面向信号调制识别的对抗攻击与防御综述

徐冬月; 田蕴哲; 陈康; 李轶珂; 吴亚伦; 童恩栋; 牛温佳; 刘吉强; 史忠植

doi:10.7544/issn1000-1239.202330826

面向信号调制识别的对抗攻击与防御综述

1.
智能交通数据安全与隐私保护北京市重点实验室（北京交通大学）　北京　100044
2.
中国科学院计算技术研究所智能信息处理重点实验室　北京　100190

详细信息

作者简介:
徐冬月: 1999年生. 硕士研究生. 主要研究方向为对抗机器学习

田蕴哲: 1999年生. 博士研究生. 主要研究方向为人工智能安全

陈康，1999年生. 硕士研究生. 主要研究方向为信号调制识别

李轶珂: 1995年生. 博士研究生. 主要研究方向为人工智能安全

吴亚伦: 1994年生. 博士研究生. 主要研究方向为人工智能安全

童恩栋: 1986年生. 博士，讲师，CCF会员. 主要研究方向为人工智能安全、服务计算和数据挖掘

牛温佳: 1982年生. 博士，教授，博士生导师，CCF高级会员. 主要研究方向为人工智能安全和数据挖掘

刘吉强: 1973年生. 博士，教授，博士生导师，CCF高级会员. 主要研究方向为可信计算、加密协议、隐私保护和网络安全

史忠植: 1941年生. 教授，博士生导师，CCF会士. 主要研究方向为人工智能、机器学习、神经计算与认知科学

中图分类号: TP391
计量
- 文章访问数: 42
- HTML全文浏览量: 1
- PDF下载量: 19
出版历程
- 收稿日期: 2023-10-18
- 录用日期: 2025-01-25
- 网络出版日期: 2025-01-25

Survey on Adversarial Attack and Defense for Signal Modulation Recognition

1.
Beijing Key Laboratory of Security and Privacy in Intelligent Transportation (Beijing Jiaotong University), Beijing 100044
2.
Key Laboratory of Intelligent Information Processing, Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190

More Information

Author Bio:
Xu Dongyue: born in 1999. Master candidate. Her main research interest is adversarial machine learning

Tian Yunzhe: born in 1999. PhD candidate. His main research interest is AI security

Chen Kang: born in 1999. Master candidate. His main research interest is signal modulation recognition

Li Yike: born in 1995. PhD candidate. Her main research interest is AI security

Wu Yalun: born in 1994. PhD candidate. His main research interest is AI security

Tong Endong: born in 1986. PhD. Lecturer. Member of CCF. His main research interests include AI security, services computing, and data mining. （edtong@bjtu.edu.cn）

Niu Wenjia: born in 1982. PhD. Professor. PhD supervisor. Senior member of CCF. His main research interests include AI security, agent, and data mining.（niuwj@bjtu.edu.cn）

Liu Jiqiang: born in 1973. PhD. Professor. PhD supervisor. Senior member of CCF. His main research interests include trusted computing, cryptographic protocols, privacy preserving, and network security

Shi Zhongzhi: born in 1941. Professor, PhD supervisor. Fellow of CCF. His main research interests include artificial intelligence, machine learning, neural computing and cognitive science

摘要

摘要:
随着深度学习的飞速发展，基于深度神经网络的信号调制识别任务成为无线通信领域研究热门. 然而研究发现，深度神经网络模型极易受到对抗性扰动的影响，使调制识别任务失效. 目前面向无线通信安全性的研究工作仍存在些许瓶颈问题与理论空白，源于无线通信固有的实验环境、数据结构与信号特征等多维度特性，不能将其他领域较为成熟的攻防方法简单迁移到信号对抗攻击中. 作为第1篇面向信号调制识别领域的对抗攻防中文综述，全面总结目前为止该领域对抗攻击与防御技术研究工作，首次提出信号调制识别领域的通用对抗攻击分类框架与威胁模型，将该领域研究工作分类为物理自我防御式攻击和数字直接访问式攻击，并以2维图形式进行系统化整合与可视化展示，详细阐述对抗攻击方法、对抗样本生成技术与理论公式、对抗检测与防御技术最新的研究工作，系统提炼无线通信对抗攻击研究的3个维度特性并归纳相应的处理方法，最后总结面向信号调制识别的攻防安全领域在末来的研究发展方向.
- 深度神经网络 /
- 无线通信 /
- 信号调制识别 /
- 对抗攻击 /
- 防御
Abstract:
With the rapid development of deep learning, signal modulation recognition based on deep neural networks has gained popularity in wireless communications research. However, it has been observed that the deep neural network model is vulnerable to adversarial perturbations, rendering the modulation identification task ineffective. Currently, there are theoretical gaps and bottlenecks in wireless communication security research. Due to the multidimensional nature of wireless communication, including factors such as experimental environments, data structures, and signal characteristics, it is not feasible to transfer the established attack and defense methods from other domains to signal countermeasures. In this paper, we comprehensively summarize the research on adversarial attack and defense technology in the field of signal modulation recognition. As the first Chinese review of its kind, we propose a generic classification framework and threat model for adversarial attacks in this field. Classify the research in this field into two categories: physical self-defense attacks and digital direct access attacks. Then, systematically integrate and visualize the research as two-dimensional diagrams to demonstratively showcase the methods, models, and techniques of adversarial attack. Additionally, provide details on the methods and models of adversarial attack. We present the latest research on adversarial attack methods, adversarial examples generation techniques, theoretical formulas, and adversarial detection and defense techniques. We systematically refine the characteristics of the three dimensions of adversarial attacks on wireless communications and summarize the corresponding processing methods. Finally, we summarize the future research and development direction of the attack and defense security field oriented towards signal modulation recognition.
- deep neural network /
- wireless communication /
- signal modulation recognition /
- adversarial attack /
- defense

HTML全文

电子设备广泛应用于与国家基础设施和民众生活紧密相关的各项领域. 在这些设备中，印刷电路板（printed circuit board，PCB）被誉为“电子产品之母”. PCB不仅为电子元器件提供了电子元器件的支持和电气连接，还承担着电路的载体角色，是电子设备不可或缺的核心组成部分^[1].

当前，随着集成电路技术的迅猛发展，PCB复杂度也在显著增加. 这种复杂度体现在多个方面：不断增加的线网（net）和引脚（pin）数量、多达十数层的PCB层数、极高的引脚密度、独特的物理限制以及高速PCB设计所带来的信号完整性问题^[1]等等，这就使得无法像过去那样仅仅使用人工对设计规则予以逐一检查，因此，以往那种籍由个人经验进行的PCB手工布线成为了一项耗时且容易出错的工作^[2]，传统的设计流程变得不再适用^[3-5]. 有鉴于此，复杂的PCB设计现多依赖于电子设计自动化（electronic design automation，EDA）工具处理以实现布线效率的优化，以最大限度地满足电子设计周期的需求^[6-8]. 利用EDA进行的PCB设计，通常包括原理图绘制、结构设计、布局、布线等流程^[9]. 其中布线问题是最为关键的问题之一^[10-11].

在具有复杂线网的PCB电路布线问题中，群组布线问题尤为重要. 此问题涉及将人工指定的多个线网视作群组，继而将它们以彼此相邻、长度相近的布线方式加以连接. 如何在不违反设计规则约束（design rule constraints，DRC）的条件下有效利用有限的布线空间并提高布线成功率是群组布线需要研究的关键问题.

本文主要贡献如下：

1）在使用Hanan网格方法构图后，在构图过程中引入一种面合并算法以及合并边方法以缩减原始Hanan网格的规模，在有效减少后续构建带权有向图的复杂度的同时，解决了传统方法得到的网格构图通常有一定量冗余信息的问题；

2）提出一种基于带权有向图的群组布线算法，利用得到的合并边及其位置关系等信息构建带权有向图，实现对群组布线问题的数学建模，从而克服传统网格化方法易受网格精度以及网格数量限制的缺陷；

3）提出一种与路径规划算法相适配的详细布线算法，将详细布线问题分解为多种基本情形考虑，设计数种基本线形以应对各种可能的布线情形，使算法具备实际应用价值，避免详细布线算法与路径规划算法不适配的问题.

1. 相关工作

PCB布线问题通常可被划为逃逸布线（escape routing）与区域布线（area routing）2个阶段^[12]，逃逸布线阶段主要负责将线网从引脚布线至组件边界，区域布线阶段则负责对逃逸至组件边界的线网进行连接，而群组布线一般在区域布线阶段进行. 群组布线问题就具体场景而言，又可简化为若干子问题，典型的有总线布线. 总线布线与群组布线的区别在于，它会在布线前预先进行分组，将预计需要一起布线的线网划分为一组总线^[13]，而群组布线可以在布线时确定群组，也可以进行交互式布线，具有较大的灵活性. 印刷电路板群组布线是商业布线工具中重要的组成部分，然而，关于印刷电路板群组布线问题的相关研究却鲜少出现在近年来的公开文献当中，因而对该问题的研究只能参考其子问题总线布线. 对于总线布线而言，其中一种分类依据是根据布线时有无轨道约束划分为有轨道和无轨道总线布线问题. 由于未经总线分组，可能存在群组中线网较多的情况，这将导致群组中线网所占用的总线宽比原先总线布线中各总线组分别占据的线宽更大，从而给实际布线带来新的挑战.

有些研究不针对特定阶段的布线问题，而是专注于更一般的印刷电路板自动布线问题. 如Lin等人^[3]提出了一种具有并发分层布线功能的全阶段印刷电路板布线方法，该方法基于布尔可满足性问题（boolean satisfiability problem，SAT），但是该方法只适用于解决球栅阵列（ball grid array，BGA）封装的印刷电路板布线问题^[14]. Lin等人^[4]则提出了一种全板布线算法，在构图阶段使用了均分网格，可以对非BGA封装进行布线，并且可以进行多层差分对布线. 但是该方法在复杂情况下的布通率难以达到100%^[14]. He等人^[15]提出了一种2阶段印刷电路板布线算法，该算法的2个阶段分别为基于蒙特卡洛树搜索^[16]（Monte Carlo tree search，MCTS）的全局布线和基于A*的详细布线，能够进行BGA和非BGA封装布线. 但是该方法是一种布线仿真方法，所使用的例子为简化后的现实电路，是一种理想化的场景，因而无法直接应用于复杂的工业界样例^[17].

印刷电路板有轨道总线布线问题只允许在给定的布线轨道上进行布线. 对于这一问题，Hsu等人^[18]提出了一种基于有向无环图（directed acyclic graph，DAG）的总线布线算法. 算法利用最长公共子序列（longest common subsequence, LCS）、Dijkstra算法以及拆线重布的方法优化布线. 然而，该算法的问题在于，可能会产生大量的间距违规，并且在初始拥塞区域过多时，无法有效消除拥塞^[19]. Zhang等人^[20]提出了一种基于迷宫布线和SAT的总线布线算法. 基于多级框架的总线布线器MARCH^[21]是一种基于并发和多层次方案的总线迷宫布线方法，它由粗粒度的拓扑感知路径规划和细粒度的轨道分配组成，应用了有效的拆线布线方案. Kim等人^[22]提出了一种拓扑感知总线布线算法，使用专门针对总线级别的3D平铺网格进行布线拓扑生成. 但是这些算法大都聚焦于有轨道总线布线问题，具有一定的特殊性，通常难以扩展到更加一般的无轨道约束总线布线问题.

近年来，也有几种算法被提出以解决无轨道约束的某些总线布线问题，它们通常需要依赖网格来进行路径规划和实际布线. 其中一些算法事先预置均分网格：Cheng等人^[23]提出了一种考虑障碍物的长度匹配总线布线算法，该算法利用先深度优先搜索后广度优先搜索的思想进行布线，并在流程中加入了拆线重布环节. Yan等人^[24-25]提出了基于长度匹配的总线布线算法，利用带权无向图表示区域之间的布线资源，并使用最大流算法寻找线网匹配. 上述算法将特殊设计约束即长度匹配约束作为考虑重点.

另一些算法则构建Hanan网格：Kong等人^[26]通过构建冲突图和更新Hanan网格来规划路径，使用关键割减少拥塞.Wu等人^[27]采用整数线性规划（integer linear programming，ILP）方法，在动态的Hanan网格图上完成全局总线布线，该算法同样利用关键割方法解决拥塞问题.ILP方法可以提供总线布线的全局视图，但可能需要相当长的时间^[28].

为解决群组布线问题，本文提出一种使用面合并算法缩减Hanan网格规模，利用基于带权有向图的群组布线算法，在有效表示电路板上的布线资源的同时避免传统网格方法易受网格精度和数量限制的缺陷. 同时采用具有多线避让功能的启发式搜索算法，该搜索算法在自动布线的同时也支持人工引导布线方向，这在有效降低时间开销的同时保证了布线质量. 最后算法使用了一种适用于所提出的路径规划算法的详细布线算法，该方法具有较高的运行效率.

2. 问题描述

首先输入一组需要进行群组布线的双端线网（net） $\mathcal{N}$ ，以及这些线网所包含的一组引脚（pin） $\mathcal{P}$ ，还有印刷电路板上的一系列障碍物如过孔（via）、禁行区等，印刷电路板的分层信息，此外还有一系列设计规则约束等. 给定双端线网的每对引脚必须在不违反设计规则约束的前提下相互连接. 印刷电路板群组布线问题需要遵循的设计规则约束如下：

1）由2点确定的最短轨迹即最小线长必须大于等于允许的最小线宽；

2）走线必须满足线与线之间、线与各种障碍物之间的最小线间距；

3）同层的走线之间不允许存在交叉；

4）走线拐角角度必须是135°且走线方向必须与印刷电路板板的x轴呈45°的整数倍；

5）所有引脚的走线尽量汇聚；

6）所有引脚的走线拓扑尽量相似；

7）所有引脚的走线长度尽量相近.

该问题的目标是在不违反设计规则约束的前提下，最大化连接的线网对数，即布通率尽可能的高；在此基础上，布线时间尽可能的短.

3. 群组布线算法

群组布线算法流程如图1所示. 首先，构建Hanan网格图，并在构建完成后对它进行边合并. 接着，利用前述得到的合并边信息构建带权有向图，完成对电路板上布线资源的表示. 然后，利用一种具有多线避让功能的启发式搜索算法来进行布线的边序列搜索，继而进行路径规划. 最后，通过将布线归类为数种可能的情况分别考虑，完成详细布线并得到群组布线的最终结果. 在详细布线步骤前，若线网未规划完毕，就会重新进行启发式搜索，直到完成所有失败线网的路径规划为止.

图 1 群组布线算法流程

Figure 1. Grouping routing algorithm flow

下载: 全尺寸图片幻灯片

3.1 构建Hanan网格图

为了能够有效记录PCB中的各种布线资源，例如各器件、各障碍物的大小和坐标，以及它们之间的相互位置关系等，传统的做法是将它们以网格图的方式加以表示. 典型的网格图有Hanan网格图. 在几何学中，对平面中有限点的集合构造Hanan网格将会对集合中的每个点构造横线以及竖线^[29]. 而在实际应用中，Hanan网格在构图时会对点集中的每个点进行横向或是纵向延伸，直到延伸线碰触到其他器件的边界抑或是PCB板边界为止. 器件如焊盘、通孔的边界会在考虑器件与走线之间的最小间距之后以矩形包围盒的方式予以体现. 随后，在构图结束时，该方法便能够得到顶点、边以及网格之间的邻接关系.

3.2 基于Hanan网格图的面合并以及合并边

Hanan网格图，构建示意图如(a)所示. 从示意图中不难看出，Hanan网格构图存在有易受网格精度影响的缺陷. 以Hanan网格 ${c}_{1}$ 也即面 ${c}_{1}$ 为例，显然当走线线宽超过该网格的宽度时，走线便无法从竖直方向顺利通过，因而对布线资源造成了浪费. 更糟糕的是，当网格的划分越稠密时，这一问题便会越明显，在极端情况下甚至可能存在无法布线的情况. 有鉴于此，本文提出了构造基于Hanan网格图的面合并以及合并边算法以克服这一缺陷.

图 2 网格构建示意图

Figure 2. Diagram of grid construction

下载: 全尺寸图片幻灯片

为了有效缩减问题规模，需要对Hanan网格图进行面合并. 算法首先需要确定面合并的顺序，不失一般性，算法按从左到右，自下而上的顺序进行面合并. 假设整体布线方向为水平方向. 以下给出面合并算法，算法从对角线、纵向以及横向3个方向尝试进行面合并，在面合并遇到障碍物或是相邻面存在宽度小于线宽与线间距之和时停止.

面合并算法步骤如算法1所示：

算法1. 面合并算法.

输入：Hanan网格图 $H$ ；

输出：面合并后的Hanan网格图 ${H}'$ .

① 设图 $H$ 中所有面的集合为 $F$ ，设图 $H$ 中所有障碍物包围盒的边集合为 $Ob$ ，设由面的左下角坐标组成的最小优先队列 $Q\ne \varnothing$ ，设ℓ=1；

② while ℓ≤3

③ 　for $f\in F$

④ 　　if 当前面 $f$ 的任意一条边 $e$ 与 $Ob$ 中的所有边 $obst$ 都不存在相交 then

⑤ 　　　 $Q\leftarrow Q.push\left(\left\langle{{f}_{lbx},{f}_{lby}}\right\rangle\right)$ ；

⑥ 　　end if

⑦ 　end for

⑧ 　while $Q\ne \varnothing$

⑨ 　　选择 $Q$ 中队首元素对应的面 $f$ ，面 $f$ 的左下角坐标为 ${f}_{lb}\left\langle{{f}_{lbx},{f}_{lby}}\right\rangle$ ，右上角坐标为 ${f}_{rt}\left\langle{{f}_{rtx},{f}_{rty}}\right\rangle$ ，它们之间构成区域 $area$ ；

⑩ 　end while

⑪ 　while 当前区域 $area$ 内的面均存在于 $Q$ 中

⑫ 　　if 当前区域的相邻面的长或宽不大于线宽与线间距之和 then

⑬ 　　　break；

⑭ 　　else

⑮ 　　　if ℓ=1 then

⑯ 　　　　根据图 $H$ 的邻接关系寻找位 $\text { area }$ 斜右上方的面 ${f}_{rt}'$ ，该面左下角顶点与 $area$ 右上方顶点重合. 令 ${f}_{rt}'$ 的右上角坐标为 ${f}_{rt}'\left\langle{{f}_{rtx}',{f}_{rty}'}\right\rangle$ ，若 ${f}_{lb}$ 与 ${f}_{rt}'$ 围成的区域中的面均存在于 $Q$ 中，则 ${f}_{lb}$ 与 ${f}_{rt}'$ 之间构成区域 $area$ ；

⑰ 　　　end if

⑱ 　　　if ℓ=2 then

⑲ 　　　　根据图 $H$ 的邻接关系寻找与 $area$ 正上方的面 $f'_{{{top}}}$ ，该面右下角顶点与 $area$ 右上方顶点重合. 令 $f'_{{{top}}}$ 的右上角坐标为 $f'_{{{top}}}$ 〈 $f'_{rtx}, f'_{rty}$ 〉，若 ${f}_{lb}$ 与 ${f}_{rt}'$ 围成的区域中的面均存在于 $Q$ 中，则 ${f}_{lb}$ 与 ${f}_{rt}'$ 之间构成区域 $area$ ；

⑳ 　　　end if

㉑　　　if ℓ=3 then

㉒　　　　根据图 $H$ 的邻接关系寻找与 $area$ 正右方的面 $f'_{{{right}}}$ ，该面左上角顶点与 $area$ 右上方顶点重合. 令 $f'_{{right}}$ 的右上角坐标为 $f'_{{right}}$ 〈 $f'_{rtx}, f'_{rty}$ 〉，若 ${f}_{lb}$ 与 $f'_{{{rt}}}$ 围成的区域中的面均存在于 $Q$ 中，则 ${f}_{lb}$ 与 ${f}_{rt}'$ 之间构成区域 $area$ ；

㉓　　　end if

㉔　end while

㉕　　　让包含在 $area$ 中的面f从 $Q$ 中出队；

㉖　　　if (区域包含的面f个数)>1 then

㉗　　　　根据 $area$ 更新集合 $F$ ，将区域作为合并面，更新图 $H$ 中区域包含的所有面的邻接关系；

㉘　　　end if

㉙　　　ℓ++；

㉚end while

㉛return 合并面后的Hanan网格图 ${H}'$ .

算法1步骤②的循环在常数项时间内可以完成. 算法在步骤③~⑦使用了1次循环，时间复杂度为 $O\left(n\right)$ . 而算法的主要时间花费则集中在步骤⑧~㉘中所包含的步骤，它包含了2次循环，最坏时间复杂度为 $O\left({n}^{2}\right)$ . 综上，算法的整体时间复杂度为 $O\left({n}^{2}\right)$ .

当整体布线方向为竖直方向时，只需将算法1中的步骤⑱㉑交换即可. 假设图2(a)中线段AA'以及线段BB'的长度小于线宽与线间距之和，其他部分除非长度与它们相等，否则长度均大于线宽与线间距之和. 根据上述算法，首先在(a)中选择位于左下角的Hanan网格 ${c}_{3}$ ，继而沿对角线向右上方进行扩展. 由于扩展后得到的合并面 $m{c}_{1}$ ，其相邻面 ${c}_{2}$ 的宽度小于线宽与线间距之和，因此此次合并无效. 而在扫描至Hanan网格 ${c}_{4}$ 时，根据算法将其扩展至合并面 ${mc}_{2}$ ，在检查后发现此次合并有效，因此合并面 ${mc}_{2}$ 便能够得到保留.

而传统的Hanan网格构图，只能在构图结束后得到合并边中的数段短边，以(b)为例，在Hanan点 ${v}_{1}$ ， ${v}_{2}$ 之间，它仅仅能得到其中的8段短边，这将对后续的布线规划造成困难. 有鉴于此，本文提出了一种边合并方法. 该方法将障碍物包围盒或者边界线都视为障碍物线，以(b)为例，它能够得到以Hanan点 ${v}_{1}$ ， ${v}_{2}$ 为端点的一整条合并边. 该方法的具体步骤如下：

首先，该方法会扫描所有Hanan边，之后，该方法对位于障碍物线之间且具有相同横坐标或纵坐标的线段进行合并，所得到的边即为合并边. 在得到合并边之后，该方法将位于障碍物线之间且具有相同横坐标或纵坐标的线段予以删除. 重复这一过程，该方法便能够得到全部合并边.

3.3 构造带权有向图

这一阶段主要是利用合并边构造带权有向图的算法，将合并边的邻接关系以及通道容量大小保存至有向图中.

算法将所有合并边按照一定顺序进行排序，不失一般性，可将竖直边按照竖直坐标从小到大排序，水平边同理. 随后，算法将排序后的每一条合并边都抽象为有向图 $G$ 中的2个顶点 ${v}_{i1}^{dir1},{v}_{i2}^{\mathrm{d}\mathrm{i}\mathrm{r}2}$ ，以水平边为例，它表示了布线的2个方向，即走线自上而下穿过该边（顶点的方向dir记作up）以及走线自下而上穿过该边（顶点的方向dir记作down），竖直边同理（顶点的方向dir分别记作left，right）. 所有顶点构成顶点的集合 $V(G)$ .

随后，算法从顶点集合 $V(G)$ 中按照排序后的顺序取出顶点对 ${v}_{i}^{\mathrm{d}\mathrm{i}\mathrm{r}\mathrm{i}}$ ， ${v}_{j}^{\mathrm{d}\mathrm{i}\mathrm{r}\mathrm{j}}$ ，并尝试在它们之间构造边 ${e}_{ij}$ . 它们所对应的合并边记作 ${HE}_{{v}_{j}}$ 及 ${HE}_{{v}_{j}}$ . 构造时遵循以下原则：

1）若 ${HE}_{{v}_{j}}$ 和 ${HE}_{{v}_{j}}$ 相互平行，则有：

diri和dirj方向相反的顶点对之间不能构造边.(a)所示，走线显然无法在从上往下穿过 ${HE}_{{v}_{1}}$ 的同时再从下往上穿过 ${HE}_{{v}_{2}}$ ，因此顶点 ${v}_{1}^{\mathrm{u}\mathrm{p}}$ 和 ${v}_{2}^{\mathrm{d}\mathrm{o}\mathrm{w}\mathrm{n}}$ 之间无法构造边.

图 3 顶点对应合并边相互平行时构造边的几种情形

Figure 3. Vertices correspond to several cases in which edges are constructed when merged edges are parallel to each other

下载: 全尺寸图片幻灯片

${HE}_{{v}_{j}}$ 及 ${HE}_{{v}_{j}}$ 之间若不存在相错关系，则它们之间不能构造边. 如(b)所示，走线在穿过 ${HE}_{{v}_{1}}$ 和 ${HE}_{{v}_{2}}$ 的过程中，必然会经过其他顶点对应的合并边（图中未直接画出），因此顶点 ${v}_{1}^{up}$ 和 ${v}_{2}^{up}$ 之间无法构造边.

${HE}_{{v}_{j}}$ 及 ${HE}_{{v}_{j}}$ 之间若为障碍物，则它们之间不能构造边. 示意图如图3(c)所示.

若 ${v}_{i}^{\mathrm{d}\mathrm{i}\mathrm{r}\mathrm{i}}$ 或 ${v}_{j}^{\mathrm{d}\mathrm{i}\mathrm{r}\mathrm{j}}$ 已经存在相互平行的连边的，不能构造边. 如(d)所示，不妨设此时坐标已经按照y轴坐标从大到小排序（从小到大排序同理），则 ${v}_{1}^{up}$ 和 ${v}_{2}^{up}$ 将先行构造边，该边记作 ${e}_{12}$ . 显然此时在 ${v}_{1}^{up}$ 和 ${v}_{3}^{\mathrm{u}\mathrm{p}}$ 之间便无法再构造边，因为走线在通过 ${v}_{1}^{up}$ 之后，必须先经过 ${v}_{2}^{up}$ 才能到达 ${v}_{3}^{up}$ .

边的容量 $cap\left({e}_{ij}\right)$ 按及 $H E_{v_{j}}$ 之间投影的交叠长度计算. 如(e)所示， ${HE}_{{v}_{1}}$ 在合并边 ${HE}_{{v}_{2}}$ 上的投影为线段AB，线段AB的长度即为边的容量 $cap\left({e}_{ij}\right)$ .

2）若 ${HE}_{{v}_{j}}$ 和 ${HE}_{{v}_{j}}$ 相互垂直，则有：

${HE}_{{v}_{j}}$ 及 ${HE}_{{v}_{j}}$ 之间若不存在交叉关系，则它们之间不能构造边. (a)所示，走线在穿过 ${HE}_{{v}_{1}}$ 和 ${HE}_{{v}_{2}}$ 的过程中，必然会经过其他顶点对应的合并边（(a)未直接画出），因此顶点 ${v}_{1}^{\mathrm{u}\mathrm{p}}$ 和 ${v}_{2}^{\mathrm{l}\mathrm{e}\mathrm{f}\mathrm{t}}$ 之间无法构造边.

图 4 顶点对应合并边相互垂直时构造边的几种情形

Figure 4. Several cases of constructing edges when vertices correspond to merging edges perpendicular to each other

下载: 全尺寸图片幻灯片

${HE}_{{v}_{i}}$ 及 ${HE}_{{v}_{j}}$ 之间若存在障碍物，则它们之间不能构造边；示意图如图4(b)所示.

${HE}_{{v}_{i}}$ 及 ${HE}_{{v}_{j}}$ 之间若相交，则交叉点将线段 ${HE}_{{v}_{i}}$ 及 ${HE}_{{v}_{j}}$ 分割为4个部分，分别记做 ${HE}_{{v}_{i1}}$ ， ${HE}_{{v}_{i2}}$ 以及 ${HE}_{{v}_{j1}}$ ， ${HE}_{{v}_{j2}}$ . 每条走线每次有且可能通过其中2条线段所围成的区域. 不失一般性，不妨设走线可能通过的其中2条线段为 ${HE}_{{v}_{i1}}$ 以及 ${HE}_{{v}_{j1}}$ . 边的容量 $cap\left({e}_{ij}\right)$ 按 ${HE}_{{v}_{i1}}$ 和 ${HE}_{{v}_{j1}}$ 长度的最小值计算. 图4(c)所示，交叉点D将线段AA'以及线段BB'分割为AD，DA'，BD，DB'，根据合并边所允许走线的通过方向不难得出，走线将会自上往下穿过线段AD继而从左向右穿过线段DB'，此时便能够得到边的容量 $cap\left({e}_{ij}\right)$ 即是线段AD以及线段DB'两者长度中的较小者.

为了有效缩减问题规模，算法在实际构造边时进行了一定简化. 首先根据起终点器件的坐标分布，确定整体布线方向. 以整体布线方向从左到右为例，在实际构造带权有向图时可以省略构造表示允许走线从右往左穿过的合并边的顶点. 其他方向同理.

为了实现群组布线的聚集效果，在自动布线流程中引入了一种自动生成引导线的方法. 所谓引导线是一条曲线，在实际布线过程中，算法希望所有走线的路径都能够尽可能地贴近引导线. 在通常的PCB设计中，起终点都是相互分离的. 因此，可以计算所有器件起始和终点引脚中心点的均值坐标，式如下所示：

$X=\dfrac{\displaystyle\sum\limits_{i=1}^{n}{x}_{i}}{n} ,$

(1)

$Y=\dfrac{\displaystyle\sum\limits_{i=1}^{n}{y}_{i}}{n} ,$

(2)

然后，便能够利用这2个坐标确定一条引导线.图5(a)所示，算法在双端线网的2个引脚之间创建了一条引导线，它是连接2个引脚中心的一条直线.

图 5 引导线示意图

Figure 5. Diagram of guidelines

下载: 全尺寸图片幻灯片

对于合并边的权重，做出如下规定：1）与引导线相交的合并边的权重规定为0，以(b)为例，合并边 ${HE}_{v2}$ ， ${HE}_{v3}$ ， ${HE}_{v5}$ ， ${HE}_{v6}$ ， ${HE}_{v7}$ 的权重被设置为0；2）若合并边与引导线不存在交点，如(b)中的 ${HE}_{v1}$ ， ${HE}_{v4}$ ，则计算它们之间的最小距离，且如果这一最小距离大于设置的阈值T，则将该合并边视作障碍物，这将有效加速之后进行的搜索过程. 由此，如果算法能够在顶点 ${{v}_{i}}^{\mathrm{d}\mathrm{i}\mathrm{r}\mathrm{i}}$ 与 ${{v}_{j}}^{\mathrm{d}\mathrm{i}\mathrm{r}\mathrm{j}}$ 与之间构造边 ${e}_{ij}$ ，则令边 ${e}_{ij}$ 的权重 $weight\left({e}_{ij}\right)$ 为合并边 ${HE}_{vi}$ 和 ${HE}_{vj}$ 的权重之和.

为了能够让群组布线的结果能够灵活适应各种复杂的工业化需求，达到人工预期的良好效果，算法同样支持人工指定引导线. 由于人工指定的引导线通常是一条曲线，因此，实际处理时算法需要根据一定的精度，首先对引导线进行采样，将其转换为多段首尾相接的线段. 图5(c)所示，引导线通过采样，被重新转换为线段AB，BC，CD，DE，EF. 线段化后的引导线的处理方式与自动生成的引导线相同.

最后，算法得到了所有顶点构成的集合 $V\left(G\right)$ ，所有边构成的集合 $E\left(G\right)$ ，所有边的容量以及所有边的权值. 这样算法便得到了基于合并边的带权有向图 $G$ .

展示了在某个简化的局部，完整的带权有向图 $G$ 的构造结果. (a)中，合并边 ${HE}_{v1}$ ， ${HE}_{v2}$ ， ${HE}_{v3}$ 按照规则可以被抽象为(b)所示的带权有向图 $G$ ，其中带权有向边的容量和权重没有具体给出.

图 6 带权有向图G构造结果示意图

Figure 6. Diagram of the construction result of weighted directed graph G

下载: 全尺寸图片幻灯片

3.4 基于启发式搜索算法的边序列搜索

这一阶段算法将会利用启发式的搜索算法，从图 $G$ 中逐线网地寻找连接起点与终点的迹.

首先算法将环绕在起始器件周围，且走线必然穿过的一条合并边标记为起始顶点，同理，算法将环绕在结束器件周围，且走线必然穿过的一条合并边标记为结束顶点. 接着，算法将起始顶点的权重设置为0，在图 $G$ 中以A*搜索的方式不断试探寻找下一顶点，直到寻找到结束顶点为止. 然后，算法对顶点序列进行逆序，从而得到有效的顶点序列. 最后，算法根据有效的顶点序列以及2个顶点确定图中一条有向边的原则，得到有效的边序列. 在A*搜索的过程中，算法如下设置权重：

$F\left(n\right)=aG\left(n\right)+bH\left(n\right)+c\times weight\left(e\right) ,$

(3)

其中 $F\left(n\right)$ 是A*搜索算法的总体代价， $G\left(n\right)$ 是从起始顶点到当前位置的实际路径开销^[30]. $\text{G}\left(n\right)$ 可以通过下列递推式计算得到：

${G\left(n\right)}_{i}={G\left(n\right)}_{i-1}+{cost}_{i} ,$

(4)

其中 ${G\left(n\right)}_{i}$ 表示第1到第 $i$ 段规划路径的实际开销， ${cost}_{i}$ 表示第 $i$ 段规划路径的实际开销. ${cost}_{i}$ 在实际计算中设为第 $i-1$ 段规划路径的终点与当前搜索到的顶点所对应合并边中点的连线长度.

H(n)是估价函数，它是一种启发式函数，表示了从当前位置到终点的预估距离. 对于预估距离的计算，通常会使用曼哈顿距离或是欧几里得距离. 设起点为 $s({x}_{1},{y}_{1})$ ，终点为 $t({x}_{2},{y}_{2})$ ，则曼哈顿距离的定义如下：

${dist}_{Manhattan}\left(s,t\right)=\left|{x}_{1}-{x}_{2}\right|+|{y}_{1}-{y}_{2}| .$

(5)

欧几里得距离的定义如下：

${dist}_{Manhattan}\left(s,t\right)={({x}_{1}-{x}_{2})}^{2}+{({y}_{1}-{y}_{2})}^{2}.$

(6)

为加速计算过程，在算法中，算法选用曼哈顿距离进行计算. 在实际计算中， $H(n)$ 由当前顶点所对应合并边中点到结束顶点的曼哈顿距离得到.

$\text { weight }(e)$ 是边权重，表示的是从上一个顶点到当前搜索顶点的边的权重. $a$ ， $b$ ， $c$ 是常数，算法可以通过改变 $a$ ， $b$ ， $c$ 的值从而强调不同的引导效果.

算法2给出了与数据结构相适配的A*搜索算法，算法从起点开始，不断地搜索出open列表中 $F$ 值最大的顶点，直到达到终点，然后通过回溯得到有效的顶点序列，继而通过2点确定一条边的方式确定有效的边序列：

算法2. A*搜索算法.

输入：图 $G$ ，起始顶点V_start，结束顶点V_end；

输出：由一系列不重复的边组成的集合所表示的一条迹W.

① 设最小优先队列Q_OPEN= $\varnothing$ ，Q_CLOSE= $\varnothing$ ，搜索过程中拜访过的顶点及其前继顶点的集合 V_visited= $\varnothing$ ，有效的顶点集合 $V=\varnothing$ ；

② Q_OPEN. push(〈0,V_start〉)；

③ while Q_OPEN ≠ $\varnothing$

④ 选择 ${F}$ 值F_next最小f同时不是障碍物cap(e_next) 大于线宽与线间距之和的顶点V_next∈Q_OPEN， Q_CLOSE. push(〈F_next,V_next〉)；

⑤ 　V_visited←V_visited∪{V_next→V_cur}；

⑥ 　　if V_next=V_end then

⑦ 　　　while V_next≠V_start

⑧ 　　　V←V∪V_next；

⑨ 　　　根据V_next搜索V_visited得到V_cur=V_next→ V_cur；

⑩ 　　　V_next=V_cur；

⑪ 　　end while

⑫ 　end if

⑬ 　将 $V$ 逆序存放 ${ reverse (V) }$ ；

⑭ 　设v_i=V_start；

⑮ 　for v∈V

⑯ 　　if v≠V_start

⑰ 　　　设 ${v}_{i}=v$ ；

⑱ 　　　根据 ${v}_{i}$ ， ${v}_{j}$ 搜索 $G$ 得到边 ${E}_{ij}$ ；

⑲ 　　　 $W\leftarrow W\cup {E}_{ij}$ , ${v}_{i}{=v}_{j}$ ；

⑳ 　　　return W,找到有效路径序列；

㉑　　else

㉒　　　计算顶点V_next的所有邻接节点 negis(V_next)的 $F$ ；

㉓　　for neig∈neigs

㉔　　　Q_OPEN←Q_OPEN.push(〈neig,F_neig〉)；

㉕　　end for

㉖　end for

㉗ end while

㉘ return 未找到有效路径序列.

在结束一次路径搜索后，需要对得到的边序列中所包含的每条边的容量进行更新. 在对所有起始顶点重复上述搜索过程后，便能得到所有线网的有效路径规划顶点序列以及有效路径规划边序列，它们分别代表了走线将会穿过的合并边的序列以及这些合并边之间的位置关系.

3.5 路径规划

这一阶段算法对路径规划得到的顶点序列以及边序列，通过限制关系在各个顶点所对应的合并边上进行取点，得到的点集就是路径规划.

除开始顶点以及结束顶点以外，算法每次取出与当前顶点邻接的前后2条边. 由于带权有向图 $G$ 中的每条边由2个顶点确定，而每个顶点则对应了构图中的1条实际合并边，因此，实际上算法每次取出的是构图中的3条合并边，而它们之间的位置关系对取点位置有着不同限制.

现对取点时存在的几种限制关系进行讨论. 如图7所示，假设布线整体方向为从左向右，显然3条合并边之间存在相互平行、前2条边平行而当前边与后一条边垂直、前2条边垂直而当前边与后一条边平行、当前边与前后2条边都垂直4种情况. 图7(a)展示的是3条合并边相互平行的情况，布线方向如图7所示. 在这种情况下，算法需要在边序列中向后寻找一条与它们相互垂直的合并边. 设curredge_start.x当前合并边终点的横坐标， $crossedge.y$ 为位于序列之后，且与当前合并边相互垂直的第1条合并边的横坐标， $\mathrm{m}\mathrm{i}\mathrm{n}$ 定义为取括号内两者的最小值. 则取点范围为

图 7 取点的几种限制关系示意图

Figure 7. Schematic diagram of several limiting relationships of acquisition points

下载: 全尺寸图片幻灯片

${P}_{range}=[{curedge}_{start}.x,\mathrm{m}\mathrm{i}\mathrm{n}({curedge}_{end}.x, crossedge.x\left)\right].$

(7)

(b)展示的是前2条边平行而当前边与后一条边垂直的情况. 设 $nextedge.x$ 为下一条合并边的横坐标，在这种情况下，此时的取点范围为

${P}_{range}=[{curedge}_{start}.x,\mathrm{m}\mathrm{i}\mathrm{n}({curedge}_{end}.x, nextedge.x\left)\right].$

(8)

(c)展示的是前2条边垂直而当前边与后一条边平行的情况. 设 $preedge.x$ 为上一条合并边的横坐标， $\mathrm{m}\mathrm{a}\mathrm{x}$ 定义为取括号内两者的最大值，在这种情况下，此时的取点范围为.

${P}_{range}=[\mathrm{max}\left(preedge.x,{curedge}_{start}.x\right) ,{curedge}_{end}.x] .$

(9)

图7(d)展示的是当前边与前后2条边都垂直的情况. 在这种情况下，此时的取点范围为

$\begin{split} {P}_{range}=\;&[\mathrm{max}\left(preedge.x,{curedge}_{start}.x\right) ,\\ &\mathrm{min}\left({curedge}_{end}.x,nextedge.x\right)] .\end{split}$

(10)

以布线整体方向从左向右为例，若上一个取点在当前合并边上的投影点落在所允许的取点范围之内，那么优先将其作为选点. 如所示，根据这一原则，在合并边 $H E_{2}$ 上，算法选择点 ${v}_{1}$ 的投影点 $v_{2}$ 作为选点. 如果此时的取点范围包括了边界，则考虑在边界的另一端进行取点. 若以上条件均不满足，则算法需要在相对于走线穿过的方向而言，合并边上所允许的取点范围之内尽量靠右的位置进行取点，间隔一个线宽与线间距之和的距离，以最大限度地减少布线空间的浪费. 实际判断取点位置是否为布线方向右侧时，算法首先将布线方向分为东、南、西、北、东南、西南、东北、西北8个方向，以图9为例，当前布线穿过方向显然为东北，此时以一斜率为1且朝向x，y轴正半轴的方向向量dir表示. 然后，在合并边AB上取中点M，然后分别取中点M到2端点A，B的方向向量，分别记做MA以及MB. 现在分别计算叉积dot₁以及dot₂：

图 8 路径规划以及详细布线示意图

Figure 8. Diagram of path planning and detailed routing

下载: 全尺寸图片幻灯片

图 9 向量与相对位置判断示意图

Figure 9. Diagram of vector and relative position judgment

下载: 全尺寸图片幻灯片

${\boldsymbol{d}\boldsymbol{o}\boldsymbol{t}}_{1}=\boldsymbol{d}\boldsymbol{i}\boldsymbol{r}\times \boldsymbol{M}\boldsymbol{A} \text{，}$

(11)

${\boldsymbol{d}\boldsymbol{o}\boldsymbol{t}}_{2}=\boldsymbol{d}\boldsymbol{i}\boldsymbol{r}\times \boldsymbol{M}\boldsymbol{B} .$

(12)

接着判断叉积dot₁, dot₂的正负，若叉积为正，则向量之间的夹角为顺时针，若叉积为负，则为逆时针. 算法规定与dir之间夹角呈顺时针的向量，它所指向的方向为布线方向的右侧. 显然图9中MB方向为布线方向的右侧.

以为例，根据这一原则，在合并边 $H E_{3}$ 上，算法将取点范围内尽量靠近右侧的点 $v_{3}$ 作为选点. 考虑到同一条合并边可能会被多条走线穿过，所以算法在每次取点时都必须与上一条穿过该合并边的走线的取点保持一个线宽与线间距之和的距离. 重复上述过程，算法便能够得到所有线网的路径规划序列，它们以点集的形式予以表示.

3.6 详细布线

路径规划阶段得到了所有线网完整的路径规划序列，但是这样的路径规划的直接连线结果违反了DRC.以图8为例，此时路径规划后的走线角度并非135°. 因此，算法需要在此基础上进行详细布线，以得到最终满足DRC的布线结果.

算法每次所要处理的是路径规划序列中的一段线，显然这一段线是由2个点确定的. 算法将需要详细布线的一条线段的起点定义为入点，而相应的终点则定义为出点.

为了缩减问题规模，算法将详细布线所面临的场景分为了2种最为基本的情形：2条合并边之间相互平行以及2条合并边之间相互垂直. 不妨设此时的路径规划线段走向为自左向右，对于2条合并边之间相互平行的情形又可细分为2种情况：一是入点与出点的纵坐标相同（如中的点 ${v}_{1}$ ， $v_{2}$ ）. 此时不做任何调整，直接进入下一段线的详细布线环节. 二是入点与出点的纵坐标不同（如中的点 $v_{8}$ ， $v_{9}$ ）. 对于这类情况，算法首先利用入点与出点的坐标信息构造布线矩形区域，该矩形区域需要恰好包含这2个点. 由于先前构造带权有向图时对连边之间存在障碍物的情形进行了限制，因此，该矩形区域内不可能存在任何障碍物. 然后，算法在矩形区域内进行详细布线. 详细布线时遵循面积最小原则，即出点顺时针沿着矩形边界到达入点所走过的路径，以及经由详细布线后所得到的线段，它们之间所围成的多边形面积必须尽可能小. 显然，算法需要让转折的长度尽可能小，在考虑到DRC中的最小线长限制后，让转折的长度取最小线宽即可.

对于2条合并边之间相互垂直的情形，不失一般性的，设此时的路径规划线段走向为自左向上（如中的点 $v_{2}$ ， $v_{3}$ ）. 对于这类情况，处理方法与2条合并边之间相互平行且入点与出点纵坐标不同的情况类似.

布线完成后检查起点线段与上一线段的终点线段之间是否为直角，若是，则在起点线段开始处增加一转折，转折的长度同样取最小线宽即可.

对于其他走向的路径规划线段，算法在参照上述处理方法的同时进行相应的坐标变换即可. 在对所有路径规划线段应用详细布线算法后，便能够得到完整的符合DRC的详细布线结果.

4. 实验结果及分析

算法使用C++作为编程语言进行实现. 所有实验都在配备了Intel(R) Xeon(R) Platinum 8260 CPU @ 2.40 GHz和128 GB内存的单台服务器上进行. 表1展示了来自于工业界的基准用例. 其中PCB5在PCB4的基础上将线网划分为了2个群组. PCB9仅用于测试分层效果.

表 1 基准印刷电路板设计统计

Table 1. Benchmark Printed Circuit Board Design Statistics

设计	引脚数	焊盘数	过孔数	未布线线网数	总线群组组数
PCB1	10	10	0	5	1
PCB2	10	10	5	5	1
PCB3	16	32	22	8	1
PCB4	20	40	31	10	1
PCB5	20	40	31	10	2
PCB6	30	163	12	15	5
PCB7	84	172	86	42	3
PCB8	140	286	173	140	4
PCB9	6	12	12	3	1

下载: 导出CSV

| 显示表格

群组布线的布线质量可以通过采用一些评价指标进行评价. 群组布线的布线代价的计算方法由式(13)给出：

${C}_{\mathrm{t}\mathrm{o}\mathrm{t}\mathrm{a}\mathrm{l}}=\alpha {C}_{W}+\beta {C}_{S}+\gamma {C}_{C} .$

(13)

式(13)中的总体布线代价 ${C_{{\text{total}}}}$ 由3个部分加权求和得到，在不考虑DRV的情况下， ${C_{{\text{total}}}}$ 的值越小则说明群组布线的布线效果越好. 式中的 $\alpha$ ， $\beta$ ， $\gamma$ 表示权重，可取1，1，1，所有群组的线长相似性代价 ${C_W}$ 、线段数代价 ${C_S}$ 、紧凑性代价 ${C_C}$ 的计算式的计算方法分别由式(14)~(16)所示：

${C}_{W}=\dfrac{\displaystyle\sum\limits_{i=1}^{n}\frac{\mathrm{m}\mathrm{a}\mathrm{x}({WL}_{W}^{i})}{\mathrm{m}\mathrm{i}\mathrm{n}({WL}_{W}^{i})}}{n} ,$

(14)

${C}_{S}=\dfrac{\displaystyle\sum\limits_{i=1}^{n}\frac{max({N}_{S}^{i})}{min({N}_{S}^{i})}}{n} ,$

(15)

${C}_{C}=\dfrac{\displaystyle\sum\limits_{i=1}^{n}\frac{\mathrm{m}\mathrm{i}\mathrm{n}({W}_{S}^{i})}{{\widehat{W}}_{S}}}{n} ,$

(16)

其中式(14)中 ${C}_{W}$ 由每个群组 $i$ 的单独相似性代价累加得到， $n$ 则代表了当前布线输入的群组数. ${{\mathrm{max}}⁡}({WL}_{W}^{i})$ 表示的是群组 $i$ 中线长最长的线网的线长， $\mathrm{m}\mathrm{i}\mathrm{n}({WL}_{W}^{i})$ 表示的是群组 $i$ 中线长最短的线网的线长. ${C}_{W}$ 的值越小则所有群组线网的整体布线线长越接近.

式(15)中 $i$ 和 $n$ 的含义同式(14). $\text{max}({N}_{S}^{i})$ 表示群组 $i$ 中所包含的线段的数量最多的线网的段数， $min({N}_{S}^{i})$ 表示群组 $i$ 中的段数下界，取群组 $i$ 中所有线网段数中的最小值即可. ${C}_{S}$ 的值越小则布线的拓扑相似性越高.

式(16)中 $i$ 和 $n$ 的含义同式(14). $\text{m}\mathrm{i}\mathrm{n}({W}_{S}^{i})$ 表示群组 $i$ 中线段S所占据的宽度的最小值，计算 ${W}_{S}$ 时需要分别计算群组 $i$ 中最外层的2个线网与线段 $s$ 的最小距离，两者中的较小者即为 $\mathrm{m}\mathrm{i}\mathrm{n}({W}_{S}^{i})$ . ${\widehat{W}}_{S}$ 则取线网的线宽与线间距之和. ${C}_{C}$ 的值越小则布线的汇聚程度越高，而更高的汇聚程度能够有效地节约布线空间，从而尽可能减少给后续布线带来的困难.

将本文算法与2个最先进的布线器FreeRouting以及Cadance Allegro进行比较.2个布线器都使用了默认设置，并在实验中应用了相同的设计输入以及DRC. 而本文方法采用的是默认生成引导线的模式. 本文选择了组件之间相互远离的基准用例，以便清楚地展示布线结果. 表3中的方法1、方法2分别代表了FreeRouting以及Cadance Allegro的布线结果. 通过比较3款布线器的布通率即正确地完成布线的线网占总线网数的比率^[31]、运行时间和违反设计规则（design rule violation，DRV）的次数总结了实验结果. 请注意，表3中的连字符表示设计无法在软件上运行，或者运行时间超过1 h. 如表3所示，本文方法在布通率、运行时间和DRV的次数方面优于FreeRouting和Allegro. 值得注意的是，本文方法以及Cadence Allegro可以完成总线或群组布线，而FreeRouting只能完成单线布线. 此外，Cadence Allegro以及FreeRouting无法在实际布线前进行相应的路径规划，这往往会导致一系列拥塞问题，继而在布线过程中需要频繁地进行拆线重布，这造成了大量的时间浪费. 更糟糕的是，FreeRouting在一些布线发生拥塞的情况下会尝试设置过孔，从而进行跨层布线，这种做法将会使PCB板层数增加，从而导致制造成本与制造难度大大增加.

表 2 各方法的布线结果比较

Table 2. Comparison of Routing Results Between Method 1, Method 2 and the Method in This Paper

设计	布通率 /%			运行时间 /s			DRV次数
设计	方法1	方法2	本文方法	方法1	方法2	本文方法	方法1	方法2	本文方法
PCB1	100	100	100	0.03	0.008	0.001	0	0	0
PCB2	100	100	100	0.11	0.025	0.003	0	0	0
PCB3	100	100	100	0.7	0.19	0.023	1	0	0
PCB4	100	100	100	1.5	0.35	0.041	3	0	0
PCB5	100	100	100	1.5	0.37	0.048	3	0	0
PCB6	93.3	100	100	8.2	2.4	0.21	7	0	0
PCB7	57.1	97.6	100	94.7	13.2	2.1	15	2	0
PCB8	-	64.8	100	-	109.7	16.4	-	106	0
“-”表示未布通

下载: 导出CSV

| 显示表格

表 3 各方法的群组布线性能指标比较

Table 3. Comparison of Group Routing Performance Metrics Between Method 1, Method 2 and the Method in This Paper

设计	方法1				方法2				本文方法
设计	${C}_{W}$	${C}_{S}$	${C}_{C}$	${C}_{\mathrm{t}\mathrm{o}\mathrm{t}\mathrm{a}\mathrm{l}}$	${C}_{W}$	${C}_{S}$	${C}_{C}$	${C}_{\mathrm{t}\mathrm{o}\mathrm{t}\mathrm{a}\mathrm{l}}$	${C}_{W}$	${C}_{S}$	${C}_{C}$	${C}_{\mathrm{t}\mathrm{o}\mathrm{t}\mathrm{a}\mathrm{l}}$
PCB1	1.04	1.67	4.04	6.75	1.01	1.00	3.50	5.51	1.16	1.67	1.00	3.83
PCB2	1.06	1.67	4.21	6.94	1.12	2.00	1.00	4.12	1.16	1.50	1.00	3.66
PCB3	1.07	2.00	4.36	7.43	1.17	1.50	1.00	3.67	1.29	1.32	1.00	3.61
PCB4	1.05	2.33	4.56	7.94	1.21	1.86	1.00	4.07	1.39	1.35	1.00	3.74
PCB5	1.05	2.33	4.56	7.94	1.14	2.00	1.00	4.14	1.17	1.22	1.00	3.39
PCB6	1.34	2.75	3.98	8.07	1.40	2.50	1.00	4.90	1.37	2.40	1.00	4.77
PCB7	1.20	2.13	4.29	7.62	1.20	1.82	1.00	4.02	1.18	1.60	1.00	3.78
PCB8	-	-	-	-	1.35	1.90	1.00	4.25	1.37	1.72	1.00	4.09
“-”表示未布通

下载: 导出CSV

| 显示表格

通过使用式(14)~(16)对3款布线器的布线性能指标进行比较. 其中式(13)中α，β，γ的取值分别为1，1，1，它们分别代表了群组布线同一群组中所有线网的布线线长尽量相近、所有线网的布线尽量汇聚以及所有线网的布线拓扑尽量相似的需求. 中 ${C}_{W}$ ， ${C}_{S}$ ， ${C}_{C}$ 分别表示相似性代价、线段数代价、紧凑性代价， ${C}_{\mathrm{t}\mathrm{o}\mathrm{t}\mathrm{a}\mathrm{l}}$ 表示总体布线代价，这些指标的值越小则布线效果越好. 如表3所示，在线长相似性代价方面，由于FreeRouting是以单线布线的布线结果进行对比的，不具备聚集布线的能力，因此通常来说它的线长相似性最好，而Cadence Allegro在自动布线阶段采取的是聚集布线策略，这种策略在进行切角处理后往往会占据大量的布线空间，且在面对复杂例子时难以达到100%的布通率. 本文所提出的算法在某些例子上没有达到最佳的线长相似性，但也在可接受的范围内. 在线段数代价方面，本文提出的算法较优，这也意味着本文方案具有较好的布线拓扑相似性. 在紧凑性代价方面，本文所提出的算法以及Cadence Allegro在面对有障碍物布线时都能保持最优，这也就意味着相邻线网之间都能保持最小线间距，而不具备聚集布线能力的FreeRouting在该指标上与本文所提出的算法以及Cadence Allegro有着较大差距. 本文所提出的算法在总体布线代价方面优于FreeRouting和Cadence Allegro，这就意味着，总体而言，本文所提出的算法对于群组布线问题有着更佳的效果.

图10、图11显示了使用本文方法在PCB4上的布线结果，该示例能够最清晰地展示本文方法的优势. 算法将PCB板上的过孔、焊盘等视作障碍物. 图10中，算法将式(3)中的权重weight(e)设置为0，从而屏蔽了引导线的功能，此时群组走线退化为单线布线. 图11中，算法将式(3)中的权重weight(e)设置为100，从而强调了引导线的引导效果. 此时算法从左侧从上到下第5个焊盘与第6个焊盘中间出发，到右侧从上到下第5个焊盘与第6个焊盘中间中止，自动生成了1条引导线，并在参数设置时强调了引导线的引导作用，这将对这10根线网的路径规划产生汇聚作用，从而满足群组布线的要求. 图12则显示了本文所用方法在复杂例子上的布线结果. 图13显示的是预先分配各引脚的层后，实施群组布线的布线效果，其中左边第1、2行（电子版红色）与第3行（电子版蓝色）矩形焊盘分别位于不同层，图13的走线未发生交叉. 实验结果表明，算法对于PCB设计的群组布线任务是适用且高效的.

图 10 权重weight(e)为0时的PCB4布线结果

Figure 10. PCB4 routing results when weight(e) is 0

下载: 全尺寸图片幻灯片

图 11 权重weight(e)为100时的PCB4布线结果

Figure 11. PCB4 routing results when weight(e) is 100

下载: 全尺寸图片幻灯片

图 12 PCB8布线结果

Figure 12. PCB8 routing results

下载: 全尺寸图片幻灯片

图 13 经预先分层后权重weight(e)为100时PCB9的布线结果

Figure 13. Routing results of PCB9 with weight(e) of 100 after pre-layering

下载: 全尺寸图片幻灯片

5. 总　　结

本文提出了一种用于PCB设计的群组布线算法，该算法考虑了PCB设计中的DRC.算法利用构造带权有向图的方式实现了群组布线问题的数学建模，在有效表示电路板上的布线资源的同时避免了传统网格方法易受网格精度以及网格数量限制的缺陷. 此外，算法采用具有多线避让功能的启发式搜索算法，且算法支持人工指定引导线以引导布线方向，在有效降低时间开销的同时保证了布线质量. 最后，算法提出了一种简洁有效且与本文提出的路径规划算法相适配的群组布线方案. 与FreeRouting和Cadence Allegro相比，实验结果显示了该算法的优越性.

作者贡献声明：邓新国负责方案设计和论文撰写以及修改；张鑫泓负责完成实验、数据分析和论文撰写以及修改；陈家瑞负责方案设计，并修改论文；刘清海提出方案的概念和证明思路；陈传东提出指导意见并参与论文修改.

图 1 整体架构图

Figure 1. Overall structural diagram

下载: 全尺寸图片幻灯片

图 2 无线通信系统与基于深度学习的信号调制识别结构图

Figure 2. Structure diagram of wireless communication system and signal modulation recognition based on DL

下载: 全尺寸图片幻灯片

图 3 面向调制识别的代表性深度学习模型

Figure 3. Representative DL models for modulation recognition

下载: 全尺寸图片幻灯片

图 4 基于对抗深度学习的分类框架图

Figure 4. Categorization framework diagram based on adversarial deep learning

下载: 全尺寸图片幻灯片

图 5 物理对抗攻击模型与数字对抗攻击模型对比

Figure 5. Comparison of physical adversarial attack model and digital adversarial attack model

下载: 全尺寸图片幻灯片

图 6 基于信号调制识别的对抗攻击威胁模型

Figure 6. Threat model of adversarial attack based on signal modulation recognition

下载: 全尺寸图片幻灯片

图 7 考虑信道效应的2种对抗攻击场景示意图

Figure 7. Illustration of two adversarial attack scenarios considering channel effect

下载: 全尺寸图片幻灯片

表 1 信号调制识别主要的开源数据集汇总

Table 1 Summary of Main Open-Source Datasets for Signal Modulation Recognition

数据集名称	调制方式	样本大小	样本总数	SNR/dB
RML2016.10A	11类（8PSK, BPSK, CPFSK, GFSK, PAM4, 16QAM, AM-DSB, AM-SSB, 64QAM, QPSK, WBFM）	2 × 128	220 000	−20~18
RML2016.10B	10类（8PSK, BPSK, CPFSK, GFSK, PAM4, AM-DSB, 16QAM, 64QAM, QPSK, WBFM）	2 × 128	1 200 000	−20~18
RML2016.04C	11类（8PSK, BPSK, CPFSK, GFSK, PAM4, AM-DSB, AM-SSB, 16QAM, 64QAM, QPSK, WBFM）	2 × 128	162 060	−20~18
RML2018.01A	24类（OOK, 4ASK, 8ASK, BPSK, QPSK, 8PSK, 16PSK, 32PSK, 16APSK, 32APSK, 64APSK, 128APSK, 16QAM, 32QAM, 64QAM, 128QAM, 256QAM, AM-SSB-WC, AM-SSB-SC, AM-DSB-WC, AM-DSB-SC, FM, GMASK, OQPSK）	2 × 1 024	2 555 904	−20~10
HisarMod2019.1	26类（AM-DSB, AM-SC, AM-USB, AM-LSB, FM, PM, 2FSK, 4FSK, 8FSK, 16FSK, 4PAM, 8PAM, 16PAM, BPSK, QPSK, 8PSK, 16PSK, 32PSK, 64PSK, 4QAM, 8QAM, 16QAM, 32QAM, 64QAM, 128QAM, 256QAM）	2 × 1 024	780 000	−20~18

下载: 导出CSV

表 2 信号调制识别的深度学习模型

Table 2 Signal Modulation Recognition Deep Learning Models

模型类型	模型名称	优点	缺点
无监督学习模型	SCF-DBN^[39,42]、自编码器1^[43]、自编码器2^[44]	·处理未标记数据； ·特征提取表现优异；	·计算复杂性较高，限制大规模问题的应用； ·只用来测试少数调制方式分类，应用受限；
前馈神经网络模型	FFNN1^[40], FFNN2^[45], FFNN3^[46]	·擅长提取高维特征； ·结构简单，优化灵活；	·可能不适合处理如时间序列数据； ·需要大量训练数据，以避免过拟合；
CNN模型	CNN1^[4], CNN2^[50], CNN3^[51], ResNet^[41], DenseNet^[41], CM+CNN^[47], SCNN^[48], AlexNet^[49], GoogLeNet^[49], DrCNN^[52], IC-AMCNet^[56], MCNET^[10]	·强大的空间特征提取能力； ·适用于不同输入数据类型； ·高效架构满足低时延高可靠；	·高计算复杂度，增加训练成本； ·可能忽略通信系统中固有的信号特征； ·原始I/Q信号直接输入模型导致信息损失；
RNN模型	GRU^[6], LSTM^[7], DAE^[57]	·处理时间序列数据的能力； ·适用于低成本计算平台；	·计算复杂度相对较高，训练难度较大； ·可能存在梯度消失或爆炸问题；
混合模型	CLDNN1^[5], CLDNN2^[41], MCLDNN^[9], MLDNN^[58], DBN+SNN^[59]	·结合CNN和RNN的优势； ·提高识别精度和泛化能力；	·模型复杂性更高，计算和维护成本增加； ·计算资源需求更高；

下载: 导出CSV

表 3 对抗攻击方法的函数表示

Table 3 Function Expression of Adversarial Attack Methods

方法	函数表示
对抗攻击方法	$\begin{aligned} &\mathop {{\text{min}}}\limits_{\boldsymbol {\theta} } {\left\\| {\boldsymbol \delta } \right\\|_p}\\[-4pt]&{\text{s}}{\text{.t}}{\text{. }}f({\boldsymbol {\theta} },{\boldsymbol {x}}) \ne f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta })\end{aligned}$	（3）
非针对性对抗攻击	$\begin{aligned}& {\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\[-4pt] &{{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon } \end{aligned}$	（4）
针对性对抗攻击	$\begin{aligned}& {\mathop {\min }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{target}}}})} \\[-4pt] & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon } \end{aligned}$	（5）

下载: 导出CSV

表 4 面向调制识别的对抗攻击函数表达汇总

Table 4 Summary of Adversarial Attack Function Experssion for Modulation Recognition

方法	具体技术	对抗样本函数表示	优化目标函数表示
FGM	FGSM ^[26]	${{\boldsymbol {x}}^*} = {\boldsymbol {x}} + \varepsilon \times {\text{sgn}}\left( {{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}}),{\boldsymbol y})} \right)$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon }\end{aligned}$
	FGM ^[16]	${{\boldsymbol {x}}^*} = {\boldsymbol {x}} + \varepsilon \times \dfrac{{{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}}),{\boldsymbol y})}}{{{{\left\\| {{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}}),{\boldsymbol y})} \right\\|}_2}}}$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon }\end{aligned}$
	FGM考虑信道效应^[15]	${{r}_{{\text{ar}}}} = {{\boldsymbol H}_{{\text{tr}}}}{\boldsymbol {x}} + {{\boldsymbol H}_{{\text{ar}}}}{\boldsymbol \delta } + {\boldsymbol n}$	${\mathcal{L}(f({\boldsymbol {\theta} },{{r}_{{\text{ar}}}}),{{\boldsymbol y}^{{\text{target}}}}) \approx \mathcal{L}(f({\boldsymbol {\theta} },{{r}_{{\text{tr}}}}),{{\boldsymbol y}^{{\text{target}}}}) + }{{{({{\boldsymbol H}_{{\text{ar}}}}{\boldsymbol \delta })}^{\text{T}}}{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{{r}_{{\text{tr}}}}),{{\boldsymbol y}^{{\text{target}}}})}$
MI-FGSM	MI-FGSM ^[80]	$\begin{aligned} &{\boldsymbol {x}}_{t + 1}^* = {\boldsymbol {x}}_t^* + \left( {\dfrac{\varepsilon }{T}} \right) \times {\text{sgn}}({{\boldsymbol g}_{t + 1}})\\&{{\boldsymbol g}_{t + 1}} = \mu \times {{\boldsymbol g}_t} + \dfrac{{{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{{\boldsymbol {x}}^}),{\boldsymbol y})}}{{{{\left\\| {{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{{\boldsymbol {x}}^}),{\boldsymbol y})} \right\\|}_1}}}\end{aligned}$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon } \end{aligned}$
PGD	PGD ^[91]	${{\boldsymbol {x}}}_{t+1}^{}={\varPi }_{{\cal{B}}_{\epsilon}({{\boldsymbol {x}}}_{2})}({{\boldsymbol {x}}}_{t}^{}+\beta \times \text{sgn}({\nabla }_{{\boldsymbol {x}}}{\mathcal{L}}(f(\boldsymbol{\theta},{{\boldsymbol {x}}}_{t}^{*}),{\boldsymbol y})))$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon } \end{aligned}$
C&W	Carlini & Wagner ^[81]	${{\boldsymbol {x}}^*} = {\boldsymbol {x}} + {\boldsymbol \delta }$	$\begin{aligned} &{\mathop {\min }\limits_{\boldsymbol \delta } \left\\| {\boldsymbol \delta } \right\\|_2^2 + c \times {f_t}({\boldsymbol {x}} + {\boldsymbol \delta })} \\ & {{\text{s}}{\text{.t}}{\text{. }}{\boldsymbol {x}} + {\boldsymbol \delta } \in {{\left[ {\left\lceil {\min ({x_i})} \right\rceil ,\left\lceil {\max ({x_i})} \right\rceil } \right]}^k}}\\&{f_t}({\boldsymbol x'}) = \max \left( {\max \{ Z{{({\boldsymbol x'})}_i}:i \ne t\} - Z{{({\boldsymbol x'})}_t},0} \right)\end{aligned}$
ATN	P-ATN考虑通信损失^[29]	${{\boldsymbol {x}}^*} = {\boldsymbol {x}} + g({\boldsymbol {\theta} },{\boldsymbol {x}})$	${\mathcal{L}( \cdot)= (1 - \alpha)\times {\mathcal{L}_{{\text{adv}}}}( \cdot)+ } {\alpha \times \left[ {\beta \times {\mathcal{L}_{{\text{comm}}}}( \cdot)+ (1 - \beta)\times {\mathcal{L}_{{\text{pwr}}}}( \cdot )} \right]}$
ATN	AAE考虑通信损失^[92]	${{\boldsymbol {x}}^*} = g({\boldsymbol {\theta} },{\boldsymbol {x}})$	${\mathcal{L}_{{\text{total}}}} = \alpha \times {\mathcal{L}_{{\text{adv}}}} + \beta \times {\mathcal{L}_{{\text{comm}}}} + \gamma \times {\mathcal{L}_{{\text{pwr}}}}$
BIM	BIM ^[89]	$\begin{aligned} &{{{\boldsymbol {x}}_{t + 1}} = Cli{p_{{x, }\varepsilon }}\{ {{\boldsymbol {x}}_t} + } {\varepsilon \times {\text{sgn}}\left( {{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{{\boldsymbol {x}}_t}),{{\boldsymbol y}_t})} \right)\} } \\ &Cli{p_{{x, }\varepsilon }}\{ {\boldsymbol z}\} :{\boldsymbol z} \in [{\boldsymbol {x}} - \varepsilon ,{\boldsymbol {x}} + \varepsilon ] \end{aligned}$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\\| {\boldsymbol \delta } \right\\|}_p} \leqslant \varepsilon } \end{aligned}$

下载: 导出CSV

表 5 针对于不同对抗样本生成方法的数字攻击/物理攻击研究工作汇总

Table 5 Summary of Research Work on Digital/Physical Attacks for Different Adversarial Examples Generation Methods

对抗攻击方法	数字攻击的相关文献	物理攻击的相关文献
快速梯度法FGM	[15−16，20，26，78−79， 82，84，88−89]	[19，95]
动量迭代法MI-FGSM	[20，80，89]
投影梯度下降法PGD	[20，89，96]	[90−91，94]
Carlini & Wagner	[81，85−87]
对抗转化网络ATN		[29，92−93]
通用对抗扰动UAP	[15−16，25，78，96]
基础迭代法BIM	[20，88−89]
雅克比显著图攻击JSMA	[89]
木马攻击	[83]

下载: 导出CSV

表 6 面向调制识别的对抗样本生成方法总览

Table 6 Summary of Adversarial Examples Generation Methods for Modulation Recognition

攻击方法	相关研究工作	关键技术	攻击分类	攻击目标	攻击能力	数据集	攻击后最低准确率/ %(SNR/dB)
快速梯度法FGM	Sadeghi等人^[16]	使用二分法改进FGM	数字	非针对性	白盒	RML2016.10A	0 (10)
	Kim等人^[15,78]	最大接收扰动功率算法MRPP改进FGM	数字	针对性	白盒	RML2016.10A	13 (10)
	Kim等人^[15,78]	最大接收扰动功率算法MRPP改进FGM	数字	非针对性	白盒	RML2016.10A	17 (10)
	Restuccia等人^[79]	在一组连续的输入信号切片上计算扰动	数字	针对性	白盒	RML 2018.01A	-
	Restuccia等人^[79]	在一组连续的输入信号切片上计算扰动	数字	非针对性	白盒	RML 2018.01A	31 (0)
	Kokalj-Filipovic^[26]	通过自编码器对调制识别模型进行预训练，提高模型鲁棒性	数字	非针对性	非适应性黑盒	RML 2018.01A (BPSK, QPSK, 9-PSK)	60 (14)
	Ke等人^[82]	FGSM和L-BFGS对抗攻击	数字	非针对性	白盒	RML2016.04C	21 (8)
	Lin等人^[20]	比较多种方法性能，讨论波形变化	数字	非针对性	白盒	RML2016.10A	17 (10)
	Kim等人^[84]	元素最大信道增益EMCG法来优化天线信号功率分配生成并发对抗性扰动	数字	针对性	白盒	RML2016.10A	10 (10)
	Sahay等人^[88]	基于频域特征分类，削弱非适应性黑盒对抗样本的可迁移性	数字	非针对性	白盒	RML2016.10B	23 (18)
	Sahay等人^[88]	基于频域特征分类，削弱非适应性黑盒对抗样本的可迁移性	数字	非针对性	非适应性黑盒	RML2016.10B	78 (18)
	Lin等人^[89]	比较多种方法攻击性能，讨论调制类型鲁棒性	数字	非针对性	白盒	RML2016.10A	14 (10)
	Flowers等人^[19]	FGSM算法实现对抗攻击，并考虑接收器误码率	物理	非针对性	白盒	RML2016.10A (BPSK)	58 (10)
	Berian等人^[95]	基于滤波器方法实现对抗攻击	物理	非针对性	白盒	RML2016.10A	25 (0)
动量迭代法MI-FGSM	Bair等人^[80]	利用MI-FGSM实现针对性(QPSK误分为8PSK)与非针对性对抗攻击	数字	针对性	白盒	RML2016.10A	0 (18)
	Bair等人^[80]	利用MI-FGSM实现针对性(QPSK误分为8PSK)与非针对性对抗攻击	数字	非针对性	白盒	RML2016.10A	7 (18)
	Lin等人^[20]	比较多种方法性能，讨论波形变化	数字	非针对性	白盒	RML2016.10A	10 (10)
	Lin等人^[89]	比较多种方法攻击性能，讨论调制类型鲁棒性	数字	非针对性	白盒	RML2016.10A	10 (10)
投影梯度下降法PGD	Lin等人^[20]	比较多种方法性能，讨论波形变化	数字	非针对性	白盒	RML2016.10A	13 (10)
	Lin等人^[89]	比较多种方法攻击性能，讨论调制类型鲁棒性	数字	非针对性	白盒	RML2016.10A	13 (10)
	Sandler等人^[96]	利用PGD算法实现对抗攻击	数字	非针对性	白盒	RML 2018.01A, 自建数据集	-
	Hameed等人^[90]	PGD算法实现对抗攻击，考虑接收器误码率的影响，将l₂范数随机噪声作为对照组	物理	非针对性	白盒	自建数据(QAM64)	55 (10)
	Hameed等人^[90]	PGD算法实现对抗攻击，考虑接收器误码率的影响，将l₂范数随机噪声作为对照组	物理	非针对性	非适应性黑盒	自建数据(QAM64)	55 (10)
	Hameed等人^[91]	改进PGD算法，并通过降低传输速率来权衡误码率与分类精度	物理	非针对性	白盒	自建数据(QAM64)	55 (10)
	Hameed等人^[91]	改进PGD算法，并通过降低传输速率来权衡误码率与分类精度	物理	非针对性	非适应性黑盒	自建数据(QAM64)	72 (10)
	Hameed ^[94]	改进PGD算法，考虑误码率的优化	物理	非针对性	白盒	自建数据(QAM64)	55 (10)
	Hameed ^[94]	改进PGD算法，考虑误码率的优化	物理	非针对性	非适应性黑盒	自建数据(QAM64)	72 (10)
Carlini & Wagner	Kokalj-Filipovic等人^[81]	改进Carlini&Wagner-l₂算法以适应调制识别对抗攻击	数字	针对性	非适应性黑盒	RML 2018.01A 自建数据集	-
	Yi等人^[85]	使用数据驱动的子采样策略，对未知子采样策略实现适应性黑盒攻击	数字	非针对性	白盒	RML2016.10B	48 (10)
	Yi等人^[85]	使用数据驱动的子采样策略，对未知子采样策略实现适应性黑盒攻击	数字	非针对性	适应性黑盒	RML2016.10B	70 (10)
	Usama等人^[86]	实现白盒对抗攻击	数字	非针对性	白盒	RML2016.10A	-
	Usama等人^[87]	实现适应性黑盒对抗攻击	数字	非针对性	适应性黑盒	RML2016.10A	33 (10)
对抗转化网络ATN	Flowers等人^[29]	利用扰动-对抗转化网络ARN实现对抗攻击，引入通信合页损失减少减少期望接收器误码率	物理	非针对性	白盒	RML2016.10A (BPSK)	25 (10)
	DelVecchio等人^[92]	利用对抗突变网络AMN实现对抗攻击，引入通信合页损失减少减少期望接收器误码率，并考虑前向纠错编码FEC影响	物理	非针对性	白盒	自建数据(QPSK)	0 (10)
	DelVecchio等人^[93]	改进AMN网络，考虑频谱欺骗损失，同时减少期望接收器的误码率	物理	非针对性	白盒	自建数据(QPSK)	0 (10)
通用对抗扰动UAP	Sadeghi等人^[16]	利用主成分分析方法生成UAP	数字	非针对性	适应性黑盒	RML2016.10A	37 (10)
	Bahramali等人^[25]	构建扰动生成模型 PGM生成大量UAP，基于GAN构建噪声正则器，同时最大化UAP之间的距离	数字	非针对性	适应性黑盒	RML2016.10A	25 (10)
	Kim等人^[15,78]	利用主成分分析和自编码器2种方法生成UAP，并考虑信道信息有限	数字	非针对性	适应性黑盒	RML2016.10A	46 (10)
	Kim等人^[15,78]	利用主成分分析和自编码器2种方法生成UAP，并考虑信道信息有限	数字	非针对性	严格黑盒	RML2016.10A	65 (10)
	Sandler等人^[96]	生成UAP和特定类别的UAP，并添加随机相位偏移模拟真实信道	数字	非针对性	适应性黑盒	RML 2018.01A, 自建数据集	-
	Sandler等人^[96]	生成UAP和特定类别的UAP，并添加随机相位偏移模拟真实信道	数字	针对性	适应性黑盒	RML 2018.01A, 自建数据集	-
基础迭代法BIM	Lin等人^[20]	比较多种方法性能，讨论波形变化	数字	非针对性	白盒	RML2016.10A	12 (10)
	Sahay等人^[88]	基于频域特征分类，削弱非适应性黑盒对抗样本的可迁移性	数字	非针对性	白盒	RML2016.10B	20 (18)
	Sahay等人^[88]	基于频域特征分类，削弱非适应性黑盒对抗样本的可迁移性	数字	非针对性	非适应性黑盒	RML2016.10B	74 (18)
	Lin等人^[89]	比较多种方法攻击性能，讨论调制类型鲁棒性	数字	非针对性	白盒	RML2016.10A	10 (10)
雅克比显著图攻击JSMA	Lin等人^[89]	基于JSMA算法实现严格黑盒攻击	数字	非针对性	严格黑盒	RML2016.10A	25 (10)
木马攻击	Davaslioglu等人^[83]	在一部分训练数据集中嵌入木马，在测试时触发木马以欺骗分类器	数字	针对性	白盒	RML2016.10A	攻击成功率 88 (12)
“-”为当前文献未给出较为明确的攻击后最低准确率.

下载: 导出CSV

表 7 针对于无线通信特性的对抗攻击方法汇总

Table 7 Summary of Adversarial Attack Methods Considering Wireless Communication Characteristics

通信特性		相关研究工作	处理方法
信道效应的复杂性	场景1：不考虑模拟信道模型	Sadeghi等人^[16]	UAP具有移位不变性
	场景1：不考虑模拟信道模型	Bahramali等人^[25]	UAP中添加相位旋转
	场景1：完整信道模型	Kim等人^[15,78,95]	利用信道效应改进对抗算法
		Kim等人^[84]	利用信道效应改进对抗算法，并合理分配多天线信号功率
		Flowers等人^[19]	提出特定信道与动态信道场景实验
	场景1：有限信道模型	Flowers等人^[29]	引入通信合页损失
		Kim等人^[15,78]	PCA算法对信道信息降维，生成UAP
		Restuccia等人^[79]	在一组连续的输入信号切片上计算扰动
		Sandler等人^[96]	真实信道上使用SDR广播对抗性扰动信号
		Flowers等人^[19]	提出特定信道与动态信道场景实验
	场景1：物理对抗攻击中利用信道差异	Flowers等人^[29]	利用对抗转移网络ATN的变体ARN进行对抗攻击
		DelVecchio等人^[92-93]	利用对抗转移网络ATN的变体AMN进行对抗攻击
		Restuccia等人^[90,94]	基于DNN模型以多目标的线性组合为目标函数
		Hameed等人^[91]	多目标优化，并降低传输速率来权衡误码率与分类精度
	场景2：训练数据集不同	Sadeghi等人^{[15-16,25,78,96]}	生成与输人无关的通用对抗扰动UAP
特征表示的异质性		Lin等人^[20]	保证对抗攻击前后信号波形的一致，同时不减弱攻击性能
		DelVecchio等人^[93]	引入频谱欺骗损失，保持对抗性扰动信号的频谱完整性
		Sahay等人^[88]	基于频域特征分类，削弱黑盒对抗样本的可迁移性
信号数据的间接性		Flowers等人^{[15,19,29,78-79,91-93]}	对信道模型、前向纠错编码FEC等影响模拟并讨论分析

下载: 导出CSV

表 8 调制识别的对抗攻击研究工作对3种通信特性涉及项汇总

Table 8 Summary of Related Terms of Three Communication Characteristics on Adversarial Attack Research for Modulation Recognition

相关研究工作	信道效应的复杂性	信号数据的间接性	特征表示的异质性
Kim等人^[15]	✓	✓
Sadeghi等人^[16]	✓
Flowers等人^[19]	✓	✓
Lin等人^[20]			✓
Bahramali等人^[25]	✓
Kokalj-Filipovic等人^[26]
Flowers等人^[29]	✓	✓
Kim等人^[78]	✓	✓
Restuccia等人^[79]	✓	✓
Bair等人^[80]
Kokalj-Filipovic等人^[81]
Ke等人^[82]
Davaslioglu等人^[83]
Kim等人^[84]
Yi等人^[85]
Usama等人^[86]
Usama等人^[87]
Sahay等人^[88]			✓
Lin等人^[89]
Hameed等人^[90]	✓	✓
Hameed等人^[91]	✓	✓
DelVecchio等人^[92]	✓	✓
DelVecchio等人^[93]	✓	✓	✓
Hameed ^[94]	✓	✓
Berian等人^[95]	✓	✓
Sandler等人^[96]	✓	✓

下载: 导出CSV

表 9 面向调制识别的对抗防御与检测方法比较

Table 9 Comparison of Adversarial Defense and Detection Methods for Modulation Recognition

类别	方法	详细技术	主要思想	优点	缺点
防御	对抗训练	UAP对抗训练^[25]	最大化对抗损失、最小化模型参数损失，实现对抗信号防御	提升模型鲁棒性，操作相对容易	对训练数据与攻击方法具有依赖性，容易出现过拟合现象
		自编码器预训练^[26]
		PGD对抗训练^[91]
	随机平滑	基于随机平滑的可验证防御^[15,25]	通过高斯噪声对训练集进行数据增强，以提高分类器模型对多个梯度方向的鲁棒性	提升模型的泛化能力，对C&W攻击比其他防御机制的防御效果好	训练时间较长
	降低噪声	扰动减法^[25]	根据对攻击者的了解程度，对受到扰动的接收信号进行信号处理，以消除扰动信号的影响	降低扰动影响，减小攻击成功率	需要扰动信号先验知识，防御效果较差
	降低噪声	纠错编码 ^[91]	提高编码效率	降低扰动影响，提升信息传输速率	防御效果较差
	通信特性	利用信号特征的异质性 ^[88]	提出基于频域特征的信号调制识别模型，以抵御攻击者通过时域特征训练的代理模型发起的对抗攻击	频域特征训练的模型识别性能优于时域，并且对抗攻击防御效果较为优秀	依赖于信号数据集的特征表示形式
检测	统计学方法	PAPR^[27]	利用接收信号的数字化射频样本数据的峰值平均功率 PAPR进行统计测试	对抗检测精度较高	依赖于收集的输入样本的数量
		Softmax输出^[27]	利用DNNs模型最后一层的统计数据来检测由对抗样本引起的分布变化	对抗检测精度较高	依赖于信号波形和信道模型的影响
		对抗触发器检测^[83]	利用中位数绝对偏差（MAD）算法和聚类算法等统计学方法对触发器进行检测	对抗检测精度较高	依赖于训练数据集被投毒样本的数量

下载: 导出CSV

参考文献(127)

[1]	Bhatti F A, Khan M J, Selim A, et al. Shared spectrum monitoring using deep learning[J]. IEEE Transactions on Cognitive Communications and Networking, 2021, 7(4): 1171−1185 doi: 10.1109/TCCN.2021.3071149
[2]	Dobre O A, Abdi A, Bar-Ness Y, et al. Survey of automatic modulation classification techniques: Classical approaches and new trends[J]. IET Communications, 2007, 1(2): 137−156 doi: 10.1049/iet-com:20050176
[3]	Zhang Wenhan, Feng Mingjie, Krunz M, et al. Signal detection and classification in shared spectrum: A deep learning approach[C/OL]//Proc of the 40th IEEE Conf on Computer Communications. Piscataway, NJ: IEEE, 2021[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9488834/
[4]	O’Shea T J, Corgan J, Clancy T C. Convolutional radio modulation recognition networks[C]//Proc of the 17th Int Conf on Engineering Applications of Neural Networks. Cham: Springer, 2016: 213−226
[5]	West N E, O’Shea T. Deep architectures for modulation recognition[C/OL]//Proc of the 2017 IEEE Int Symp on Dynamic Spectrum Access Networks. Piscataway, NJ: IEEE, 2017[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/7920754/
[6]	Hong Dehua, Zhang Zilong, Xu Xiaodong. Automatic modulation classification using recurrent neural networks[C]//Proc of the 3rd IEEE Int Conf on Computer and Communications. Piscataway, NJ: IEEE, 2017: 695−700
[7]	Rajendran S, Meert W, Giustiniano D, et al. Deep learning models for wireless signal classification with distributed low-cost spectrum sensors[J]. IEEE Transactions on Cognitive Communications and Networking, 2018, 4(3): 433−445 doi: 10.1109/TCCN.2018.2835460
[8]	Hu Shisheng, Pei Yiyang, Liang P P, et al. Deep neural network for robust modulation classification under uncertain noise conditions[J]. IEEE Transactions on Vehicular Technology, 2020, 69(1): 564−577 doi: 10.1109/TVT.2019.2951594
[9]	Xu Jialang, Luo Chunbo, Parr G, et al. A spatiotemporal multi-channel learning framework for automatic modulation recognition[J]. IEEE Wireless Communications Letters, 2020, 9(10): 1629−1632 doi: 10.1109/LWC.2020.2999453
[10]	Huynh-The T, Hua C H, Pham Q V, et al. MCNet: An efficient CNN architecture for robust automatic modulation classification[J]. IEEE Communications Letters, 2020, 24(4): 811−815 doi: 10.1109/LCOMM.2020.2968030
[11]	Zhang Fuxin, Luo Chunbo, Xu Jialang, et al. An efficient deep learning model for automatic modulation recognition based on parameter estimation and transformation[J]. IEEE Communications Letters, 2021, 25(10): 3287−3290 doi: 10.1109/LCOMM.2021.3102656
[12]	Shi Fengyuan, Hu Zeming, Yue Chunsheng, et al. Combining neural networks for modulation recognition[J/OL]. Digital Signal Processing, 2022[2023-02-02]. https://www.sciencedirect.com/science/article/pii/S105 1200421003031
[13]	Szegedy C, Zaremba W, Sutskever I, et al. Intriguing properties of neural networks[J]. arXiv preprint, arXiv: 1312.6199, 2013
[14]	Goodfellow I J, Shlens J, Szegedy C. Explaining and harnessing adversarial examples[J]. arXiv preprint, arXiv: 1412.6572, 2015
[15]	Kim B, Sagduyu Y E, Davaslioglu K, et al. Channel-aware adversarial attacks against deep learning-based wireless signal classifiers[J]. IEEE Transactions on Wireless Communications, 2022, 21(6): 3868−3880 doi: 10.1109/TWC.2021.3124855
[16]	Sadeghi M, Larsson E G. Adversarial attacks on deep-learning based radio signal classification[J]. IEEE Wireless Communications Letters, 2019, 8(1): 213−216 doi: 10.1109/LWC.2018.2867459
[17]	Tu Ya, Lin Yun, Wang Jin, et al. Semi-supervised learning with generative adversarial networks on digital signal modulation classification[J]. Computers, Materials & Continua, 2018, 55(2): 243−254
[18]	Zhao Haojun, Lin Yun, Gao Song, et al. Evaluating and improving adversarial attacks on DNN-based modulation recognition[C/OL]//Proc of the 63rd IEEE Global Communications Conf. Piscataway, NJ: IEEE, 2020[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9322088/
[19]	Flowers B, Buehrer R M, Headley W C. Evaluating adversarial evasion attacks in the context of wireless communications[J]. IEEE Transactions on Information Forensics and Security, 2020, 15: 1102−1113 doi: 10.1109/TIFS.2019.2934069
[20]	Lin Yun, Zhao Haojun, Ma Xuefei, et al. Adversarial attacks in modulation recognition with convolutional neural networks[J]. IEEE Transactions on Reliability, 2021, 70(1): 389−401 doi: 10.1109/TR.2020.3032744
[21]	Tu Ya, Lin Yun, Zha Haoran, et al. Large-scale real-world radio signal recognition with deep learning[J]. Chinese Journal of Aeronautics, 2022, 35(9): 35−48 doi: 10.1016/j.cja.2021.08.016
[22]	Bao Zhida, Lin Yun, Zhang Sicheng, et al. Threat of adversarial attacks on DL-based IoT device identification[J]. IEEE Internet of Things Journal, 2022, 9(11): 9012−9024 doi: 10.1109/JIOT.2021.3120197
[23]	Zhang Sicheng, Lin Yun, Bao Zhida, et al. A lightweight modulation classification network resisting white box gradient attacks[J/OL]. Security and Communication Networks, 2021[2023-02-02]. https://onlinelibrar y.wiley.com/doi/abs/10.1155/2021/8921485
[24]	Hou Changbo, Liu Guowei, Tian Qiao, et al. Multisignal modulation classification using sliding window detection and complex convolutional network in frequency domain[J]. IEEE Internet of Things Journal, 2022, 9(19): 19438−19449 doi: 10.1109/JIOT.2022.3167107
[25]	Bahramali A, Nasr M, Houmansadr A, et al. Robust adversarial attacks against DNN-based wireless communication systems[C]//Proc of the 28th ACM SIGSAC Conf on Computer and Communications Security(CCS’21). New York: ACM, 2021: 126−140
[26]	Kokalj-Filipovic S, Miller R, Chang N, et al. Mitigation of adversarial examples in RF deep classifiers utilizing autoencoder pre-training[C/OL]//Proc of the 2019 Int Conf on Military Communications and Information Systems. Piscataway, NJ: IEEE, 2019[2023-02-02]. https://ieee xplore.ieee.org/abstract/document/8842663/
[27]	Kokalj-Filipovic S, Miller R, Vanhoy G. Adversarial examples in RF deep learning: detection and physical robustness[C/OL]//Proc of the 2019 IEEE Global Conf on Signal and Information Processing. Piscataway, NJ: IEEE, 2019[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/8969138/
[28]	Adesina D, Hsieh C C, Sagduyu Y E, et al. Adversarial machine learning in wireless communications using RF data: A review[J]. IEEE Communications Surveys & Tutorials, 2022, 25(1): 77−100
[29]	Flowers B, Buehrer R M, Headley W C. Communications aware adversarial residual networks for over the Air evasion attacks[C]//Proc of the 2019 IEEE Military Communications Conf. Piscataway, NJ: IEEE, 2019: 133−140
[30]	Huynh-The T, Pham Q V, Nguyen T V, et al. Automatic modulation classification: a deep architecture survey[J]. IEEE Access, 2021, 9: 142950−142971 doi: 10.1109/ACCESS.2021.3120419
[31]	O’Shea T, Hoydis J. An introduction to deep learning for the physical layer[J]. IEEE Transactions on Cognitive Communications and Networking, 2017, 3(4): 563−575 doi: 10.1109/TCCN.2017.2758370
[32]	Erpek T, O’Shea T J, Sagduyu Y E, et al. Deep learning for wireless communications[J]. Development and Analysis of Deep Learning Architectures, 2020, 867: 223−266
[33]	Peng Shengliang, Sun Shujun, Yao Y D. A survey of modulation classification using deep learning: signal representation and data preprocessing[J]. IEEE Transactions on Neural Networks and Learning Systems, 2022, 33(12): 7020−7038 doi: 10.1109/TNNLS.2021.3085433
[34]	Zhou Ruolin, Liu Fugang, Gravelle C W. Deep learning for modulation recognition: A survey with a demonstration[J]. IEEE Access, 2020, 8: 67366−67376 doi: 10.1109/ACCESS.2020.2986330
[35]	Kingma D P, Ba J. Adam: A method for stochastic optimization[J]. arXiv preprint, arXiv: 1412.6980, 2014
[36]	O’Shea T J, Roy T, Clancy T C. Over-the-air deep learning based radio signal classification[J]. IEEE Journal of Selected Topics in Signal Processing, 2018, 12(1): 168−179 doi: 10.1109/JSTSP.2018.2797022
[37]	Blossom E. GNU Radio: Tools for exploring the radio frequency spectrum[J/OL]. Linux Journal, 2004[2023-02-02]. https://dl.acm.org/doi/fullHtml/10.5555/993247.993251
[38]	Tekbiyik K, Ekti A R, Gorcin A, et al. Robust and fast automatic modulation classification with CNN under multipath fading channels[C/OL]//Proc of the 91st IEEE Vehicular Technology Conf. Piscataway, NJ: IEEE, 2020[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9128408/
[39]	Mendis G J, Wei-Kocsis J, Madanayake A. Deep learning based radio-signal identification with hardware design[J]. IEEE Transactions on Aerospace and Electronic Systems, 2019, 55(5): 2516−2531 doi: 10.1109/TAES.2019.2891155
[40]	Lee J, Kim B, Kim J, et al. Deep neural network-based blind modulation classification for fading channels[C]//Proc of the 8th Int Conf on Information and Communication Technology Convergence. Piscataway, NJ: IEEE, 2017: 551−554
[41]	Liu Xiaoyu, Yang Diyu, Gamal A E. Deep neural network architectures for modulation classification[C]//Proc of the 51st Asilomar Conf on Signals, Systems, and Computers. Piscataway, NJ: IEEE, 2017: 915−919
[42]	Mendis G J, Wei Jin, Madanayake A. Deep learning-based automated modulation classification for cognitive radio[C/OL]//Proc of the 2016 IEEE Int Conf on Communication Systems. Piscataway, NJ: IEEE, 2016[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/7833571/
[43]	Ali A, Yangyu F. k-sparse autoencoder-based automatic modulation classification with low complexity[J]. IEEE Communications Letters, 2017, 21(10): 2162−2165 doi: 10.1109/LCOMM.2017.2717821
[44]	Dai Ao, Zhang Haijian, Sun Hong. Automatic modulation classification using stacked sparse auto-encoders[C]//Proc of the 2016 IEEE Int Conf on Signal Processing. Piscataway, NJ: IEEE, 2016: 248−252
[45]	Xie Wenwu, Hu Sheng, Yu Chao, et al. Deep learning in digital modulation recognition using high order cumulants[J]. IEEE Access, 2019, 7: 63760−63766 doi: 10.1109/ACCESS.2019.2916833
[46]	Shi Wenzhe, Liu Dejun, Cheng Xing, et al. Particle swarm optimization-based deep neural network for digital modulation recognition[J]. IEEE Access, 2019, 7: 104591−104600 doi: 10.1109/ACCESS.2019.2932266
[47]	Yashashwi K, Sethi A, Chaporkar P. A learnable distortion correction module for modulation recognition[J]. IEEE Wireless Communications Letters, 2019, 8(1): 77−80 doi: 10.1109/LWC.2018.2855749
[48]	Zeng Yuan, Zhang Meng, Han Fei, et al. Spectrum analysis and convolutional neural network for automatic modulation recognition[J]. IEEE Wireless Communications Letters, 2019, 8(3): 929−932 doi: 10.1109/LWC.2019.2900247
[49]	Peng Shengliang, Jiang Hanyu, Wang Huaxia, et al. Modulation classification based on signal constellation diagrams and deep learning[J]. IEEE Transactions on Neural Networks and Learning Systems, 2019, 30(3): 718−727 doi: 10.1109/TNNLS.2018.2850703
[50]	Zhang Zufan, Wang Chun, Gan Chenquan, et al. Automatic modulation classification using convolutional neural network with features fusion of SPWVD and BJD[J]. IEEE Transactions on Signal and Information Processing over Networks, 2019, 5(3): 469−478 doi: 10.1109/TSIPN.2019.2900201
[51]	Wu Hao, Li Yaxing, Zhou Liang, et al. Convolutional neural network and multi‐feature fusion for automatic modulation classification[J]. Electronics Letters, 2019, 55(16): 895−897 doi: 10.1049/el.2019.1789
[52]	Wang Yu, Liu Miao, Yang Jie, et al. Data-driven deep learning for automatic modulation recognition in cognitive radios[J]. IEEE Transactions on Vehicular Technology, 2019, 68(4): 4074−4077 doi: 10.1109/TVT.2019.2900460
[53]	Wang Danshi, Zhang Min, Li Ze, et al. Modulation format recognition and OSNR estimation using CNN-based deep learning[J]. IEEE Photonics Technology Letters, 2017, 29(19): 1667−1670 doi: 10.1109/LPT.2017.2742553
[54]	Lee J H, Kim K Y, Shin Y. Feature image-based automatic modulation classification method using CNN algorithm[C/OL]//Proc of the 2019 Int Conf on Artificial Intelligence in Information and Communication. Piscataway, NJ: IEEE, 2019[2023-02-02]. https://ieeexplore.iee e.org/abstract/document/8669002/
[55]	Chen Zhuangzhi, Cui Hui, Xiang Jingyang, et al. SigNet: A novel deep learning framework for radio signal classification[J]. IEEE Transactions on Cognitive Communications and Networking, 2021, 8(2): 529−541
[56]	Hermawan A P, Ginanjar R R, Kim D S, et al. CNN-based automatic modulation classification for beyond 5G communications[J]. IEEE Communications Letters, 2020, 24(5): 1038−1041 doi: 10.1109/LCOMM.2020.2970922
[57]	Ke Ziqi, Vikalo H. Real-time radio technology and modulation classification via an LSTM auto-encoder[J]. IEEE Transactions on Wireless Communications, 2022, 21(1): 370−382 doi: 10.1109/TWC.2021.3095855
[58]	Chang Shuo, Huang Sai, Zhang Ruiyun, et al. Multitask-learning-based deep neural network for automatic modulation classification[J]. IEEE Internet of Things Journal, 2022, 9(3): 2192−2206 doi: 10.1109/JIOT.2021.3091523
[59]	Ghasemzadeh P, Banerjee S, Hempel M, et al. A novel deep learning and polar transformation framework for an adaptive automatic modulation classification[J]. IEEE Transactions on Vehicular Technology, 2020, 69(11): 13243−13258 doi: 10.1109/TVT.2020.3022394
[60]	Akhtar N, Mian A. Threat of adversarial attacks on deep learning in computer vision: A survey[J]. IEEE Access, 2018, 6: 14410−14430 doi: 10.1109/ACCESS.2018.2807385
[61]	Cao Yangjie, Jia Lili, Chen Yongxia, et al. Recent advances of generative adversarial networks in computer vision[J]. IEEE Access, 2019, 7: 14985−15006 doi: 10.1109/ACCESS.2018.2886814
[62]	Akhtar N, Mian A, Kardan N, et al. Advances in adversarial attacks and defenses in computer vision: A survey[J]. IEEE Access, 2021, 9: 155161−155196 doi: 10.1109/ACCESS.2021.3127960
[63]	Zou Zhengxia, Lei Sen, Shi Tianyang, et al. Deep adversarial decomposition: A unified framework for separating superimposed images[C]//Proc of the 2020 IEEE/CVF Conf on Computer Vision and Pattern Recognition. Piscataway, NJ: IEEE, 2020: 12803−12813
[64]	Sarafianos N, Xu Xiang, Kakadiaris I. Adversarial representation learning for text-to-image matching[C]//Proc of the 2019 IEEE/CVF Int Conf on Computer Vision. Piscataway, NJ: IEEE, 2019: 5814−5824
[65]	Wang Hao, Gong Dihong, Li Zhifeng, et al. Decorrelated adversarial learning for age-invariant face recognition[C]//Proc of the 2019 IEEE/CVF Conf on Computer Vision and Pattern Recognition. Piscataway, NJ: IEEE, 2019: 3522−3531
[66]	Zhong Yaoyao, Deng Weihong. Adversarial learning with margin-based triplet embedding regularization[C]//Proc of the 2019 IEEE/CVF Int Conf on Computer Vision. Piscataway, NJ: IEEE, 2019: 6548−6557
[67]	Madry A, Makelov A, Schmidt L, et al. Towards deep learning models resistant to adversarial attacks[J]. arXiv preprint, arXiv: 1706.06083, 2017
[68]	Bai Tao, Luo Jinqi, Zhao Jun, et al. Recent advances in adversarial training for adversarial robustness[C]//Proc of the 21st Int Joint Conf on Artificial Intelligence. Piscataway, NJ: IEEE, 2021: 4312−4321
[69]	Tramèr F, Kurakin A, Papernot N, et al. Ensemble adversarial training: attacks and defenses[J]. arXiv preprint, arXiv: 1705.07204, 2017
[70]	Carlini N, Wagner D. Audio adversarial examples: Targeted attacks on speech-to-text[C/OL]//Proc of the 2018 IEEE Security and Privacy Workshops. Piscataway, NJ: IEEE, 2018[2023-02-02]. https://ieeexplor e.ieee.org/abstract/document/8424625/
[71]	Hannun A, Case C, Casper J, et al. Deep speech: Scaling up end-to-end speech recognition[J]. arXiv preprint, arXiv: 1412.5567, 2014
[72]	郑海斌,陈晋音,章燕. 面向自然语言处理的对抗攻防与鲁棒性分析综述[J]. 计算机研究与发展,2021,58(8):1727−1750 doi: 10.7544/issn1000-1239.2021.20210304 Zheng Haibin, Chen Jinyin, Zhang Yan. Survey of adversarial attack, defense and robustness analysis for natural language processing[J]. Journal of Computer Research and Development, 2021, 58(8): 1727−1750(in Chinese) doi: 10.7544/issn1000-1239.2021.20210304
[73]	Zhang W E, Sheng Q Z, Alhazmi A, et al. Adversarial attacks on deep-learning models in natural language processing: A survey[J]. ACM Transactions on Intelligent Systems and Technology, 2020, 11(3): 1−41
[74]	Zhou Yi, Zheng Xiaoqing, Hsieh C J, et al. Defense against adversarial attacks in NLP via dirichlet neighborhood ensemble[J]. arXiv preprint, arXiv: 2006.11627, 2020
[75]	Araujo V, Carvallo A, Aspillaga C, et al. On adversarial examples for biomedical NLP tasks[J]. arXiv preprint, arXiv: 2004.11157, 2020
[76]	Miao Deshui, Zhang Jiaqi, Xie Wenbo, et al. Simple contrastive representation adversarial learning for NLP tasks[J]. arXiv preprint, arXiv: 2111.13301, 2021
[77]	Han Xudong, Baldwin T, Cohn T. Decoupling adversarial training for fair NLP[C/OL]//Proc of the Joint Conf of the 59th Annual Meeting of the Association for Computational Linguistics and the 11th Int Joint Conf on Natural Language Processing(ACL-IJCNLP 2021). 2021: 471−477[2023-02-02]. https://aclanthology.org/2021.findings-acl.41.pdf
[78]	Kim B, Sagduyu Y E, Davaslioglu K, et al. Over-the-air adversarial attacks on deep learning based modulation classifier over wireless channels[C/OL]//Proc of the 54th Annual Conf on Information Sciences and Systems(CISS). Piscataway, NJ: IEEE, 2020[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9086166/
[79]	Restuccia F, D’Oro S, Al-Shawabka A, et al. Generalized wireless adversarial deep learning[C]//Proc of the 2nd ACM Workshop on Wireless Security and Machine Learning. New York: ACM, 2020: 49−54
[80]	Bair S, DelVecchio M, Flowers B, et al. On the limitations of targeted adversarial evasion attacks against deep learning enabled modulation recognition[C/OL]//Proc of the ACM Workshop on Wireless Security and Machine Learning. New York: ACM, 2019: 25−30
[81]	Kokalj-Filipovic S, Miller R, Morman J. Targeted adversarial examples against RF deep classifiers[C]//Proc of the ACM Workshop on Wireless Security and Machine Learning. New York: ACM, 2019: 6−11
[82]	Ke Da, Huang Zhitao, Wang Xiang, et al. Application of adversarial examples in communication modulation classification[C]//Proc of the 19th Int Conf on Data Mining Workshops. Piscataway, NJ: IEEE, 2019: 877−882
[83]	Davaslioglu K, Sagduyu Y E. Trojan attacks on wireless signal classification with adversarial machine learning[C/OL]//Proc of the 12th IEEE Int Symp on Dynamic Spectrum Access Networks. Piscataway, NJ: IEEE, 2019[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/8935782/
[84]	Kim B, Sagduyu Y E, Erpek T, et al. Adversarial attacks with multiple antennas against deep learning-based modulation classifiers[C/OL]//Proc of the 2020 IEEE Globecom Workshops. Piscataway, NJ: IEEE, 2020[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9367473/
[85]	Yi Jinho, Gamal A E. Gradient-based adversarial deep modulation classification with data-driven subsampling[J]. arXiv preprint, arXiv: 2104.06375, 2021
[86]	Usama M, Asim M, Qadir J, et al. Adversarial machine learning attack on modulation classification[C/OL]//Proc of the 2019 UK/ China Emerging Technologies. Piscataway, NJ: IEEE, 2019[2023-02-02]. https://ieeexpl ore.ieee.org/abstract/document/8881843
[87]	Usama M, Qadir J, Al-Fuqaha A. Black-box adversarial ML attack on modulation classification[J]. arXiv preprint, arXiv: 1908.00635, 2019
[88]	Sahay R, Brinton C G, Love D J. Frequency-based automated modulation classification in the presence of adversaries[C/OL]//Proc of the 56th IEEE Int Conf on Communications. Piscataway, NJ: IEEE, 2021[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9500583/
[89]	Lin Yun, Zhao Haojun, Tu Ya, et al. Threats of adversarial attacks in DNN-based modulation recognition[C]//Proc of the 39th IEEE Conf on Computer Communications. Piscataway, NJ: IEEE, 2020: 2469−2478
[90]	Hameed M Z, Gyorgy A, Gunduz D. Communication without interception: Defense against modulation detection[C/OL]//Proc of the 7th IEEE Global Conf on Signal and Information Processing. Piscataway, NJ: IEEE, 2019[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/8969541/
[91]	Hameed M Z, Gyorgy A, Gunduz D. The best defense is a good offense: Adversarial attacks to avoid modulation detection[J]. IEEE Transactions on Information Forensics and Security, 2021, 16: 1074−1087 doi: 10.1109/TIFS.2020.3025441
[92]	DelVecchio M, Flowers B, Headley W C. Effects of forward error correction on communications aware evasion attacks[C/OL]//Proc of the 31st Annual Int Symp on Personal, Indoor and Mobile Radio Communications. Piscataway, NJ: IEEE, 2020[2023-02-02]. https://ieeexplore.ieee.org/abst ract/document/9217343/
[93]	DelVecchio M, Arndorfer V, Headley W C. Investigating a spectral deception loss metric for training machine learning-based evasion attacks[C]//Proc of the 2nd ACM Workshop on Wireless Security and Machine Learning. New York: ACM, 2020: 43−48
[94]	Hameed M Z. New quality measures for adversarial attacks with applications to secure communication[D]. London: Imperial College London, 2020
[95]	Berian A, Staab K, Ditzler G, et al. Adversarial filters for secure modulation classification[C]//Proc of the 55th Asilomar Conf on Signals, Systems, and Computers. Piscataway, NJ: IEEE, 2021: 361−367
[96]	Sandler R A, Relich P K, Cho C, et al. Real-time over-the-air adversarial perturbations for digital communications using deep neural networks[J]. arXiv preprint, arXiv: 2202.11197, 2022
[97]	Chakraborty A, Alam M, Dey V, et al. Adversarial attacks and defences: A survey[J]. arXiv preprint, arXiv: 1810.00069, 2018
[98]	Yi Shi, Sagduyu Y, Grushin A. How to steal a machine learning classifier with deep learning[C/OL]//Proc of the 2017 IEEE Int Symp on Technologies for Homeland Security. Piscataway, NJ: IEEE, 2017[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/7943475/
[99]	Shi Y, Sagduyu Y E, Davaslioglu K, et al. Active deep learning attacks under strict rate limitations for online API calls[C/OL]//Proc of the 2018 IEEE Int Symp on Technologies for Homeland Security. Piscataway, NJ: IEEE, 2018[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/8574124/
[100]	Pi Lei, Lu Zhuo, Sagduyu Y, et al. Defending active learning against adversarial inputs in automated document classification[C]//Proc of the 4th IEEE Global Conf on Signal and Information Processing. Piscataway, NJ: IEEE, 2016: 257−261
[101]	Shi Yi, Sagduyu Y E, Davaslioglu K, et al. Generative adversarial networks for black-box API attacks with limited training data[C]//Proc of the 2018 IEEE Int Symp on Signal Processing and Information Technology. Piscataway, NJ: IEEE, 2018: 453−458
[102]	Biggio B, Nelson B, Laskov P. Poisoning attacks against support vector machines[J]. arXiv preprint, arXiv: 1206.6389, 2012
[103]	Wang Bolun, Yao Yuanshun, Shan S, et al. Neural cleanse: Identifying and mitigating backdoor attacks in neural networks[C]//Proc of the 40th IEEE Symp on Security and Privacy. Piscataway, NJ: IEEE, 2019: 707−723
[104]	Kurakin A, Goodfellow I J, Bengio S. Adversarial examples in the physical world[J]. arXiv preprint, arXiv: 1607.02533
[105]	Kim B, Sagduyu Y E, Erpek T, et al. Channel effects on surrogate models of adversarial attacks against wireless signal classifiers[C/OL]//Proc of the 57th IEEE Int Conf on Communications. Piscataway, NJ: IEEE, 2021[2023-02-02]. https://ieeexplore.ieee.org/abstract/document/9500374/
[106]	Wyner A D. The wire-tap channel[J]. Bell System Technical Journal, 1975, 54(8): 1355−1387 doi: 10.1002/j.1538-7305.1975.tb02040.x
[107]	Gunduz D, Brown D R, Poor H V. Secret communication with feedback[C/OL]//Proc of the Int Symp on Information Theory and Its Applications. Piscataway, NJ: IEEE, 2008[2023-02-02]. https://ieeexplor e.ieee.org/abstract/document/4895417/
[108]	Papernot N, McDaniel P, Jha S, et al. The limitations of deep learning in adversarial settings[C]//Proc of the 1st IEEE European Symp on Security and Privacy. Piscataway, NJ: IEEE, 2016: 372−387
[109]	Kim B, Sagduyu Y E, Davaslioglu K, et al. How to make 5G communications “Invisible”: Adversarial machine learning for wireless privacy[C]//Proc of the 54th Asilomar Conf on Signals, Systems, and Computers. Piscataway, NJ: IEEE, 2020: 763−767
[110]	Baluja S, Fischer I. Learning to attack: Adversarial transformation networks[C/OL]//Proc of the AAAI Conf on Artificial Intelligence. Palo Alto, CA: AAAI, 2018[2023-02-02]. https://ojs.aaai.org/index.php/AAAI/article/view/11672
[111]	张田,杨奎武,魏江宏. 面向图像数据的对抗样本检测与防御技术综述[J]. 计算机研究与发展,2022,59(6):1315−1328 doi: 10.7544/issn1000-1239.20200777 Zhang Tian, Yang Kuiwu, Wei Jianghong. Survey on detecting and defending adversarial examples for image data[J]. Journal of Computer Research and Development, 2022, 59(6): 1315−1328 (in Chinese) doi: 10.7544/issn1000-1239.20200777
[112]	Dong Yinpeng, Liao Fangzhou, Pang Tianyu, et al. Boosting adversarial attacks with momentum[C]//Proc of the 31st IEEE/CVF Conf on Computer Vision and Pattern Recognition. Piscataway, NJ: IEEE, 2018: 9185−9193
[113]	Moosavi-Dezfooli S M, Fawzi A, Fawzi O, et al. Universal adversarial perturbations[C]//Proc of the 30th IEEE Conf on Computer Vision and Pattern Recognition. Piscataway, NJ: IEEE, 2017: 86−94
[114]	Carlini N, Wagner D. Towards evaluating the robustness of neural networks[C]//Proc of the 38th IEEE Symp on Security and Privacy. Piscataway, NJ: IEEE, 2017: 39−57
[115]	Hinton G, Vinyals O, Dean J. Distilling the knowledge in a neural network[J]. arXiv preprint, arXiv: 1503.02531, 2015
[116]	Papernot N, Faghri F, Carlini N, et al. Technical report on the CleverHans v2.1. 0 adversarial examples library[J]. arXiv preprint, arXiv: 1610.00768, 2016
[117]	Ramjee S, Ju Shengtai, Yang Diyu, et al. Ensemble wrapper subsampling for deep modulation classification[J]. IEEE Transactions on Cognitive Communications and Networking, 2021, 7(4): 1156−1170 doi: 10.1109/TCCN.2021.3108809
[118]	Kurakin A, Goodfellow I J, Bengio S. Adversarial machine learning at scale[C/OL]//Proc of Int Conf on Learning Representations.[2024-05-26]. https://openreview.net/forum?id=BJm4T4Kgx
[119]	Sagduyu Y E, Shi Yi, Erpek T. Adversarial deep learning for over-the-air spectrum poisoning attacks[J]. IEEE Transactions on Mobile Computing, 2021, 20(2): 306−319 doi: 10.1109/TMC.2019.2950398
[120]	Shi Yi, Erpek T, Sagduyu Y E, et al. Spectrum data poisoning with adversarial deep learning[C]//Proc of the 37th IEEE Military Communications Conf. Piscataway, NJ: IEEE, 2018: 407−412
[121]	Bengio Y, Louradour J, Collobert R, et al. Curriculum learning[C]//Proc of the 26th Annual Int Conf on Machine Learning. New York: ACM, 2009: 41−48
[122]	Cohen J, Rosenfeld E, Kolter J Z. Certiﬁed adversarial robustness via randomized smoothing[C]//Proc of the 36th Int Conf on Machine Learning. New York: PMLR. 2019: 1310−1320
[123]	Dodge Y. Kolmogorov–smirnov test[J/OL]. The Concise Encyclopedia of Statistics, 2008[2023-03-08]. http://link.springer.com/10.1007/978-0-387-32 833-1_214
[124]	Al-shawabka A, Restuccia F, D’Oro S, et al. Massive-scale I/Q datasets for WiFi radio fingerprinting[J/OL]. Computer Networks, 2020[2023-02-02]. https://www.sciencedirect.com/science/article/pii/S1389128620312123
[125]	Alkhateeb A. DeepMIMO: A generic deep learning dataset for millimeter wave and massive MIMO applications[J]. arXiv preprint, arXiv: 1902.06435, 2019
[126]	Erden, Fatih, Ezuma, Martins, Anjinappa, Chethan K. , et al. Drone remote controller RF signal dataset [DB/OL]. IEEE DataPort, 2020[2023-03-08]. https://ieee-dataport.org/open-access/drone-remote-controller-rf-signal-dataset
[127]	Ilyas A, Santurkar S, Tsipras D, et al. Adversarial examples are not bugs, they are features[J/OL]. Advances in Neural Information Processing Systems, 2019[2023-03-08]. https://proceedings.neurips.cc/paper/2019/has h/e2c420d928d4bf8ce0ff2ec19b371514-Abstract.html