Adversarial Attacks on Deep-learning-based Radar Range Profifile Target Recognition

摘要：基于HRRP的目标识别一直是雷达信号口译领域的研究热点。

深度学习是HRRP目标识别的重要方法。

然而，最近的研究表明，基于深度学习的光学图像目标识别方法容易受到敌对样本的攻击。

基于深度学习的HRRP目标识别方法能否受到攻击仍是一个有待解决的问题。

本文提出了四种产生对抗性扰动的方法。

**算法1基于二进制搜索方法生成非定向目标的细粒度扰动。

算法2基于多重迭代的方法生成定向目标的细粒度扰动。

算法3基于聚合一些细粒度的扰动，生成了非定向目标的通用对抗性扰动(UAP)。

算法4基于缩放一个细粒度扰动生成定向目标通用扰动。

利用这些扰动用于生成对抗样本，攻击基于白盒和黑盒攻击深度学习的HRRP目标识别方法。

**利用实际雷达数据进行了实验，表明HRRP对抗样本具有一定的攻击性。

因此，基于深度学习的HRRP目标识别方法在安全领域具有潜在的潜力。

Motivation:传统的非机器学习算法从不同的角度提取HRRP特征，并取得了一定的成功。

然而，它们过度依赖于专家的先验知识，难以进一步提高识别性能。

与传统的目标识别算法相比，基于深度学习的HRRP目标识别方法在自动特征学习方面具有优势。

它能有效地提高目标识别率，已成为雷达目标识别的一种重要方法。

虽然深度学习方法解决了一些现有技术无法解决的问题，大大提高了目标识别[8]的准确性，但SzegedyC等人在2014年首次发现了一种异常现象。

攻击者可以人为地设计一个输入样本来干扰视觉上难以察觉的信息注入。

他们可以根据攻击者想要的结果输出的任意错误结果，建立目标识别系统。

这些具有攻击性的输入样本被称为对抗性样本。

这些样本不仅可以攻击特定的深度学习方法，而且还具有显著的可转移特性。

这一发现引起了广泛的关注和研究。

生成对抗性样本的方法已经不断地得到了改进。

现有的攻击算法解决方案也有一定的局限性。

例如，虽然C&W攻击[12]算法产生很小的扰动，但计算速度很慢。

虽然FGSM算法有很高的计算效率，它的手动设置的比例因子将导致产生的扰动的精度较低。

虽然DeepFool算法解决了FGSM算法中的比例因子选择问题，是一种更自适应的攻击方法，但它只执行非目标攻击。

针对这些局限性，本文从数字处理的角度提出了四种产生对抗性扰动的方法(摘要)。

本文的贡献：

• 我们分别基于二值搜索算法和多重迭代方法生成了非目标的和有目标的细粒度的对抗性扰动。
  

  
  

• 我们分别基于聚合方法和缩放方法生成非目标和目标UAPs(universal adversarial perturbation)
• 我们验证了UAP具有可转移性和泛化能力
• 我们验证了对抗性扰动对HRRP数据比随机噪声更具有攻击性。
  

  
  

本文提出的算法基于FGSM方法进行优化：

非目标攻击和目标攻击对抗样本的表达式如（5）和（6）：

在上述产生对抗性扰动的方法中，虽然FGSM算法是有效的，但仍存在一些缺点：

• 首先，尺度因子ε是控制敌对样本扰动强度的一个重要参数。
  

  
  

  然而，FGSM算法是手动设置的，具有很强的主观盲目性。
  

  
  

  这使得增加的扰动值区域与附近的区域明显不同，导致生成的对抗性样本很容易被检测到。
  

  
  

  本文将由FGSM算法直接产生的扰动称为粗粒度扰动，并将其与本文提出的细粒度扰动进行了比较。
  

  
  

• 其次，对抗性样本扰动的泛化能力较差。
  

  
  

  由于FGSM算法只能生成特定输入样本的特定扰动，因此注入这些扰动的其他对抗性样本就变得不那么激进了。
  

  
  

Proposed method：

• 非定向目标的细粒度扰动

  ε是FGSM中的那个超参数，在该算法中是根据经验手动设定的，这里的二分和我们查找算法中的二分一个思想， εmax和 εmin是自己设定的该值的最大最小值，然后 εacc是精度，即最大最小值的差值，该值越小循环次数越多。
  

  
  

  当模型预测结果仍然是ground truth，就让ε大点，当二者不相等时，就小点，这样就实现动态调整，更快收敛。
  

  
  

  达到预期的结果。
  

  
  

  
  

• 定向目标的细粒度扰动

  个人观点，我觉得这个算法和FGSM没什么区别。
  

  
  

• 非定向目标的通用对抗性扰动

• 定向目标的通用对抗性扰动

experiments:

进行了三种类型的实验。

• 首先，进行白盒攻击。
  

  
  

  白盒攻击是指攻击者在掌握了模型的结构和参数后再攻击模型。
  

  
  

  该实验攻击的是MLP模型。
  

  
  

• 第二，进行了黑盒攻击。
  

  
  

  黑盒攻击是指攻击者在不需要知道模型的结构或训练参数的情况下攻击模型。
  

  
  

  攻击CNN模型。
  

  
  

• 最后，我们比较了对抗性样本扰动和随机噪声的攻击性。
  

  
  

  攻击的是MLP模型

两个模型结构：

白盒：

• 非目标攻击

  验证细粒度：

  第一个图说明本文的算法1不受scale factor影响，误分率一直都比FGSM高。
  

  
  

  第二个图说明本文生成的扰动更小（a是FGSM，b是算法1）。
  

  
  

  验证通用对抗扰动：

  实验用本文的算法3不同数量的样本生成对抗样本，验证误分率，从结果看使用10个样本以上误分率趋于稳定。
  

  
  

  证明了对抗样本是普遍存在的，扰动对整个训练集具有泛化能力。
  

  
  

• 目标攻击：

  验证细粒度：

  做了不同尺度因子的实验，很明显尺度因子越大收敛更快，迭代次数越少。
  

  
  

  同时和非目标攻击一样和FGSM对比了一下，扰动同样比FGSM小（没贴图）。
  

  
  

  验证通用对抗扰动：

  

黑盒：

为了验证UAP的攻击性和泛化能力，设计了一个黑盒攻击实验。

训练后的MLP模型用于生成非目标和目标对抗性样本。

然后用利用MLP生成的对抗样本利用对抗性样本来攻击CNN模型。

• 非目标攻击

  文中对比了白盒和黑盒随着PSR的增大的识别准确率。
  

  
  

  (PSR以dB为单位，为干扰和信号的强度之比，然后取对数乘10换算成dB，-10dB时二者之比为1：10)。
  

  
  

  结果表明，UAP对白盒模型和黑盒模型的攻击效应均随着PSR的增加而增大。
  

  
  

  因此，本实验表明，UAP对白盒模型和黑盒模型都具有侵袭性。
  

  
  

  这种特性被称为UAP的可转移性。
  

  
  

  同时，结果表明，UAP可以对不同的数据集产生攻击性的对抗性样本，其攻击性随着PSR的增加而增加。
  

  
  

  因此，该UAP可以对不同的数据集产生类似的攻击效果。
  

  
  

  这种特性被称为UAP的泛化能力。
  

  
  

  该实验验证了对于非目标攻击，UAP具有对黑盒模型的可转移性和对不同数据集的泛化能力。
  

  
  

• 目标攻击

噪声扰动与对抗样本的比较：