通信信号智能调制识别对抗攻击研究

张正豪，陈家军，黄知涛，王 翔，柯 达

（1.国防科技大学电子科学学院电子信息系统复杂电磁环境效应国家重点实验室，湖南 长沙410073；2.国防科技大学电子对抗学院，安徽 合肥 230000； 3.中国人民解放军73676 部队，江苏 江阴 214400）

0 引言

传统的调制识别算法主要包括基于决策理论的最大似然假设检验方法和基于特征提取的模式识别方法［1］，但是传统方法过度依赖专家知识和先验信息，因此难以适应日趋复杂的电磁环境和信号体制。为了解决这一问题，近些年众多学者将深度学习技术引入了调制识别任务。O’ Shea 等人［2］将数据的IQ两路信号输入卷积神经网络中，成功实现了11 类信号的调制识别；West 等人［3］研究了神经网络各组成部分对调制识别性能的影响，对卷积神经网络（CNN）和卷积长短时深度神经网络（CLDNN）在公开数据集RML2016.10a 上的分类性能进行比较，提出卷积神经网络性能并没有随着网络深度和复杂度的增加而提升。

基于深度学习技术的智能模型极易受到对抗样本的攻击［4］，因此将其应用于调制识别领域时不得不考虑安全性问题。此外，研究通信信号对抗样本的特性对于建立鲁棒性更强的智能调制识别模型也具有一定的指导意义。由此可见，通信信号调制波形对抗攻击的研究在智能通信系统的攻防两端都具有深远的研究意义和广阔的应用前景。

1 基于深度学习的调制识别算法

基于深度学习技术的调制识别算法克服了传统调制识别算法的部分局限，使得调制识别效率大大提升。为了进一步优化识别性能以及提取更深层次的特征，深度学习网络的层数也随之加深，但是网络过深反而导致识别性能退化。为了克服这一问题，本节的主要工作是将残差网络结构与深度卷积网络相结合，经过多轮训练得到一个分类性能良好的智能模型，实现对通信信号调制方式的识别。

1.1 信号模型

在调制识别问题中，接收到的基带信号可以表示为：

式中，x(t)表示接收到的基带信号，包含s(t；uk)和噪声n(t)两部分，由于调制识别任务一般是在非合作条件下进行的，所以用uk表示信号中的所有未知参数。当输入信号是接收信号的复基带时间序列时，调制识别任务可以看作是一个N分类决策问题。接收机采样得到初始信号的2×N的复值的向量，其中同相分量I表示为：

正交分量Q表示为：

由于接收信号中未知参数太多，传统的基于决策理论和模式识别的方法进行识别时会有一定的局限性，因此需要采用深度学习的调制识别方法。

1.2 基于残差网络的调制识别算法流程设计

随着深度学习技术不断发展进步，深度神经网络的层数也随之加深，但是盲目地增加网络深度会导致神经网络的梯度消失。该现象具体表现为：更深的网络识别效果反而不如浅层网络识别效果好，也就是说该网络的识别能力发生了退化。文献［5］提出一种残差的思想，有效解决了这个问题，并将这种思想和卷积神经网络结合起来形成了一种新的网络结构，即残差网络（ResNet）。

如图1 所示，ResNet 在常规的网络结构设计的基础上，加入了一种跳跃连接结构，将输入x经过2 层权重层后的输出F（x）与输入x相加作为激活函数层的输入。这样可以保证神经网络提取到的特征不产生退化，最差的情况也可以和当前效果持平。将这种结构应用于基于深度学习的调制识别模型中，有利于解决智能调制识别模型梯度消失的问题。

图1 ResNet 的残差结构示意图

本文针对如下流程的深度学习的调制识别算法开展对抗样本攻击方法研究。如图2 所示，首先对原始数据进行预处理，主要包括IQ数据转换和归一化，以便于神经网络对原始数据进行特征提取；然后将处理好的数据集划分为训练和测试2 部分，将训练数据投放到一个初始化的神经网络中，通过不断训练使得损失函数的值不断下降，最终得到一个训练好的调制识别网络；最后将测试集的数据输入训练好的识别网络中进行测试，输出识别结果。

图2 基于残差神经网络的调制识别算法流程设计

为了获取信号的深度特征，本文结合残差结构和卷积神经网络设计了调制识别网络，具体网络结构参数如表1 所示。

表1 本文采用的调制识别网络结构参数表

2 基于调制波形的对抗样本攻击算法

随着深度学习技术的发展，深度学习应用于通信信号的调制识别也变得日益广泛，但是对抗样本特性的存在会导致基于深度学习的调制识别模型安全性受到威胁，研究对抗样本生成技术对智能调制识别模型的攻防两端都具有重要的借鉴意义，本节将介绍对抗样本相关概念以及对抗样本生成技术。

2.1 对抗样本相关研究

2013 年，Szegedy［4］等人发现了一个有趣的现象：在训练好的神经网络模型中加入一个设计好的特定的微小扰动，就会让原本分类性能良好的模型以高置信度输出一个完全错误的分类结果，他们将加入了这种特定微小扰动的样本称为对抗样本。

对抗样本可以用如下公式描述：

式中，f(·)表示神经网络模型，x表示输入数据，y表示输入数据对应的标签，η表示设计好的微小扰动，σ表示一个很小的数，用于约束扰动的大小。由公式（4）可见对抗样本的目标是在对输入数据中加入微小扰动后使神经网络分类器产生错判，将输入数据的预测类别干扰为一个不是其对应标签的类别，从而达到攻击的效果。

Goodfellow［6］等人解释了对抗样本的存在是由神经网络的高维线性特性所导致的。假设神经网络的权重参数为ω，输入为x，扰动为η，将足够小的扰动η添加到输入x中，经过神经网络后的输出为：

据此，Goodfellow 等人提出了一种快速梯度符号法（FGSM），扰动的生成公式如下：

式中，η为扰动，J(θ，x，y)为损失函数，ε为控制添加扰动大小的系数。这一算法进一步揭示了对抗样本的成因，在此算法基础上加以改进，各种攻击算法层出不穷。目前对抗样本攻击算法按照攻击目的可以分为定向攻击和非定向攻击，按照所要攻击的模型参数是否已知可分为白盒攻击和黑盒攻击，而FGSM 就是一种典型的非定向白盒攻击算法。

2.2 一种基于快速梯度符号法的定向扰动生成算法

在通信信号调制识别领域，柯达［7］等人提出了一种基于深度学习调制识别模型的最小对抗扰动生成方法，在干信比为-20 dB 的条件下实现对智能调制识别模型的攻击，该方法为非定向白盒攻击，也就是在被攻击模型参数已知的前提下，生成最小对抗扰动，使得分类器的输出产生随机错判。但是在一些特定的实际应用场景中，需要攻击神经网络分类器模型并使其输出想要的结果，这种定向的攻击方式具备广泛的研究前景。基于此本文提出一种基于深度学习调制识别模型的通信信号定向攻击扰动生成算法，具体流程如下：

输入：原始信号数据x，深度学习神经网络分类器f

输出：定向扰动η

基于快速梯度符号法的非定向对抗扰动生成算法的原理在于，通过计算神经网络的梯度值，找到能够使得损失函数上升的最大方向，通过在这个方向上添加扰动使得数据输入模型后的预测类别与真实标签之间的差异越来越大。而定向扰动的核心思路就是在这个方向上添加一个设计好的扰动，使得数据输入模型后的预测类别与想要定向攻击成为的类别yLL之间的差异越来越小，该算法具体流程如下：

1）将训练集数据送入神经网络训练；

2） 将损失函数中的标签设置为所要攻击的类别的标签，并通过损失函数回传计算梯度；

3）设置对抗扰动系数ε的大小，与符号化后的梯度值相乘得到定向扰动；

4）将原始数据与定向扰动相减得到定向扰动后的对抗样本；

5）将对抗样本送入已经训练好的调制识别模型进行测试。

3 仿真验证及性能分析

本节首先基于深度学习的调制识别算法训练了分类性能良好的调制识别模型，再基于定向与非定向对抗扰动生成方法开展攻击实验，最后对基于深度学习的调制识别网络的定向攻击与非定向攻击算法做了性能分析。

3.1 基于深度学习的调制识别模型训练

本文基于某常用软件平台生成11 类常规通信信号的IQ两路数据，单个信号样本长度为8 192 点，单个样本维度是［2，8 192］，数据集详细参数设置如表2所示。

表2 本文使用的通信信号参数设置表

将训练集数据送入神经网络中进行训练并保存训练好的模型参数，结果如图3 所示。

图3 训练集损失函数收敛曲线

由图3 可以看出，训练集损失不断下降，引入早停策略来防止模型过拟合，该策略的原则是当验证集损失函数在连续20 个epoch 内不再上升时，保存验证集的损失函数最低处的模型作为最优模型。如图3 所示，在第13 到第33 个epoch，验证集损失函数不再下降，保留第13 个epoch 时的模型作为最终的识别模型。

3.2 基于深度学习调制识别网络的非定向攻击实验

选取对抗扰动系数ε=0.05 生成对抗样本后输入训练好的通信信号调制识别模型中进行测试，结果如图4 所示。

图4 混淆矩阵

由图4 中的混淆矩阵可以看出，未被攻击之前，该模型分类性能良好，但是在对抗样本的攻击下，该模型的识别效果出现了比较严重的错误，除4FSK、BPSK 和DSB 以外大部分信号均不能被正确识别。

对基于深度学习的调制识别模型输出的特征矢量进行t-sne 降维，结果如图5 —6 所示。

图5 对抗样本攻击前11 类信号调制识别模型输出结果的t-sne 降维图

从图5 和图6 中t-sne 降维结果可见，未经对抗样本攻击之前，各类信号呈现多点聚集，类内距明显小于类间距离，具有良好的可分性；经过对抗样本攻击之后，神经网络模型输出结果变得十分混淆，各类信号不再呈现多点聚集的情况，不再具备良好的可分性。

图6 对抗样本攻击后11 类信号调制识别模型输出结果的t-sne 降维图

3.3 基于深度学习调制识别网络的非定向攻击实验

对前文提到的11 类信号分别进行定向攻击后，测试该模型定向攻击效果，结果如图7 所示。

图7 常规通信信号定向攻击效果随攻击强度变化曲线

由于定向攻击的目标是将任意样本攻击为指定的类别输出，所以基于深度学习的调制模型识别准确率曲线并不能很好刻画定向攻击的效果，为此引入定向攻击成功率的概念，用于衡量智能模型把待识别信号归类为某一定向类别的比率。图7 中横坐标代表攻击强度，纵坐标代表攻击成功率，攻击成功率越高，代表定向攻击效果越好。可以看出，随着攻击强度的不断增加，各类信号定向攻击效果也在逐渐提升。此外，BPSK、4FSK 和DSB 这3 类信号比较难被攻击，当攻击强度达到0.1 时，扰动和原始信号功率比约为-21 dB，此时定向攻击成功率也不足50%。8PSK 信号最容易被定向攻击，当攻击强度达到0.1 时，定向攻击成功率已经达到了85%以上。

选取不同攻击强度对基于深度学习的调制识别模型进行定向和非定向攻击，该模型识别准确率如图8 所示。

图8 不同强度下定向攻击与非定向攻击模型识别准确率变化曲线

从图8 可以看出，随着攻击强度不断增加，无论是定向攻击还是非定向攻击，都使得基于深度学习的调制识别模型识别准确率不断下降。此外，非定向攻击条件下模型识别准确率的下降速度要略快于定向攻击模型识别准确率的下降速度，这意味着在调制识别任务中，在相同的攻击强度下，非定向攻击的效果要略优于定向攻击的效果。但是，随着攻击强度的提高，两者的攻击效果几乎没有差距，在强度为0.1 的条件下，扰动和原始信号的功率比也仅仅只有-21 dB。此外，定向攻击的独特优势在于可以将任意信号攻击为指定的类别，在特定场景下有十分重要的应用价值。

4 结束语

本文对基于深度学习的调制识别模型及其对抗样本攻击方法展开研究，提出一种基于快速梯度符号法的定向扰动生成算法，该算法实现了对基于深度学习的调制识别模型的定向攻击，在较低的干信比条件下，可以快速生成扰动，实现定向攻击。通过11 类常见通信信号的定向攻击与非定向攻击实验，为基于深度学习的调制识别模型的攻防两端提供了实验依据和参考。