1 / 23

基于深度学习的无线电信号分类中的对抗性攻击

基于深度学习的无线电信号分类中的对抗性攻击. Department of Electrical Engineering, Linkoping University, 瑞典. arXiv:1808.07713v1 [cs.IT] 23 Aug 2018. 基于深度学习的无线电信号分类中的对抗性攻击. 摘要:

jessicag
Download Presentation

基于深度学习的无线电信号分类中的对抗性攻击

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 Department of Electrical Engineering, Linkoping University, 瑞典 arXiv:1808.07713v1 [cs.IT] 23 Aug 2018

  2. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 摘要: 深度学习虽然在许多计算机视觉和语言处理应用中取得了巨大的成功,但极易受到对抗性攻击的攻击。我们考虑了深度学习在无线电信号(调制)分类任务中的应用,并给出了在该应用中制作白盒和通用黑盒对抗性攻击的实用方法。我们表明,这些攻击可以大大降低分类性能,与极小的扰动输入。特别是,这些攻击比传统的干扰攻击要强大得多,这给无线物理层使用基于DL的算法带来了重大的安全性和鲁棒性问题。

  3. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 引言 应用: 使用卷积神经网络(CNN)进行信道解码, 研究基于DL的无线资源分配, 使用dl进行经典的无线信号(调制)分类任务 深度学习是脆弱的

  4. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 引言 考虑DL算法在无线信号(调制)分类问题中的应用, 证明了这类算法极易受到对抗性攻击。 为了提高本研究的可重复性,我们使用了[9]公开提供的GNU无线电机器学习数据集。 贡献: 首先,提出了一种新的生成细粒度白盒输入特定对抗性攻击的算法. 其次,提出了一种计算效率高的白盒泛对抗性扰动(UAP)算法. 第三,创建黑匣子UAP攻击。 第四,揭示了UAP的平移不变性质。

  5. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 浅谈对抗攻击 在无线通信环境中,L2范数是一种自然的选择,因为它考虑了扰动功率。

  6. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 浅谈对抗攻击 快速梯度法(FGM)是一种常用的方法。它们提供了计算效率高的方法来制作对抗样本,而代价是粗粒度的扰动。

  7. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 浅谈对抗攻击 目标攻击和无目标攻击的优化目标,在损失函数中多了一个目标类标。

  8. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • GNU无线电ML数据集及其DNN 使用能够公开获得的数据集和的深度模型。 数据集和深度模型的介绍。

  9. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 基于DL调制分类的对抗攻击 使用VT-CNN2作为分类器,开发了一种基于DL 调制分类的白盒对抗性攻击。在无线系统中,当攻击者缺席时,接收机(RX)从一个(或多个)合法发射机(TX)接收无线信号,该信号由x表示。但是,当攻击者在场时,它也会发送一个信号,在RX上产生低功耗扰动RX。因此,RX将接收xadv=x+rx。攻击者的目标是设计rx,使其在rx侧导致基础DNN的错误分类。

  10. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 基于DL调制分类的对抗攻击 从简单的白盒攻击开始。 在第五节的后面,我们将攻击扩展到更一般的情况。FGMs是生成对抗性扰动的计算效率高的方法,但它们提供粗粒度的扰动,而且欺骗分类器的成功率也很低。因此,提出算法1解决这些问题。

  11. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 基于DL调制分类的对抗攻击 算法1改进了FGM的两个具体缺点: 首先,FGM被设计为设置扰动的尺度因子,即α。 算法1采用二分法搜索,找出保证错误分类的尺度因子的精确值(在扰动范数的约束范围内)。 第二,对于目标攻击,FGM只针对特定目标类尝试最小化。而算法1在所有可能的目标攻击中进行搜索,然后选择所需扰动最小的攻击,以执行错误分类。 因此,算法1提供细粒度对抗性扰动,同时依赖于计算效率高的FGM作为算法的核心。

  12. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 基于DL调制分类的对抗攻击 在关于对抗攻击的计算机视觉文献中,重点在于找到人类观察者甚至没有注意到的轻微扰动,而这会导致分类错误。在算法1的无线应用中,人们可以想到一个类似的类比,即接收者不明显(或准不可察觉)的扰动。本文提出了两种新的度量,即扰动噪声比(PNR)和扰动信号比(PSR),其中PNR是扰动功率与噪声功率的比值,PSR是扰动功率与信号功率的比值。信噪比(SNR)与PSR和PNR有关的,如PNR=PSR×SNR,等效于PNR[db]=PSR[db]+SNR[db]。定义,如果对于这个扰动,我们有PNR≤1,则认为是难以察觉的扰动,因为该扰动和噪声水平是相同的,甚至低于噪声水平。

  13. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 基于DL调制分类的对抗攻击 图2给出了在三种不同SNR值的情况下, VT-CNN2的分类准确率和PNR的关系。扰动是用算法1创建的。当没有攻击时,水平虚线表示VT-CNN2的精度。从图2很明显,当扰动与噪声的阶次相同时(对所有三种信噪比水平),攻击都会导致100%的分类错误。注意,即使扰动比噪声水平低一个或几个数量级,攻击也会显著降低模型的精度。这引起了对基于DL的无线应用程序的鲁棒性的主要关注,并揭示了它们易受白盒对抗性攻击的脆弱性。

  14. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 无线通信系统中的通用黑盒攻击 白盒攻击,同时考虑了三个限制假设。 首先,攻击者知道确切的输入。 第二,在RX中,x的每个元素都受到其相应元素的干扰,即攻击者与发射机是同步的。 第三,当我们考虑白盒攻击时,我们假设攻击者对底层模型有很好的了解。

  15. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 通用对抗性扰动 算法1产生依赖于输入的对抗性扰动,即给定输入x,它产生一个扰动rx来欺骗模型。这迫使攻击者需要知道模型的输入,这不是一个实际的假设。因此,创建具有不可否认性的对抗性攻击是很有趣的。更准确地说,我们希望找到一个通用的对抗性扰动r而不是rx,它可以高概率欺骗模型,而不依赖于输入。 在关于ML和计算机视觉的文献中,这种扰动称为UAP。

  16. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 通用对抗性扰动 其中的算法作为输入接收,1)模型,2)UAP的期望范数,3)数据输入的随机子集。 基于这些输入,它生成一个UAP r作为输出。该算法的核心是一种迭代方法,在每一次迭代中都需要为N个样本中的每个样本生成一个对抗性扰动,例如将算法1运行N次。传统的算法复杂度高。

  17. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 通用对抗性扰动 在这一部分中,我们提出了一种新的生成UAP的算法,该算法具有非常低的计算复杂度,并且与论文[11]相比,在我们的数据集上提供了更好的欺骗率。该算法利用主成分分析(PCA)来构造UAP。算法背后的主要直觉如下: 假设我们有一个输入的任意子集及其相关的扰动方向。 现在的问题是,如何创建包含扰动方向的共同特征的通用扰动。

  18. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 通用对抗性扰动 图3对算法2的性能进行研究。对比算法包括原始的UAP攻击,干扰(jamming)攻击。 对于干扰攻击,对手产生高斯噪声,其均值与数据点相同,功率与UAP攻击相同。

  19. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 通用对抗性扰动 攻击消耗时间比较,对于传统UAP,扰动越小,耗时越久

  20. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • UAP的黑盒攻击与移位不变特性 前文中,我们假设(1)攻击者拥有模型F的全部知识,(2)并且它与发射器同步。 在下面,我们展示攻击者如何解决这两个限制。 为了解决第一个问题,我们使用了对抗样本[8]的可转移性。由于这个特性,为特定DNN构建的对抗性示例也可以欺骗具有不同体系结构的其他DNN,并且具有很高的概率[8]。因此,要为VT-CNN2创建一个UAP扰动,我们首先为替代DNN创建这样的UAP,然后将其应用于VT-CNN2。在这里,我们考虑了一个256−1024−1024−1024−512−128−11全连接的多层感知器作为替代,并为它制作了一个UAP。

  21. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • UAP的黑盒攻击与移位不变特性 为了解决第二个问题,我们揭示了UAP的一个有趣的属性,即移位不变性。更准确地说,我们展示了算法2创建的UAP是移位不变的,即任何一个循环移位的版本都会欺骗系统,导致分类错误。 图4展示了使用算法2设计的两种UAP攻击的性能。一种具有模型完备知识的白盒UAP攻击和一种具有随机移位的黑匣子UAP攻击。对于后一种情况,UAP是前面提到的替代MLP(黑盒攻击)而构建的,然后UAP被随机移位(非同步攻击)。由图4可知,第一,黑盒攻击几乎和白盒攻击一样有效;第二,UAP的任何随机移位版本几乎与原始同步版本一样具有破坏性,因此不需要进行同步攻击。因此,图4表明我们能够制造极低功率的UAP,从而实现严重的错误分类,而我们既不需要知道底层DNN的模型,也不需要同步攻击。

  22. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • UAP的黑盒攻击与移位不变特性

  23. 基于深度学习的无线电信号分类中的对抗性攻击基于深度学习的无线电信号分类中的对抗性攻击 • 结论和扩展

More Related