抵御對(duì)抗樣本攻擊的指紋室內(nèi)定位方法

張學(xué)軍,鮑俊達(dá),何福存,蓋繼揚(yáng),田豐,黃海燕

(1.蘭州交通大學(xué) 電子與信息工程學(xué)院,蘭州 730070; 2.陜西師范大學(xué) 計(jì)算機(jī)科學(xué)學(xué)院,西安 710062)

隨著物聯(lián)網(wǎng)和無線通信技術(shù)的蓬勃發(fā)展,室內(nèi)位置服務(wù)已成為大眾生活中不可或缺的一部分,如室內(nèi)導(dǎo)航、健康感知、活動(dòng)識(shí)別、災(zāi)害管理與救援等[1]。目前,眾多室內(nèi)定位技術(shù)利用無線局域網(wǎng)的相關(guān)特征來進(jìn)行定位,常用的技術(shù)有WiFi[2]、藍(lán) 牙[3]、紅 外 線[4]和 超 聲 設(shè) 備[5]等。Bahl和Padmanabhan[6]提出了一種基于無線射頻信號(hào)的用戶定位與跟蹤系統(tǒng)RADAR,能夠?yàn)橛脩籼峁└呔鹊氖覂?nèi)定位服務(wù)。然而,室內(nèi)環(huán)境的復(fù)雜性(如物體遮擋、人員流動(dòng)和電子設(shè)備干擾等)導(dǎo)致射頻信號(hào)無法覆蓋全區(qū)域,很難向所有用戶提供同等質(zhì)量的定位服務(wù)。得益于基礎(chǔ)設(shè)施成熟、易部署、低成本和低功耗等優(yōu)勢(shì),基于接收信號(hào)強(qiáng)度(received signal strength,RSS)的指紋室內(nèi)定位技術(shù)成為主流[1-2],其核心是發(fā)現(xiàn)指紋信號(hào)強(qiáng)度和位置之間的映射關(guān)系。但是,基于RSS的指紋室內(nèi)定位技術(shù)易受室內(nèi)多徑效應(yīng)、衍射等影響,僅能提供6～8m的定位精度。深度學(xué)習(xí)(deep learning,DL)利用其強(qiáng)大的特征抽取和分類能力有效獲取指紋信號(hào)強(qiáng)度和位置之間的映射關(guān)系,克服指紋定位受室內(nèi)環(huán)境影響而性能下降的缺陷,在指紋室內(nèi)定位技術(shù)中得到了廣泛應(yīng)用[7-8]。

基于深度學(xué)習(xí)的RSS指紋室內(nèi)定位方法使用包含定位終端和定位云服務(wù)器的云架構(gòu)來實(shí)現(xiàn)室內(nèi)定位[9]。Hsieh等[7]提出了基于RSS指紋數(shù)據(jù)和信道狀態(tài)信息(channel state information,CSI)的深度學(xué)習(xí)室內(nèi)定位方法,將一個(gè)矩形室內(nèi)房間平面劃分成若干區(qū)域,每個(gè)子區(qū)域都被視為一個(gè)類,從而將室內(nèi)定位服務(wù)形式化為一個(gè)深度學(xué)習(xí)分類問題,并使用多層感知機(jī)(multi-layer perception,MLP)和卷積神經(jīng)網(wǎng)絡(luò)(convolutional neural network,CNN)估計(jì)用戶在房間中的位置,該方法在保證網(wǎng)絡(luò)規(guī)模輕量化的同時(shí)取得了較好的定位性能。Wang等[8]提出了一個(gè)基于深度卷積神經(jīng)網(wǎng)絡(luò)(deep convolutional neural networks,DCNN)的商用5GHz WiFi室內(nèi)定位方法CiFi,先利用5G WiFi的CSI相位差數(shù)據(jù)估計(jì)到達(dá)角,并用到達(dá)角構(gòu)建了16個(gè)大小為60×60的圖像,再將這16個(gè)圖像輸入DCNN來訓(xùn)練離線階段的權(quán)重,大大提高了室內(nèi)定位模型的性能。但是,云作為一個(gè)不可信的實(shí)體,可能會(huì)獲知深度學(xué)習(xí)模型的相關(guān)參數(shù),生成最優(yōu)的對(duì)抗性噪聲,并將其添加至用戶提交的RSS指紋數(shù)據(jù)中,導(dǎo)致深度學(xué)習(xí)分類模型返回錯(cuò)誤的定位服務(wù),使得定位系統(tǒng)服務(wù)質(zhì)量下降,甚至失效。例如,Patil等[10]分別通過快速梯度符號(hào)攻擊、投影梯度下降攻擊和動(dòng)量迭代攻擊對(duì)構(gòu)建的室內(nèi)定位深度學(xué)習(xí)模型進(jìn)行主動(dòng)攻擊,驗(yàn)證了對(duì)抗樣本攻擊極大地降低了樓層分類和室內(nèi)定位預(yù)測(cè)的性能,但沒有給出防御方法。

目前,在計(jì)算機(jī)視覺、網(wǎng)絡(luò)流量分析等領(lǐng)域,學(xué)者們針對(duì)對(duì)抗樣本攻擊提出了對(duì)抗訓(xùn)練、防御蒸餾、對(duì)抗樣本檢測(cè)及強(qiáng)化網(wǎng)絡(luò)等防御方法[11],但缺乏專門針對(duì)室內(nèi)定位領(lǐng)域的防御方法。劉西蒙等[12]對(duì)深度學(xué)習(xí)中的代表性對(duì)抗攻擊及典型的防御策略進(jìn)行了詳細(xì)分析和總結(jié),指出目前該領(lǐng)域仍沒有一個(gè)能有效抵御對(duì)抗樣本攻擊的防御策略。王濱等[13]針對(duì)CNN網(wǎng)絡(luò)流量分類器遭受對(duì)抗樣本攻擊的問題,提出了一種批次對(duì)抗訓(xùn)練的方法,利用訓(xùn)練過程反向傳播誤差的特點(diǎn),在一次反向傳播過程中同時(shí)完成樣本梯度和參數(shù)梯度的計(jì)算,抵御白盒攻擊的同時(shí)提高了訓(xùn)練效率。Xie等[14]提出在模型前向傳播時(shí)利用隨機(jī)化來抵御對(duì)抗樣本攻擊,如采用隨機(jī)調(diào)整和隨機(jī)填充等,取得了一定的防御效果。Liu等[15]結(jié)合模型融合與隨機(jī)化提出了隨機(jī)自組裝(random selfensemble,RSE)的防御方法,在神經(jīng)網(wǎng)絡(luò)模型中加入隨機(jī)噪聲層,并將多個(gè)隨機(jī)噪聲的預(yù)測(cè)結(jié)果融合在一起來增強(qiáng)模型魯棒性。基于RSE防御方法,Lecuyer等[16]提出了基于差分隱私(differential privacy,DP)的隱藏式安全防御機(jī)制PixelDP,該機(jī)制在深度神經(jīng)網(wǎng)絡(luò)模型中加入滿足DP的噪聲層,隨機(jī)化網(wǎng)絡(luò)的計(jì)算結(jié)果,使對(duì)抗樣本中滿足l范式的擾動(dòng)對(duì)模型輸出的影響保持在DP穩(wěn)定輸出期望界限范圍內(nèi)。雖然上述方法能在一定程度上防御對(duì)抗樣本攻擊,但是其在面對(duì)數(shù)據(jù)特征單一、高維的RSS指紋室內(nèi)定位數(shù)據(jù)時(shí),容易出現(xiàn)過擬合、學(xué)習(xí)能力低等問題,導(dǎo)致定位模型在實(shí)時(shí)定位階段的泛化能力和魯棒性差,難以向用戶提供可靠、穩(wěn)定的定位服務(wù)。

針對(duì)以上問題,本文提出了一種抵御對(duì)抗樣本攻擊的基于深度學(xué)習(xí)的RSS指紋室內(nèi)定位方法(deep learning based fingerprint indoor localization method against adversarial samples attack,AdvILoc)。AdvILoc通過DP技術(shù),在室內(nèi)定位深度學(xué)習(xí)網(wǎng)絡(luò)中加入滿足ε-DP的噪聲層,隨機(jī)化模型泛化的計(jì)算結(jié)果,為用戶提供滿足ε-DP且經(jīng)過魯棒性認(rèn)證的室內(nèi)定位服務(wù)。同時(shí),通過在全連接層后添加Dropout層,隨機(jī)失活全連接層中部分神經(jīng)元,削弱神經(jīng)元節(jié)點(diǎn)間的聯(lián)合適應(yīng)性,在訓(xùn)練過程中正則化模型損失參數(shù),避免模型過擬合、學(xué)習(xí)能力低等問題,提高了模型魯棒性。實(shí)驗(yàn)驗(yàn)證了在實(shí)時(shí)定位階段,AdvILoc在抵御對(duì)抗樣本攻擊的同時(shí),仍能為用戶提供高效的室內(nèi)定位服務(wù)。

1 預(yù)備知識(shí)

1.1 對(duì)抗樣本攻擊

對(duì)抗樣本攻擊[17]是針對(duì)機(jī)器學(xué)習(xí)模型的一類主動(dòng)攻擊,通過故意在輸入數(shù)據(jù)中添加人類肉眼無法察覺的擾動(dòng)生成輸入數(shù)據(jù)對(duì)抗樣本,使模型以高置信度輸出一個(gè)錯(cuò)誤的分類結(jié)果。

C＆W攻擊[18]是對(duì)抗樣本攻擊中最常用的對(duì)抗樣本生成算法。針對(duì)室內(nèi)定位深度學(xué)習(xí)模型,該算法通過求解最優(yōu)化算式(1)生成對(duì)抗樣本攻擊。

式中:x為 原始RSS指紋數(shù)據(jù)(灰度圖見圖1(a));x′為對(duì)應(yīng)x生成的RSS指紋數(shù)據(jù)對(duì)抗樣本(灰度圖見圖1(b));y為正確標(biāo)簽;y′為目標(biāo)標(biāo)簽;C為訓(xùn)練好的室內(nèi)定位CNN分類器。

圖1 RSS指紋數(shù)據(jù)x與其經(jīng)過C＆W攻擊生成的對(duì)抗樣本x′的灰度圖及其直方圖Fig.1 Grayscale and histogram of RSS fingerprint data x and its’samples x′generated by C＆W attack

式(1)表明,惡意攻擊者依據(jù)C的相關(guān)參數(shù),利用原始RSS指紋數(shù)據(jù)x生成其對(duì)抗樣本x′,同時(shí)能確保x′與x之間存在難以察覺的細(xì)微擾動(dòng),但經(jīng)過C的泛化可得到不同的定位結(jié)果y′與y。顯然,在圖1(a)、(b)中,無法用肉眼看出x′與x之間的差別。為此,圖1(c)、(d)給出了x與x′的圖像直方圖來觀察其差異性,可以看出,x和經(jīng)過C＆W生成的對(duì)抗樣本x′的數(shù)據(jù)分布明顯不同,將x′與x輸入C中會(huì)得到不同的分類結(jié)果,后續(xù)實(shí)驗(yàn)結(jié)果也驗(yàn)證了2張RSS指紋數(shù)據(jù)灰度圖像經(jīng)模型泛化后得到了不同的定位結(jié)果。

1.2 魯棒性

如果一個(gè)多分類深度學(xué)習(xí)模型f:Rn→κ的預(yù)測(cè)結(jié)果對(duì)部署中可能遇到的一些看似合理輸入的細(xì)微變化均不敏感,則認(rèn)為該模型對(duì)對(duì)抗樣本攻擊具有魯棒性[16]。

按照文獻(xiàn)[16],將輸入x映射到y(tǒng)的函數(shù)表示為Q,稱其為評(píng)分函數(shù);將給出輸入x最終預(yù)測(cè)的函數(shù)表示為f,稱其為預(yù)測(cè)過程。

定義1魯棒性。給定輸入x,假設(shè)對(duì)?α∈Bp(L),如果f(x)=f(x+α),則稱多分類模型f對(duì)輸入x上大小為L(zhǎng)的p-范數(shù)攻擊不敏感或魯棒,這等價(jià)于:

1.3 差分隱私

DP[19]是Dwork和Roth針對(duì)統(tǒng)計(jì)數(shù)據(jù)庫(kù)的隱私泄露問題提出的一種隱私保護(hù)技術(shù)。DP是指為了防止數(shù)據(jù)庫(kù)的計(jì)算輸出中單個(gè)敏感記錄的信息泄露,將隨機(jī)性引入數(shù)據(jù)庫(kù)計(jì)算中,確保2個(gè)相鄰數(shù)據(jù)庫(kù)的查詢輸出之間相差不大,從而隱藏個(gè)別記錄的敏感信息。

定義2ε-DP。設(shè)有一個(gè)隨機(jī)算法A,O是A的所有可能輸出構(gòu)成的集合,D和D′為任意2個(gè)相鄰數(shù)據(jù)集,且ρ(D,D′)≤1。對(duì)S∈O,如果隨機(jī)算法A滿足ε-DP,則

式中:ε為隱私預(yù)算;ρ為海明度量,即計(jì)算2個(gè)數(shù)據(jù)庫(kù)中不同條目的個(gè)數(shù);P(·)為概率分布。

ε-DP有2個(gè)關(guān)鍵屬性:

1)后處理屬性。滿足ε-DP的計(jì)算輸出,其后續(xù)的任何計(jì)算同樣滿足ε-DP。

2)輸出期望穩(wěn)定屬性。滿足ε-DP算法的有界輸出期望對(duì)輸入的微小變化不敏感。

定義3輸出期望穩(wěn)定界限[16]。假設(shè)一個(gè)輸出界限為A(x)∈[0,b],b∈R+的隨機(jī)算法A滿足ε-DP,則算法A輸出的期望值滿足:

2 AdvILoc方法設(shè)計(jì)

2.1 系統(tǒng)架構(gòu)

針對(duì)惡意攻擊者利用指紋室內(nèi)定位深度學(xué)習(xí)模型參數(shù)生成的對(duì)抗樣本對(duì)定位模型進(jìn)行干擾,極大程度改變了模型的分類結(jié)果,導(dǎo)致室內(nèi)定位的服務(wù)質(zhì)量下降甚至失效。AdvILoc綜合考慮云服務(wù)器的不可信及室內(nèi)定位環(huán)境的復(fù)雜性等因素,結(jié)合RSS指紋數(shù)據(jù)單一且高維的特征,運(yùn)用隱藏式安全保護(hù)機(jī)制,通過在離線訓(xùn)練階段向指紋室內(nèi)定位深度學(xué)習(xí)模型中添加滿足ε-DP噪聲層,以確保模型的輸出處于輸出期望穩(wěn)定界限范圍內(nèi),使模型具有高魯棒性,實(shí)現(xiàn)抵御對(duì)抗樣本攻擊。系統(tǒng)架構(gòu)如圖2所示。

圖2 抵御對(duì)抗樣本攻擊室內(nèi)定位系統(tǒng)架構(gòu)Fig.2 Architecture of indoor localization system against adversarial sample attack

系統(tǒng)架構(gòu)分為終端設(shè)備層和云服務(wù)器層。基于深度學(xué)習(xí)的RSS指紋室內(nèi)定位方法分為離線訓(xùn)練和在線定位2個(gè)階段。在離線訓(xùn)練階段,終端用戶為了使用室內(nèi)定位服務(wù),自愿將個(gè)人的RSS指紋數(shù)據(jù)上傳至云服務(wù)器。云服務(wù)器接收到RSS指紋數(shù)據(jù)后,進(jìn)行定位模型訓(xùn)練。在線定位階段,云服務(wù)器使用訓(xùn)練好的模型為用戶提供高效、可信的定位服務(wù)。

1)終端設(shè)備層。用戶擁有智能終端設(shè)備(如智能手機(jī)、平板、智能監(jiān)控設(shè)備等)。每個(gè)終端設(shè)備都具有計(jì)算和通信模塊,用于從室內(nèi)區(qū)域(如大型購(gòu)物中心、地下停車場(chǎng)、展覽廳等)的多個(gè)無線傳感器信標(biāo)(如WiFi、藍(lán)牙等)收集RSS指紋數(shù)據(jù)。在線定位和離線訓(xùn)練階段,用戶將收集的RSS指紋數(shù)據(jù)集用皮爾遜相關(guān)系數(shù)[20](Pearson correlation coefficient,PCC)剔除弱相關(guān)的訪問點(diǎn)(access point,AP),并將其轉(zhuǎn)換為灰度圖后發(fā)送給云服務(wù)器。

2)云服務(wù)器層。作為控制中心,其具有強(qiáng)大的存儲(chǔ)和計(jì)算能力。離線訓(xùn)練階段,其負(fù)責(zé)接收用戶終端設(shè)備層上傳的RSS指紋灰度圖像,訓(xùn)練并保存抵御對(duì)抗樣本攻擊的指紋室內(nèi)定位深度學(xué)習(xí)模型;在線定位階段,云服務(wù)器為用戶提供可抵御對(duì)抗樣本攻擊的高質(zhì)量室內(nèi)定位服務(wù)。

2.2 定位模型

文獻(xiàn)[16]提出了一種抵御對(duì)抗樣本攻擊的圖像分類CNN網(wǎng)絡(luò)(見圖3),但其在面對(duì)特征單一、高維的RSS指紋數(shù)據(jù)時(shí),存在過擬合和學(xué)習(xí)能力低等問題。

為此,AdvILoc在借鑒圖3網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上,對(duì)網(wǎng)絡(luò)架構(gòu)和模型進(jìn)行了優(yōu)化,設(shè)計(jì)了一個(gè)能抵御對(duì)抗樣本攻擊的指紋室內(nèi)定位CNN模型RssDP,如圖4所示。

圖3 抵御對(duì)抗樣本攻擊的卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)[16]Fig.3 Framework of CNN against adversarial samples attack[16]

圖4 抵御對(duì)抗樣本攻擊的指紋室內(nèi)定位深度學(xué)習(xí)模型Fig.4 Indoor localization DL model against adversarial sample attacks

相較于圖3中的CNN網(wǎng)絡(luò),RssDP通過添加1個(gè)池化層和1個(gè)全連接層,并將噪聲層放置在第1個(gè)全連接層之后來優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。其中,池化層主要對(duì)卷積層提取的特征進(jìn)行壓縮;全連接層則將壓縮后的特征映射到目標(biāo)結(jié)果;由于對(duì)抗樣本攻擊主要是在深度學(xué)習(xí)過程中對(duì)模型進(jìn)行干擾,將噪聲層調(diào)至第1個(gè)全連接層之后,定位模型抵御對(duì)抗樣本攻擊的效果會(huì)更好。在模型優(yōu)化方面,為了提高RssDP模型的泛化能力,AdvILoc通過添加Dropout層與模型參數(shù)正則化措施對(duì)RssDP進(jìn)一步優(yōu)化。其中,Dropout層可隨機(jī)將一定比例的神經(jīng)元失活,降低模型對(duì)部分神經(jīng)元的依賴,再通過正則化模型損失函數(shù),不斷優(yōu)化模型參數(shù),提升模型魯棒性。因此,RssDP不僅提升了模型魯棒性,而且解決了模型過擬合和泛化能力低的問題。

2.2.1 噪聲層

推論1g(·)的敏感度。給定輸入和輸出的一些距離指標(biāo)(分別為p-范數(shù)、1-范數(shù)),g(·)的敏感度Δp,1定義為輸入變化產(chǎn)生的輸出的最大變化,表示為

式中:x為原始RSS指紋數(shù)據(jù);x′為x生成的對(duì)抗樣本。

因?yàn)閷?duì)抗樣本攻擊源于對(duì)CNN的概率評(píng)分函數(shù)Q(x)=(y1(x),y2(x),…,yK(x))的干擾,而對(duì)抗樣本的脆弱性源于Q(x)對(duì)輸入p-范數(shù)變化的無限敏感性,所以通過在第1個(gè)全連接層的計(jì)算結(jié)果上添加滿足ε-DP的噪聲,隨機(jī)化計(jì)算結(jié)果。根據(jù)ε-DP的后處理屬性,通過添加噪聲將Q(x)轉(zhuǎn)換為滿足ε-DP隨機(jī)概率評(píng)分函數(shù),使模型輸出期望針對(duì)輸入中的細(xì)微擾動(dòng)滿足有界不敏感性,則基于RssDP構(gòu)建的指紋室內(nèi)定位深度學(xué)習(xí)模型可抵御對(duì)抗樣本攻擊,本文定義為ε-RssDP。

2.2.2 模型優(yōu)化

為提高ε-RssDP的魯棒性和泛化能力,防止模型發(fā)生過擬合,AdvILoc從2個(gè)方面對(duì)RssDP網(wǎng)絡(luò)進(jìn)行了優(yōu)化,即添加Dropout層和使用模型參數(shù)正則化。

1)Dropout層優(yōu)化。AdvILoc通過在模型網(wǎng)絡(luò)的第1個(gè)全連接層和第2個(gè)全連接層后添加Dropout層,使25%的神經(jīng)元失活,以降低模型對(duì)部分神經(jīng)元的依賴,防止模型發(fā)生過擬合,提高模型魯棒性。

2)模型參數(shù)正則化優(yōu)化。AdvILoc通過正則化CNN網(wǎng)絡(luò)的交叉熵?fù)p失函數(shù)[16],不斷優(yōu)化模型參數(shù),提高模型泛化能力,即

通過網(wǎng)絡(luò)優(yōu)化,AdvILoc提高了ε-RssDP的魯棒性和泛化能力,防止模型發(fā)生過擬合現(xiàn)象。2.2.3 在線定位算法

1)終端設(shè)備層。用戶U在請(qǐng)求定位服務(wù)時(shí),先將自己實(shí)時(shí)獲取的RSS指紋數(shù)據(jù)x根據(jù)PCC值剔除弱相關(guān)的AP點(diǎn),并轉(zhuǎn)換為圖像數(shù)據(jù)集,再發(fā)送給云服務(wù)器。

2)云服務(wù)器層。將接收到用戶U的服務(wù)請(qǐng)求輸入到已訓(xùn)練好的model(·)中,實(shí)時(shí)為用戶提供定位服務(wù)。其中,model(·)為存儲(chǔ)到云服務(wù)器上抵御對(duì)抗樣本攻擊的室內(nèi)定位深度學(xué)習(xí)模型,為用戶提交的服務(wù)請(qǐng)求,Stype為提供給用戶U的定位服務(wù)反饋。具體描述如下。

算法1抵御對(duì)抗樣本攻擊的室內(nèi)定位方法。

輸入:x、Δ、L、ε。

輸出:Stype。

步驟1根據(jù)PCC值剔除x中弱相關(guān)的AP點(diǎn),并將其轉(zhuǎn)換為圖像數(shù)據(jù)集。

步驟2將上傳至云服務(wù)器。

步驟3云服務(wù)器接收。

步驟4Stype←model()//模型預(yù)測(cè)。模型噪聲層的前一隱藏層的輸出結(jié)果g(x)經(jīng)過滿足ε-DP且大小為noise(Δ,L,ε)的噪聲層后,輸出期望穩(wěn)定界限內(nèi)的定位結(jié)果Stype。

步驟5發(fā)送Stype至終端設(shè)備層。

3 安全性分析

本節(jié)使用DP技術(shù)與魯棒性條件對(duì)AdvILoc進(jìn)行安全性分析。

ε-DP為指紋室內(nèi)定位深度學(xué)習(xí)模型提供魯棒性認(rèn)證的前提是建立滿足ε-DP的概率評(píng)分函數(shù)。首先,在給定輸入樣本的情況下,輸入特征值(RSS指紋數(shù)據(jù))的模型預(yù)測(cè)同樣滿足ε-DP。然后,結(jié)合定義3與定義1,為模型提供嚴(yán)格的魯棒性證明。

定理1AdvILoc能夠提供經(jīng)過嚴(yán)格魯棒性認(rèn)證的ε-DP保護(hù)。

結(jié)合定義1,針對(duì)RSS指紋數(shù)據(jù)的對(duì)抗樣本,ε-RssDP滿足認(rèn)證魯棒性。

假設(shè)遵循p-范數(shù)指標(biāo)的隨機(jī)算法A(x)滿足ε-DP,則

定義x′:=x+α,且根據(jù)式(7)得

結(jié)合式(7)得

故得出

因此,AdvILoc能夠提供經(jīng)過嚴(yán)格魯棒性認(rèn)證的ε-DP保護(hù),即攻擊者無法通過對(duì)抗樣本對(duì)模型的輸出結(jié)果產(chǎn)生影響,保證了模型的有效性和高質(zhì)量的室內(nèi)定位服務(wù)。 證畢

4 實(shí)驗(yàn)結(jié)果與分析

4.1 實(shí)驗(yàn)配置

實(shí)驗(yàn)采用TensorFlow庫(kù)來構(gòu)建室內(nèi)定位深度學(xué)習(xí)模型,并選擇SGDM優(yōu)化器作為模型的優(yōu)化方法。SGDM算法解決了梯度下降不穩(wěn)定、易陷入鞍點(diǎn)的缺點(diǎn),并可以加快訓(xùn)練速度,減小震蕩。迭代次數(shù)為5000批次,每批次大小為128。硬件環(huán)境為:Inter(R)Core(TM)i7-10750H CPU@2.20GHz,NVIDIA GeForce GTX1660Ti顯 卡,16GB RAM,6GB顯存。

4.2 數(shù)據(jù)集及預(yù)處理

實(shí)驗(yàn)采用Mall[21]和UJIIndoorLoc[22]2個(gè)RSS指紋數(shù)據(jù)集來驗(yàn)證AdvILoc的有效性。

1)Mall數(shù)據(jù)集。采自一個(gè)31.8m×14.95m的購(gòu)物中心區(qū)域,整個(gè)區(qū)域被劃分為10個(gè)子區(qū)域。在所有位置采集點(diǎn)附近共部署了22個(gè)BLE信標(biāo),可以穩(wěn)定檢測(cè)到來自35個(gè)WiFi AP的信號(hào)。Mall數(shù)據(jù)集包含7000個(gè)有效樣本,每個(gè)樣本都包含一個(gè)區(qū)域ID和57維RSS特征(22維藍(lán)牙特征和35維WiFi特征)。

2)UJIIndoorLoc數(shù) 據(jù) 集。采 自University Jaume I的一個(gè)390m×270m區(qū)域的4層建筑,該數(shù)據(jù)集包含19937個(gè)訓(xùn)練樣本和1111個(gè)測(cè)試樣本,每個(gè)樣本包含一個(gè)樓層ID和520維的WiFi RSS指紋數(shù)據(jù)。

基于深度學(xué)習(xí)的RSS指紋室內(nèi)定位方法的核心是發(fā)現(xiàn)指紋數(shù)據(jù)與位置點(diǎn)之間的映射關(guān)系。實(shí)際中,靠近用戶終端設(shè)備位置采集的AP信號(hào)較強(qiáng),相反,遠(yuǎn)離終端設(shè)備位置采集的AP信號(hào)較弱,甚至不可用[23],因此需要對(duì)RSS數(shù)據(jù)進(jìn)行預(yù)處理。針對(duì)2個(gè)RSS指紋數(shù)據(jù)集,通過計(jì)算位置點(diǎn)與RSS信號(hào)強(qiáng)度的PCC值來剔除弱相關(guān)甚至不可用的AP,再將其轉(zhuǎn)換成灰度圖像。具體數(shù)據(jù)預(yù)處理步驟如下:

步驟1將室內(nèi)區(qū)域分為N個(gè)均勻小區(qū)域,即LN=[l1,l2,…,lN];用戶在室內(nèi)區(qū)域通過終端設(shè)備接收的M條RSS指紋信息表示為RM=[r1,r2,…,rM],rj=[r1,r2,…,rm,li](1≤j≤M)表示用戶在區(qū)域li中m個(gè)AP收集到的第j條RSS指紋數(shù)據(jù);室內(nèi)區(qū)域中K個(gè)AP的RSS指紋信息表示為WK,即WK=[w1,w2,…,wK]。

從圖5中可以看出,Mall數(shù)據(jù)集轉(zhuǎn)化為灰度圖像最主要的一個(gè)步驟是剔除弱相關(guān)的AP,提高RSS指紋數(shù)據(jù)的可用性。利用HP[24]將RSS指紋數(shù)據(jù)重構(gòu)為灰度圖像,可以使數(shù)據(jù)更加適用于深度學(xué)習(xí)訓(xùn)練,提高模型對(duì)RSS指紋數(shù)據(jù)特征的學(xué)習(xí)能力,進(jìn)而提高模型的泛化能力。

圖5 Mall數(shù)據(jù)集預(yù)處理Fig.5 Preprocessing of Mall datasets

4.3 評(píng)價(jià)指標(biāo)

采用模型性能、定位準(zhǔn)確率和認(rèn)證準(zhǔn)確率3個(gè)指標(biāo)來評(píng)估ε-RssDP的性能。準(zhǔn)確率表示定位模型預(yù)測(cè)正確的比例,用于評(píng)估CNN的性能;認(rèn)證準(zhǔn)確率表示經(jīng)過魯棒性認(rèn)證且預(yù)測(cè)正確的樣本個(gè)數(shù)占總樣本個(gè)數(shù)的比率,用于評(píng)估認(rèn)證防御模型的性能[25-27]。

1)模型性能。室內(nèi)定位深度學(xué)習(xí)模型的訓(xùn)練精度Precision與訓(xùn)練損失Loss。

2)定位準(zhǔn)確率。

式中:n為測(cè)試集大小;iscorrect(xi)表示對(duì)測(cè)試樣本xi的預(yù)測(cè)的判斷函數(shù),如果xi的預(yù)測(cè)判斷為正確標(biāo)簽,則返回1,否則返回0。

步驟3計(jì)算每一個(gè)R和c的哈達(dá)瑪乘積(HP)[24],并將每一個(gè)1×K的HP矩陣HPi重塑為m×m的RSS指紋灰度圖像。

圖5給出了Mall數(shù)據(jù)集重構(gòu)為灰度圖像的具體過程。

式中:robustsize(scores,ε,L)函數(shù)返回經(jīng)過認(rèn)證的魯棒性大小;scores為xi經(jīng)過模型后得到的概率預(yù)測(cè)分?jǐn)?shù);魯棒性閾值T為模型在C＆W攻擊下取得最小精度時(shí)的攻擊大小。將返回值與魯棒性閾值T進(jìn)行比較,大于T返回1,小于T返回0,再與iscorrect(xi)返回值取交集,若均為1,則返回1,若不相同,則返回0。

4.4 實(shí)驗(yàn)及結(jié)果分析

4.4.1 隱私預(yù)算ε對(duì)定位模型的影響

為了測(cè)試隱私預(yù)算ε對(duì)定位模型的影響,在UJIIndoorLoc數(shù)據(jù)集及Mall數(shù)據(jù)集上分別進(jìn)行對(duì)比實(shí)驗(yàn)。訓(xùn)練集與測(cè)試集按7∶3劃分。實(shí)驗(yàn)中,設(shè)定L=1.0,ε取值為[0.1,1.0],實(shí)驗(yàn)結(jié)果如圖6所示。

圖6(a)、(b)給出了2個(gè)數(shù)據(jù)集上不同ε對(duì)定位模型性能的影響。可以看出,在UJIIndoorLoc數(shù)據(jù)集和Mall數(shù)據(jù)集上,隨著模型訓(xùn)練迭代次數(shù)的不斷增加,模型訓(xùn)練精度均逐步上升,并且不同的ε導(dǎo)致模型訓(xùn)練精度曲線上升幅度不一致。這是因?yàn)棣?2Δp,1L/ε,當(dāng)L一定時(shí),ε越大σ的值越小,即添加噪聲越少,對(duì)模型性能的影響越小,同理ε越小,對(duì)模型性能的影響越大。另外,在Mall數(shù)據(jù)集上,當(dāng)ε≥0.5時(shí),隨著迭代次數(shù)的增加,模型訓(xùn)練精度曲線有明顯的上升幅度,且當(dāng)ε=1.0時(shí),模型訓(xùn)練精度達(dá)到最大值65%。在UJIIndoorLoc數(shù)據(jù)集上存在近似的結(jié)果,且當(dāng)ε=1.0時(shí),模型訓(xùn)練精度達(dá)到最大值99.2%,因此當(dāng)ε=1.0時(shí),在2個(gè)數(shù)據(jù)集上模型性能均可達(dá)到最佳。另外,圖6(a)與圖6(b)中的模型訓(xùn)練精度曲線存在明顯的差異,這是因?yàn)閁JIIndoorLoc數(shù)據(jù)集在規(guī)模與特征維數(shù)上均遠(yuǎn)大于Mall數(shù)據(jù)集,更多的樣本特征為模型訓(xùn)練提供了從輸入到輸出的更優(yōu)確定性映射關(guān)系,進(jìn)而獲得了性能更優(yōu)的定位模型。

圖6 不同隱私預(yù)算ε對(duì)模型性能的影響Fig.6 Effects of different privacy budgets ε on model performance

表1給出了2個(gè)數(shù)據(jù)集下,隨著ε的不斷增大,噪聲尺度σ及模型認(rèn)證準(zhǔn)確率CA的變化情況。可以看出,隨著ε的不斷增大,σ不斷減小,模型認(rèn)證準(zhǔn)確率CA逐步增大。在Mall數(shù)據(jù)集上,隨著ε的不斷增大,模型的認(rèn)證準(zhǔn)確率CA呈逐步上升的趨勢(shì),ε=1.0時(shí)模型的認(rèn)證準(zhǔn)確率CA達(dá)到最大。在UJIIndoorLoc數(shù)據(jù)集上,當(dāng)ε≥0.4時(shí),模型的認(rèn)證準(zhǔn)確率CA均處于73%左右,故不同ε構(gòu)建的模型魯棒性相近。結(jié)合圖6,當(dāng)ε=1.0時(shí)模型訓(xùn)練精度達(dá)到最大,故ε=1.0時(shí)構(gòu)建的定位模型魯棒性最優(yōu)。

表1 不同隱私預(yù)算ε下室內(nèi)定位模型的認(rèn)證準(zhǔn)確率Table1 Certified accuracy of indoor localization model under different privacy budgets ε

圖7(a)、(b)給出了在2個(gè)數(shù)據(jù)集上,C＆W攻擊下不同隱私預(yù)算ε對(duì)模型定位準(zhǔn)確率ACC的影響。可以看出,ε=0.1和ε=0.2時(shí)的模型定位準(zhǔn)確率ACC沒有明顯下降,即模型抵御對(duì)抗樣本的能力較強(qiáng),但是模型的定位準(zhǔn)確率ACC僅有10%,存在模型失效的問題。同時(shí),在UJIIndoorLoc數(shù)據(jù)集上明顯表現(xiàn)出,當(dāng)ε≥0.4時(shí),C＆W攻擊下不同ε對(duì)應(yīng)的模型定位準(zhǔn)確率ACC下降趨勢(shì)近似且都比較平緩,在Mall數(shù)據(jù)集上,當(dāng)ε=1.0時(shí),模型定位準(zhǔn)確率ACC下降最為平緩。這說明模型抵御對(duì)抗樣本攻擊的效果較好。

圖7 C＆W攻擊下不同隱私預(yù)算ε對(duì)模型定位準(zhǔn)確率的影響Fig.7 Effection of different privacy budgets ε on model localization accuracy under C＆W attack

ε=1.0時(shí),模型認(rèn)證準(zhǔn)確率CA及定位準(zhǔn)確率ACC均可達(dá)到最優(yōu),且為了保證L與攻擊大小Lattack之間的關(guān)聯(lián)性,確保ε對(duì)L的影響最小,故選取ε=1.0為后續(xù)實(shí)驗(yàn)的隱私預(yù)算。

4.4.2 不同約束攻擊界限L構(gòu)建的模型性能比較

本節(jié)實(shí)驗(yàn)分別在UJIIndoorLoc數(shù)據(jù)集和Mall數(shù)據(jù)集上測(cè)試定位模型在不同約束攻擊界限L的性能對(duì)比,訓(xùn)練集與測(cè)試集同樣按照7∶3的比例劃分,ε=1.0。參考文獻(xiàn)[16],約束攻擊界限L取值為{0,0.03,0.1,0.3,1.0}。經(jīng)過多次實(shí)驗(yàn),C＆W攻擊下模型均在魯棒性閾值T=0.02范圍之內(nèi)達(dá)到最小精度,故設(shè)定T的最大值為0.02。其中,L=0表示模型沒有添加噪聲層,即模型沒有采用防御措施,本文將沒有采用防御措施的室內(nèi)定位深度學(xué)習(xí)模型定義為Baseline。實(shí)驗(yàn)結(jié)果如圖8所示。

從圖8(a)、(b)中可以看出,隨著模型訓(xùn)練迭代次數(shù)的增加,不同約束攻擊界限L下模型的精度都在逐步上升,損失逐步下降。這是因?yàn)槟Ｐ吞砑釉肼晫拥挠绊?噪聲層添加噪聲的大小取決于約束攻擊界限L,即L越大,添加噪聲越多,模型性能越差;L越小,添加噪聲越少,模型性能越好。但是,當(dāng)L取最大值時(shí),Mall數(shù)據(jù)集下的模型精度依舊保持在85%以上,UJIIndoorLoc數(shù)據(jù)集下模型精度幾乎沒有下降,因此噪聲層對(duì)模型性能并沒有產(chǎn)生明顯的不利影響。另外,由于UJIIndoorLoc數(shù)據(jù)集在規(guī)模與特征維數(shù)上均遠(yuǎn)大于Mall數(shù)據(jù)集,更多的樣本特征為模型訓(xùn)練提供了從輸入到輸出的更優(yōu)確定性映射關(guān)系,進(jìn)而獲得了性能更優(yōu)的定位模型。因此,在Mall、UJIIndoorLoc兩個(gè)數(shù)據(jù)集上模型性能變化程度存在明顯差異。

圖8 不同p-范數(shù)約束攻擊界限L對(duì)模型性能的影響Fig.8 Impact of constraint attack bounds L of different p-norm on model performance

表2給出了室內(nèi)定位深度學(xué)習(xí)模型在不同約束攻擊界限L下的認(rèn)證準(zhǔn)確率CA的對(duì)比數(shù)據(jù)。可以看出,當(dāng)L=0.03時(shí),模型在2個(gè)數(shù)據(jù)集中都取得了最佳的認(rèn)證準(zhǔn)確率CA,且均大于60.0%。同時(shí),結(jié)合圖8中L=0.03時(shí)的室內(nèi)定位深度學(xué)習(xí)模型訓(xùn)練精度與L=0時(shí)相比沒有明顯的下降,故當(dāng)L=0.03時(shí),可構(gòu)建最優(yōu)的室內(nèi)定位深度學(xué)習(xí)模型。

表2 室內(nèi)定位深度學(xué)習(xí)模型在不同約束攻擊界限L下的認(rèn)證準(zhǔn)確率對(duì)比Table2 Certified accuracy of indoor localization DL model under different constraint attack boundaries L

圖9(a)、(b)給出了2個(gè)數(shù)據(jù)集下L=0,0.03時(shí)構(gòu)建的室內(nèi)定位深度學(xué)習(xí)模型在C＆W攻擊下定位準(zhǔn)確率ACC的實(shí)驗(yàn)對(duì)比結(jié)果。其中,Baseline表示基于L=0構(gòu)建的室內(nèi)定位深度學(xué)習(xí)模型。從圖9中可以得出,在2個(gè)數(shù)據(jù)集上,隨著約束攻擊界限L的增大,Baseline與本文方法的定位準(zhǔn)確率均呈下降趨勢(shì),且本文方法均比Baseline呈現(xiàn)的曲線下降趨勢(shì)更加平穩(wěn),即斜率更小。因此,AdvILoc能夠提供經(jīng)過嚴(yán)格魯棒性認(rèn)證的室內(nèi)定位深度學(xué)習(xí)模型。

圖9 C＆W攻擊下不同約束攻擊界限L對(duì)模型定位準(zhǔn)確率的影響Fig.9 Effection of different constraint attack boundary L on localization accuracy of model under C＆W attack

4.4.3 與基于PixelDP的室內(nèi)定位模型魯棒性比較

為了驗(yàn)證在PixelDP[16]網(wǎng)絡(luò)基礎(chǔ)上,經(jīng)過Dropout層及模型參數(shù)正則化優(yōu)化的模型在Mall數(shù)據(jù)集和UJIIndoorLoc數(shù)據(jù)集上的表現(xiàn)情況,實(shí)驗(yàn)分別進(jìn)行了認(rèn)證準(zhǔn)確率CA和C＆W攻擊下定位準(zhǔn)確率ACC的比較評(píng)價(jià)。圖10和圖11給出了2個(gè)數(shù)據(jù)集上,當(dāng)L=0.03時(shí),AdvILoc與基于PixelDP的室內(nèi)定位模型在認(rèn)證準(zhǔn)確率CA及C＆W攻擊下定位準(zhǔn)確率ACC的對(duì)比結(jié)果。其中,Baseline-本文方法表示當(dāng)L=0時(shí)優(yōu)化的室內(nèi)定位模型,Baseline-Pixel和Baseline-PixelDP表示當(dāng)L=0時(shí)基于PixelDP的室內(nèi)定位模型,本文方法表示優(yōu)化后基于ε-RssDP的抵御對(duì)抗樣本攻擊的室內(nèi)定位模型,Pixel和PixelDP表示基于PixelDP構(gòu)建的抵御對(duì)抗樣本攻擊的室內(nèi)定位模型。

圖11 C＆W攻擊下AdvILoc與基于PixelDP的室內(nèi)定位模型定位準(zhǔn)確率的對(duì)比Fig.11 Comparison of localization accuracy between AdvILoc under C＆W attack with indoor localization model based on PixelDP

從圖10(a)、(b)中可以看出,在Mall數(shù)據(jù)集上,魯棒性閾值T=0.01時(shí)Baseline-本文方法的認(rèn)證準(zhǔn)確率CA比Baseline-PixelDP低8%;而在UJIIndoorLoc數(shù)據(jù)集上,Baseline-本文方法的認(rèn)證準(zhǔn)確率CA比Baseline-Pixel高3%。但是,隨著魯棒性閾值T的不斷增大,由于Dropout層及模型參數(shù)正則化模型優(yōu)化措施,在2個(gè)數(shù)據(jù)集上,本文方法的認(rèn)證準(zhǔn)確率CA較PixelDP和Pixel下降均更加平穩(wěn),且在Mall數(shù)據(jù)集上,當(dāng)T=0.01時(shí)本文方法的認(rèn)證準(zhǔn)確率CA仍可達(dá)到43.9%,即本文方法在攻擊大小為0.01的C＆W攻擊下最小精度仍可取得43.9%。在UJIIndoorLoc數(shù)據(jù)集上,當(dāng)魯棒性閾值T=0.013時(shí)本文方法的認(rèn)證準(zhǔn)確率CA仍可達(dá)到69.9%,即本文方法在攻擊大小為0.013的C＆W攻擊下最小精度仍可取得69.9%。然而,當(dāng)魯棒性閾值T=0.007及T=0.01時(shí),PixelDP和Pixel的認(rèn)證準(zhǔn)確率CA已降為0。因此,在面向?qū)箻颖竟魰r(shí),本文方法魯棒性更強(qiáng),防御效果更佳。

從圖11(a)、(b)中可以看出,C＆W攻擊下,在2個(gè)數(shù)據(jù)集上,隨著攻擊大小Lattack不斷增大,Baseline-本文方法定位準(zhǔn)確率比Baseline-PixelDP和Baseline-Pixel下降更加平穩(wěn)。其中,在Mall數(shù)據(jù)集上,當(dāng)攻擊大小Lattack＜0.01時(shí),本文方法比PixelDP下降更平穩(wěn)。雖然,當(dāng)攻擊大小Lattack＞0.055時(shí),PixelDP定位準(zhǔn)確率高于本文方法,但是最終定位準(zhǔn)確率相差小于1%;在UJIIndoorLoc數(shù)據(jù)集上呈現(xiàn)了相近的實(shí)驗(yàn)結(jié)果,當(dāng)攻擊大小Lattack=0.5時(shí),Baseline-本文方法比Baseline-Pixel下降更平穩(wěn),且當(dāng)攻擊大小Lattack＜0.9時(shí),相較于Pixel,本文方法取得更加良好的表現(xiàn)。雖然當(dāng)0.9＜Lattack＜1.2時(shí),Pixel準(zhǔn)確率高于本文方法,但最終定位準(zhǔn)確率相差小于5%。

表3給出了AdvILoc與基于PixelDP的室內(nèi)定位模型計(jì)算效率的對(duì)比。可以看出,在2個(gè)數(shù)據(jù)集上,Pixel與本文方法的訓(xùn)練時(shí)間和測(cè)試時(shí)間相近,在Mall數(shù)據(jù)集上本文方法的模型訓(xùn)練時(shí)間比Pixel僅高0.9702s,這是因?yàn)橄噍^Pixel,本文方法添加了Dropout層及模型參數(shù)正則化對(duì)模型進(jìn)行了優(yōu)化,所以訓(xùn)練時(shí)間較長(zhǎng)。在UJIIndoorLoc數(shù)據(jù)集上,本文方法的訓(xùn)練時(shí)間比Pixel僅低0.1800s,這是因?yàn)橄噍^Mall數(shù)據(jù)集,UJIIndoor-Loc數(shù)據(jù)集規(guī)模更大,且Pixel沒有池化層對(duì)特征進(jìn)行壓縮,所以相較于本文方法全連接層進(jìn)行線性計(jì)算時(shí),時(shí)間更長(zhǎng)。但在2個(gè)數(shù)據(jù)集上,2種方法的測(cè)試時(shí)間基本相近。

表3 AdvILoc與基于PixelDP的室內(nèi)定位模型計(jì)算效率對(duì)比Table3 Comparative evaluation of calculation efficiency between AdvILoc and indoor localization model based on PixelDP

綜上,相較于基于PixelDP的室內(nèi)定位模型,AdvILoc在保證時(shí)間開銷的同時(shí),泛化能力、魯棒性更優(yōu)。

4.4.4 不同室內(nèi)定位深度學(xué)習(xí)模型魯棒性比較

為了驗(yàn)證AdvILoc網(wǎng)絡(luò)ε-RssDP的有效性,與基于CNN[8]、MLP[7]室內(nèi)定位模型進(jìn)行了比較。圖12和圖13給出了2個(gè)數(shù)據(jù)集上,在L=0.03的條件下,ε-RssDP與CNN[8]、MLP[7]室內(nèi)定位深度學(xué)習(xí)模型的認(rèn)證準(zhǔn)確率和C＆W攻擊下模型定位準(zhǔn)確率的對(duì)比實(shí)驗(yàn)結(jié)果。其中,Baseline-本文方法表示當(dāng)L=0時(shí)的ε-RssDP;Baseline-MLP表示當(dāng)L=0時(shí)基于文獻(xiàn)[7]的室內(nèi)定位模型;Baseline-CNN表示基于當(dāng)L=0時(shí)基于文獻(xiàn)[8]中的深度學(xué)習(xí)網(wǎng)絡(luò)構(gòu)建的室內(nèi)定位模型,本文方法表示ε-RssDP,MLP表示基于文獻(xiàn)[7]深度學(xué)習(xí)網(wǎng)絡(luò)構(gòu)建的抵御對(duì)抗樣本攻擊的室內(nèi)定位模型,CNN表示基于文獻(xiàn)[8]深度學(xué)習(xí)網(wǎng)絡(luò)構(gòu)建的抵御對(duì)抗樣本攻擊的室內(nèi)定位模型。

圖12 ε-RssDP與基于CNN、MLP的室內(nèi)定位深度學(xué)習(xí)模型認(rèn)證準(zhǔn)確率的對(duì)比Fig.12 Certified accuracy between ε-RssDP and indoor localization DL model based on CNN and MLP

圖13 C＆W攻擊下ε-RssDP與基于CNN、MLP的室內(nèi)定位深度學(xué)習(xí)模型定位準(zhǔn)確率的對(duì)比Fig.13 Comparison of positioning accuracy between ε-RssDP and indoor localization DL model based on CNN and MLP network under C＆W attack

從圖12(a)中可以看出,在Mall數(shù)據(jù)集上,Baseline-本文方法、Baseline-CNN與Baseline-MLP的認(rèn)證準(zhǔn)確率CA相近,均達(dá)到了55%以上。隨著魯棒性閾值T的不斷增大,當(dāng)T=0.011時(shí),本文方法與CNN的認(rèn)證準(zhǔn)確率CA已降為0,而當(dāng)T=0.016時(shí),MLP的認(rèn)證準(zhǔn)確率CA才降為0。這是因?yàn)?雖然在網(wǎng)絡(luò)結(jié)構(gòu)上相較于MLP,本文方法、CNN添加了卷積層、池化層來提升模型提取特征的能力,但是Mall數(shù)據(jù)集的規(guī)模較小、特征較少,本文方法、CNN中學(xué)習(xí)到卷積層提取出的特征相較MLP學(xué)習(xí)的少,使本文方法、CNN模型的泛化能力較差。然而,當(dāng)T＜0.011時(shí),本文方法、CNN模型的認(rèn)證準(zhǔn)確率CA均遠(yuǎn)大于MLP,達(dá)到40%以上,甚至本文方法的認(rèn)證準(zhǔn)確率CA達(dá)到了最大。從圖12(b)中可以看出,在UJIIndoorLoc數(shù)據(jù)集上,由于數(shù)據(jù)集特征多樣且豐富,Baseline-本文方法與Baseline-CNN的認(rèn)證準(zhǔn)確率相近,均達(dá)到了78%以上,但Baseline-MLP的認(rèn)證準(zhǔn)確率不足50%。隨著魯棒性閾值T不斷增大,本文方法的認(rèn)證準(zhǔn)確率始終比CNN、MLP方法下降更平穩(wěn),且當(dāng)T=0.012時(shí),本文方法的認(rèn)證準(zhǔn)確率仍可達(dá)到68.9%。綜上,相較于CNN、MLP,本文方法魯棒性更強(qiáng),抵御對(duì)抗樣本攻擊的效果更佳。

從圖13(a)可以看出,在Mall數(shù)據(jù)集上,C＆W攻擊下,隨著攻擊大小Lattack不斷增大,Baseline-本文方法曲線和Baseline-CNN曲線均低于Baseline-MLP曲線,且本文方法、MLP下降趨勢(shì)相近且比CNN平穩(wěn),但一直低于MLP。這同樣是因?yàn)楸疚姆椒āNN添加了卷積層、池化層來提升模型提取特征的能力,但是Mall數(shù)據(jù)集的規(guī)模較小、特征較少,本文方法、CNN中學(xué)習(xí)到卷積層提取出的特征相較MLP少,使本文方法、CNN模型的魯棒性較差。但是同時(shí)有卷積層的本文方法和CNN,隨著攻擊大小Lattack不斷增大,本文方法的定位準(zhǔn)確率一直大于CNN的定位準(zhǔn)確率。從圖13(b)可以看出,在UJIIndoorLoc數(shù)據(jù)集上,C＆W攻擊下,隨著攻擊大小Lattack不斷增大,由于CNN在網(wǎng)絡(luò)結(jié)構(gòu)上比ε-RssDP多添加了一個(gè)卷積層,使得特征提取能力更優(yōu),Baseline-本文方法曲線比Baseline-CNN下降更快。但是,由于ε-RssDP中添加Dropout層及模型參數(shù)正則化措施來提升模型的性能和魯棒性,本文方法比CNN、MLP模型定位準(zhǔn)確率下降平緩。

表4給出了在2個(gè)數(shù)據(jù)集上,在L=0.03的條件下,ε-RssDP與CNN[8]、MLP[7]室內(nèi)定位深度學(xué)習(xí)模型的計(jì)算效率的對(duì)比實(shí)驗(yàn)結(jié)果。可以看出,在2個(gè)數(shù)據(jù)集上,Pixel與本文方法的模型訓(xùn)練時(shí)間和模型測(cè)試時(shí)間相近,在Mall數(shù)據(jù)集上,本文方法的模型訓(xùn)練時(shí)間比CNN高2.1505s,但是比MLP低0.3464s,這是因?yàn)橄噍^于本文方法、CNN,MLP的網(wǎng)絡(luò)架構(gòu)沒有卷積層、池化層對(duì)特征進(jìn)行提取與壓縮,且Mall數(shù)據(jù)集的規(guī)模較小、特征較少,所以全連接層進(jìn)行線性計(jì)算時(shí),MLP的時(shí)間開銷更多。然而,在UJIIndoorLoc數(shù)據(jù)集上,本文方法的模型訓(xùn)練時(shí)間比CNN僅高4.6698s,比MLP僅高4.0694s,這是因?yàn)檩^Mall數(shù)據(jù)集,UJIIndoorLoc數(shù)據(jù)集規(guī)模更大,本文方法與CNN經(jīng)過卷積層和池化層提取與壓縮后的特征數(shù)據(jù)較多,且本文方法進(jìn)行了Dropout與模型參數(shù)正則化優(yōu)化,所以本文方法的時(shí)間開銷較多,但是在2個(gè)數(shù)據(jù)集上,3種方法的測(cè)試時(shí)間開銷相近。

表4 ε-RssDP與基于CNN、MLP網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)建的室內(nèi)定位深度學(xué)習(xí)模型計(jì)算效率的對(duì)比Table4 Comparative evaluation of calculation efficiency between ε-RssDP and indoor localization DL model based on CNN and MLP network structure

綜上,ε-RssDP在認(rèn)證準(zhǔn)確率與C＆W攻擊下的模型定位準(zhǔn)確率方面均有較好表現(xiàn),且相較于CNN、MLP,ε-RssDP在保證時(shí)間開銷的同時(shí),模型魯棒性更強(qiáng)。

5 結(jié) 論

1)針對(duì)基于深度學(xué)習(xí)的RSS指紋室內(nèi)定位方法易遭受對(duì)抗樣本攻擊導(dǎo)致模型魯棒性不高甚至失效的問題,本文設(shè)計(jì)了一種基于隱藏式安全保護(hù)的RSS指紋室內(nèi)定位深度學(xué)習(xí)模型,結(jié)合DP、正則化和Dropout防御技術(shù),提高了模型的魯棒性,能有效抵御對(duì)抗樣本攻擊。

2)給出了對(duì)所提方法的安全性理論分析,證明了所提方法能夠提供嚴(yán)格魯棒性認(rèn)證的ε-DP保護(hù),使攻擊者無法通過對(duì)抗樣本對(duì)模型的輸出產(chǎn)生影響,確保了模型的有效性。

3)實(shí)驗(yàn)結(jié)果表明,與基于MLP、CNN的室內(nèi)定位方法相比,所提方法在保證時(shí)間開銷和模型性能的情況下,提高了模型的魯棒性;在滿足l2范式規(guī)范的C＆W攻擊下,隨著攻擊大小不斷增大,模型的定位準(zhǔn)確率下降更平穩(wěn)。

后續(xù)工作將深入研究隱私預(yù)算ε與約束攻擊界限L之間的關(guān)聯(lián)性及其對(duì)模型性能的影響,在模型噪聲層添加更為合理的隨機(jī)噪聲,在保證模型魯棒性的同時(shí)提高模型的定位性能。