降噪自编码器用于频谱感知对抗防御模型*
时间:2023-04-12 11:53:56
降噪自编码器用于频谱感知对抗防御模型*一文创作于:2023-04-12 11:53:56,全文字数:21121。
降噪自编码器用于频谱感知对抗防御模型*可以把输入往数据流形分布ζ密度最高的方向移动,使得重构后的输出更加靠近ζ。分类器对ζ上的信号具有较好的分类效果,对抗信号在输入空间度量下接近干净信号,但是却远离干净信号的流形,因此分类器会对其分类错误。本文提出使用一个基于深度学习的降噪自编码器将对抗信号推回到流形附近以实现防御。本文所使用的降噪自编码器模型CLAE 的结构如图1 所示:
图1 基于降噪自编码器的防御框架
CLAE 包括两个部分,编码器ul和解码器vφ,ul由CNN 和LSTM 结构组成,分别提取输入信号的局部特征和时间特征,vφ负责进行反卷积操作,从ul提取的特征中恢复出降噪之后的信号。首先使用FGSM 攻击生成对抗信号,组成对抗信号数据集χ*:
将FGSM 生成的对抗信号添加到CLAE 模型的训练数据集χCLAE中,与干净信号数据集χ共同作为CLAE 模型的训练数据,即,CLAE 模型的输出为:
损失函数使用均方误差函数:
其中N表示训练样本数,χtarget为CLAE 训练的标签,由对抗信号和干净信号所对应的原始信号组成,即χtarget→(χ0,χ0)。CLAE 训练过程的伪代码如算法1 所示:
算法1:训练降噪自编码器
3.2 防御蒸馏
防御蒸馏[28]算法利用蒸馏思想训练模型。在神经网络中softmax 层将DNN 的最后一个隐藏层产生的输出向量Z(x(n))归一化为概率向量F(x(n)),其计算公式如下:
其中,T被称为蒸馏温度,进行蒸馏训练时,要求T>1。增大T可以减小模型的梯度,使得网络模型更加平滑,降低模型对扰动的敏感性。
首先,根据原始训练样本χ和标签Y在温度T的条件下训练一个初始DNN,得到概率分布F(x(n))。其训练的损失函数为:
其中ω为初始网络模型的参数。Y为one-hot 向量,正确类别的元素为1,当网络权重更新时,标签不为1 的神经元对应0 的输出,DNN 对输入可能做出过于自信的预测。然后,利用输入信号χ和F(x(n)) 作为标签,在温度T下训练一个与初始DNN 相同结构的蒸馏网络,得到新的概率分布Fd(x(n)),其训练的损失函数为:
其中,(x(n)) 是Fd(x(n)) 第i个元素。使用软标签代替硬标签可以确保训练算法在更新θ时按其似然性约束输出神经元,避免网络过分自信预测的问题,提高网络的泛化能力,隐藏网络模型的梯度。
3.3 联合防御
CLAE 可以将输入信号往流形ζ上移动,可是经过CLAE 重构后的频谱信号可能并未到达ζ上。为了缓解这一问题,本文在CLAE 预训练的基础上结合防御蒸馏提出了一种联合防御的方法,旨在获得更加鲁棒的模型。CLAE 可以在一定程度上将对抗信号拉回到干净信号的流形周围,过滤对抗信号,而防御蒸馏则侧重于隐藏网络梯度,平滑训练网络。本文所提出的CLAE-DD 的防御框图如图2 所示:
图2 联合防御的防御框架
首先,使用对抗信号和干净信号组成训练集χCLAE训练CLAE 模型,在CLAE 模型具有足够的重构准确性后,固定CLAE 的网络参数训练频谱感知分类器。在分类器模型训练阶段,结合蒸馏算法训练初始模型,分类器的输入为CLAE重构后的频谱信号χ=ul(vφ(χCLAE)),标签为对抗信号和干净信号所对应的正确标签Y’,优化目标为:
利用优化目标更新ω,得到输出概率分布F(x’(n)),然后使用初始模型的输出F(x’(n))作为软标签,在同样的温度T下训练蒸馏模型,增强模型的鲁棒性,优化目标为:
利用软标签训练模型可以隐藏网络输入信号和硬标签之间损失函数的梯度,有助于提高分类器对其训练集之外的泛化性,增强其对流形周围的输入信号的检测概率。CLAE-DD 的训练过程如算法2 所示:
算法2:联合防御算法
4 实验结果
4.1 数据集与实验设置
在本文的实验中,频谱感知生成的仿真信号包含8 种调制类型的信号,分别为BPSK、QPSK、8PSK、2FSK、GFSK、16QAM、64QAM、4PAM 和AWGN 信号。信噪比(SNR,Signal to Noise Ratio)范围为-20 dB 至-2 dB,间隔为2 dB,每个信号的长度为2×128。对于每个调制类型以及噪声信号,在每个信噪比下生成1 000 个样本,并以8:1:1 的比例划分为训练集、验证集和测试集。
频谱感知的分类器使用残差神经网络(ResNet),其网络结构如图3 所示。在分类器训练阶段,所使用的参数均采用高斯分布随机初始化,批量大小为128,并使用RMSprop 作为训练方法,初始学习率为0.001,网络经过10 个epoch 的训练。CLAE 训练过程参数设置与ResNet相同,防御蒸馏实验部分采用的蒸馏温度T=27。
图3 ResNet网络结构
4.2 灰盒攻击
在灰盒攻击模型中,假设攻击者可以访问感知模型体系结构及其参数,但对输入分类器模型之前的任何预处理结构和算法一无所知,攻击者使用感知模型的梯度生成对抗样本。除了探究扰动影响的相关实验,其他实验均在对抗扰动为0.06 下进行。
图4 展示了FGSM、BIM 和PGD 生成的对抗样本对有防御和无防御模型的攻击效果。从图中可以看出本文所使用的ResNet 网络在无攻击的情况下,可以保持较好的检测性能。在频谱对抗攻击下,当SNR 为-14 dB 时,无防御模型的检测概率降低到10%左右,而经过CLAE 预训练的模型,检测概率可以达到40%。CLAE 中编码器模型的CNN 模块和LSTM 模块分别提取信号数据的局部特征和时间特征,解码器模型朝着原始信号进行重构,使得对抗信号向着原始信号的流形移动。另外,从图4(b)中也可以发现,在SNR 为-14 dB 时,CLAE-DD 的检测概率相比于CLAE 提升了20%,CLAE 与防御蒸馏结合后,可以利用防御蒸馏算法平滑训练得到的频谱感知分类器,提高分类器模型的泛化能力,从而实现更优异的防御效果。
图4 不同防御模型基于灰盒攻击的检测概率
图5 描述了当SNR 为-12 dB 时,三种梯度攻击对有防御模型和无防御模型的攻击成功率。从图中可以看出,对于三种梯度攻击,基于CLAE 预训练的防御方法可将攻击成功率降低到30% 左右,与防御蒸馏结合后,CLAE-DD 可进一步将攻击成功率降低到10% 左右,基于CLAE 的防御方法可以有效缓解对抗攻击的干扰。上述的实验结果可以看出,BIM 和PGD 的攻击效果优于FGSM 的攻击,为了验证基于CLAE 的防御方法对不同扰动值的防御能力,本文使用这两种攻击方法在不同的扰动大小下进行了实验。图6 描述了SNR 为-14 dB 时,灰盒攻击下三种模型对不同扰动大小的对抗样本的鲁棒性。
提醒您:因为《降噪自编码器用于频谱感知对抗防御模型*》一文较长还有下一页,点击下面数字可以进行阅读!
《降噪自编码器用于频谱感知对抗防御模型*》在线阅读地址:降噪自编码器用于频谱感知对抗防御模型*