对抗机器学习实现安全无线通信：先验与后验分析

⃝可在www.sciencedirect.com在线获取ScienceDirectICTExpress 8（2022）220www.elsevier.com/locate/icte通过对抗机器学习实现安全无线通信：先验与后验分析徐正海、朴相宇、姜俊赫大韩民国大田韩国高等科学技术学院电气工程学院接收日期：2021年3月7日;接收日期：2021年5月18日;接受日期：2021年6月18日2021年7月3日在线发布摘要本文考虑了由一个发送者、一个合法接收者和一个窃听者组成的无线通信系统。发射机发射具有特定调制类型的扰动添加信号（即对抗示例），而合法接收机和窃听者采用基于深度神经网络（DNN）的分类器来识别接收信号的调制类型。 相比针对对抗性示例的总体目标是所有可用分类器的错误分类这一事实，我们的目标是设计一个对抗性示例，该示例让合法接收者准确分类，而窃听者错误分类。为此，我们提出了两种对抗性示例的设计方法：（i）先验;（ii）后验，即分别在接收器的学习步骤之前和之后。数值结果表明，这两种方法是有效的通信链路的c2021韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词：无线通信;对抗性实例;机器学习;调制识别1. 介绍深度学习（DL）通常通过深度神经网络（DNN）实现，已经在工业和学术界的各种应用中取得了成功的发展[2]，包括计算机视觉（CV），语音和自然语言处理以及无线通信系统[3 与此同时，DL模型的漏洞已经出现在各个领域[7，8]。最常见的漏洞之一是对抗性示例，该示例通过添加小扰动来欺骗DNN模型，这导致人类对图像的感知存在不可否认的差异[7]。在[9他们中的大多数专注于攻击调制分类器[9，10]，同时也有人努力将对抗性示例应用于基于DL的应用，例如频谱感测[11]和通过自动编码器架构的端到端无线通信系统[12]。(Note自动编码器，而不是传统的通信块，这项工作在IEEE WCNC 2021上部分展示[1]。∗ 通讯作者。电子邮件地址：junghaa. kaist.ac.kr（J. Seo），sangwoop@kaist.ac.kr（S.Park），jhkang@kaist.edu（J.Kang）。同行评审由韩国通信和信息科学研究所（KICS）负责https://doi.org/10.1016/j.icte.2021.06.005由两个DNN组成，发送器处的编码器和接收器处的解码器[3，14]。一般来说，对抗性例子有两个不同的目的[7]。（i）它应该尽可能与原始图像相似，并且（ii）不应该在目标模型中被正确分类，该目标模型是对抗示例尝试的模型对...进行攻击在CV中，与原始图像相似意味着难以从人类感知中区分出来，而在无线通信系统中，这意味着非目标接收器（其是对抗示例不想对其进行攻击的合法接收器）可以正确地接收无线信号。大多数文献[9，10]将传统的基于通信理论的接收器视为合法接收器，并将其与基于DNN的目标接收器进行比较。由于发射机的目标是发送信号，使其只能从合法的接收器中恢复，而不是窃听器，我们的目标是设计一个对抗性的例子，被窃听器错误分类，而被正确分类的合法接收器。我们的贡献如下：首先，我们评估基于传统的对抗性示例设计的对抗性信号在基于DNN的调制分类器上的性能，以了解这种设计的信号可以欺骗窃听者。2405-9595/2021韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。J. 徐氏Park和J.康ICT Express 8（2022）220221∈--∈∈MM=+∈=+=+L··M·L·M∈ {}：×→∈=+Fig. 1. 具有一个发射器、一个合法接收器和一个窃听器的系统模型的图示。发射机发射调制信号和扰动信号。接收方和窃听方都采用基于DNN的接收方。所考虑的安全通信系统的目标是使合法的接收器能够准确地分类信号，同时迫使窃听者不能正确地接收信号之后，为了保证合法接收者的安全传输，我们为这个合法接收者训练了一个新的模型通过对抗训练，这是一种将对抗和干净示例的混合物视为训练数据集的训练技术[15]。其次，我们比较了一种新的对抗信号设计，该设计同时防止窃听者对正确的调制方案进行分类，同时确保合法接收器我们称这两种方法为先验和后验方法，即分别在合法接收者的学习步骤之前和之后数值结果表明，先验方法表现出更好的性能，由于额外的学习步骤的合法接收器，而后验具有实际的力量，因为它可以应用于任何固定的接收器，不需要任何额外的学习步骤。本文其余部分的组织结构如下：第2节介绍了系统模型和提出的方案，第3节给出了实验和结果。第四节是论文的总结。2. 系统模型我们考虑一个无线通信系统，包括一个发射机，一个合法的接收机，和一个窃听器。发射机利用如图1所示的调制类型之一来发送添加扰动的信号，即对抗性示例，而合法接收机和窃听者对接收到的信号应用预先训练的基于DL的分类器以估计在发射机处使用的调制方案。由于我们对合法接收者和窃听者都采用基于DNN的分类器，为了使提出的对抗信号设计正常工作，我们要求这些预先训练的基于DL的分类器具有不同的实现，由于深度学习的随机性，这通常是正确的[16]，例如，随机梯度下降（SGD）。最后，我们进一步假设发射机知道合法接收机和窃听者的这些预训练模型，而合法接收机可以在发射机的帮助下调整其模型，而窃听者不能，这是物理层安全领域的一般假设[17]。大多数基于同相和正交相位（IQ）的调制信号分类器获取信号快照x，并尝试输出最可能的调制类型y[9，10]，其中代表所有可能的调制类型的集合通常，调制信号x可以通过L抽头无线信道hi∈{bob，eve}∈CL发送，以产生每个接收器i bob，eve的接收信号ri∈{bob，eve}.在整篇文章中，我们把鲍勃称为合法的接收者，把夏娃称为窃听者。在频率平坦衰落信道模型下，即.hiC1，则接收信号ri可以表示为rihi x n，其中nCp是零均值复加性高斯白噪声（AWGN）。类似地，当我们发送对抗示例x′时，接收到的信号r i′ 可以描述为ri′hi x′n。 假设发射器已知关于所有可用接收机的完美信道状态信息，接收信号可以被推断为通过AWGN信道的信号。即r iXn和r i′x′n.在这种假设下，完美的信道信息知识-边缘，在本文的剩余部分，我们将信道建模为AWGN。值得注意的是，依赖于基于不完美信道估计[13]或通过元学习[6，18]的可用导频的特定信道信息的高级技术可以源于我们的基本AWGN考虑。因此，我们在接收器和窃听器处的基于DNN的调制分类器通过求解argmin[L（f（ri，θi），y）]，（ 1）θi其中，θiΘ表示针对i bob，eve的基于DNN的接收机的参数向量，而f（ri，θ）R2pΘ表示从接收信号Ri到调制类型In的映射函数，并且（i）代表损失函数。这种损失函数（，），如分类交叉熵[16] ， 通 常 与 优 化 器 （ 如 SGD [16] 或 自 适 应 矩 估 计（Adam）[19]）结合使用，以训练DNN，从而学习网络参数θ。最近的调制识别方法显示出利用DL中的进步的高准确率[3]。2.1. 对抗性示例通常，对抗性示例是通过采用原始训练过程的逆过程来制作的。关键思想是最大化（1）中关于对抗样本x′的损失函数，J. 徐氏Park和J.康ICT Express 8（2022）220222]·[客户端]− } −前夕2−max{Zeve（re′ve）k：k=y}−Zeve（re′ve）y]以降低模型的准确性。因此，我们可以通过求解来获得对抗示例x′。argmax[L（f（r ′，θ），y）].（二）'x在实践中，解决这个问题是棘手的[9]。因此，已经提出了近似方法，例如快速梯度符号方法（FGSM）[15]和Carlini Wagner（CW）攻击[20]。在本文中，我们采用CW攻击的建议计划，而不是FGSM，把扰动大小作为预定义的约束。C W攻击联合优化了两种攻击功率和扰动大小，2.3. 后验方法：合法接收者设计对抗性示例设计在这项工作中，我们假设DNN分类器信息的合作接收器和窃听者是已知的发射机，而窃听者的接收器具有类似的DNN分类器，这是不完全相同的合法接收器。因此，我们可以通过制作一个对抗性的例子来解决我们的问题，这个例子被合法的接收者准确地分类，而被窃听者错误地分类。为了实现这个目标，我们提出了一个优化问题，该优化问题如下生成加扰信号x[′ ′]'xar gmax[−L（fbob（rb′ob;θbob），y）argmaxL（f（r，θ），y）−λ·x-x2、（3）x′+L（feve（r′;θ）.y）−λ·<$x′−x<$]，（7）[21]以小见大，以小见大，以小见大。一λ上的二进制搜索可以用来找到导致成功攻击的最小附加扰动x′。这种方法对目标DNN的攻击准确率高于FGSM，FGSM也可以攻击防御性蒸馏DNN [20]。2.2. 先验方法：对抗性示例设计合法接收机设计与（4）和（5）中类似，我们通过以下公式近似（7）：迭代方法，将x′更新为x′←x′−<$x′Lall（x′）（8）哪里Lall（x′）=λ·<$x′−x<$2（9）+[max{Zbob（rb′ob）k：k=y}−Zbob（rb′ob）y首先，基于上述定义，我们生成如（3）中所述的通过CW攻击为窃听者定制的对抗示例x′。由于解决（3）在实践中是困难的，我们使用基于梯度优化更新x′的迭代方法，x′←x′−<$x′Leve（x′），（4）哪里Leve（x ′）=λ·<$x ′−x <$2− max{Z（r′）k：k=y} −Z（r′）y（5）是基于softmax层之前DNN的输出的损失函数，即Z（），其不必遭受两个损失之间的梯度幅度不平衡问题（一） x′x2;（ii）max Z（r′）kk yZ（r′）y[20].一旦找到这个对抗性的例子，分类器通过解决以下问题，使用干净训练数据集x和对抗样本x′的混合来学习合法接收器的fbob（r，θargmin[αL（f（r，θ），y）+（1−α）L（f（r，θ），y）]（ 6）S.T. r =argmax[L（f eve（r ′，θ），y）−λ·x ′−x]+n，→θ其中参数λ >0平衡最大化的目标，前夕J. 徐氏Park和J.康ICT Express 8（2022）220223′−−−==值得注意的是，如果max{Zbob（rb′ob）k：k ≠ 0，则攻击是安全的。y}−Zbob（rb′ob）y<0和max{Zeve（re′ve）k：k=y}−Z eve（reve）y> 0。3. 实验与结果为了评估所提出的方案，我们使用[23]中的数据集和文献[4]中常用的DNN分类器的视觉几何组（VGG）架构。这种架构的变体，例如卷积长短期深度神经网络（CLDNN）[24]或轻量CNN [25]，也可以被考虑通过直接应用所提出的方案来分别提高整体性能或采用轻量系统。每个样品 在所考虑的数据集中由1024个复值I/Q数据点组成以表示实部和虚即，每个样本具有（1024，2，1）的维度。该数据集包括200万个样本，其中在信噪比（SNR）范围内收集了24个调制，20 dB以2 dB为增量增加到30 dB。由于分类器准确度对于极低SNR是相当差的，例如，在10 dB以下，我们选择从10 dB到30 dB的数据集。首先，为了评估先验方法，窃听者（eve）的基于DNN的分类器，其被假设为前夕x′2.具有与合法的类似的最先进的架构接收器（Bob）首先被训练。然后我们生成对抗性的其中，r′代表在平衡参数α >0下由（4）找到的相对于发射的对抗信号x′我们选择α 0。5，以便将干净和对抗信号同等地用于对抗训练[22]。直接在eve的分类器上工作的示例，并且还使用干净的训练数据集和基于（6）的这些对抗性示例的混合来训练bob的分类器，其中α0。5. 图图2（a）呈现了具有对抗性示例的Bob和Eve在SNR变化上的J. 徐氏Park和J.康ICT Express 8（2022）220224≥图二、（ a）先验方法的分类准确度;（b）关于SNR 的后验方法。结果表明，窃听者错误地分类了敌对的例子，而合法的接收器执行当SNR高于5分贝。接下来，我们准备了两个分类器，在bob和eve的纯信号上进行了预训练，用于评估后验方法：一种新的信号设计。每个分类器采用相同的结构设计，训练顺序和训练集的批量大小是随机选择的，以确保不同分类器之间有不同的超参数。一旦找到这些分类器，我们通过（8）用100次迭代制作关于两个分类器的对抗性示例，以便比较分类器对SNR变化的准确性。当给定原始样本时，即没有对抗样本时，两个分类器的分类精度随着信噪比的增加而增大另一方面，当考虑对抗性样本时，bob的分类准确率在高SNR状态下高于50%，即，SNR为5dB，但eve的分类精度低于10%，如图2（b）所示。在较低的SNR状态下，由于对抗性扰动不能与噪声区分开，所以两种模型的准确度都很低。如图2所示，先验方法，即对抗训练，比后验方法更准确。这个结果是显而易见的，因为合法的接收器是由包含对抗性示例的数据集训练的。然而，由于接收器是在生成对窃听者的分类器起作用的对抗性示例之后被训练的，因此与基于预先训练的分类器生成对抗性示例的后验方法相比，额外地需要学习时间。值得注意的是，合法接收方的错误分类这种性能下降，特别是在后验方法中，可以通过增加对抗信号设计的训练迭代来减轻，这是通过损害通信系统的延迟来实现的，即，在发送器侧增加延迟。为了研究延迟和性能之间的这种权衡，在图1中， 三、图三. 对抗性样本设计的后验方法相对于训练迭代次数的分类精度（7）。分类准确度在0 dB至30 dB范围内的SNR上平均我们得到的后验方法的分类精度与增加的训练迭代次数。图3，我们显示了在0 dB至30 dB范围内SNR的平均分类准确度。bob和eve的分类准确率在20次迭代之前一直下降，但在20次迭代之后，bob的分类准确率上升。失真，这 是 衡 量 敌 对 的 例 子 和 原 始 信 号 之 间 的 均 方 误 差（MSE），随着迭代次数的增加而减少。这一结果表明，对抗性样本在微调时逐渐变得与原始信号相似。由于与原始信号相比失真非常小，如果使用传统接收器而不是基于DNN的接收器，则对抗示例将被准确分类，如[10]所示4. 结论我们考虑了安全的无线通信系统，其中基于DNN的合法接收器准确地侦听，而基于DNN的窃听器错误地分类调制类型，这导致在J. 徐氏Park和J.康ICT Express 8（2022）220225窃听者的一面为此，我们比较了两种方案，对抗训练方法（先验方法）和对抗样本设计（后验方法），都攻击窃听者的分类器。数值结果表明，这两种方案都能有效地误导窃听者，而通过对抗性训练学习的合法接收者的分类精度根据用户的情况，可以在资源有效的后验方法或面向性能的先验方法之间进行选择。我们还发现，在延迟增加的情况下，后验方法可以显示出与先验方法相当的结果。未来的工作可能会考虑元学习[18]，以实现对抗信号的快速适应，从而降低系统的延迟。CRediT作者贡献声明徐正海：概念化，方法论，软件，验证，形式分析，调查，数据管理，写作-原始草稿，写作-审查编辑。朴尚宇：概念化，形式分析，写作-评论编辑. 姜俊赫：监督，项目管理。竞合利益作者声明，他们没有已知的可能影响本文所报告工作确认本研究由韩国科学和信息通信技术部（MSIT）支持，ITRC （ 信 息 技 术 研 究 中 心 ） 支 持 计 划 （ IITP-2020-0-01787）由IITP（信息通信技术规划评估研究所）监督。引用[1] J. Seo，S. Park，J. Kang，《对抗性》， 然而 友好 信号 安全无线通信的设计，在：2021 IEEE无线通信和网络会议，WCNC，IEEE，2021，pp. 一比七[2] I. 古德费洛，澳-地Bengio，A. Courville，Deep Learning，MITPress，2016.[3] T. O'Shea ， J.Ho ydi s ， Anint rod uc ti ontodee plea rn ingforthephysi c alla ye r ， IEEE Trans. 科 根Commun. 网络3（4）（2017）563[4] T.J. O'Shea，T.罗伊，TC。Clancy，基于无线电信号分类的空中深度学习，IEEE J. Sel. Top.标志.过程。12（1）（2018）168-179。[5] T. Erpek ， T.J. O'Shea ， Y.E. Sagduyu ， Y. Shi ， T.C. Clancy ，Deeplearning for wireless communications ， in ： Development andAnalysisofDeep Learning Architectures，Springer，2020，pp. 223-266。[6] S.帕克，H。张河，澳-地Simeone，J. Kang，通过离线和在线元学习从少数导频中学习解调，IEEE Trans.SignalProcess。69（2020）226-239。[7] C. Szegedy，W.扎伦巴岛Sutskever，J. Bruna，D.埃尔汉岛古德费洛河Fergus，Intriguing properties of neural networks，2013，arXivpreprint arXiv：1312. 6199.[8] Y.E. Sagduyu，Y.施，T.埃尔佩克湾黑德利湾弗劳尔斯，G。斯坦切夫，Z.当无线安全遇到机器学习：动机，挑战和研究方向，2020年，arXiv预印本arXiv：2001。08883.[9] M. Sadeghi，E.G. Larsson，基于深度学习的无线电信号分类的对抗攻击，IEEE Wirel。Commun. Lett. 8（1）（2018）213-216。[10] B.鲜花，R.M. Buehrer，W.C. Headley，在无线通信环境中评估对抗规避攻击，IEEE Trans. INF. 法医安全15（2019）1102[11] Y. Sagduyu，Y.施，T. Erpek，对抗性深度学习用于空中频谱中毒攻击，IEEE Trans. 暴徒Comput. （2019年）。[12] M. Sadeghi，E.G. Larsson，端到端自动编码器通信系统的物理对抗攻击，IEEE Commun。Lett. 23（5）（2019）847-850。[13] B. Kim，Y.E.萨格杜尤湾Davaslioglu，T. Erpek，S. Ulukus，在无线信道上对基于深度学习的调制分类器的空中对抗攻击，在：2020年第54届信息科学与系统年会，CISS，IEEE，2020年，pp. 1比6[14] S. 帕 克湖 ， 澳 - 地Simeone ，J. Kang ， End-to-end fast training ofcommunication links without a channel model via online meta-learning ， in ： Proc. IEEE Signal Processing Advances in WirelessCommun.，SPAWC，2020年。[15] I. J. Goodfellow，J. Shlens，C. Szegedy，Explaining and harnessingadversarial examples ，2014 ，arXiv preprint arXiv ：1412. 六五七二。[16] O. Simeone，机器学习工程师简介，创始人。趋势信号处理。12（3[17] X. 周 湖 ， 加 - 地 宋 ， Y 。 Zhang ， Physical Layer Security inWirelessCommunications，CRC Press，2013.[18] O. Simeone，S. Park，J. Kang，从学习到元学习：降低通信系统的训练开销和复杂性，IEEE 6G无线峰会，6G SUMMIT，2020年。[19] D.P.Kingma，J.Ba，Adam：A method for stochastic optimization，2014，arXiv preprint arXiv：1412. 6980.[20] N. Carlini ， D. Wagner ， Towards evaluating the robustness ofneuralnetworks ， in ： 2017 IECHO Symposium on Security andPrivacy，Sp，IEEE，2017，pp. 39-57号。[21] F. Tramer，N. Carlini，W. Brendel，A. Madry，On adaptive attacksto adversarial example defense，2020，arXiv preprint arXiv：2002。08347.[22] C. Xie，中国茶青冈A. Yuille，大规模对抗训练的有趣特性，在：国际学习代表会议，2019年。[23] Deepsig，数据集：Radioml 2018.01a，2018，[在线，2020年7月18日引用]。[24] A. Emam，M. Shalaby，文学硕士拉泽姆阁下Abou Bakr，H.A.Mansour，在无线电调制分类的背景下CNN，LSTM和CLDNN模型之 间 的 比 较 研 究 ， 在 ： 2020 年 第 12 届 国 际 电 气 工 程 会 议 ，ICEENG，IEEE，2020年，pp. 190-195[25] Y. 王 杰 ， 杨 杰 ， M. Liu ， G. Gui ， LightAMC ： Lightweightautomaticmodulation classification via deep learning and compressivesensing，IEEETrans. Veh. Technol. 69（3）（2020）3491[26] M. Baldi，M. Bianchi，F. Chiaraluce，AWGN窃听信道的加扰、级联和HARQ编码：一个安全的 间隙分析，IEEE Trans.INF. 法医安全7（3）（2012）883