[发明专利]一种面向信号采样梯度攻击的防御方法

说明书

本发明公开了一种面向信号采样梯度攻击的防御方法，包括：(1)筛选待攻击的无线信号；(2)随机采取无线信号中任意方向上若干采样信号点；(3)对每个采样信号点进行偏移，获得估计样本；(4)利用估计样本计算采样信号点的损失函数和梯度信息；(5)根据梯度信息划分重要样本像素点；(6)在设置像素阈值范围内，对重要样本像素点进行采样梯度攻击；(7)重复步骤(2)～(6)，不断迭代寻找最优的扰动及对抗样本；(8)将获得的对抗样本添加到训练样本集中，利用训练样本集对信号分类模型进行训练，以获得新信号分类模型；(9)利用新信号分类模型对待分类信号进行分类，以实现对攻击的防御。

技术领域

本发明属于人工智能领域的深度学习算法与数据的安全领域研究领域，具体涉及一种面向信号采样梯度攻击的防御方法。

背景技术

深度学习受神经科学启发而来，可以通过学习和计算大量数据的潜在联系，获得比一般算法更准确的分类结果，具有强大的特征学习能力和特征表达能力。深度学习的核心是利用参数庞大的神经网络进行特征抽取，典型的神经网络有卷积神经网络(CNN)和循环神经网络(RNN)，分别适用于处理图像数据和时序数据。

在历年的ImageNet竞赛中，卷积神经网络从AlexNet、VGGNet不断发展成ResNet、InceptionNet，在图像分类任务中展示出强大的性能。此外，在目标检测任务中，如基于R-CNN，Fast R-CNN等基于卷积神经网络的目标检测模型，也都实现了比传统目标检测器先进的检测效果。在时序数据处理任务中，如视频序列数据、文本数据、音频数据等，循环神经网络展现了良好的序列特征维度的抽取能力，作为RNN的一种特殊形式，长短时记忆网络(LSTM)可以学习序列数据的长期依赖信息，从而能够实现自然语言翻译、语音识别、音乐合成、天气预测等功能。

近年来，深度学习除了在图像、语音、文本等数据处理任务中实现了良好的性能，也逐渐被研究人员引入无线电数据处理领域。无线电信号是指在所有自由空间中传播的电磁波，属于波普中的一个有限频带，根据国际电信联盟规定，频率范围一般为3KHz～300GHz。无线电信号数据处理任务包括信号调制、信号解调、信号压缩、信号编码等。

虽然深度学习在各个领域都表现出很强大的能力，但是szegedy等人发现，深度模型很容易对某些细微的扰动出现错误的判断。这些细小的扰动对于人类来说是几乎无法察觉的，但却可以使得深度模型分类错误，甚至对错误的分类结果表现出很高的置信度。这种现象便会容易使得模型在无线电数据处理过程中出现差错，造成信号传输不安全的问题。除了信号传输的安全保密问题，无线电信号还存在信息冗余问题和噪声干扰问题。因此，在本身就存在干扰的基础上，保证模型有一个抵抗对抗样本攻击的能力，是及其重要的。

对于一些能够较为准确区分无线信号调至类型的黑箱模型而言，虽然内部结构的不可见已经大大增加了攻击的困难性，但是目前已经存在了多种攻击方法对黑盒展现出强大的攻击能力。因此，提高黑箱模型对黑盒攻击的防御能力就及其重要。同时，通过梯度采样攻击，判断攻击效果危害的严重性，也是我们评估防御效果好坏的一个重要决定因素。

综上所述，如何对梯度采样攻击完成再现，得到效果更好的对抗样本，并利用对抗样本加入模型再训练，以提高模型的鲁棒性，在提升LSTM黑盒模型防御能力方面上有着极其重要的理论与实践意义。

发明内容

为了提高信号分类模型对梯度采样产生的对抗样本的防御能力，本发明提供了一种面向信号采样梯度攻击的防御方法，该方法利用对抗样本训练的方法提高信号分类模型对无线信号对抗样本的识别效果，从而提高对对抗样本的防御效果。

本发明解决其技术问题所采用的技术方案是：

一种面向信号采样梯度攻击的防御方法，包括以下步骤：

(1)筛选待攻击的无线信号，以及确定该些无线信号的攻击目标类型；

(2)随机采取无线信号中任意方向上若干采样信号点；