一种基于信号边界摸索攻击的防御方法专利检索-置信度人工智能专利检索查询-专利查询网

一种基于 信号边界摸索攻击的防御方法

阅读：2发布：2020-06-03

专利汇可以提供一种基于信号边界摸索攻击的防御方法专利检索，专利查询，专利分析的服务。并且本发明公开了一种基于信号边界摸索攻击的防御方法，包括：S101，筛选待攻击信号A，并进行初始化添加扰动，得到对抗信号A'；S102，根据待攻击信号A和对抗信号A'的置信度变化，判断待攻击信号A的周边的决策边界分布状况；S103，根据待攻击信号A的周边的决策边界分布状况，对对抗信号A'进行扰动修饰；S104，随机产生偏离扰动，使得对抗信号A'进行摸索边界；S105，优化扰动，以使对抗信号A'不偏离预期轨迹；S106，直到达到迭代上限或得到较好的对抗信号A'；S107，筛选对抗信号添加到训练集中，对信号分类模型进行训练；S108，利用训练好的信号分类模型对待分类信号进行分类，以实现对攻击的防御。，下面是一种基于信号边界摸索攻击的防御方法专利的具体信息内容。

权利要求

1.一种基于信号边界摸索攻击的防御方法，包括以下步骤：
S101，筛选待攻击信号A，并对该待攻击信号进行初始化添加扰动，以得到对抗信号A'；
S102，根据待攻击信号A和对抗信号A'的置信度变化，判断待攻击信号A的周边的决策边界分布状况；
S103，根据待攻击信号A的周边的决策边界分布状况，对对抗信号A'进行扰动修饰，使得对抗信号A'接近预期的边界；
S104，在S103的基础上，随机产生偏离扰动，使得对抗信号A'进行摸索边界；
S105，在S104的基础上，优化扰动，以使对抗信号A'不偏离预期轨迹；
S106，重复S104和S105，直到达到迭代上限或得到较好的对抗信号A'；
S107，对对抗信号进行筛选获得优质的对抗信号，将筛选后的对抗信号加入到训练集中，然后利用训练样本集对信号分类模型进行训练，以获得能够防御对抗攻击的信号分类模型；
S108，利用信号分类模型对待分类信号进行分类，以实现对攻击的防御。
2.如权利要求1所述的基于信号边界摸索攻击的防御方法，其特征在于，S102中，将待攻击信号A和对抗信号A'输入至信号分类模型中，计算并输出待攻击信号A和对抗信号A'的置信度，根据两个置信度的变化情况，分析判断该待攻击信号A周边的决策边界分布状况。
3.如权利要求1所述的基于信号边界摸索攻击的防御方法，其特征在于，S103中，根据待攻击信号A的周边的决策边界分布状况，优化完善对抗信号A'的扰动特性，具体过程为：
观察对抗信号A'的置信度，先确定一个预估值，为对抗信号A'置信度距离0.55的偏差值乘以极大扰动；其次，将对抗信号A'在极大扰动的相反方向添加预估值，并做极小方向的偏移。
4.如权利要求1所述的基于信号边界摸索攻击的防御方法，其特征在于，S104的具体过程包括：
S1041，利用公式(1)求出待攻击信号A与对抗信号A'之间的差量评估值diff：
diffi＝||A'i-Ai||2(1)
其中，||A'i-Ai||2为待攻击信号A与A'各个维度上的欧几里得距离；
S1042，产生随机扰动perturb，同时利用公式(1)估计perturb的差量，记作dp，并通过公式(2)对随机扰动perturb的扰动方向进行优化：
perturb＝[perturb*delta*mean(diff)/dp]·[|A'-A|/diff](2)
其中，delta是会随着迭代次数不断更新的辅助参数，用来调整对抗信号A'在预定方向上的前进步伐，同样，mean(diff)是对攻击信号A与待优化对抗信号A'之间的差量评估值，mean()表示对diff求算数平均值。dp是用来对信号A'做范围限制的，只不过它不以信号差量为条件，而是根据对实验的预估调整，属于调参，|A'-A|/diff是通过每个维度的距离偏差，调整待攻击信号A与待优化的对抗信号A'之间的像素差；
S1043利用公式(3)～(6)调整随机扰动perturb的大小，并限定随机扰动perturb在合适范围内；
overflow＝perturb+A'-max(3)
perturb＝perturb-overflow*(overflow＞0)(4)
underflow＝-1*min-perturb-A'(5)
perturb＝perturb+underflow*(underflow＞0)(6)
其中，max,min分别表示对抗信号中信号点的上限值和下限值，用来防止扰动溢出；
overflow和underflow分别表示信号在添加扰动后，溢出上限与下限的值；
S1044，将优化完成的扰动perturb，添加到对抗信号A'中，并输入信号分类模型获得分类结果，如果分类结果与刚完成初始化的对抗信号A'一致，同样是错误的分类结果，执行S105；如果分类结果不一致，那么可能对抗信号A'在添加扰动时，摸索到了错误的边界，则需要调整辅助参数delta和辅助参数dp，重复S1041～S1044。
5.如权利要求4所述的基于信号边界摸索攻击的防御方法，其特征在于，S105的具体过程为：
S1051，在S104的基础上，利用公式(1)求出待攻击信号A与对抗信号A'之间的差量评估值，记作diff；
S1052，在S1051的基础上，利用公式(7)生成弥补扰动rep，并将添加弥补扰动rep到对抗信号A'中，在保持完整对抗性的同时，减小对抗信号A'的损失；
rep＝(A'-A)*epsilon/diff(7)
其中，epsilon表示步长，是训练开始前人为预设的一个参数，用来调节弥补的大小；
S1053，将对抗信号A'并输入信号分类模型获得分类结果，如果分类结果与初始化的对抗信号A'一致，同样是错误的分类结果，则执行S106；如果分类结果不一致，那么可能对抗信号A'在添加扰动时，摸索到了错误的边界，则需要调整参数epsilon，重复S1051～S1053。
6.如权利要求4所述的基于信号边界摸索攻击的防御方法，其特征在于，步骤107中，通过观察对抗信号的置信度，类标，以及添加扰动大小，添加扰动可见程度，调整参数delta，epsilon的初始值，生成大量的对抗性全面的不同类型信号的对抗信号，按照同样标准，对对抗信号进行筛选获得优质的对抗信号。

说明书全文

一种基于信号边界摸索攻击的防御方法

技术领域

[0001] 本发明属于人工智能领域的深度学习算法与数据的安全领域研究领域，具体涉及一种基于信号边界摸索攻击的防御方法。

背景技术

[0002] 深度学习能够通过学习和计算大量数据的潜在联系，获得比一般算法更准确的分类结果，具有强大的特征学习能力和特征表达能力。深度学习的核心是利用参数庞大的神经网络进行特征抽取，典型的神经网络有卷积神经网络(CNN)和循环神经网络(RNN)。

[0003] 过去几年中深度学习技术，除了在计算机视觉和自然语言处理领域取得了极大的成功，也广泛地应用于其他领域中，包括了使用卷积神经网络实现了信号的解码，完成无线通信系统的设计；将深度学习技术应用于无线资源的分配处理任务当中；使用深度学习技术实现了无线电信号的调制类型分类任务。当然，深度学习技术也引入了无线电数据处理领域。利用深度学习所具有的强大的特征学习能力和特征表达能力，对大量无线信号进行调制类型，或者编码种类的识别、分类。

[0004] 虽然深度学习技术在各个领域中均取得了良好的效果，但已有研究表明深度神经网络非常容易对某些细微的扰动出现错误的判断，难以抵抗一些对抗样本的攻击。这些细小的扰动对于人类来说是几乎无法察觉的，但却可以使得深度模型分类错误，甚至对错误的分类结果表现出很高的置信度。这使得深度学习模型的安全性和鲁棒性成为了研究人员所关注的热点。尤其是在开放的无线电信号领域中，对手可以较为轻易的通过发射器在传输信号中添加设计好的扰动，使得原始信号数据变得极具对抗性。这种现象的存在很容易造成信号传输的安全保密问题。

[0005] 特别是，对于一些能够较为准确区分无线信号调至类型的黑箱模型而言，虽然内部结构的不可见已经大大增加了攻击的困难性，但是目前已经存在了多种攻击方法对黑盒展现出强大的攻击能力。因此，提高黑箱模型对黑盒攻击的防御能力就及其重要。同时，相较于一些其他类别的黑盒攻击方法，一种只需要较少的模型信息，也能对黑盒具有强大的攻击性，基于决策的黑盒攻击，例如边界摸索攻击，更容易对现实世界的机器学习算法产生干扰的，造成信号调制类型出错，影响正常生活秩序。因此，提高黑箱模型对此类黑盒攻击的防御能力显得更为迫切。

[0006] 综上所述，如何对信号边界摸索攻击完成再现，得到效果较好的对抗信号，并利用对抗信号加入模型再训练，以提高模型的鲁棒性，在提升LSTM黑盒模型防御能力方面上有着极其重要的理论与实践意义。

发明内容

[0007] 为了提高LSTM黑盒模型对信号边界摸索攻击及其同类攻击的防御能力，本发明提供了一种基于信号边界摸索攻击的防御方法，该方法利用对抗信号训练的方法提高LSTM黑盒模型对无线信号对抗信号的识别效果，从而提高对对抗信号的防御效果。

[0008] 本发明解决其技术问题所采用的技术方案为：

[0009] 一种基于信号边界摸索攻击的防御方法，包括以下步骤：

[0010] S101，筛选待攻击信号A，并对该待攻击信号进行初始化添加扰动，以得到对抗信号A'；

[0011] S102，根据待攻击信号A和对抗信号A'的置信度变化，判断待攻击信号A的周边的决策边界分布状况；

[0012] S103，根据待攻击信号A的周边的决策边界分布状况，对对抗信号A'进行扰动修饰，使得对抗信号A'接近预期的边界；

[0013] S104，在S103的基础上，随机产生偏离扰动，使得对抗信号A'进行摸索边界；

[0014] S105，在S104的基础上，优化扰动，以使对抗信号A'不偏离预期轨迹；

[0015] S106，重复S104和S105，直到达到迭代上限或得到较好的对抗信号A'；

[0016] S107，对对抗信号进行筛选获得优质的对抗信号，将筛选后的对抗信号加入到训练集中，然后利用训练样本集对信号分类模型进行训练，以获得能够防御对抗攻击的信号分类模型；

[0017] S108，利用信号分类模型对待分类信号进行分类，以实现对攻击的防御。

[0018] 本发明的有益效果主要表现在：利用较少的模型反馈信息，对信号样本边界实现对抗性摸索，产生大量全面的对抗性样本。在检测信号输入到黑盒的信号分类器模型前，用信号边界摸索攻击得到的对抗样本训练检测器，从而达到在不知道且不改动黑盒模型内部结构的基础上，实现对已知攻击和部分未知攻击进行防御。由于信号边界摸索攻击，利用到的模型信息极少，比较符合真实世界的机器学习模型，同时又能够达到一定的攻击效果，所以用信号边界摸索攻击产生的对抗样本加入模型训练，能够较好地实现对现有攻击进行防御，还能实现对信号边界摸索及其此类黑盒攻击和部分未知黑盒攻击进行防御。附图说明

[0019] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。

[0020] 图1是本发明提供的获得最佳对抗信号的流程示意图；

[0021] 图2是信号分类器对对抗性攻击进行防御的过程示意图；

[0022] 图3(a)～图3(f)是训练LSTM模型数据集中各种类型的星座图。

[0023] 图4(a)是攻击后得到的对抗信号的星座图，图4(b)是攻击前的真实星座图。

具体实施方式

[0024] 为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

[0025] 在实际应用中，往往都需要对幅度调制(调幅ASK)、频率调制(调频FSK)和相位调制(调相PSK)等无线信号的调制类型进行分类，但是在分类的过程中，往往会受到攻击，致使分类错误。为了防御对无线信号的攻击破坏，本实施例提供了一种基于信号边界摸索攻击的防御方法。该防御方法包括两个阶段，分别为对抗信号生成阶段，应用防御阶段，下面针对每阶段进行说明。

[0026] 对抗信号生成阶段

[0027] 基于背景技术可知，能够对待攻击样本进行攻击的扰动往往都是很细微的，具有很高的隐藏性，不容易被察觉分辨，因为了有针对性地对这些扰动进行有效防御，必需要很清楚这些扰动的特性，为此，防御的首要阶段就是研究对抗信号。

[0028] 对抗信号生成阶段的目的就是要获得最优对抗信号，如图1所示，具体包括以下步骤：

[0029] S101，筛选待攻击信号A，并对该待攻击信号进行初始化添加扰动，以得到对抗信号A'。

[0030] 具体地，在待攻击信号A上添加随机方向上的极大扰动，完成对待攻击信号A的初始工作，得到对抗信号A'。对待攻击信号A上添加极大扰动是为了寻找决策边界，这是在缺少超参数调整攻击方向时，利用逼近思想，对待攻击信号A做出的初始化判断。

[0031] 极大扰动是指某一指定方向上能够使信号完成类标翻转的扰动，并保证扰动不会使得信号超出阈值。

[0032] S102，根据待攻击信号A和对抗信号A'的置信度变化，判断待攻击信号A的周边的决策边界分布状况。

[0033] 具体地，将待攻击信号A和对抗信号A'输入至信号分类模型中，计算并输出待攻击信号A和对抗信号A'的置信度，根据两个置信度的变化情况，分析判断该待攻击信号A周边的决策边界分布状况。

[0034] 决策边界是模拟模型内部区分A与非A信号的一个模糊标准，可能随着模型参数改变而改变。所以，本发明利用极大扰动，和攻击信号A和对抗信号A'的置信度变化，最少能够估计判断出攻击信号A与目标信号之间在添加扰动方向上的决策边界，即两类标下的置信度持平的位置。

[0035] S103，根据待攻击信号A的周边的决策边界分布状况，对对抗信号A'进行扰动修饰，使得对抗信号A'接近预期的边界。

[0036] 信号边界摸索攻击是在仅有少部分的信号分类模型反馈信息的支持下，完成对抗信号的生成。要达到媲美一般黑盒攻击的效果，在不利用现有边界分布状况，优化扰动，减少对抗信号损失特性，是比较困难的，所以需要对抗信号A'进行扰动修饰，使得对抗信号A'向预期的边界迈进。

[0037] 由于极大扰动，只是为了估计决策边界添加上信号的，可能存在扰动过大导致过于远离决策边界，难以攻击，所以这里对扰动进行一个反方向的修饰，在减少扰动的同时，做出摸索边界的雏形，就相当于利用对抗信号点在指定方向画圆，修饰。

[0038] 本实施例中，根据待攻击信号A的周边的决策边界分布状况，优化完善对抗信号A'的扰动特性，具体过程为：

[0039] 观察对抗信号A'的置信度，先确定一个预估值，为对抗信号A'置信度距离0.55的偏差值乘以极大扰动；其次，将对抗信号A'在极大扰动的相反方向添加预估值，并做极小方向的偏移。

[0040] S104，在S103的基础上，随机产生偏离扰动，使得对抗信号A'进行摸索边界。

[0041] S104的具体过程包括：

[0042] S1041，利用公式(1)求出待攻击信号A与对抗信号A'之间的差量评估值diff：

[0043] diffi＝||A'i-Ai||2 (1)

[0044] 其中，为了更好地表示对抗信号A'与待攻击信号A之间的差量关系，以及为了得到更加具体的扰动优化方向，使得对信号A的边界摸索更加成功，这里将待攻击信号A与A'各个维度上的欧几里得距离||A'i-Ai||2当作信号A与待优化的对抗信号A'之间差量评估值。

[0045] S1042，产生随机扰动perturb，同时利用公式(1)估计perturb的差量，记作dp，并通过公式(2)对随机扰动perturb的扰动方向进行优化：

[0046] perturb＝[perturb*delta*mean(diff)/dp]·[|A'-A|/diff] (2)[0047] 其中，perturb是一开始随机生成的扰动，但是由于添加扰动的目的是为了使对抗信号A'能够在已经分析得来的边界分布上进行摸索，所以必须适当调整，扰动会对信号产生的方向偏移的效果，不仅要保证对抗信号A'始终保持对抗性，即信号分类模型对对抗信号A'的分类永远停留在一开始的错误类标上，而且还要努力避免对抗信号A'向没有任何效益的方向前进，防止迭代过程出现不必要的时间以及资源的浪费。

[0048] 另外，delta是会随着迭代次数不断更新的辅助参数，用来调整对抗信号A'在预定方向上的前进步伐，同样，mean(diff)是对攻击信号A与待优化对抗信号A'之间的差量评估值，用来放大和缩小(调整)信号A'，保证信号A'尽可能不远离边界，mean()表示对diff求算数平均值。dp是用来对信号A'做范围限制的，只不过它不以信号差量为条件，而是根据对实验的预估调整，属于调参。公式后半部分，|A'-A|/diff是通过每个维度的距离偏差，调整待攻击信号A与待优化的对抗信号A'之间的像素差，最后利用点乘的方法，较为简单地保证perturb大部分信号点能够朝着更具对抗性的方向前进。

[0049] S1043利用公式(3)～(6)调整随机扰动perturb的大小，并限定随机扰动perturb在合适范围内。

[0050] overflow＝perturb+A'-max (3)

[0051] perturb＝perturb-overflow*(overflow＞0) (4)

[0052] underflow＝-1*min-perturb-A' (5)

[0053] perturb＝perturb+underflow*(underflow＞0) (6)

[0054] 其中，max,min分别表示对抗信号中信号点的上限值和下限值，用来防止扰动溢出；overflow和underflow分别表示信号在添加扰动后，溢出上限与下限的值。

[0055] 本实施例中，随机扰动perturb合适范围要求有两点，第一不对攻击效果产生破坏性干扰，就比如一张人脸加上一团黑，就跟不用攻击也不会有效果了，第二不能使扰动添加后的信号超出它本身信号的阈值。

[0056] S1044，将优化完成的扰动perturb，添加到对抗信号A'中，并输入信号分类模型获得分类结果，如果分类结果与刚完成初始化的对抗信号A'一致，同样是错误的分类结果，执行S105；如果分类结果不一致，那么可能对抗信号A'在添加扰动时，摸索到了错误的边界，则需要调整辅助参数delta和辅助参数dp，重复S1041～S1044。

[0057] S105，在S104的基础上，优化扰动，以使对抗信号A'不偏离预期轨迹。

[0058] S105的具体过程为：

[0059] S1051，在S104的基础上，利用公式(1)求出待攻击信号A与对抗信号A'之间的差量评估值，记作diff；

[0060] S1052，在S1051的基础上，利用公式(7)生成弥补扰动rep，并将添加弥补扰动rep到对抗信号A'中，在保持完整对抗性的同时，减小对抗信号A'的损失。

[0061] rep＝(A'-A)*epsilon/diff (7)

[0062] 其中，epsilon表示步长，是训练开始前人为预设的一个参数，用来调节弥补的大小，信号边界摸索攻击就是要在信号边界的上，不断力求在保持对抗的同时减少干扰。

[0063] S1053，将对抗信号A'并输入信号分类模型获得分类结果，如果分类结果与初始化的对抗信号A'一致，同样是错误的分类结果，则执行S106。如果分类结果不一致，那么可能对抗信号A'在添加扰动时，摸索到了错误的边界，则需要调整参数epsilon，重复S1051～S1053。

[0064] 从模型角度考虑，S104完成模型的垂直移动，而S105完成模型的水平移动，而两边都需要保证移动方向，大小，因为是需要带角度的水平与垂直

[0065] S106，重复S104和S105，直到达到迭代上限或得到较好的对抗信号A'。

[0066] 利用以上过程获得的对抗信号为信号分类模型提供了大量的训练样本，该训练样本能够提高信号分类模型的检测精度。

[0067] 图4(b)是攻击前的真实星座图，图4(a)是利用上述对抗样本生成阶段攻击后得到的对抗信号的星座图。

[0068] 应用防御阶段

[0069] 如图2所示，首先，在完成对抗信号生成后，通过观察对抗信号的置信度，类标，以及添加扰动大小，添加扰动可见程度，调整参数delta，epsilon的初始值，生成大量的对抗性全面的不同类型信号的对抗信号，按照同样标准，对对抗信号进行筛选获得优质的对抗信号。

[0070] 因为一般对模型威胁较大的对抗信号，属于带不可见扰动的高对抗性样本，所以在挑选对抗信号加入模型对抗训练时，应该用同样的标准：高对抗性，不可见扰动来挑选对抗样本。

[0071] 然后，通过将筛选后的对抗信号加入到训练集中构建新训练集，图3(a)～图3(f)是训练LSTM模型数据集中各种类型的星座图，利用新训练对图像分类模型进行训练，以实现对现有攻击进行防御的基础上，还能实现对信号边界摸索及其此类黑盒攻击和部分未知黑盒攻击进行防御的效果。

[0072] 以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的最优选实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。

标题	发布/更新时间	阅读量
一种图像显著区域检测方法	2020-10-30	0
运动目标跟踪方法和装置	2021-05-20	2
改善发电设备故障检测的方法和装置	2023-06-21	0
用于MIMO-SCMA系统的低复杂度高译码性能的方法	2020-05-08	2
情感增强型化身动画化	2021-01-09	0
一种汽车轮胎状态诊断系统及其方法	2021-08-05	0
一种针对盲人辅助阅读的文本检测与识别方法	2020-07-02	1
一种基于深度学习的船舶识别系统及其识别方法	2020-08-02	2
SPEECH ENHANCEMENT	2023-06-27	0
DATA ANALYTICS SYSTEM	2021-05-21	0

一种基于信号边界摸索攻击的防御方法

一种基于信号边界摸索攻击的防御方法

技术领域

背景技术

发明内容

具体实施方式

该功能需要专业版企业版VIP权限，您可以：