基于信号边界摸索攻击的防御方法.pdf

《基于信号边界摸索攻击的防御方法.pdf》由会员分享，可在线阅读，更多相关《基于信号边界摸索攻击的防御方法.pdf（11页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910894072.8 (22)申请日 2019.09.20 (71)申请人 浙江工业大学 地址 310014 浙江省杭州市下城区潮王路 18号 (72)发明人 陈晋音朱伟鹏成凯回郑海斌 (74)专利代理机构 杭州天勤知识产权代理有限 公司 33224 代理人 曹兆霞 (51)Int.Cl. H04L 29/06(2006.01) G06K 9/00(2006.01) (54)发明名称 一种基于信号边界摸索攻击的防御方法 (57)摘要 本发明公开了一种基于信号边界摸索攻击 。

2、的防御方法， 包括： S101， 筛选待攻击信号A， 并进 行初始化添加扰动， 得到对抗信号A； S102， 根据 待攻击信号A和对抗信号A的置信度变化， 判断 待攻击信号A的周边的决策边界分布状况； S103， 根据待攻击信号A的周边的决策边界分布状况， 对对抗信号A进行扰动修饰； S104， 随机产生偏 离扰动， 使得对抗信号A进行摸索边界； S105， 优 化扰动， 以使对抗信号A不偏离预期轨迹； S106， 直到达到迭代上限或得到较好的对抗信号A； S107， 筛选对抗信号添加到训练集中， 对信号分 类模型进行训练； S108， 利用训练好的信号分类 模型对待分类信号进行分类， 以实现。

3、对攻击的防 御。 权利要求书2页 说明书5页 附图3页 CN 110768959 A 2020.02.07 CN 110768959 A 1.一种基于信号边界摸索攻击的防御方法， 包括以下步骤： S101， 筛选待攻击信号A， 并对该待攻击信号进行初始化添加扰动， 以得到对抗信号A； S102， 根据待攻击信号A和对抗信号A的置信度变化， 判断待攻击信号A的周边的决策 边界分布状况； S103， 根据待攻击信号A的周边的决策边界分布状况， 对对抗信号A进行扰动修饰， 使 得对抗信号A接近预期的边界； S104， 在S103的基础上， 随机产生偏离扰动， 使得对抗信号A进行摸索边界； S105，。

4、 在S104的基础上， 优化扰动， 以使对抗信号A不偏离预期轨迹； S106， 重复S104和S105， 直到达到迭代上限或得到较好的对抗信号A； S107， 对对抗信号进行筛选获得优质的对抗信号， 将筛选后的对抗信号加入到训练集 中， 然后利用训练样本集对信号分类模型进行训练， 以获得能够防御对抗攻击的信号分类 模型； S108， 利用信号分类模型对待分类信号进行分类， 以实现对攻击的防御。 2.如权利要求1所述的基于信号边界摸索攻击的防御方法， 其特征在于， S102中， 将待 攻击信号A和对抗信号A输入至信号分类模型中， 计算并输出待攻击信号A和对抗信号A的 置信度， 根据两个置信度的变。

5、化情况， 分析判断该待攻击信号A周边的决策边界分布状况。 3.如权利要求1所述的基于信号边界摸索攻击的防御方法， 其特征在于， S103中， 根据 待攻击信号A的周边的决策边界分布状况， 优化完善对抗信号A的扰动特性， 具体过程为： 观察对抗信号A的置信度， 先确定一个预估值， 为对抗信号A置信度距离0.55的偏差 值乘以极大扰动； 其次， 将对抗信号A在极大扰动的相反方向添加预估值， 并做极小方向的 偏移。 4.如权利要求1所述的基于信号边界摸索攻击的防御方法， 其特征在于， S104的具体过 程包括： S1041， 利用公式(1)求出待攻击信号A与对抗信号A之间的差量评估值diff： di。

6、ffi|Ai-Ai|2(1) 其中， |Ai-Ai|2为待攻击信号A与A各个维度上的欧几里得距离； S1042， 产生随机扰动perturb， 同时利用公式(1)估计perturb的差量， 记作dp， 并通过 公式(2)对随机扰动perturb的扰动方向进行优化： perturbperturb*delta*mean(diff)/dp|A-A|/diff(2) 其中， delta是会随着迭代次数不断更新的辅助参数， 用来调整对抗信号A在预定方向 上的前进步伐， 同样， mean(diff)是对攻击信号A与待优化对抗信号A之间的差量评估值， mean()表示对diff求算数平均值。 dp是用来对信。

7、号A做范围限制的， 只不过它不以信号差 量为条件， 而是根据对实验的预估调整， 属于调参， |A-A|/diff是通过每个维度的距离偏 差， 调整待攻击信号A与待优化的对抗信号A之间的像素差； S1043利用公式(3)(6)调整随机扰动perturb的大小， 并限定随机扰动perturb在合 适范围内； overflowperturb+A-max(3) perturbperturb-overflow*(overflow0)(4) underflow-1*min-perturb-A(5) 权利要求书 1/2 页 2 CN 110768959 A 2 perturbperturb+underflo。

8、w*(underflow0)(6) 其中， max,min分别表示对抗信号中信号点的上限值和下限值， 用来防止扰动溢出； overflow和underflow分别表示信号在添加扰动后， 溢出上限与下限的值； S1044， 将优化完成的扰动perturb， 添加到对抗信号A中， 并输入信号分类模型获得分 类结果， 如果分类结果与刚完成初始化的对抗信号A一致， 同样是错误的分类结果， 执行 S105； 如果分类结果不一致， 那么可能对抗信号A在添加扰动时， 摸索到了错误的边界， 则 需要调整辅助参数delta和辅助参数dp， 重复S1041S1044。 5.如权利要求4所述的基于信号边界摸索攻击的。

9、防御方法， 其特征在于， S105的具体过 程为： S1051， 在S104的基础上， 利用公式(1)求出待攻击信号A与对抗信号A之间的差量评估 值， 记作diff； S1052， 在S1051的基础上， 利用公式(7)生成弥补扰动rep， 并将添加弥补扰动rep到对 抗信号A中， 在保持完整对抗性的同时， 减小对抗信号A的损失； rep(A-A)*epsilon/diff(7) 其中， epsilon表示步长， 是训练开始前人为预设的一个参数， 用来调节弥补的大小； S1053， 将对抗信号A并输入信号分类模型获得分类结果， 如果分类结果与初始化的对 抗信号A一致， 同样是错误的分类结果， 。

10、则执行S106； 如果分类结果不一致， 那么可能对抗 信号A在添加扰动时， 摸索到了错误的边界， 则需要调整参数epsilon， 重复S1051S1053。 6.如权利要求4所述的基于信号边界摸索攻击的防御方法， 其特征在于， 步骤107中， 通 过观察对抗信号的置信度， 类标， 以及添加扰动大小， 添加扰动可见程度， 调整参数delta， epsilon的初始值， 生成大量的对抗性全面的不同类型信号的对抗信号， 按照同样标准， 对 对抗信号进行筛选获得优质的对抗信号。 权利要求书 2/2 页 3 CN 110768959 A 3 一种基于信号边界摸索攻击的防御方法 技术领域 0001 本发明。

11、属于人工智能领域的深度学习算法与数据的安全领域研究领域， 具体涉及 一种基于信号边界摸索攻击的防御方法。 背景技术 0002 深度学习能够通过学习和计算大量数据的潜在联系， 获得比一般算法更准确的分 类结果， 具有强大的特征学习能力和特征表达能力。 深度学习的核心是利用参数庞大的神 经网络进行特征抽取， 典型的神经网络有卷积神经网络(CNN)和循环神经网络(RNN)。 0003 过去几年中深度学习技术， 除了在计算机视觉和自然语言处理领域取得了极大的 成功， 也广泛地应用于其他领域中， 包括了使用卷积神经网络实现了信号的解码， 完成无线 通信系统的设计； 将深度学习技术应用于无线资源的分配处理。

12、任务当中； 使用深度学习技 术实现了无线电信号的调制类型分类任务。 当然， 深度学习技术也引入了无线电数据处理 领域。 利用深度学习所具有的强大的特征学习能力和特征表达能力， 对大量无线信号进行 调制类型， 或者编码种类的识别、 分类。 0004 虽然深度学习技术在各个领域中均取得了良好的效果， 但已有研究表明深度神经 网络非常容易对某些细微的扰动出现错误的判断， 难以抵抗一些对抗样本的攻击。 这些细 小的扰动对于人类来说是几乎无法察觉的， 但却可以使得深度模型分类错误， 甚至对错误 的分类结果表现出很高的置信度。 这使得深度学习模型的安全性和鲁棒性成为了研究人员 所关注的热点。 尤其是在开放。

13、的无线电信号领域中， 对手可以较为轻易的通过发射器在传 输信号中添加设计好的扰动， 使得原始信号数据变得极具对抗性。 这种现象的存在很容易 造成信号传输的安全保密问题。 0005 特别是， 对于一些能够较为准确区分无线信号调至类型的黑箱模型而言， 虽然内 部结构的不可见已经大大增加了攻击的困难性， 但是目前已经存在了多种攻击方法对黑盒 展现出强大的攻击能力。 因此， 提高黑箱模型对黑盒攻击的防御能力就及其重要。 同时， 相 较于一些其他类别的黑盒攻击方法， 一种只需要较少的模型信息， 也能对黑盒具有强大的 攻击性， 基于决策的黑盒攻击， 例如边界摸索攻击， 更容易对现实世界的机器学习算法产生 。

14、干扰的， 造成信号调制类型出错， 影响正常生活秩序。 因此， 提高黑箱模型对此类黑盒攻击 的防御能力显得更为迫切。 0006 综上所述， 如何对信号边界摸索攻击完成再现， 得到效果较好的对抗信号， 并利用 对抗信号加入模型再训练， 以提高模型的鲁棒性， 在提升LSTM黑盒模型防御能力方面上有 着极其重要的理论与实践意义。 发明内容 0007 为了提高LSTM黑盒模型对信号边界摸索攻击及其同类攻击的防御能力， 本发明提 供了一种基于信号边界摸索攻击的防御方法， 该方法利用对抗信号训练的方法提高LSTM黑 盒模型对无线信号对抗信号的识别效果， 从而提高对对抗信号的防御效果。 说明书 1/5 页 4。

15、 CN 110768959 A 4 0008 本发明解决其技术问题所采用的技术方案为： 0009 一种基于信号边界摸索攻击的防御方法， 包括以下步骤： 0010 S101， 筛选待攻击信号A， 并对该待攻击信号进行初始化添加扰动， 以得到对抗信 号A； 0011 S102， 根据待攻击信号A和对抗信号A的置信度变化， 判断待攻击信号A的周边的 决策边界分布状况； 0012 S103， 根据待攻击信号A的周边的决策边界分布状况， 对对抗信号A进行扰动修 饰， 使得对抗信号A接近预期的边界； 0013 S104， 在S103的基础上， 随机产生偏离扰动， 使得对抗信号A进行摸索边界； 0014 S。

16、105， 在S104的基础上， 优化扰动， 以使对抗信号A不偏离预期轨迹； 0015 S106， 重复S104和S105， 直到达到迭代上限或得到较好的对抗信号A； 0016 S107， 对对抗信号进行筛选获得优质的对抗信号， 将筛选后的对抗信号加入到训 练集中， 然后利用训练样本集对信号分类模型进行训练， 以获得能够防御对抗攻击的信号 分类模型； 0017 S108， 利用信号分类模型对待分类信号进行分类， 以实现对攻击的防御。 0018 本发明的有益效果主要表现在： 利用较少的模型反馈信息， 对信号样本边界实现 对抗性摸索， 产生大量全面的对抗性样本。 在检测信号输入到黑盒的信号分类器模型。

17、前， 用 信号边界摸索攻击得到的对抗样本训练检测器， 从而达到在不知道且不改动黑盒模型内部 结构的基础上， 实现对已知攻击和部分未知攻击进行防御。 由于信号边界摸索攻击， 利用到 的模型信息极少， 比较符合真实世界的机器学习模型， 同时又能够达到一定的攻击效果， 所 以用信号边界摸索攻击产生的对抗样本加入模型训练， 能够较好地实现对现有攻击进行防 御， 还能实现对信号边界摸索及其此类黑盒攻击和部分未知黑盒攻击进行防御。 附图说明 0019 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实施例或现 有技术描述中所需要使用的附图做简单地介绍， 显而易见地， 下面描述中的附图仅仅是本。

18、 发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动前提下， 还可以根 据这些附图获得其他附图。 0020 图1是本发明提供的获得最佳对抗信号的流程示意图； 0021 图2是信号分类器对对抗性攻击进行防御的过程示意图； 0022 图3(a)图3(f)是训练LSTM模型数据集中各种类型的星座图。 0023 图4(a)是攻击后得到的对抗信号的星座图， 图4(b)是攻击前的真实星座图。 具体实施方式 0024 为使本发明的目的、 技术方案及优点更加清楚明白， 以下结合附图及实施例对本 发明进行进一步的详细说明。 应当理解， 此处所描述的具体实施方式仅仅用以解释本发明， 并不限定本发。

19、明的保护范围。 0025 在实际应用中， 往往都需要对幅度调制(调幅ASK)、 频率调制(调频FSK)和相位调 制(调相PSK)等无线信号的调制类型进行分类， 但是在分类的过程中， 往往会受到攻击， 致 说明书 2/5 页 5 CN 110768959 A 5 使分类错误。 为了防御对无线信号的攻击破坏， 本实施例提供了一种基于信号边界摸索攻 击的防御方法。 该防御方法包括两个阶段， 分别为对抗信号生成阶段， 应用防御阶段， 下面 针对每阶段进行说明。 0026 对抗信号生成阶段 0027 基于背景技术可知， 能够对待攻击样本进行攻击的扰动往往都是很细微的， 具有 很高的隐藏性， 不容易被察觉。

20、分辨， 因为了有针对性地对这些扰动进行有效防御， 必需要很 清楚这些扰动的特性， 为此， 防御的首要阶段就是研究对抗信号。 0028 对抗信号生成阶段的目的就是要获得最优对抗信号， 如图1所示， 具体包括以下步 骤： 0029 S101， 筛选待攻击信号A， 并对该待攻击信号进行初始化添加扰动， 以得到对抗信 号A。 0030 具体地， 在待攻击信号A上添加随机方向上的极大扰动， 完成对待攻击信号A的初 始工作， 得到对抗信号A。 对待攻击信号A上添加极大扰动是为了寻找决策边界， 这是在缺 少超参数调整攻击方向时， 利用逼近思想， 对待攻击信号A做出的初始化判断。 0031 极大扰动是指某一指。

21、定方向上能够使信号完成类标翻转的扰动， 并保证扰动不会 使得信号超出阈值。 0032 S102， 根据待攻击信号A和对抗信号A的置信度变化， 判断待攻击信号A的周边的 决策边界分布状况。 0033 具体地， 将待攻击信号A和对抗信号A输入至信号分类模型中， 计算并输出待攻击 信号A和对抗信号A的置信度， 根据两个置信度的变化情况， 分析判断该待攻击信号A周边 的决策边界分布状况。 0034 决策边界是模拟模型内部区分A与非A信号的一个模糊标准， 可能随着模型参数改 变而改变。 所以， 本发明利用极大扰动， 和攻击信号A和对抗信号A的置信度变化， 最少能够 估计判断出攻击信号A与目标信号之间在添。

22、加扰动方向上的决策边界， 即两类标下的置信 度持平的位置。 0035 S103， 根据待攻击信号A的周边的决策边界分布状况， 对对抗信号A进行扰动修 饰， 使得对抗信号A接近预期的边界。 0036 信号边界摸索攻击是在仅有少部分的信号分类模型反馈信息的支持下， 完成对抗 信号的生成。 要达到媲美一般黑盒攻击的效果， 在不利用现有边界分布状况， 优化扰动， 减 少对抗信号损失特性， 是比较困难的， 所以需要对抗信号A进行扰动修饰， 使得对抗信号A 向预期的边界迈进。 0037 由于极大扰动， 只是为了估计决策边界添加上信号的， 可能存在扰动过大导致过 于远离决策边界， 难以攻击， 所以这里对扰动。

23、进行一个反方向的修饰， 在减少扰动的同时， 做出摸索边界的雏形， 就相当于利用对抗信号点在指定方向画圆， 修饰。 0038 本实施例中， 根据待攻击信号A的周边的决策边界分布状况， 优化完善对抗信号A 的扰动特性， 具体过程为： 0039 观察对抗信号A的置信度， 先确定一个预估值， 为对抗信号A置信度距离0.55的 偏差值乘以极大扰动； 其次， 将对抗信号A在极大扰动的相反方向添加预估值， 并做极小方 向的偏移。 说明书 3/5 页 6 CN 110768959 A 6 0040 S104， 在S103的基础上， 随机产生偏离扰动， 使得对抗信号A进行摸索边界。 0041 S104的具体过程。

24、包括： 0042 S1041， 利用公式(1)求出待攻击信号A与对抗信号A之间的差量评估值diff： 0043 diffi|Ai-Ai|2 (1) 0044 其中， 为了更好地表示对抗信号A与待攻击信号A之间的差量关系， 以及为了得到 更加具体的扰动优化方向， 使得对信号A的边界摸索更加成功， 这里将待攻击信号A与A各 个维度上的欧几里得距离|Ai-Ai|2当作信号A与待优化的对抗信号A之间差量评估值。 0045 S1042， 产生随机扰动perturb， 同时利用公式(1)估计perturb的差量， 记作dp， 并 通过公式(2)对随机扰动perturb的扰动方向进行优化： 0046 per。

25、turbperturb*delta*mean(diff)/dp|A-A|/diff (2) 0047 其中， perturb是一开始随机生成的扰动， 但是由于添加扰动的目的是为了使对抗 信号A能够在已经分析得来的边界分布上进行摸索， 所以必须适当调整， 扰动会对信号产 生的方向偏移的效果， 不仅要保证对抗信号A始终保持对抗性， 即信号分类模型对对抗信 号A的分类永远停留在一开始的错误类标上， 而且还要努力避免对抗信号A向没有任何效 益的方向前进， 防止迭代过程出现不必要的时间以及资源的浪费。 0048 另外， delta是会随着迭代次数不断更新的辅助参数， 用来调整对抗信号A在预定 方向上的前。

26、进步伐， 同样， mean(diff)是对攻击信号A与待优化对抗信号A之间的差量评估 值， 用来放大和缩小(调整)信号A， 保证信号A尽可能不远离边界， mean()表示对diff求 算数平均值。 dp是用来对信号A做范围限制的， 只不过它不以信号差量为条件， 而是根据对 实验的预估调整， 属于调参。 公式后半部分， |A-A|/diff是通过每个维度的距离偏差， 调整 待攻击信号A与待优化的对抗信号A之间的像素差， 最后利用点乘的方法， 较为简单地保证 perturb大部分信号点能够朝着更具对抗性的方向前进。 0049 S1043利用公式(3)(6)调整随机扰动perturb的大小， 并限定。

27、随机扰动perturb 在合适范围内。 0050 overflowperturb+A-max (3) 0051 perturbperturb-overflow*(overflow0) (4) 0052 underflow-1*min-perturb-A (5) 0053 perturbperturb+underflow*(underflow0) (6) 0054 其中， max,min分别表示对抗信号中信号点的上限值和下限值， 用来防止扰动溢 出； overflow和underflow分别表示信号在添加扰动后， 溢出上限与下限的值。 0055 本实施例中， 随机扰动perturb合适范围要求有。

28、两点， 第一不对攻击效果产生破坏 性干扰， 就比如一张人脸加上一团黑， 就跟不用攻击也不会有效果了， 第二不能使扰动添加 后的信号超出它本身信号的阈值。 0056 S1044， 将优化完成的扰动perturb， 添加到对抗信号A中， 并输入信号分类模型获 得分类结果， 如果分类结果与刚完成初始化的对抗信号A一致， 同样是错误的分类结果， 执 行S105； 如果分类结果不一致， 那么可能对抗信号A在添加扰动时， 摸索到了错误的边界， 则需要调整辅助参数delta和辅助参数dp， 重复S1041S1044。 0057 S105， 在S104的基础上， 优化扰动， 以使对抗信号A不偏离预期轨迹。 0。

29、058 S105的具体过程为： 说明书 4/5 页 7 CN 110768959 A 7 0059 S1051， 在S104的基础上， 利用公式(1)求出待攻击信号A与对抗信号A之间的差量 评估值， 记作diff； 0060 S1052， 在S1051的基础上， 利用公式(7)生成弥补扰动rep， 并将添加弥补扰动rep 到对抗信号A中， 在保持完整对抗性的同时， 减小对抗信号A的损失。 0061 rep(A-A)*epsilon/diff (7) 0062 其中， epsilon表示步长， 是训练开始前人为预设的一个参数， 用来调节弥补的大 小， 信号边界摸索攻击就是要在信号边界的上， 不断。

30、力求在保持对抗的同时减少干扰。 0063 S1053， 将对抗信号A并输入信号分类模型获得分类结果， 如果分类结果与初始化 的对抗信号A一致， 同样是错误的分类结果， 则执行S106。 如果分类结果不一致， 那么可能 对抗信号A在添加扰动时， 摸索到了错误的边界， 则需要调整参数epsilon， 重复S1051 S1053。 0064 从模型角度考虑， S104完成模型的垂直移动， 而S105完成模型的水平移动， 而两边 都需要保证移动方向， 大小， 因为是需要带角度的水平与垂直 0065 S106， 重复S104和S105， 直到达到迭代上限或得到较好的对抗信号A。 0066 利用以上过程获。

31、得的对抗信号为信号分类模型提供了大量的训练样本， 该训练样 本能够提高信号分类模型的检测精度。 0067 图4(b)是攻击前的真实星座图， 图4(a)是利用上述对抗样本生成阶段攻击后得到 的对抗信号的星座图。 0068 应用防御阶段 0069 如图2所示， 首先， 在完成对抗信号生成后， 通过观察对抗信号的置信度， 类标， 以 及添加扰动大小， 添加扰动可见程度， 调整参数delta， epsilon的初始值， 生成大量的对抗 性全面的不同类型信号的对抗信号， 按照同样标准， 对对抗信号进行筛选获得优质的对抗 信号。 0070 因为一般对模型威胁较大的对抗信号， 属于带不可见扰动的高对抗性样本。

32、， 所以 在挑选对抗信号加入模型对抗训练时， 应该用同样的标准： 高对抗性， 不可见扰动来挑选对 抗样本。 0071 然后， 通过将筛选后的对抗信号加入到训练集中构建新训练集， 图3(a)图3(f) 是训练LSTM模型数据集中各种类型的星座图， 利用新训练对图像分类模型进行训练， 以实 现对现有攻击进行防御的基础上， 还能实现对信号边界摸索及其此类黑盒攻击和部分未知 黑盒攻击进行防御的效果。 0072 以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明， 应理 解的是以上所述仅为本发明的最优选实施例， 并不用于限制本发明， 凡在本发明的原则范 围内所做的任何修改、 补充和等同替换等， 均应包含在本发明的保护范围之内。 说明书 5/5 页 8 CN 110768959 A 8 图1 图2 说明书附图 1/3 页 9 CN 110768959 A 9 说明书附图 2/3 页 10 CN 110768959 A 10 图3 图4 说明书附图 3/3 页 11 CN 110768959 A 11 。