,可以使得对抗样本与真实样本的距离满足||x*-x||∞≤ε。
对抗样本的生成过程如图5所示。图5中的预训练模型是通过将信号的IQ数据(signal.mat)和同样大小的噪声数据(noise.mat)送入神经网络进行训练以后的模型,记为model_mat.pth。在model_mat.pth上对signal.mat添加FSGM攻击,通过求取损失函数关于信号样本的的梯度来生成扰动噪声,生成信号对抗样本的IQ数据(记为signal_adv.mat)。通过对signal_adv.mat进行循环谱处理,得到对抗样本循环谱图片。图中黑色实线表示正向传播,黑色虚线表示反向传播。
在上述实施方式中,待感知电磁信号循环谱图,可以从频域来获取:先采集电磁信号获取其IQ信号,然后根据循环自相关的傅里叶变换,计算待感知信号的循环谱,频域计算循环谱时逐点相乘,最后绘制待感知电磁信号的循环谱图。
在上述实施方式中,将频谱感知问题定义为两类分类问题,通过以下方式建模为两类分类问题,其中一类是信号,另一类是噪声。
在上述实施方式中,通过对抗训练进行对抗防御,通过下述方式构建:
对抗防御的思想是:假设深度神经网络输入图片x,添加的扰动为η,模型的输出为f(·),我们期望:
f(x+η)=f(x)
即添加扰动前后,模型的输出结果不会受到影响,这种性质被称为模型的鲁棒性。在主流的对抗防御方法中,对抗训练是一类典型且有效的算法。数据扩充是一种经典有效的神经网络训练方法,其基本思想就是通过添加数据集来增强模型的决策经验。因此本申请使用对抗样本来扩充数据集,通过将对抗样本加入到训练过程中来更新模型参数,使其可以抵御对抗样本的影响。具体地,对抗训练可以被定义为一个最大最小化问题。
其中,基本残差块如图6所示,深度残差网络结构细节表如表1所示,其中“Residual_block”表示基本残差块,“avgpool”表示平均池化,“linear”表示全连接层,首先,以正常样本和对抗样本的循环谱图作为为网络输入;在两个基本卷积层后,将四个残差模块级联(基本残差块如图6所示),所得特征经平均池化层处理后,发往整个全连接层。最终分类层输出信号类与噪声类置信向量。设计合适超参数训练网络,基于提取的特征,利用softmax层的输出置信度对信号的有无进行判断。
表1深度残差网络结构细节表
在本申请中,采用随机梯度下降(SGD)方法与动量对深度残差网络的参数进行更新,损失函数为交叉熵函数,训练过程中学习率设为0.001,批量大小设置为64,通过小批量梯度下降算法使得对比损失下降,直至网络收敛,得到训练好的模型参数。
下面通过具体的仿真实验对上述技术方案的技术性能及效果进行进一步的阐述。具体的仿真条件和参数如下:
对抗防御时使用的数据集为:产生的信号数据调制类型为BPSK,信噪比为-15dB-10dB,间隔为5dB。每个信号的长度为1000。对于每个信噪比,产生信号样本500张,对抗样本500张,每个样本维度为(224,224,3)。训练集中的噪声数据为AWGN数据,长度也为1000,噪声样本个数与信号个数相同。数据集包含AWGN信道下的信号样本及纯噪声样本及分别对应的类别标签,其中类别标签用于识别样本的类别,信号样本和纯噪声样本的数量比为1:1。将调制信号数据集中样本和类别标签打乱,并按照8:2划分为训练集和测试集,训练集用于训练网络,测试集用于测试网络的精确度。
其中,信噪比定义为信号功率与噪声功率之比;先采集IQ数据,再通过IQ数据绘制循环谱图作为信号样本;同时,本文中涉及到的调制信号的参数进行了如下设置:其IQ数据采样频率fs为1000000Hz,载波频率fc为100000Hz,每个信号的长度为1000,码元速率Rb为1000B。为了保证生成的循环谱图高度一致,我们在改变信噪比的时候,设定信号功率不变,通过改变噪声功率来改变信噪比的大小。
本方法仿真实验的开发环境为:处理器使用的是AMD Ryzen5 3600 6-CoreProcessor3.59GHz处理器,开发工具为pycharm和matlab,开发语言为python。采用Pytorch框架搭建具有表1中结构设置的深度残差网络模型,利用上述样本对训练集完成深度神经网络的训练。在训练中,用带动量的SGD训练模型参数进行更新,动量因子为0.9,批量大小设置为64,初始学习率为0.001,损失函数为交叉熵损失函数,用20个epoch(epoch为梯度下降的超参数)对网络进行训练。在对抗训练的时候需要利用FSGM算法生成对抗样本,我们将扰动的规模设置为ε∈[0.002,0.018]。
训练过程如图7所示,可以看出,训练过程收敛速度很快。收敛后,整个测试数据集上的分类准确率为94.083%。由于整个测试集的信噪比在-15dB~10dB之间,很低的信噪比性能会降低整体的精度。
为了将本发明中对抗防御后BPSK识别准确率随扰动量的变化曲线与不进行防御时BPSK识别准确率随扰动量变化曲线进行对比,图8展示了防御前后BPSK识别准确率随扰动量的变化曲线,通过曲线的走势可以看出,一是随着扰动量的增加,模型预测的准确度越来越低;二是训练过程使用对抗样本训练,模型预测的准确率的下降速度比不使用对抗样本训练下降的慢,即对抗训练可以使网络抵御一定的攻击。
为了对防御效果进行可解释性验证,我们生成了BPSK信号在SNR=10dB、5dB、0dB、﹣5dB、﹣10dB时的循环谱图;并设定扰动ε=0.002,ε=0.006,ε=0.018,生成了不同信噪比不同扰动下对抗样本;然后使用Grad-CAM方法同时对防御前后信号样本和对抗样本都进行可解释性标记。调制信号BPSK在SNR=10dB时,本发明方法循环谱示意图及在不同扰动下防御前后对抗样本Grad-CAM热力图示意图如图9所示;调制信号BPSK在SNR=5dB时,本发明方法循环谱示意图及在不同扰动下防御前后对抗样本Grad-CAM热力图示意图如图10所示;调制信号BPSK在SNR=0dB时,本发明方法循环谱示意图及在不同扰动下防御前后对抗样本Grad-CAM热力图示意图如图11所示;调制信号BPSK在SNR=-5dB时,本发明方法循环谱示意图及在不同扰动下防御前后对抗样本Grad-CAM热力图示意图如图12所示;调制信号BPSK在SNR=-10dB时,本发明方法循环谱示意图及在不同扰动下防御前后对抗样本Grad-CAM热力图示意图如图13所示。
基于以上实验,本申请通过将对抗样本和真实样本一起送入网络进行对抗训练,目标是在模型训练的过程中学到人类可解释的特征表示。通过加入对抗样本一起训练深度神经网络,使得神经元也学习到对抗样本的特征。图中的高亮区域表示能够激活深度神经网络某个输出类别的相关区域。正确分类为“BPSK”的样本的谱峰位置均被标注为高亮,通过图9-图13,可以看出:一是从人眼识别来看,图片内容并没有区别时,通过Grad-CAM类激活映射标注,仍然会标注了不同的位置,同时随着干扰的增强,准确率逐步下降,标记也会越来越不准确;二是对抗训练后识别置信度下降的速度要慢于对抗训练前,在相同信噪比相同扰动的时候,防御后的标记效果总是要好于防御前。通过实验使用类激活映射方法用最高层特征图各通道的加权组合,获得含有类别信息的显著图,定位与特定输出类别最相关的输入图像区域,进行可解释性分析,也进一步对网络防御效果进行了解释。我们还对图9-图13所示正常样本和对抗样本在防御前后的识别准确率进行了测试,测试结果如表2所示。
表2不同信噪比、不同扰动下防御前后正常样本和对抗样本分类结果及置信度
表2展示了不同信噪比、不同扰动下防御前后正常样本和对抗样本分类结果及置信度,表2与图10-图13是一一对应的。值得注意的是,调制信号BPSK在SNR=-10dB,扰动量ε的大小为0.006时,防御前的深度神经网络以后分类结果为“noise”,识别置信度为51.5%,但是经过对抗训练神经网络以后,仍然被识别为“BPSK,置信度为57.5%,从图10至图13的标记结果来看,ε=0.006时,对抗训练前,对抗样本标记非常混乱,对抗训练后,依旧是谱峰位置标注了高亮,对防御效果的可解释也证实了对抗训练可以在一定程度上抵御对抗样本的攻击。
参考图14,本申请另一实施例提供了一种电子设备,包括:至少一个处理器110;以及,与至少一个处理器通信连接的存储器111;其中,存储器111存储有可被至少一个处理器110执行的指令,指令被至少一个处理器110执行,以使至少一个处理器110能够执行上述任一方法实施例。
其中,存储器111和处理器110采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器110和存储器111的各种电路连接在一起。总线还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器110处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器110。
处理器110负责管理总线和通常的处理,还可以提供各种功能,包括定时,***接口,电压调节、电源管理以及其他控制功能。而存储器111可以被用于存储处理器110在执行操作时所使用的数据。
由以上技术方案,本申请实施例提供一种样本攻击防御效果可解释驱动的电磁信号感知方法,包括以下步骤:获取原始电磁信号的IQ数据,并基于所述IQ数据,生成正常样本;对IQ数据添加攻击,得到攻击后的IQ数据,并基于攻击后的IQ数据,生成对抗样本;基于对抗样本,从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释,验证对抗样本生成成功;基于深度神经网络模型,通过对抗训练进行对抗防御,采用基于梯度的类激活映射方法,从可解释角度对使用对抗训练进行对抗防御验证进行验证。
本申请实施例提供了一种样本攻击防御效果可解释驱动的电磁信号感知方法,针对电磁信号循环谱感知问题,利用对抗样本从模型失败的角度检验神经网络内部的特征表示。通过可视化分析,发现深度神经网络学习到的特征与人类所看到的特征之间存在着不一致性,对电磁信号感知过程中样本的攻击效果进行解释;同时,本申请还使用对抗训练的方式进行对抗防御,并利用基于梯度的类激活映射方法从可解释角度对样本防御效果进行了解释,从而实现了攻击防御效果都可解释的电磁信号样本智能感知。
本领域的普通技术人员可以理解,上述各实施方式是实现本申请的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本申请的精神和范围。任何本领域技术人员,在不脱离本申请的精神和范围内,均可作各自更动与修改,因此本申请的保护范围应当以权利要求限定的范围为准。
Claims (8)
1.一种样本攻击防御效果可解释驱动的电磁信号感知方法,其特征在于,包括以下步骤:
获取原始电磁信号的IQ数据,并基于所述IQ数据,生成正常样本;
对所述IQ数据添加攻击,得到攻击后的IQ数据,并基于所述攻击后的IQ数据,生成对抗样本;
基于所述对抗样本,从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释,验证所述对抗样本生成成功;
基于深度神经网络模型,通过对抗训练进行对抗防御,采用基于梯度的类激活映射方法,从可解释角度对使用对抗训练进行对抗防御验证进行验证。
2.根据权利要求1所述的样本攻击防御效果可解释驱动的电磁信号感知方法,其特征在于,基于所述IQ数据,生成正常样本,包括:
基于所述IQ数据,绘制循环谱图;
基于所述循环谱图,生成正常样本;
其中,所述绘制循环谱图包括以下步骤:
对原始电磁信号的自相关函数进行傅里叶展开处理,其中,展开处理后的自相关函数的系数为循环自相关函数;
将所述循环自相关函数进行傅里叶变换,得到循环谱函数;
将所述原始电磁信号进行离散化处理,离散化处理后时域相卷对应频域相乘,时域的相关采用DFT变成频域的逐点相乘来计算,从频域获得循环谱,得到循环谱图。
3.根据权利要求1所述的样本攻击防御效果可解释驱动的电磁信号感知方法,其特征在于,采用快速梯度符号攻击方法对所述IQ数据添加攻击。
4.根据权利要求1所述的样本攻击防御效果可解释驱动的电磁信号感知方法,其特征在于,基于所述对抗样本,从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释,验证所述对抗样本生成成功,包括以下步骤:
通过基于梯度的类激活映射方法,并通过全局平均梯度来计算权重,得到特征图;
对所述特征图对应的权重进行加权求和,以热力图的方式对神经网络的区别区域进行可视化处理,对电磁信号感知过程中样本的攻击效果进行解释,验证所述对抗样本生成成功。
5.根据权利要求4所述的样本攻击防御效果可解释驱动的电磁信号感知方法,其特征在于,所述基于梯度的类激活映射方法,包括以下步骤:
在分类情况下,深度神经网络在最终输出层之前,对卷积特征映射进行池化处理,并将所述卷积特征用作产生所需输出的全连接层的特征;
计算反向传播过程中最高层特征图的每个像素点关于目标类别得分的梯度;
对各个通道像素点的梯度进行平均,得到各个通道对应的权重;
将各个通道对应的权重与每一张特征图相乘,得到高亮的图片;
将高亮的图片通过变换叠加至原始图片上,得到类激活图。
6.根据权利要求1所述的样本攻击防御效果可解释驱动的电磁信号感知方法,其特征在于,所述基于深度神经网络模型,通过对抗训练进行对抗防御,包括:
构建深度神经网络模型;其中,所述深度神经网络模型为深度残差网络模型;
将所述对抗样本加入到对抗训练过程中,对深度神经网络模型的参数进行更新,使更新后的参数能够抵御所述对抗样本的影响;
其中,所述对抗训练过程表示为:
其中,D表示数据分布,S(x)表示所允许的对抗样本区域,L(fθ(x*),y)表示网络损失函数。
7.根据权利要求6所述的样本攻击防御效果可解释驱动的电磁信号感知方法,其特征在于,所述构建深度神经网络模型,包括以下步骤:
以所述正常样本和所述对抗样本的循环谱图作为网络输入;
经过若干个基本的卷积层后,对若干个残差模块进行级联,得到特征;
所述特征经平均池化层处理后,得到池化处理后的特征,并将池化处理后的特征发往全连接层;
分类层输出信号类置信向量以及噪声类置信向量;
基于池化处理后的特征以及超参数训练网络,利用分类层的输出置信度对信号的有无进行判断。
8.一种样本攻击防御效果可解释驱动的电磁信号感知***,其特征在于,包括:依次连接的正常样本构建模块、对抗样本构建模块、攻击效果解释模块以及对抗防御验证模块;
所述正常样本构建模块用于获取原始电磁信号的IQ数据,并基于所述IQ数据,生成正常样本;
所述对抗样本构建模块用于对所述IQ数据添加攻击,得到攻击后的IQ数据,并基于所述攻击后的IQ数据,生成对抗样本;
所述攻击效果解释模块用于根据所述对抗样本,从模型失败的角度检验神经网络内部的特征表示,对电磁信号感知过程中样本的攻击效果进行解释,验证所述对抗样本生成成功;
所述对抗防御验证模块用于根据深度神经网络模型,通过对抗训练进行对抗防御,采用基于梯度的类激活映射方法,从可解释角度对使用对抗训练进行对抗防御验证进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310231794.1A CN116628468A (zh) | 2023-03-10 | 2023-03-10 | 一种样本攻击防御效果可解释驱动的电磁信号感知方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310231794.1A CN116628468A (zh) | 2023-03-10 | 2023-03-10 | 一种样本攻击防御效果可解释驱动的电磁信号感知方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116628468A true CN116628468A (zh) | 2023-08-22 |
Family
ID=87601511
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310231794.1A Pending CN116628468A (zh) | 2023-03-10 | 2023-03-10 | 一种样本攻击防御效果可解释驱动的电磁信号感知方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116628468A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117807526A (zh) * | 2023-12-29 | 2024-04-02 | 中国人民解放军军事科学院***工程研究院 | 一种基于循环谱特征选择与融合机制的电磁信号识别方法 |
-
2023
- 2023-03-10 CN CN202310231794.1A patent/CN116628468A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117807526A (zh) * | 2023-12-29 | 2024-04-02 | 中国人民解放军军事科学院***工程研究院 | 一种基于循环谱特征选择与融合机制的电磁信号识别方法 |
| CN117807526B (zh) * | 2023-12-29 | 2024-05-14 | 中国人民解放军军事科学院***工程研究院 | 一种基于循环谱特征选择与融合机制的电磁信号识别方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Tao et al. | Few shot cross equipment fault diagnosis method based on parameter optimization and feature mertic | |
| EP3648014A1 (en) | Model training method, data identification method and data identification device | |
| Margoosian et al. | An accurate kernelized energy detection in Gaussian and non-Gaussian/impulsive noises | |
| Chen et al. | Interpretable machine learning: Moving from mythos to diagnostics | |
| CN109376556B (zh) | 一种针对以卷积神经网络为基础的eeg脑机接口的攻击方法 | |
| CN112199717A (zh) | 一种基于少量公共数据的隐私模型训练方法及装置 | |
| Lv et al. | A deep convolution generative adversarial networks based fuzzing framework for industry control protocols | |
| CN112396129A (zh) | 一种对抗样本检测方法及通用对抗攻击防御*** | |
| CN116628468A (zh) | 一种样本攻击防御效果可解释驱动的电磁信号感知方法 | |
| CN111178504B (zh) | 基于深度神经网络的鲁棒压缩模型的信息处理方法及*** | |
| CN113111731A (zh) | 基于测信道信息的深度神经网络黑盒对抗样本生成方法及*** | |
| CN113254927B (zh) | 一种基于网络防御的模型处理方法、装置及存储介质 | |
| Oozeer et al. | Cognitive dynamic system for control and cyber-attack detection in smart grid | |
| CN113330462A (zh) | 使用软最近邻损失的神经网络训练 | |
| CN112183671A (zh) | 一种针对深度学习模型的目标攻击对抗样本生成方法 | |
| CN114511593A (zh) | 一种基于重要特征的视觉目标跟踪可转移黑盒攻击方法 | |
| CN114925720A (zh) | 基于时空混合特征提取网络的小样本调制信号识别方法 | |
| CN111144243B (zh) | 基于对抗学习的户型图识别方法和装置 | |
| CN117134958A (zh) | 用于网络技术服务的信息处理方法及*** | |
| Pan et al. | Specific radar emitter identification using 1D-CBAM-ResNet | |
| Su et al. | PSR-LSTM model for weak pulse signal detection | |
| Zhang et al. | Modulation recognition of communication signals based on SCHKS-SSVM | |
| CN115952493A (zh) | 一种黑盒模型的逆向攻击方法、攻击装置以及存储介质 | |
| CN113780573B (zh) | 一种抗噪的高精度测距方法及装置 | |
| CN115037437A (zh) | 使用SpecAugment技术的基于深度学习的侧信道攻击方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |