基于Grad-CAM的電磁信號對抗攻擊方法*

周 俠 張一然 張 劍

（武漢數字工程研究所 武漢 430205）

1 引言

隨著現代戰爭的不斷發展，戰場空間的信息交互越來越依賴電磁頻譜，電磁空間已經成為了現在及未來作戰體系的重要支撐。深度神經網絡（Deep Neural Network，DNN）因其具有自動特征提取和高度非線性擬合等優勢，進而被廣泛應用于圖像識別［1］等領域。電磁信號調制識別是無線通信中的重要一環，在軍事上有著廣泛的應用。為提升軍事智能化，研究人員利用DNN 對電磁信號的調制方式進行識別。然而，研究表明深度神經網絡模型容易受到對抗樣本的影響，其中也包括了面向電磁信號識別的神經網絡模型。向原始樣本數據中添加人為構造的細微擾動，生成使得神經網絡模型出現巨大決策錯誤的樣本稱為對抗樣本，然而該樣本有著很好的視覺干擾性，人眼不易察覺。

為了能夠有效攻擊敵方智能模型，提升我方智能攻擊水平，本文利用神經網絡可解釋方法Grad-CAM（Gradient-weighted Class Activation Mapping）找尋數據樣本中的關鍵特征點，然后在選取的特征點上添加擾動生成對抗樣本。實驗證明，根據特征顯著圖進行特征攻擊能夠在改動較少特征點的情況下完成對抗攻擊，顯著提升了對抗樣本的隱蔽性。

2 相關工作

2.1 電磁信號調制識別

目前，利用DNN 對電磁信號進行調試識別主要基于信號序列和基于圖像兩個方面?；谛盘栃蛄校琌'Shea等［2］在2016年首次將CNN模型用于電磁信號調制識別，該模型以信號數據的時間同相和正交（In-phase and Quadrature，IQ）序列作為輸入，以調制方式為輸出。2018年，O'Shea 等［3］在原來的研究基礎上，將殘差網絡［4］（Residual Network，ResNet）進行調整用于適用電磁信號數據的數據維度，提出了基于ResNet的電磁信號調制識別模型。

由于DNN 在圖像識別領域的優越性能，研究人員便考慮將電磁信號數據轉換成圖像進而使用傳統面向圖像識別的高性能網絡模型［5～6］。

2.2 對抗樣本生成

早在2013年，Szegedy 等［7］便提出了“對抗樣本”（Adversarial Examples）的概念。2015年，Goodfellow 等［8］分析了深度網絡訓練時的目標，即通過梯度下降最小化損失函數，而對抗攻擊的目標則與之相反，因此可以增大目標函數的損失進而完成攻擊。基于該思想，提出了快速梯度符號攻擊方法（Fast Gradient Sign Method，FGSM），該方法通過在梯度下降的反方向添加擾動生成對抗樣本。為了生成隱蔽性更好的對抗樣本，Kurakin 等［9］在FGSM的基礎上進行多步少量的擾動添加優化，提出了基本迭代法（Basic Iterative Method，BIM）即在每次迭代中添加少量的擾動信息，直到生成使得模型分類錯誤的對抗樣本。

總而言之，對抗樣本攻擊過程可以形式化如式（11）所示，該過程也可以理解為尋找對抗擾動η的過程。

2.3 可解釋方法

以圖像識別為例，可視化解釋根據圖像解釋區域的視覺表示可分為基于梯度的解釋方法和基于熱力圖的解釋方法?；谔荻鹊目梢暬忉尫椒ㄒ蕴囟悇e的預測分數或高層的特征圖為起點，計算其關于輸入的梯度來獲得每個像素對于預測結果的重要性，進而通過可視化得到解釋結果。

基于熱力圖的解釋方法，利用卷積層的輸出（特征圖）作為對模型進行解釋的原始信息，通過計算特征圖的權重，對特征圖進行加權求和，再經過ReLU 激活函數得到最終的解釋結果。2016年，Zhou 等［10］最先提出CAM（Class Activation Mapping）方法，該方法需連接一個全局平均池化層，并重新訓練模型，然后通過每一類的輸出得分計算得到每個特征圖的權重。由于需改變模型結構進行重新訓練，因此它的靈活性較差，代價高。受CAM 的啟發，Selvaraju等［11］提出了Grad-CAM，使用特定類別的預測分數關于特征層的梯度來計算權重，且不用改變模型結構，比CAM更具泛化性。

2.4 電磁信號對抗樣本

當前面向電磁信號領域的對抗樣本研究還處于起步階段，2019年Sadeghi 等［12］首次嘗試將對抗樣本引入電磁信號調試識別領域，證實了基于深度學習的電磁信號識別模型依舊容易受到對抗樣本影響。2020年，Zhao 等［13］進一步將Nesteroy Adam應用到該領域，生成了與原始樣本更為接近的對抗樣本。2021年，王超等［14］基于FGSM 對目標模型的特征空間進行攻擊，提出了激活攻擊方法。

然而這些對抗樣本生成方法缺乏特異性，使得攻擊的目的性不強，在進行攻擊時往往需要改動大量數據點。為了加強特征攻擊，本文將神經網絡可解釋性方法Grad-CAM 引入對抗樣本生成中，通過Grad-CAM 生成特征顯著圖，根據顯著圖選取顯著特征點進行迭代添加擾動，直到生成對抗樣本。

3 基于Grad-CAM的迭代攻擊算法

3.1 Grad-CAM原理

Grad-CAM 的原理如圖1所示，將圖像x輸入到模型F中獲取每一類別的logits得分，如式（2）所示，其中θ表示模型參數，yc表示類別c 的logits 得分。

圖1 Grad-CAM原理

由神經網絡特性可知，目標網絡F從輸入圖像x提取的最高層特征圖(A1，A2，...，Ak)在卷積層和全連接層之間達到了平衡，具有較好的類別區分性，因此可以使用最高層特征圖來定位感興趣的目標。具體地，Grad-CAM可形式化描述為

其中，Ak表示最高層特征圖的第k個通道，表示該通道的權重，其計算公式為

其中，Ak，i，j表示第k 個通道位于()i，j的元素，Z 表示歸一化因子。由于通道權重是從類別c 的導數得來的，因此通道權重含有類別c 的相關信息，這也是Grad-CAM 能夠針對不同決策結果進行解釋的主要原因。

3.2 本文GC-BIM攻擊方法

由圖2所示，本文所提的基于Grad-CAM 的迭代攻擊方法GC-BIM 主要分為兩大步驟：1）選擇攻擊目標t，并根據模型F 對于樣本x 在目標t 上的分類得分計算Grad-CAM 顯著圖；2）根據顯著圖選擇數據點迭代添加擾動，直到生成對抗樣本。

圖2 基于GC-BIM的迭代攻擊流程圖

3.2.1 計算Grad-CAM顯著圖

首先將樣本x 輸入到模型F 中，得到每一類別的得分，然后選擇一個攻擊目標t，根據類別t 的得分反向計算最高層特征圖的權重信息：

然后根據該權重值對特征圖進行加權疊加，經過ReLU激活得到顯著特征圖：

為了減少特征點的選取數量，此時將ReLU 的另一個參數設為δ(δ＞0)以便對特征圖進行二值化處理，即大于的特征點上添加擾動。

3.2.2 生成對抗樣本

在由3.2.1 節得到擾動特征點之后，計算擾動的方向d，根據式（7）計算出模型F 的損失函數L 對于樣本x在類別t上的損失梯度，然后取符號信息。

為了使得增加類別t 的分類得分，在方向d 上進行梯度下降操作，即當d 為正時，擾動方向為負，當d 為負時，擾動方向為正，因此擾動迭代添加擾動為

具體GC-BIM算法過程如下：

4 實驗結果及分析

4.1 實驗設置

4.1.1 數據集

本文實驗在華為開源深度學習框架Mindspore1.6.2 的環境下進行，使用GPU 版本為CUDA11.1。

為了驗證本節所提目標對抗攻擊算法的有效性，受攻擊模型采用基于信號序列的深度學習自動識別模型，而基于信號序列的識別模型使用的數據集為O'SHEA等人構建的公開數據集2018.01.OSC，因此本節實驗也在此數據集上進行。數據集組成結構如圖3所示。

圖3 數據集組成結構

該數據集以調制方式為分類類別，包含24 個類別，也即24 種調制方式。其中，每種調制方式又包含了26 種信噪比（SNR∈［-20dB，30dB］，步長2dB），每種信噪比包含4096條數據，每條數據包含同相和正交波形序列（In-phase and Quadrature），每個序列包含1024 個數據點。實驗中將該數據集按7：3 隨機劃分為訓練集和測試集，為了驗證攻擊的有效性，僅使用測試集中的數據進行添加對抗擾動。

數據集可視化如圖4所示。

圖4 數據集可視化

4.1.2 被攻擊模型

對抗攻擊的目標模型是反映攻擊效果的關鍵，在選擇目標模型時應當選擇表現良好、穩定的模型結構，如果目標模型本身識別正確率不高，那么攻擊也就失去了意義。因此本文選取文獻［2］中搭建的CNN 網絡模型和文獻［3］中設計的ResNet 網絡模型。

具體地，CNN模型結構以電磁信號序列為模型輸入，調制方式為模型輸出。其結構如圖5所示，該模型包括1 個輸入層、7 個卷積層、7 個池化層和3 個全連接層，FC1 和FC2 后面緊跟SeLU 激活函數，FC3使用Softmax激活函數最終得到模型輸出。

圖5 CNN結構

ResNet模型同樣以電磁信號序列為輸入，調制類型為輸出，其模型結構如圖6所示，其中包含了1個輸入層、6個殘差模塊和3個全連接層。同樣地，ResNet 模型的前兩個全連接層采用SeLU 激活函數，而FC3 采用Softmax 激活函數。如圖7所示，其中每個殘差塊包含了1 個1×1 的線性卷積層、2 個殘差單元和1個最大池化層。殘差單元包含了1個連接ReLU激活函數的卷積層和1個線性卷積層。

圖6 ResNet結構

4.2 實驗結果及分析

為了評估本文對抗攻擊算法的優越性，引入如下指標：對抗樣本與樣本結構相似度（SSIM），擾動比率（L0）單個樣本耗時（ATC）。

在CNN 模型和ResNet模型上的攻擊結果如表1所示。

如表1所示，CNN 模型在受到攻擊時，準確率從88.6%急劇下降，而ResNet 模型也從92.6%出現了不同程度的下降，由此可見深度神經網絡模型容易受到對抗樣本的影響。

表1 基于Grad-CAM的對抗攻擊結果

SSIM 反映的是樣本之間的相似度，該值越高，則二者越相似。對比SSIM 可以發現，本文所提GC-BIM 算法的結果由于傳統的FGSM、PGD 和BIM 等算法，這是由于引入例如Grad-CAM 顯著圖，使得添加擾動時更有目的性，從顯著圖中選取顯著特征點迭代進行擾動添加，避免了在無關位置上引入額外擾動，使得對抗樣本與原始樣本更為相似。

L0指標反映的是樣本中平均改動的數據點的數量，從表中可知，本文所提算法能夠有效較少特征數量的選取，促進了結構相似度SSIM的提升。

對比ATC 可知，本文算法GC-BIM 需要更多輪迭代才能生成對抗樣本，速度相較其他算法而言較慢，但其效果更好，隱蔽性更高，這種時間代價是值得的。

5 結語

為提升我方智能攻擊水平，本文將深度神經網絡可解釋性方法Grad-CAM 引入到電磁信號識別領域的對抗樣本生成中，提出了GC-BIM 攻擊算法，通過Grad-CAM 顯著圖找出對促進攻擊類別t分類的關鍵區域，然后根據該顯著圖選取關鍵特征進行擾動添加，實驗證明該方法能夠在保證攻擊成功率的同時有效減少對原始樣本的改動，雖然增加了時間開銷，但是結構相似度SSIM 較傳統攻擊算法FGSM等提升了20%左右。