降噪自编码器用于频谱感知对抗防御模型*
时间:2023-04-12 11:53:56
降噪自编码器用于频谱感知对抗防御模型*一文创作于:2023-04-12 11:53:56,全文字数:21121。
降噪自编码器用于频谱感知对抗防御模型*图中可以看出,对于这两种攻击方式,当扰动小于0.06 的时候,CLAE 和CLAE-DD 都拥有40% 以上的检测概率。并且随着扰动值增加,无防御模型的检测概率基本为0,CLAE 的检测概率可以达到18%,CLAEDD 的检测概率依然可以达到30% 左右,基于CLAE 的防御模型对不同大小的扰动均具有良好的防御效果。图5 不同防御方式下灰盒模型的攻击成功率比较
图6 不同扰动水平下灰盒攻击的防御效果
4.3 白盒攻击
在白盒攻击模型中,假设攻击者可以访问感知分类器的体系结构及其参数,并且攻击者知道应用于主用户信号的预处理结构和算法,将感知模型和CLAE 当作一个整体产生对抗样本。本文在对灰盒攻击模型进行分析的基础上,对基于白盒攻击的防御效果也进行了讨论,更好地证明了基于CLAE 的防御方法在不同攻击模型下的防御性能。
图7 描述了在白盒攻击模型下,CLAE 和CLAE-DD防御三种频谱对抗攻击的防御效果。从图中可以得出,CLAE 对FGSM 的防御效果较为理想,对于攻击能力更强的BIM 和PGD 攻击,检测概率较差。而CLAE-DD 对三种攻击都具有优异的防御效果。在CLAE 防御的基础上增加防御蒸馏算法,可以通过设置T的参数减小模型梯度,降低模型对扰动的敏感性,达到防御对抗攻击的目的。
图7 不同防御模型基于白盒攻击的检测概率
图8 描述了在SNR 为-12 dB 时,基于白盒攻击的三种梯度攻击对有防御模型和无防御模型的攻击成功率。从图中可以看出,对于FGSM 的攻击,CLAE 可以将攻击成功率降低31%,而CLAE-DD 可以将攻击成功率降低到6%,同样,对于BIM 和PGD 的攻击,CLAE 可以将攻击成功降低10% 左右,而CLAE-DD 的防御方法可以将攻击成功率降低40% 左右,实现了非常好的防御效果,验证了所提出的防御模型对频谱对抗攻击的有效性。同样为了验证基于CLAE 的防御方法对白盒攻击不同扰动大小的防御能力,对BIM、PGD 两种攻击方法在不同扰动值下产生的攻击进行了实验。图9 展示了信噪比为-14 dB时,三种模型对基于白盒攻击的不同扰动大小的对抗样本的鲁棒性。从图中可以看出,随着扰动的增加,无防御模型和基于CLAE 防御的检测概率快速下降,而基于CLAEDD 的防御方法,检测概率下降较为平缓,因为CLAE-DD结合了降噪自编码器的降噪效果和防御蒸馏平滑训练模型的能力,使得模型的鲁棒性更强,攻击更为困难。
图8 不同防御方式下白盒模型的攻击成功率比较
图9 不同扰动水平下白盒攻击的防御效果
4.4 黑盒攻击
在黑盒攻击模型中,攻击者知道次用户感知模型的感知任务,但对次用户所用的感知模型(包括其架构和参数值)以及应用于输入的预处理结构都一无所知。攻击者利用代理模型的梯度生成对抗攻击并将其迁移到次用户感知模型的输入信号,这种攻击更加符合现实情况。本文利用LeNet 网络作为代理模型生成对抗扰动,在灰盒、白盒攻击之外设置黑盒攻击的实验,研究的攻击场景更加全面,更有说服力地证明了本文所提防御方法的有效性。
图10 描述了在黑盒攻击模型下,CLAE 和CLAEDD 防御三种频谱对抗攻击的防御效果。从图中可以得出,CLAE 和CLAE-DD 都可以提升频谱感知模型面对黑盒对抗攻击的检测概率。对于三种频谱对抗攻击,当SNR为-14 dB 时,CLAE 通过预训练提取信号鲁棒特征,过滤对抗干扰,相比于无防御模型将检测概率提高21% 左右,CLAE-DD 在CLAE 的基础上,利用蒸馏算法平滑网络梯度,可以进一步将检测概率提高41% 左右。
图10 不同防御模型基于黑盒攻击的检测概率
在深度学习中,黑盒攻击依靠简单的输入和输出映射信息来对未知模型进行攻击,这导致了黑盒攻击成功率较低。从图11 可以看出,黑盒攻击对频谱感知模型的攻击成功率远低于灰盒和白盒攻击。另外,从实验结果可以看出,本文所提出的防御方法也能够实现良好的防御效果。对于FGSM、BIM 和PGD 攻击,CLAE 可以将攻击成功率降低到15%、14% 和14%,而CLAE-DD 可以将三种攻击的攻击成功率都降低到5%,实现了较有理想的防御效果,可以有效地防御黑盒频谱对抗攻击。图12 展示了信噪比为-14 dB 时,三种模型对BIM 和PGD 攻击基于黑盒模型产生的不同扰动大小的对抗样本的鲁棒性。从图中可以看出,在灰盒和白盒模型中所观察到的防御有效性同样适用于黑盒模型。随着扰动的增加,频谱感知模型的检测概率逐渐下降,在扰动大小为0.1 时,无防御模型的检测概率为5%,而基于CLAE 和CLAE-DD 防御模型的检测概率分别为29%、45%。基于CLAE 预训练可以过滤各种攻击模型产生的对抗干扰,CLAE-DD 可以进一步平滑训练网络,减小模型梯度,降低攻击者的攻击成功率。
图11 不同防御方式下黑盒模型的攻击成功率比较
图12 不同扰动水平下黑盒攻击的防御效果
5 结束语
针对频谱对抗攻击,本文提出了基于CLAE 的防御方法,CLAE 预训练能够有效缓解频谱对抗攻击,在CLAE 预训练的基础上结合防御蒸馏算法,可以平滑网络增加频谱感知模型的鲁棒性。首先使用FGSM 生成的对抗信号和干净信号训练CLAE 模型,然后使用CLAE 的重构信号作为训练集,结合防御蒸馏算法平滑训练频谱感知分类器。针对三种攻击方法,对所提出的防御模型进行评估,实验结果表明,本文所提出的基于CLAE 的防御方法能够有效地抵御不同扰动大小的梯度攻击。
综上所述,本文提出了一种能够缓解频谱感知对抗攻击的防御方案,但是本方案依然存在很多值得研究和提升之处,例如,在本文的实验中,没有考虑频谱环境变化对防御性能的影响,如何在不同的信道状态下实现有效的防御是下一步的研究内容。另外,本文所选用的主用户信号类型以及噪声范围具有一定局限性,可以进一步扩大研究范围以发现问题,对该防御方案提出改善。
《降噪自编码器用于频谱感知对抗防御模型*》在线阅读地址:降噪自编码器用于频谱感知对抗防御模型*