信号调制识别是无线通信系统关键技术，能够在无先验知识的情况下通过对接收信号的处理判断出信号的调制方式. 调制识别在包括认知无线电、频谱感知等民用或军用通信场景中至关重要^[1-3].

传统的信号调制识别方法包括基于似然理论和基于特征的调制识别方法. 前者追求最佳识别精度，但计算较为复杂. 后者依赖于信号代表性特征和训练模型进行调制识别. 随着深度学习（deep learning，DL）在如计算机视觉（computer vision，CV）和自然语言处理（natural language processing，NLP）等领域取得突破性进展，其在信号调制识别领域的应用也逐渐受到关注^[4-12]. 相较于传统方法，深度学习方法利用神经网络自动提取特征，对未知信号具有较强的泛化能力，性能优于传统方法，适应多变信号环境，在信号识别领域取得突破性进展.

然而研究发现，深度学习神经网络（deep neural networks，DNNs）极易受到对抗性扰动影响，这在CV领域已得到证实^[13]，即在输入中添加微小的扰动使DNNs识别分类错误. 对抗样本的存在揭示了神经网络在高维空间中的线性性质^[14]. 在无线通信领域，由于无线媒介的共享性与广播性，进一步降低了基于深度学习的无线通信任务的安全性^[15]. Sadeghi等人^[16]首次将对抗攻击引入无线通信领域，验证了对抗样本能够降低信号识别的性能，随后研究人员在此基础上进一步深入探究^[17-23]. 对抗深度学习在无线通信领域处于初步阶段，针对调制识别的对抗攻击主要集中在提高攻击性能上^[24]，不能直接应用CV领域的成熟方法开展研究，且对抗样本解释大多局限于假设场景中，仍存在理论研究空白.

为应对对抗攻击，部分研究人员进一步提出了多种对抗防御方法，如Kim等人^[15,25-26]利用对抗训练防御机制迭代生成对抗样本，以增强模型鲁棒性；再如Kokalj-Filipovic等人^[27]利用统计学防御方法，通过接收信号的统计量特征进行对抗检测. 尽管这些防御策略初显成效，但该领域的对抗防御技术尚处于早期阶段，防御机制的泛化能力和可验证鲁棒性仍需深入研究.

虽有多篇综述文献讨论对抗攻击与防御，但面向信号识别任务的对抗攻防研究仍缺乏系统性总结梳理工作，并且据我们所知，目前仅有一篇侧重于整体无线通信系统的对抗机器学习英文综述于近日发表^[28]，本文作为首篇侧重于信号调制识别的对抗攻防研究的中文综述，与此篇并不重复. 本文工作包括首次提出调制识别领域的通用对抗攻击威胁模型，总结3个维度通信特性问题以及相对应的对抗研究处理方法，详细梳理9种对抗样本生成技术和3种对抗防御方法，讨论探究3个该领域研究的未来发展方向. 本文的主要贡献体现在以下几方面：

1）全面总结面向信号识别领域的对抗攻击与防御技术最新研究工作，提出了全新的对抗攻击威胁模型框架，将该领域研究工作分类为物理自我防御式攻击和数字直接访问式攻击，并以2维图形式进行系统化整合与可视化展示提高整体直观性与方法间相关性，利于发掘对抗研究空白与痛点.

2）详细阐述面向调制识别的对抗样本生成技术方法与理论公式，相比于英文综述^[28]仅仅给出无线通信领域对抗攻击粗略框架，提供更具细粒度的对抗攻击方法梳理.

3）总结调制识别与其他领域对抗研究的特性问题，从3个角度（环境、数据、特征）提出通信特性问题，并首次归纳通信特性应用于对抗攻击的详细处理方法. 本文整体框架图如图1所示：

图  1  整体架构图

Figure  1.  Overall structural diagram

下载: 全尺寸图片 幻灯片

1.   预备知识

1.1   面向信号调制识别的深度学习

1.1.1   调制识别的任务描述

Kim等人^[15,19,29]在对信号调制识别进行对抗攻击研究中考虑到真实物理场景下的无线通信系统，该系统由发射器、信道、接收器组成，如图2（a）所示. 无线通信系统原始信号通过采样和量化处理进行数字化，再对数字信号进行编码，以提高数据的安全性，减少错误传输；调制器根据预先设定的调制方式将数字基带信号转换成适于信道传输的无线信号；在信道上，传输信号受到偏移、衰减等影响，同时由于接收器的硬件缺陷，噪声也被随传输信号一起被接收器接收；对于非合作信号应用场景下，接收器对于接收信号的先验知识有限，故在解调信号之前需要对接收信号进行调制识别，再通过解码器对信号进行解调以重构发射器发送的信息^[30].

图  2  无线通信系统与基于深度学习的信号调制识别结构图

Figure  2.  Structure diagram of wireless communication system and signal modulation recognition based on DL

下载: 全尺寸图片 幻灯片

信号调制识别作为无线通信系统中信号解调的一个先导过程^[31]，旨在识别检测到的信号的调制方式，以帮助正确解调收到的信号，在频谱监测、频谱管理和安全通信等通信应用场景下发挥着关键作用，同时也成为通信信号领域研究的热点. Erpek等人^[32]侧重于介绍深度学习应用于物理层通信方面的研究进展，Peng等人^[33]侧重于信号表示方式和数据预处理方法对基于深度学习的调制识别研究进行总结，Zhou等人^[34]侧重于各类深度学习的算法模型，对信号调制识别进行介绍.

具体来说，基于深度学习的调制识别通常包含3个步骤，包括接收信号的预处理、特征提取和调制分类，如图2（b）所示. 接收到的信号经过预处理调整为合适的数据格式，以便进行后续的特征提取和模型训练，特征提取和特征识别可以由深度学习模型通过端到端的方式完成，最后得到信号调制方式的预测结果.

信号通过信道传输到接收器的过程如式（1）所示：

x_l为发射器经过某种调制方式调制后发射的信号值，n_l为加性高斯白噪声（additive white Gaussian noise，AWGN），A_l为信道增益，ω为频率偏移量，φ为相位偏移量，r_l为接收器接收到的第l个信号值，发射信号x和接收信号r可以表示为x = [x₁, x₂, … , x_L]，r = [r₁, r₂, … , r_L].

信号调制识别任务，可以看作是一个多分类任务，即利用基于深度学习的调制识别模型来求解目标函数式（2）：

从而学习得到输入信号样本的制式映射. 其中f ($\cdot$)为调制识别模型的网络架构，对于输入信号x，y为其对应的调制类别，$\mathcal{L}$($\cdot$)为损失函数，如交叉熵损失函数，其通常与优化器（如随机梯度下降或Adam^[35]）配合使用来训练网络模型，从而学习得到模型参数θ.

1.1.2   调制识别的开源数据集

深度学习的信号调制识别方法主要依赖于数据集，其中全面且高质量的数据集是关键前提. 表1总结了当前通信领域主流的开源调制识别数据集并比较了它们的属性. 其中SNR为信噪比.

表  1  信号调制识别主要的开源数据集汇总

Table  1.  Summary of Main Open-Source Datasets for Signal Modulation Recognition

数据集名称	调制方式	样本大小	样本总数	SNR/dB
RML2016.10A	11类 （8PSK, BPSK, CPFSK, GFSK, PAM4, 16QAM, AM-DSB, AM-SSB, 64QAM, QPSK, WBFM）	2 × 128	220 000	−20~18
RML2016.10B	10类 （8PSK, BPSK, CPFSK, GFSK, PAM4, AM-DSB, 16QAM, 64QAM, QPSK, WBFM）	2 × 128	1 200 000	−20~18
RML2016.04C	11类 （8PSK, BPSK, CPFSK, GFSK, PAM4, AM-DSB, AM-SSB, 16QAM, 64QAM, QPSK, WBFM）	2 × 128	162 060	−20~18
RML2018.01A	24类 （OOK, 4ASK, 8ASK, BPSK, QPSK, 8PSK, 16PSK, 32PSK, 16APSK, 32APSK, 64APSK, 128APSK, 16QAM, 32QAM, 64QAM, 128QAM, 256QAM, AM-SSB-WC, AM-SSB-SC, AM-DSB-WC, AM-DSB-SC, FM, GMASK, OQPSK）	2 × 1 024	2 555 904	−20~10
HisarMod2019.1	26类 （AM-DSB, AM-SC, AM-USB, AM-LSB, FM, PM, 2FSK, 4FSK, 8FSK, 16FSK, 4PAM, 8PAM, 16PAM, BPSK, QPSK, 8PSK, 16PSK, 32PSK, 64PSK, 4QAM, 8QAM, 16QAM, 32QAM, 64QAM, 128QAM, 256QAM）	2 × 1 024	780 000	−20~18

下载: 导出CSV 

| 显示表格

RML数据集是O’Shea等人^[4,36]通过GNU radio^[37]生成的开源数据集，已被广泛用于基准测试. 该数据集模拟了实际情况下无线系统中常见的时变随机信道效应，包括中心频率偏移、加性高斯白噪声、多路径衰落等. RML2016.10A和RML2016.10B是通过模拟恶劣环境下的传播特性产生的，而RML2018.01A是在相对良好的真实实验室环境下产生的. 为引入更全面的数据集，Tekbiyik等人^[38]利用仿真软件MATLAB创建名为HisarMod2019.1的新数据集，包含26个调制类别信号. 该数据集提供了在理想静态的服从瑞利Rayleigh分布、莱斯Rician（k = 3）分布和Nakagami-m（m = 2）分布的信道衰落模型条件下的无线信号.

目前，RML2016.10A因数据量适中，且包含常见调制类型，如QAM，AM等而被广泛应用于信号调制识别的研究. RML2016.10B数据集的数据量更大，需要更多的计算资源. RML2018.01A数据集中的调制类型增加到24种，数据长度从128个增加到1024个，在训练模型过程中提高了对算力的要求，但也促进了更先进模型的开发. HisarMod2019.1包含26种调制类型，但该数据集在较理想的环境下生成，使调制方式更易识别.

基于深度学习的信号数据集采样与收集面临资源消耗大等困难. 部分开源数据集往往未考虑真实物理通信环境，限制了其在复杂多变的信道条件下的适用性. 同时，考虑在真实物理环境下进行面向信号调制识别的对抗深度学习研究也将遇到实验严谨性的问题.

1.1.3   调制识别的深度学习模型

目前针对于深度学习的调制识别模型的研究中，具代表性深度学习模型框架如图3所示.

图  3  面向调制识别的代表性深度学习模型

Figure  3.  Representative DL models for modulation recognition

下载: 全尺寸图片 幻灯片

1）基于无监督学习的模型

无监督模型如深度信念网络（deep belief networks，DBN）和自编码器被应用于信号调制识别. DBN模型由多层受限玻尔兹曼机（restricted Boltzmann machines，RBM）组成的概率生成式模型，Mendis等人^[39,42]结合光谱相关函数（SCF）以更有效地学习复杂模型，但计算复杂性限制了其应用于大规模问题. Ali等人^[43]提出的低复杂度k稀疏自编码器通过激活k个最大的隐藏节点以实现稀疏性，有效进行信号特征提取和调制分类. Dai等人^[44]中采用模糊函数（AF）作为输入，通过稀疏自编码器中进行调制识别. 然而，大多数无监督的深度学习方法只被用来测试少数调制方式的分类任务，未广泛应用于具有普适性的实际场景中.

2）基于前馈神经网络的模型

前馈神经网络（feedforward neural network，FFNN）含多个隐藏层，信息单向从输入节点传递到输出节点，无需反向. 前馈神经网络结构特点使得DNN模型在高维空间中提取复杂特征的能力较为出众. Lee等人^[40]采用4层DNN模型，通过多种统计量特征进行调制分类. Xie等人^[45]使用相似的DNN结构和6个高阶累积量特征进行调制识别. 为实现自动选择并优化隐藏层节点数，Shi等人^[46]引入粒子群优化算法（particle swarm optimization，PSO），显著提高分类精度.

3）基于CNN的模型

卷积神经网络（convolutional neural network，CNN）在处理空间特征数据（如图像分割、物体检测）表现突出优势，同样CNN模型也成功引入到信号调制识别应用中，通过利用其空间特征提取能力来识别信号制式. 根据输入数据的类型，现有的基于CNN的信号调制识别方法可以被大体分为2类：原始I/Q数据或经过预处理后的信号数据作为输入的CNN模型；高效CNN模型架构，满足通信系统的延迟和复杂性要求.

原始I/Q数据作为输入的CNN模型. O’Shea等人^[4]首次使用简单的4层CNN模型并将I/Q数据作为输入，实现了比传统方法更高的识别准确性. 为增强性能，研究者们对CNN模型进行改进. Liu等人^[41]基于ImageNet 2015的获胜架构，提出了结合残差神经网络（residual neural network，ResNet）和稠密连接网络（densely connected network，DenseNet）的深度学习模型，高效传输多层特征至识别模块. 但Liu等人^[41]在识别准确性方面的提升是以显著增加计算复杂度为代价的，并且忽略了通信系统中固有的信号特征. 为解决这些限制，Yashashwi等人^[47]提出预估接收信号的载波频率偏移和相位噪声，通过可训练的函数校正接收信号.

经过预处理后的信号数据作为输入的CNN模型. 将基于传统特征（feature-based，FB）的信号调制识别方法与CNN模型相结合，解决直接使用原始I/Q信号作为输入可能导致的重要特征丢失的问题，包括高阶累积量特征、频谱图像特征和星座图特征等. Zeng等人^[48]通过短时离散傅里叶变换和高斯滤波器降噪，将1维信号数据转换为频谱图像，提升了识别准确率. Peng等人^[49]将星座图转换为3通道图像，利用AlexNet和GoogLeNet模型进行调制识别，以发挥CNN模型的彩色图像处理能力. Wang等人^[50-52]通过特征融合，结合原始I/Q数据、星座图、循环光谱图像等多种特征，以提高调制识别的准确率. 其他信号表示方法，如眼图^[53]、特征点（feature point，FP）图像^[54]和方形特征矩阵^[55]也被用来作为信号调制识别模型的输入进行研究.

高效CNN模型架构. 为满足超5代（B5G）通信系统的低时延高可靠要求，Hermawan等人^[56] 通过添加滤波器和减少CNN模型的可训练参数，实现小于0.01 ms的处理时间并保持高的识别精度. Huynh-The等人^[10]则采用非对称卷积核和跳跃连接的方法，开发低成本高性能CNN模型.

4）基于RNN的模型

无线通信信号的时间相关性特征可循环神经网络（recurrent neural network，RNN）学习，从而用于调制识别. Hong等人^[6]提出的基于RNN模型，利用门控循环单元（GRU）比部分CNN模型实现更高的识别精度. Rajendran等人^[7]将I/Q数据转化为信号的振幅和相位输入到LSTM模型中，同样得到较高的识别精度. Ke等人^[57]设计基于LSTM的去噪自编码器，该编码器能够在低成本的计算平台上实现，性能超过之前的模型.

5）混合模型

为提高信号调制识别性能，研究者们结合CNN模型与RNN模型的优势，构建混合模型. West等人^[5]提出卷积长短期深度神经网络（convolutional long-short-term deep neural network，CLDNN）模型融合LSTM层和CNN层，通过跳跃连接提供更长时的上下文，优化时间特征提取，实现更高的识别精度与更稳定的梯度下降过程. Liu等人^[41]优化West等人^[5]提出的CLDNN模型，在增加参数和网络层数的代价下，获得更高的识别精度. Xu等人^[9]提出新型多通道深度学习模型，从时间和空间2个角度提取特征. Chang等人^[58]基于双向门控循环单元（bidirectional gated recurrent unit，BiGRU）结构，引入步长注意力融合网络（step attention fusion network，SAFN），优化I/Q和A/P（振幅/相位）信号的融合过程. 除I/Q和A/P数据之外，高阶统计量特征也被融合到调制识别任务中^[59]. 混合模型虽然提高识别精度，但相比于单一模型结构，成本也有显著提高.

表2总结用于信号调制识别的深度学习模型的特点以及优缺点.

表  2  信号调制识别的深度学习模型

Table  2.  Signal Modulation Recognition Deep Learning Models

模型类型	模型名称	优点	缺点
无监督学 习模型	SCF-DBN[39,42]、自编码器1[43]、自编码器2[44]	·处理未标记数据； ·特征提取表现优异；	·计算复杂性较高，限制大规模问题的应用； ·只用来测试少数调制方式分类，应用受限；
前馈神经 网络模型	FFNN1[40], FFNN2[45], FFNN3[46]	·擅长提取高维特征； ·结构简单，优化灵活；	·可能不适合处理如时间序列数据； ·需要大量训练数据，以避免过拟合；
CNN模型	CNN1[4], CNN2[50], CNN3[51], ResNet[41], DenseNet[41], CM+CNN[47], SCNN[48], AlexNet[49], GoogLeNet[49], DrCNN[52], IC-AMCNet[56], MCNET[10]	·强大的空间特征提取能力； ·适用于不同输入数据类型； ·高效架构满足低时延高可靠；	·高计算复杂度，增加训练成本； ·可能忽略通信系统中固有的信号特征； ·原始I/Q信号直接输入模型导致信息损失；
RNN模型	GRU[6], LSTM[7], DAE[57]	·处理时间序列数据的能力； ·适用于低成本计算平台；	·计算复杂度相对较高，训练难度较大； ·可能存在梯度消失或爆炸问题；
混合模型	CLDNN1[5], CLDNN2[41], MCLDNN[9], MLDNN[58], DBN+SNN[59]	·结合CNN和RNN的优势； ·提高识别精度和泛化能力；	·模型复杂性更高，计算和维护成本增加； ·计算资源需求更高；

下载: 导出CSV 

| 显示表格

1.2   对抗深度学习

尽管深度学习在各个领域都取得了显著的成功，但已被证实深度神经网络极易受到对抗性扰动的影响，即在DNNs的输入数据中加入很小的扰动，导致其对被扰动的输入数据识别分类错误. 形式化地表达为，对于输入$\boldsymbol x \in X$，对抗攻击旨在生成不可察觉的对抗性扰动δ来更改输入，使得模型f ($\cdot$)出现决策失误f (θ, x)≠ f (θ, x+δ ). 目前普遍认为对抗样本存在的原因在于神经网络在高维空间中的线性性质^[14].

1.2.1   研究现状

对抗深度学习已经在CV和NLP等领域得到了广泛研究. 例如，在CV领域，随着无人驾驶汽车和外科医疗手术等应用的发展，研究人员大量探究了不可察觉的对抗样本产生的影响^[60-66]. 基于潜在安全漏洞的认知，以减轻对抗扰动的影响同时确保分类模型的鲁棒性为目标，研究人员设计和开发了多种防御算法，如对抗性训练，即在训练阶段用对抗样本增加训练数据^{[13-14,67-69]}. 在NLP领域，攻击者可以通过扰乱语音来欺骗诸基于深度学习的语音识别系统，如苹果Siri等. Carlini等人^[70]通过添加不可察觉的声音扰动，在最先进的语音识别系统Deep Speech^[71]中制作了音频对抗样本，攻击成功率达100%. Zheng等人^[72]从自然语言处理模型、攻防鲁棒分析、平台和工具包的逻辑关系3方面对自然语言处理对抗深度学习进行系统地总结，将攻击扰动分为字符级攻击、单词级攻击和句子级攻击，并分别对3种不同粒度的攻击方法进行展开介绍. 在NLP领域的研究工作中也提出了多种防御策略^[73-76]，如随机平滑法^[74]、有监督的对比性对抗学习（SCAL）^[76]和对抗性去伪存真法^[77].

相比之下，对抗深度学习于无线通信领域的研究较为滞后. Sadeghi等人^[16]首次将对抗攻击引入该领域，验证对抗样本能够降低信号识别性能，随后研究人员在此基础上进一步深入探究^{[17-23,78-96]}. 无线通信领域的研究仍处于初步阶段，对抗攻击集中在提高性能，对抗样本解释多限于假设场景，存在理论研究空白.

1.2.2   分类方法

本文参考对抗攻击研究的综述^[97]提出的对抗深度学习分类方法，如图4所示.

图  4  基于对抗深度学习的分类框架图

Figure  4.  Categorization framework diagram based on adversarial deep learning

下载: 全尺寸图片 幻灯片

1）攻击类型

探索性攻击，也称为推理攻击，其试图通过收集训练数据和用类似的输入和输出类型模仿目标模型的功能，即建立一个代理模型，来探索目标模型的内部工作原理^[98]. 探索性攻击通常是以下提及的攻击方式之前的领先步骤，因为其旨在运用主动学习^[99-100]等技术探索被攻击者模型，或利用生成对抗网络（generative adversarial networks，GANs）来增加有限信息^[101]. 逃逸攻击，攻击目的是通过操纵输入的测试数据来骗取目标模型做出错误的决策^[13-14]. 投毒攻击，攻击目的是通过向目标模型注入漏洞（如虚假训练数据）来操纵模型的训练过程^[102]. 木马攻击，也称为后门攻击，是逃逸攻击与投毒攻击的结合，攻击者在训练数据中注入触发器（后门），在测试阶段利用输入样本进行激活^[103].

2）攻击阶段

对抗攻击通常发生在目标模型的训练阶段或测试阶段. 具体而言，投毒攻击发生在目标模型的训练阶段，探索性攻击、逃逸攻击发生在目标模型的测试阶段，而木马攻击，既发生在目标模型的训练阶段，又发生在目标模型的测试阶段.

3）攻击能力

根据攻击者对目标模型所掌握知识的不同，对抗攻击可以分为白盒攻击和黑盒攻击. 在白盒攻击中，攻击者知道训练数据、模型结构、算法和优化方法，即其可以完全访问训练好的目标模型，并知道分类模型的输入数据. 黑盒作为许多安全威胁场景中更现实、更严格的目标模型^[104]，由于黑盒攻击者既不了解也无法访问训练数据或训练过的目标模型，攻击者只能试图从模型返回的结果中推断出信息来指导攻击. 黑盒攻击通常利用代理模型，被训练为在推理攻击期间执行与目标网络相同的任务.

4）攻击目标

针对性攻击在模型决策方面有一个特定的目标，即生成扰动δ，使输入样本$\boldsymbol x \in X$（真实标签为y^true）错误分类为特定的目标标签y^target，f (θ, x+δ)= y^target ，y^target ≠ y^true. 非针对性攻击的目的是最大化模型决策错误率，即生成扰动δ，使算法的输出出现错误，即f (θ, x)≠ f (θ, x+δ ). 非针对性攻击与标签类别无关，通过准确性下降来降低算法的可信度.

2.   面向信号调制识别的对抗深度学习

对抗攻击在无线通信领域的应用与其他应用领域（如CV和NLP）有很大的不同，因为对原始信号数据进行适当的数据表示、预处理流程等都需无线通信领域的专业知识作为支撑，与其他领域数据结构（图像、文本等）有着显著差异；此外，信道、干扰和流量效应等复杂通信环境因素不仅对于信号通信产生着影响，对于对抗攻击的有效性也会带来不确定性阻碍. 因此面向信号调制识别领域的对抗深度学习与其他领域相比，存在特殊性，本节将基于无线通信环境下信号调制识别任务总结3个维度独特属性，并提出新的对抗攻击分类框架与威胁模型，对目前相关研究工作进行系统整合.

2.1   信号对抗攻击的特性

面向信号调制识别的对抗攻击任务，具有3个维度特性，分别是环境特性、数据特性、特征特性.

2.1.1   环境特性：信道效应的复杂性

无线通信信道模型对于对抗攻击有显著影响，因为传输信号与扰动信号均需要通过信道才能抵达接收器并对目标DNNs模型进行对抗攻击. 首先，信道模型会对精心制作的对抗性扰动造成路径损耗和相位偏移等影响，还可能在对抗性信号样本抵达目标接收器之前对其进行削弱或方向改变；其次，在攻击者无法获得目标接收器DNNs分类模型的先验知识时，用于训练代理模型的信号数据的收集过程也是在信道进行的，则训练数据并非完美，攻击者训练的代理模型的有效性依赖于信道效应^[105]；此外，对于复杂通信环境也可以利用信道效应的差异进行多目标问题研究，如实现目标接收器正确分类同时避免被窃听接收器正确识别.

2.1.2   数据特性：信号数据的间接性

在真实无线通信环境下，由于信道的存在以及接收器在进行调制识别之前的信号处理操作，攻击者不能直接操纵输入到分类器模型的训练或测试数据. 因此，攻击者需要监控无线通信中的行为状态，并试图间接地操纵或影响DNNs模型的结果.

2.1.3   特征特性：特征表示的异质性

各种通信系统的共存使得无线电信号数据具有更加多样化和复杂的特征表示^[89]，这也在很大程度上影响了精心制作的对抗性扰动的有效性. Flowers等人^[29]指出对抗性扰动信号并不能很好地保持与原始信号相同的光谱形状，信号频谱形状的改变降低对抗攻击的成功率，接收器可以利用信号的预处理环节（如滤波器）直接排除扰动信号，增加了对抗样本检测的可能性；此外，Sahay等人^[88]也通过实验表明，在通信信道存在的情况下，以基于信号时域特征训练的DNNs作为目标模型而设计的对抗攻击，在基于信号频域特征训练的DNNs目标模型上并不一定具有相似的攻击效果.

2.2   面向信号调制识别的对抗攻击分类框架

本文对于对抗攻击的研究着眼于无线通信领域下信号调制识别任务，1.2.2节中提到的计算机视觉领域对抗攻击分类方法源于对抗攻击的共性特征，本文在此基础上充分考虑2.1节中提到的无线电信号对抗攻击的特性特征，参考Flowers等人^[19]提出的根据攻击的发起地点进行分类，提出新的分类类别：物理自我防御式对抗攻击和数字直接访问式对抗攻击（下文简称为物理攻击和数字攻击），物理、数字对抗攻击模型对比图分别如图5所示.

图  5  物理对抗攻击模型与数字对抗攻击模型对比

Figure  5.  Comparison of physical adversarial attack model and digital adversarial attack model

下载: 全尺寸图片 幻灯片

基于框架图可从以下3方面深入分析物理对抗攻击与数字对抗攻击的不同点.

1）攻击发生地点不同

数字攻击主要是在发射器与接收器之外的攻击者发射器处进行的. 传统的对抗性机器学习，如CV中一般考虑的攻击或Sadeghi等人^[16]考虑的攻击，都属于数字直接访问式攻击的范畴. 部分研究工作没有将信道效应等环境影响考虑在内，将攻击近似为信号处理链的一部分，对于分析分类器模型在最坏情况下的脆弱性有极大的意义. 但由于其假定信号处理链已被破坏，在复杂的无线通信背景下不太现实. 进一步研究工作中，考虑到真实物理环境条件通过添加约束规范，实现对抗攻击理论方法.

2）攻击应用目的不同

数字攻击只有1个目的就是攻击目标接收器中的信号调制识别模型，使其分类错误. 物理攻击有2个目的，分别是信息隐藏（欺骗窃听器中的信号调制识别模型分类错误）和准确通信（保证目标接收器中的信号调制识别模型分类正确），最终目标是二者的相互博弈达到最优结果.

3）攻击研究价值不同

数字攻击更具理论价值，以近似理想化的攻击场景假设为基础，或通过添加约束条件来模拟，聚焦于研究提高对抗攻击性能的方法，为调制识别领域提供基线模型和科学理论支撑. 文献[20，81，86，89]的研究工作将CV领域的对抗攻击方法应用于调制识别领域，并证明其有效性.

物理攻击更具现实价值，因其考虑到现实复杂的通信场景，即除发射器和接收器外，还存在第三方窃听者. 窃听者依次通过信号检测、信号隔离、信号预处理、信号解调以获得二进制数据流，从而实现无限通信链路窃听. 为加强安全性，可以进行信号加密，保护解调后的比特流. 而物理层安全^[106-107]旨在防止窃听者对信号的正确解调，以减少可用信息获取. 文献[19，29，90]的研究着眼于通信物理层安全问题，降低窃听者分类器对信号调制识别的准确率. 同时需要与无线通信的主要目标（保证经过调制的信号向期望接受器的可靠性传输）相平衡.

2.3   面向信号调制识别的对抗攻击威胁模型

本文扩展Papernot等人^[108]和Chakraborty等人^[97]提出的计算机视觉领域对抗攻击威胁模型分类方法，提出在无线通信领域下信号调制识别任务的对抗攻击威胁模型，如图6所示. 以图解的方式构建对抗攻击威胁模型，并全面地总结了目前信号调制识别对抗攻击领域的研究工作，旨在更清晰直观地提供信号调制识别对抗威胁模型分类方法的展示，同时强调该领域特有的信号对抗攻击特性与攻击目标，与2.2节中的分类方法相结合，细化信号调制识别的对抗目标和对抗能力.

图  6  基于信号调制识别的对抗攻击威胁模型

Figure  6.  Threat model of adversarial attack based on signal modulation recognition

下载: 全尺寸图片 幻灯片

对抗目标的复杂性沿着横轴延伸，依次递增，对抗能力沿着纵轴延伸，依次递减，以对抗目标和对抗能力2个影响因子共同作为对抗攻击复杂性的衡量指标，攻击复杂性沿着对角线延伸，“最容易”的攻击是在左上角，“最难”的攻击是在右下角.

1）对抗目标

传统对抗攻击有2个主要目标：针对性对抗攻击和非针对性对抗攻击. 非针对性攻击旨在使信号被错误分类为任何非真实调制类别. 针对性攻击更复杂，目标是让分类器将信号分类为特定目标类别，其难度取决于真实与目标类别的信号格式^[19].

2）对抗能力

对抗攻击的能力指攻击者利用目标DNN信息进行攻击的能力^[108]. 对抗能力可分为白盒攻击和黑盒攻击，其中黑盒攻击可以进一步分类为非适应性黑盒攻击、适应性黑盒攻击、严格黑盒攻击^[97].

① 白盒攻击. 在最理想的情况下，攻击者可以完全了解目标模型、结构以及学习参数，并且可以访问训练数据的分布，这种攻击下目标模型被认为具有较高的错误率. 在无线通信中，当数字直接访问式攻击（数字攻击）为白盒攻击时，假设信道等外界物理环境对攻击不产生可变性影响，通过直接操纵接收器的调制分类器模型得以实现^[16,25,89]；当物理自我防御式攻击（物理攻击）为白盒攻击时，如Flowers等人^[29]在发射器上使用对抗性残余网络生成扰动，以规避窃听者调制分类器的正确识别.

② 非适应性黑盒攻击. 攻击者对目标模型结构与学习参数未知，但可以利用其训练数据集或数据分布来训练1个代理模型，以接近目标分类器，再利用白盒攻击策略将精心制作对抗样本输入到目标模型，致使其错误分类. 在无线通信中，数字攻击与前述步骤相同；而物理攻击通过与窃听者调制分类模型结构相同/不同的网络模型训练生成对抗扰动，添加到传输信号中以规避窃听接收器正确识别^[90-91,94].

③ 适应性黑盒攻击. 攻击者对目标模型的训练数据集或数据分布未知，仅可以通过访问目标模型，即对于任意的输入，攻击者通过查询目标模型获得其标签，通过得到的输入输出二元组训练代理模型，再利用白盒攻击策略致使目标模型错误分类. 在无线通信中，数字攻击未知准确的训练数据集，如Sadeghi等人^[16]构造与目标模型输入无关的通用对抗性扰动，并通过实验证明亦能有效实现对抗攻击目标；物理攻击的过程是将扰动添加到发射器上，当充分考虑信道效应与接收器的信号处理误差，此时的对抗攻击并非直接操纵在输入信号样本上. Kim等人^[15]考虑了信道效应，并由实验证明信道状态信息对于对抗攻击的成功有较大影响.

④ 严格黑盒攻击. 攻击者不能从目标模型的数据集中获得信息，需要收集少量数据或部分随机数据，再将替代数据集输入到目标模型中进行数据集扩展^[108].

面向信号调制识别的对抗能力还有2类特殊能力. 其一，已知物理位置的能力，主要用于物理对抗攻击中，攻击者通过智能天线精确地将对抗样本信号传输到窃听接收器，从而最大限度降低窃听者识别准确率，同时减少对期望接收器的干扰. 其二，信号处理链的阻碍，信号处理链可以通过射频前端过滤外频干扰和功率放大器的非线性作用，降低对抗攻击成功率，不仅对高频扰动进行屏蔽还可以使扰动信号发生扭曲. 此外，信号处理链中的信号检测和信号隔离阶段对影响带宽的扰动特别敏感，可能导致信号调制识别的级联影响.

3.   面向信号调制识别的对抗样本生成技术

本节将结合现有的研究工作详细阐述信号调制识别任务中的对抗样本生成技术，并通过考虑无线通信环境下信号调制识别任务的特性，总结针对该场景下对抗样本生成的特殊处理方法.

3.1   对抗样本生成技术

对抗样本是指在对抗攻击中产生的样本，即在原始输入数据集中的样本中通过有目的地加入少量的扰动信息，使得DNNs对输入出现误判的样本^[13]. 对抗攻击的函数表示如表3所示. 对抗攻击的理论方法如式（3）所示，在原始输入$\boldsymbol x \in X$中加入精心设计且不可察觉的扰动δ，更改输入为$\boldsymbol x^*=\boldsymbol x+\boldsymbol \delta$，从而使模型错误分类. 由于对抗攻击的隐蔽性要求，扰动δ应尽可能很小，通常，这一要求被近似为约束$\|\boldsymbol \delta\|_p \leqslant \varepsilon$，其中ε为一个很小的正数，$\|\cdot\|_p$为l_p范式，$P \in${1, 2, $\infty$}为范式类型.

表  3  对抗攻击方法的函数表示

Table  3.  Function Expression of Adversarial Attack Methods

方法	函数表示
对抗攻击方法	$\begin{aligned} &\mathop {{\text{min}}}\limits_{\boldsymbol {\theta} } {\left\| {\boldsymbol \delta } \right\|_p}\\[-4pt]&{\text{s}}{\text{.t}}{\text{. }}f({\boldsymbol {\theta} },{\boldsymbol {x}}) \ne f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta })\end{aligned}$	（3）
非针对性对抗攻击	$\begin{aligned}& {\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\[-4pt] &{{\text{s}}{\text{.t}}{\text{. }}\min {{\left\| {\boldsymbol \delta } \right\|}_p} \leqslant \varepsilon } \end{aligned}$	（4）
针对性对抗攻击	$\begin{aligned}& {\mathop {\min }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{target}}}})} \\[-4pt] & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\| {\boldsymbol \delta } \right\|}_p} \leqslant \varepsilon } \end{aligned}$	（5）

下载: 导出CSV 

| 显示表格

在无线通信的信号调制识别任务中，除了添加的扰动信号样本之外，对抗攻击还会受到信道噪声和其他信道效应的影响. 由于DNNs的非线性特性，直接解决式（3）的优化问题是很困难的，通常利用分类模型f ($\cdot$)训练过程中使用的损失函数$\mathcal{L}$($\cdot$)来实现.

非针对性对抗攻击旨在最大化误分类损失$\mathcal{L}$( f (θ, x+δ), y^true)，限制条件为扰动δ在规定的约束范围内，即可由目标函数式（4）求解得到最佳扰动，其中$\varepsilon$为对抗性扰动的约束上限. 针对性对抗攻击，为了使原始信号被识别为目标标签，则试图最小化目标标签的损失$\mathcal{L}$( f (θ, x+δ), y^target)，限制条件仍为扰动δ在规范约束范围内，即可由目标函数式（5）求解得到最佳扰动.

目前已经提出多种方法来求解上述优化问题，从而产生对抗样本，见表4. 例如，作为经典方法的快速梯度法（fast gradient method，FGM）^[16]和快速梯度符号法（fast gradient sign method，FGSM）^[26]，再如以其为基础引入迭代思想的衍生方法，基本迭代法（basic iterative method，BIM）^[89]，动量迭代法（momentum iterative- FGSM，MI-FGSM）^[80]等，以及引入随机性的衍生方法，投影梯度下降法（projected gradient descent，PGD）^[91]. 并且随着神经网络的广泛应用，也出现了基于对抗生成网络（generative adversarial network，GAN）方法，如对抗转化网络（adversarial transformation network，ATN）^[110]等.

表  4  面向调制识别的对抗攻击函数表达汇总

Table  4.  Summary of Adversarial Attack Function Experssion for Modulation Recognition

方法	具体技术	对抗样本函数表示	优化目标函数表示
FGM	FGSM [26]	${{\boldsymbol {x}}^*} = {\boldsymbol {x}} + \varepsilon \times {\text{sgn}}\left( {{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}}),{\boldsymbol y})} \right)$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\| {\boldsymbol \delta } \right\|}_p} \leqslant \varepsilon }\end{aligned}$
	FGM [16]	${{\boldsymbol {x}}^*} = {\boldsymbol {x}} + \varepsilon \times \dfrac{{{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}}),{\boldsymbol y})}}{{{{\left\| {{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}}),{\boldsymbol y})} \right\|}_2}}}$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\| {\boldsymbol \delta } \right\|}_p} \leqslant \varepsilon }\end{aligned}$
	FGM考虑信道效应[15]	${{r}_{{\text{ar}}}} = {{\boldsymbol H}_{{\text{tr}}}}{\boldsymbol {x}} + {{\boldsymbol H}_{{\text{ar}}}}{\boldsymbol \delta } + {\boldsymbol n}$	${\mathcal{L}(f({\boldsymbol {\theta} },{{r}_{{\text{ar}}}}),{{\boldsymbol y}^{{\text{target}}}}) \approx \mathcal{L}(f({\boldsymbol {\theta} },{{r}_{{\text{tr}}}}),{{\boldsymbol y}^{{\text{target}}}}) + }{{{({{\boldsymbol H}_{{\text{ar}}}}{\boldsymbol \delta })}^{\text{T}}}{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{{r}_{{\text{tr}}}}),{{\boldsymbol y}^{{\text{target}}}})}$
MI-FGSM	MI-FGSM [80]	$\begin{aligned} &{\boldsymbol {x}}_{t + 1}^* = {\boldsymbol {x}}_t^* + \left( {\dfrac{\varepsilon }{T}} \right) \times {\text{sgn}}({{\boldsymbol g}_{t + 1}})\\&{{\boldsymbol g}_{t + 1}} = \mu \times {{\boldsymbol g}_t} + \dfrac{{{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{{\boldsymbol {x}}^*}),{\boldsymbol y})}}{{{{\left\| {{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{{\boldsymbol {x}}^*}),{\boldsymbol y})} \right\|}_1}}}\end{aligned}$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\| {\boldsymbol \delta } \right\|}_p} \leqslant \varepsilon } \end{aligned}$
PGD	PGD [91]	${{\boldsymbol {x}}}_{t+1}^{*}={\varPi }_{{\cal{B}}_{\epsilon}({{\boldsymbol {x}}}_{2})}({{\boldsymbol {x}}}_{t}^{*}+\beta \times \text{sgn}({\nabla }_{{\boldsymbol {x}}}{\mathcal{L}}(f(\boldsymbol{\theta},{{\boldsymbol {x}}}_{t}^{*}),{\boldsymbol y})))$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\| {\boldsymbol \delta } \right\|}_p} \leqslant \varepsilon } \end{aligned}$
C&W	Carlini & Wagner [81]	${{\boldsymbol {x}}^*} = {\boldsymbol {x}} + {\boldsymbol \delta }$	$\begin{aligned} &{\mathop {\min }\limits_{\boldsymbol \delta } \left\| {\boldsymbol \delta } \right\|_2^2 + c \times {f_t}({\boldsymbol {x}} + {\boldsymbol \delta })} \\ & {{\text{s}}{\text{.t}}{\text{. }}{\boldsymbol {x}} + {\boldsymbol \delta } \in {{\left[ {\left\lceil {\min ({x_i})} \right\rceil ,\left\lceil {\max ({x_i})} \right\rceil } \right]}^k}}\\&{f_t}({\boldsymbol x'}) = \max \left( {\max \{ Z{{({\boldsymbol x'})}_i}:i \ne t\} - Z{{({\boldsymbol x'})}_t},0} \right)\end{aligned}$
ATN	P-ATN考虑通信损失[29]	${{\boldsymbol {x}}^*} = {\boldsymbol {x}} + g({\boldsymbol {\theta} },{\boldsymbol {x}})$	${\mathcal{L}( \cdot)= (1 - \alpha)\times {\mathcal{L}_{{\text{adv}}}}( \cdot)+ } {\alpha \times \left[ {\beta \times {\mathcal{L}_{{\text{comm}}}}( \cdot)+ (1 - \beta)\times {\mathcal{L}_{{\text{pwr}}}}( \cdot )} \right]}$
	AAE考虑通信损失[92]	${{\boldsymbol {x}}^*} = g({\boldsymbol {\theta} },{\boldsymbol {x}})$	${\mathcal{L}_{{\text{total}}}} = \alpha \times {\mathcal{L}_{{\text{adv}}}} + \beta \times {\mathcal{L}_{{\text{comm}}}} + \gamma \times {\mathcal{L}_{{\text{pwr}}}}$
BIM	BIM [89]	$\begin{aligned} &{{{\boldsymbol {x}}_{t + 1}} = Cli{p_{{x, }\varepsilon }}\{ {{\boldsymbol {x}}_t} + } {\varepsilon \times {\text{sgn}}\left( {{\nabla _{\boldsymbol {x}}}\mathcal{L}(f({\boldsymbol {\theta} },{{\boldsymbol {x}}_t}),{{\boldsymbol y}_t})} \right)\} } \\ &Cli{p_{{x, }\varepsilon }}\{ {\boldsymbol z}\} :{\boldsymbol z} \in [{\boldsymbol {x}} - \varepsilon ,{\boldsymbol {x}} + \varepsilon ] \end{aligned}$	$\begin{aligned} &{\mathop {\max }\limits_{\boldsymbol {\theta} } \mathcal{L}(f({\boldsymbol {\theta} },{\boldsymbol {x}} + {\boldsymbol \delta }),{{\boldsymbol y}^{{\text{true}}}})} \\ & {{\text{s}}{\text{.t}}{\text{. }}\min {{\left\| {\boldsymbol \delta } \right\|}_p} \leqslant \varepsilon } \end{aligned}$

下载: 导出CSV 

| 显示表格

根据第2节提出的面向调制识别的对抗攻击分类框架与威胁模型，将现有的对抗攻击研究工作按照对抗样本生成技术的不同进行了分类汇总，如表5所示. 并在3.1.1~3.1.7节中对现有的针对于信号调制识别任务中的对抗样本生成技术的研究工作进行详细阐述.

表  5  针对于不同对抗样本生成方法的数字攻击/物理攻击研究工作汇总

Table  5.  Summary of Research Work on Digital/Physical Attacks for Different Adversarial Examples Generation Methods

对抗攻击方法	数字攻击的相关文献	物理攻击的相关文献
快速梯度法FGM	[15−16，20，26，78−79， 82，84，88−89]	[19，95]
动量迭代法MI-FGSM	[20，80，89]
投影梯度下降法PGD	[20，89，96]	[90−91，94]
Carlini & Wagner	[81，85−87]
对抗转化网络ATN		[29，92−93]
通用对抗扰动UAP	[15−16，25，78，96]
基础迭代法BIM	[20，88−89]
雅克比显著图攻击JSMA	[89]
木马攻击	[83]

下载: 导出CSV 

| 显示表格

3.1.1   基于快速梯度法FGM

快速梯度符号法FGSM^[14]作为一种主流的对抗样本生成技术，基于DNNs在高维空间中的线性性质是对抗样本成因这一假设，围绕模型参数的当前值对损失函数实现线性化，得到一个最佳的符合最大规范约束的扰动，即

其中$\boldsymbol x^*$为对抗样本，θ为模型的参数，x为模型输入，y为与x相关的目标标签，$\mathcal{L}$( f (θ, x), y)为用于训练DNNs的损失函数，ε为限制扰动变化的一个极小数值.

在无线通信领域，更常用的方法是FGSM算法的泛化形式，即快速梯度法FGM，该方法满足l₂规范约束$\|\boldsymbol x^*-\boldsymbol x|_2 < \varepsilon$，即

在无线通信数字攻击的研究中，Sadeghi等人^[16]针对FGM算法生成粗粒度扰动及低攻击成功率问题，提出了新算法，依靠计算上高效的FGM作为算法的核心，生成细粒度的对抗性扰动. 首先，FGM通过人为设定ε来找到使模型分类准确率最低的、符合扰动约束的最佳值；而Sadeghi等人^[16]使用二分法确定能够使模型错误分类的扰动值ε（在扰动规范的约束范围内），减少人为误差. 其次，非针对性攻击中，FGM试图最大化$\mathcal{L}$( f (θ, x+δ), y^true)，针对性攻击，FGM试图最小化特定类别$\mathcal{L}$( f (θ, x+δ), y^target)；而Sadeghi等人^[16]在所有可能的针对性攻击中进行搜索，选择具有最小扰动的攻击来执行错误分类. 除此之外，Sadeghi等人^[16]还重新定义了信号扰动约束，由图像特征空间的距离约束类推到信号的功率比的约束.

Kim等人^[15] 的研究着眼于信道效应对于对抗攻击的影响，探讨如何在现实的信道效应和不同接收器的多个分类模型存在的情况下实现物理的对抗攻击，如信道信息已知的前提下，针对性对抗攻击者通过使用FGM算法线性化损失函数：

其中y^target为攻击者期望的目标类别，δ为对抗性扰动，H_ar为从攻击者到接收器之间的信道效应，r_ar为发生对抗攻击的接收器接收到的信号，r_tr为未发生对抗攻击的接收器接收到的信号，x为发射器发射的信号. 为实现针对性对抗攻击，通过设置H_arδ = −α×$\nabla$_x$\mathcal{L}$( f (θ, r_tr), y^target)来实现最小化$\mathcal{L}$( f (θ, r_ar), y^target)，其中α为比例系数，用于将攻击者添加的扰动限制在最大功率内. 同理对于非针对性对抗攻击者的目标是最大化损失函数$\mathcal{L}$( f (θ, r_ar), y^true)，其中y^true为x的真实类别，设置H_arδ = −α×$\nabla$_x$\mathcal{L}$( f (θ, r_tr), y^true)得以实现.

Kim等人^[15] 还通过对比指出Sadeghi等人^[16]未考虑信道效应而导致攻击性能下降，原因是无线信道改变了接收器感知到的扰动信号的相位与大小，并提出了充分最大接收扰动功率（maximum received perturbation power，MRPP）法. 该方法将对抗性扰动δ与信道效应的共轭数$\boldsymbol H_{\rm ar}^*$相乘，则通过信道后接收器接收到的扰动为$\|\boldsymbol H_{\rm ar}\|^2 \boldsymbol \delta$，使得在相位不变情况下，有效提升扰动功率和误导分类器的能力.

Kim等人^[84] 的另一个研究利用多根天线在不同的信道效应生成多个并发扰动（受总功率预算的影响），其使用与Kim等人^[15] 相同的MRPP攻击方法. Kim等人^[84] 于2020年提出了元素最大信道增益（elementwise maximum channel gain，EMCG）法优化天线功率分配，提升攻击性能该方法通过选择在符号级具有最佳信道增益的天线来发射扰动，并表明增加天线数量可显著增强攻击.

无线通信物理攻击的研究中，Flowers等人^[19]与Sadeghi等人^[16]同样重新定义了信号扰动约束为相对功率，但其首次考虑了真实物理场景，分析了FGSM算法有效性，并提出将误码率作为评估指标.

Berian等人^[95]提出2种基于滤波器的方法生成对抗性扰动：第1种为梯度上升滤波法（gradient ascent filter，GAF），利用迭代优化方法使滤波器系数被有效训练；第2种为快速梯度滤波法（fast gradient filter method ，FGFM），即结合快速梯度算法（FGM）思想，最大限度提高与滤波器系数相关损失. 基于滤波器的方法有别于FGSM加性扰动生成方法，该方法使用滤波器来创建有限脉冲响应滤波器，以最小化扰动功率并使分类错误. Berian等人^[95]通过实验表明，基于滤波器的方法攻击性能更好，且计算效率高，功耗低.

3.1.2   基于动量迭代法MI-FGSM

由于快速梯度法FGSM生成的对抗样本只是1阶近似最优解，且其阈值ε是由人为选择的^[111]，在CV领域也提出了很多基于FGSM的衍生方法，如引入迭代思想的动量迭代法^[112]. MI-FGSM并非沿梯度方向只调整一步，而是采取较小的步长，即ε/T，其中T为迭代次数，调整多步，旨在对扰动进行更精细的调整.

目前MI-FGSM攻击方法多用于无线通信数字攻击的场景中. Bair等人^[80]使用动量迭代法MI-FGSM^[112]来生成用于信号调制识别的对抗样本，该方法在FGSM的基础上引入了迭代思想和动量参数，在找到最佳扰动之前，扰动信号的当前迭代梯度表示为

其中t为当前迭代轮次，g为梯度，μ为某一动量值，则通过MI-FGSM方法求得的对抗样本可表示为

其中T为迭代的总次数. 迭代T−1次后，$\boldsymbol x^*$将是最终得到的对抗信号样本. Dong等人^[112]通过实验发现超参数最佳值为μ = 0.5和T = 6，在调制识别的对抗攻击研究中，还未涉及超参数最佳值的讨论工作.

3.1.3   基于投影梯度下降法PGD

在迭代方法基础上，FGSM的衍生方法中还将引入随机性的思想，如投影梯度下降法PGD^[67]，该方法以均匀的随机噪声作为初始化，并作为最强大的1阶攻击方法之一，同样在无线通信环境下信号调制识别任务中得到广泛的应用.

在无线通信数字攻击的研究中，Lin等人^[89]利用投影梯度下降法PGD^[67]对调制识别模型进行白盒对抗攻击. 并通过对比实验表明，PGD基于迭代方法的攻击效果明显优于FGSM单步攻击效果. Lin等人^[89]还对信号不同调制方式的鲁棒性问题进行了讨论研究，并通过实验说明AM-SSB和PAM4的安全性更高，而如BPSK，QAM16，QPSK等安全性较低，攻击成功率相对较高.

PGD算法在求解最佳扰动时需多轮反向传播，因此该算法的运行迭代步数，依赖于计算资源^[91]，而无线通信信号发射器的吞吐率通较高，PGD算法的应用显然面临计算成本较高、能耗较大的问题. Sandler等人^[96]提出利用通用对抗扰动^[113]来解决这一问题，通过随机选择训练集输入并迭代生成扰动，同时在每次迭代之前对信号添加了随机相位偏移以模拟真实信道.

在无线通信物理攻击的研究中，Hameed等人^[91]利用随机噪声作为初始信号样本值，第t次迭代信号样本表示

其中β > 0为步长，sgn($\cdot$)为符号运算，${\varPi }_{{\cal{B}}_{\epsilon}({{\boldsymbol {x}}}_{2})}$表示以ϵ为半径、以x₂为中心的l₂领域内的欧几里德投影算子，算法通过多次迭代找到最佳扰动. Hameed等人^[91]还考虑了真实物理场景需求，保证期望接收器误码率最小，同时最大化窃听接收器号识别误差，通过PGD算法计算局部最优解.

3.1.4   基于Carlini & Wagner算法

Carlini和Wagner^[114]针对 Hinton等人^[115]提出的防御蒸馏网络提出Carlini & Wagner攻击方法，与前期的对抗样木生成技术不同的是，Carlini & Wagner将扰动最小化和损失函数最大化这2个优化问题结合为一个目标函数.

目前Carlini & Wagner攻击方法，在无线通信对抗攻击研究中中均为数字攻击. 由于Carlini & Wagner方法的原始定义中规定了对抗样本$\boldsymbol x^*=\boldsymbol x+\boldsymbol \delta \in[0,1]^k$的约束条件，因此该条件只适用于图像（像素），不适用于信号样本. Kokalj-Filipovic等人^[81]对CleverHans库^[116]中的Carlini & Wagner-l₂ 方法^[114]进行调整，以适应信号调制识别任务，即对于信号输入样本x，Carlini & Wagner通过解决以下目标优化问题来生成对抗扰动δ：

其中t为x的目标标签，$f_t$被定义为

其中Z ($\cdot$)为Softmax函数，f _t为原始非线性优化问题的近似目标函数，即当且仅当$f_t(\boldsymbol x+\delta) \leqslant 0$ 时，对抗样本$\boldsymbol x^*=\boldsymbol x+\boldsymbol \delta$被识别为目标类别t. 对于非针对性攻击，在除真实标签外的所有标签中找到满足最小化式（13）的t，同时限制扰动的约束规范，使扰动功率与信号的噪声功率相同. Kokalj-Filipovic等人^[81]为了充分分析修改后的Carlini & Wagner攻击方法性能，在模拟数据集与真实世界数据集中共同进行训练，并由实验表明Carlini & Wagner攻击方法具有与FGSM攻击方法相似的效果.

Yi等人^[85]利用Carlini & Wagner方法来生成对抗样本，应用于无线通信环境下，将微小的扰动约束在攻击者所需的最小发射功率之下，致使分类器模型的性能显著下降. 但DNNs模型的漫长训练时间对其在无线通信中的应用造成了严重的瓶颈，需要频繁地重新训练以适应实时变化的环境，因此，Yi等人^[85]参考Ramjee等人^[117]提出的数据驱动子采样策略，采用DNNs模型架构模拟从每组训练样本中删除候选样本的过程，该过程实际为有监督的封装式特征选择算法的实现，即子采样网络，通过对输入进行向下采样，有效地减少网络模型大小和训练时间. Yi等人^[85]通过实验验证在对抗攻击过程中，通过信噪比选择性训练，在不牺牲攻击性能的情况下可以有效节省计算资源，为数据驱动的子采样策略应用于无线通信领域下对抗攻击任务奠定了基础.

3.1.5   基于对抗转化网络ATN

基于对抗生成网络Baluja等人^[110]提出了对抗转化网络（ATNs），与前面所述的攻击方法不同，ATNs作为独立的DNNs模型，可以将任何输入转化为对抗样本，并且Baluja等人^[110]提出有2种ATNs的变体：其一，扰动-对抗转化网络（perturbation ATN，P-ATN），即基于ATNs训练为只生成输入相关的扰动的网络模型；其二，对抗自编码器（adversarial auto-encoder，AAE），即基于ATNs训练为生成关于输入的对抗自编码器模型.

基于对抗转化网络的方法多用于无线通信物理攻击的场景中. Flowers等人^[29]利用ATNs的第1个变体扰动-对抗转化网络P-ATN在真实物理场景下对信号调制识别的对抗攻击进行研究. P-ATN作为ATN的变体，通过将残差模块结构加入对抗转化网络模型中，生成的对抗样本可以表示为

其中θ为P-ATN在训练过程中学习到的参数矩阵，g($\cdot$)为P-ATN（Flowers等人^[29]以ARN作为简称），其损失函数被定义为

其中$\mathcal{L}$_adv为导致错误分类的对抗性损失，$\mathcal{L}$_comm为最小化误码率的通信损失，$\mathcal{L}$_pwr为扰动功率约束，三者之间的权衡通过调整2个超参数的值来实现. 由于P-ATN中残差模块的特性，P-ATN可以更容易地学习到满足要求的最佳扰动.

由于Flowers等人^[29]考虑的是物理对抗攻击场景，其P-ATN的目标函数具有多个目标，最小化期望接收器的误码率，同时最小化窃听接收器的识别精度，即在窃听器的对抗损失与接收器的通信损失之间寻求一种平衡，并且扰动信号功率在发射之前也受到一定的功率限制，Flowers等人^[29]将其以正则器的形式作为通信损失的一部分. 此外，Flowers等人^[29]在计算通信损失的过程中，出于接近更真实的物理场景的考虑，假设对信道模型不可知，没有直接使用符号空间中的距离来推导通信传输中的误码率，提出了计算通信损失的新的模型，即通信合页损失（communications hinge loss），可用于在训练期间发生误码时根据经验对其进行惩罚. 由实验结果显示，P-ATN在实现与FGSM同等的对抗攻击效果的同时，还可以保证接收器的传输误码率处于较低的水平. 并且，由于P-ATN不需要计算梯度就可以生成对抗样本，使得计算复杂度较低，说明P-ATN较FGSM更适合于实时的无线通信系统.

DelVecchio等人^[92]则运用的是ATNs的第2个变体对抗自动编码AAE，AAE与P-ATN相类似，其通过以下方式生成对抗样本：

其中g ($\cdot$)为AAE模型，θ为在训练AAE时学到的参数矩阵. AAE与P-ATN的明显差别在于，P-ATN生成的扰动相对于原始输入信号的缩放是在网络模型之外完成的，而AAE是将扰动与原始输入信号囊括在内一起进行训练完成的. 这个区别使得AAE更好地考虑到扰动功率与原始信号功率之间的平衡问题，因此DelVecchio等人^[92]利用AAE方法构造应用于信号调制识别的对抗样本，并对其额外添加了功率限制，将其称之为称为对抗性突变网络（adversarial mutation network，AMN）. 此外，DelVecchio等人^[92]还考虑了前向纠错编码（forward error correction，FEC）的存在对于对抗攻击性能的影响，将对抗攻击模型扩展到含有FEC的信号训练的通信感知攻击框架.

3.1.6   基于通用对抗性扰动UAP

在CV领域，研究者还考虑到对抗样本的普遍适用性，生成与输入无关的通用扰动，实现跨类别的扰动迁移，即通用对抗性扰动（universal adversarial perturbation，UAP)^[113]. 该算法的输入包括：目标模型、所需的UAP规范以及数据输入的随机子集，该算法的核心是迭代方法，即在每次迭代中需要为N个数据点中的每一个数据点生成一个对抗性扰动，计算成本较高.

基于通用对抗性扰动的方法多用于无线通信数字攻击的场景中. Sadeghi等人^[16]在UAP方法的基础上，提出了一种新的输入无关的对抗样本生成算法，利用主成分分析方法来生成UAP，与UAP方法相比，该算法的计算复杂度有显著的降低，并且通过实验证明该方法同样能达到良好的攻击效果.

与Sadeghi等人^[16]的研究方法相类似，Bahramali等人^[25]也同样考虑到输入不可知这一实际应用上的约束条件，但Bahramali等人^[25]指出单一的UAP向量很容易被目标接收器识别并进行过滤，对抗攻击成功率不高，因此对Sadeghi等人^[16]提出的仅生成单一的UAP向量的方法进行了改进，Bahramali等人^[25]将生成对抗性扰动的过程建模为一个优化问题，通过构建扰动生成模型（perturbation generator model，PGM）进行解决. 该模型能够针对目标模型生成大量输入无关的对抗性扰动向量（即UAP），在对抗攻击中，攻击者从大量可用的UAP集合中挑选并生成一个随机的对抗样本对目标模型进行攻击. Bahramali等人^[25]通过实验证明，PGM扰动生成模型在白盒与黑盒场景下均有效，并且该方法的攻击效果优于Sadeghi等人^[16]的方法. 此外，Bahramali等人^[25]还对PGM生成的UAP添加了不可检测性和鲁棒性2个约束. 具体而言，在生成通用对抗性扰动UAP的同时，约束它们遵循加性高斯白噪声（AWGN）无线信道的预期噪声分布，使其不可检测；并对不同的UAP之间的距离进行最大化，使其对防御技术表现为高鲁棒性. 通过实验证明，在调试识别任务中，尽管防御机制的存在，该方法仍能使识别准确率由69%降低到23%.

3.1.7   其他技术

Lin等人^[20,88-89]利用基础迭代法（basic iterative method，BIM）^[118]生成面向调制识别模型的对抗样本. BIM作为FGSM的衍生方法，在其基础上通过多次迭代生成对抗样本，每次迭代的步长保持较小长度，每一步迭代后截取中间值以确保其位于原始输入的扰动附近. 并且，Sahay等人^[88]还通过实验表明，以基于信号时域特征训练的DNNs作为目标模型而设计的对抗攻击，在基于信号频域特征训练的DNNs目标模型上并不一定具有相似的攻击效果.

Lin等人^[89]利用对抗样本的可迁移性，基于雅克比显著图攻击（Jacobian-based saliency map attack，JSMA）算法^[108]对目标模型实现黑盒攻击，在没有任何模型先验知识的情况下，使用代理DNNs模型来模拟近似目标模型的决策边界.

Davaslioglu等人^[83]利用木马攻击方法，即在目标模型的部分训练数据集中嵌入特洛伊木马作为相位偏移触发器，稍后在模型测试阶段触发木马以欺骗分类模型. 该方法不同于操纵训练数据的投毒攻击^[119-120]，在木马攻击中，数据投毒的过程不是随机应用于输入样本，只有被选定的样本才会进行投毒，并且该样本携带着特定触发器. Davaslioglu等人^[83]通过实验表明，木马攻击只需要对少量的训练数据样本进行木马嵌入，其攻击效果就可以在信噪比全域范围内都将达到较好的水平.

综上所述，表6对上述对抗样本生成方法进行了归纳，包括各个方法的关键技术、攻击分类、攻击目标、攻击能力、实验数据集以及攻击效果等.

表  6  面向调制识别的对抗样本生成方法总览

Table  6.  Summary of Adversarial Examples Generation Methods for Modulation Recognition

攻击方法	相关研究工作	关键技术	攻击分类	攻击目标	攻击能力	数据集	攻击后最低准确率/ %(SNR/dB)
快速梯度法FGM	Sadeghi等人[16]	使用二分法改进FGM	数字	非针对性	白盒	RML2016.10A	0 (10)
	Kim等人[15,78]	最大接收扰动功率算法MRPP改进FGM	数字	针对性	白盒	RML2016.10A	13 (10)
				非针对性	白盒	RML2016.10A	17 (10)
	Restuccia等人[79]	在一组连续的输入信号切片上计算扰动	数字	针对性	白盒	RML 2018.01A	-
				非针对性	白盒	RML 2018.01A	31 (0)
	Kokalj-Filipovic[26]	通过自编码器对调制识别模型进行预训练，提高模型鲁棒性	数字	非针对性	非适应性黑盒	RML 2018.01A (BPSK, QPSK, 9-PSK)	60 (14)
	Ke等人[82]	FGSM和L-BFGS对抗攻击	数字	非针对性	白盒	RML2016.04C	21 (8)
	Lin等人[20]	比较多种方法性能，讨论波形变化	数字	非针对性	白盒	RML2016.10A	17 (10)
	Kim等人[84]	元素最大信道增益EMCG法来优化天线信号功率分配生成并发对抗性扰动	数字	针对性	白盒	RML2016.10A	10 (10)
	Sahay等人[88]	基于频域特征分类，削弱非适应性黑盒对抗样本的可迁移性	数字	非针对性	白盒	RML2016.10B	23 (18)
				非针对性	非适应性黑盒	RML2016.10B	78 (18)
	Lin等人[89]	比较多种方法攻击性能，讨论调制类型鲁棒性	数字	非针对性	白盒	RML2016.10A	14 (10)
	Flowers等人[19]	FGSM算法实现对抗攻击，并考虑接收器误码率	物理	非针对性	白盒	RML2016.10A (BPSK)	58 (10)
	Berian等人[95]	基于滤波器方法实现对抗攻击	物理	非针对性	白盒	RML2016.10A	25 (0)
动量迭代法MI-FGSM	Bair等人[80]	利用MI-FGSM实现针对性(QPSK误分为8PSK)与非针对性对抗攻击	数字	针对性	白盒	RML2016.10A	0 (18)
				非针对性	白盒	RML2016.10A	7 (18)
	Lin等人[20]	比较多种方法性能，讨论波形变化	数字	非针对性	白盒	RML2016.10A	10 (10)
	Lin等人[89]	比较多种方法攻击性能，讨论调制类型鲁棒性	数字	非针对性	白盒	RML2016.10A	10 (10)
投影梯度下降法PGD	Lin等人[20]	比较多种方法性能，讨论波形变化	数字	非针对性	白盒	RML2016.10A	13 (10)
	Lin等人[89]	比较多种方法攻击性能，讨论调制类型鲁棒性	数字	非针对性	白盒	RML2016.10A	13 (10)
	Sandler等人[96]	利用PGD算法实现对抗攻击	数字	非针对性	白盒	RML 2018.01A, 自建数据集	-
	Hameed等人[90]	PGD算法实现对抗攻击，考虑接收器误码率的影响，将l2范数随机噪声作为对照组	物理	非针对性	白盒	自建数据(QAM64)	55 (10)
				非针对性	非适应性黑盒	自建数据(QAM64)	55 (10)
	Hameed等人[91]	改进PGD算法，并通过降低传输速率来权衡误码率与分类精度	物理	非针对性	白盒	自建数据(QAM64)	55 (10)
				非针对性	非适应性黑盒	自建数据(QAM64)	72 (10)
	Hameed [94]	改进PGD算法，考虑误码率的优化	物理	非针对性	白盒	自建数据(QAM64)	55 (10)
				非针对性	非适应性黑盒	自建数据(QAM64)	72 (10)
Carlini & Wagner	Kokalj-Filipovic等人[81]	改进Carlini&Wagner-l2算法以适应调制识别对抗攻击	数字	针对性	非适应性黑盒	RML 2018.01A 自建数据集	-
	Yi等人[85]	使用数据驱动的子采样策略，对未知子采样策略实现适应性黑盒攻击	数字	非针对性	白盒	RML2016.10B	48 (10)
				非针对性	适应性黑盒	RML2016.10B	70 (10)
	Usama等人[86]	实现白盒对抗攻击	数字	非针对性	白盒	RML2016.10A	-
	Usama等人[87]	实现适应性黑盒对抗攻击	数字	非针对性	适应性黑盒	RML2016.10A	33 (10)
对抗转化网络ATN	Flowers等人[29]	利用扰动-对抗转化网络ARN实现对抗攻击，引入通信合页损失减少减少期望接收器误码率	物理	非针对性	白盒	RML2016.10A (BPSK)	25 (10)
	DelVecchio等人[92]	利用对抗突变网络AMN实现对抗攻击，引入通信合页损失减少减少期望接收器误码率，并考虑前向纠错编码FEC影响	物理	非针对性	白盒	自建数据(QPSK)	0 (10)
	DelVecchio等人[93]	改进AMN网络，考虑频谱欺骗损失，同时减少期望接收器的误码率	物理	非针对性	白盒	自建数据(QPSK)	0 (10)
通用对抗扰动UAP	Sadeghi等人[16]	利用主成分分析方法生成UAP	数字	非针对性	适应性黑盒	RML2016.10A	37 (10)
	Bahramali等人[25]	构建扰动生成模型 PGM生成大量UAP，基于GAN构建噪声正则器，同时最大化UAP之间的距离	数字	非针对性	适应性黑盒	RML2016.10A	25 (10)
	Kim等人[15,78]	利用主成分分析和自编码器2种方法生成UAP，并考虑信道信息有限	数字	非针对性	适应性黑盒	RML2016.10A	46 (10)
				非针对性	严格黑盒	RML2016.10A	65 (10)
	Sandler等人[96]	生成UAP和特定类别的UAP，并添加随机相位偏移模拟真实信道	数字	非针对性	适应性黑盒	RML 2018.01A, 自建数据集	-
				针对性	适应性黑盒	RML 2018.01A, 自建数据集	-
基础迭代法BIM	Lin等人[20]	比较多种方法性能，讨论波形变化	数字	非针对性	白盒	RML2016.10A	12 (10)
	Sahay等人[88]	基于频域特征分类，削弱非适应性黑盒对抗样本的可迁移性	数字	非针对性	白盒	RML2016.10B	20 (18)
				非针对性	非适应性黑盒	RML2016.10B	74 (18)
	Lin等人[89]	比较多种方法攻击性能，讨论调制类型鲁棒性	数字	非针对性	白盒	RML2016.10A	10 (10)
雅克比显著图攻击JSMA	Lin等人[89]	基于JSMA算法实现严格黑盒攻击	数字	非针对性	严格黑盒	RML2016.10A	25 (10)
木马攻击	Davaslioglu等人[83]	在一部分训练数据集中嵌入木马，在测试时触发木马以欺骗分类器	数字	针对性	白盒	RML2016.10A	攻击成功率 88 (12)
“-”为当前文献未给出较为明确的攻击后最低准确率.

下载: 导出CSV 

| 显示表格

3.2   针对无线通信特性的攻击方法提炼

3.2.1   环境特性：信道效应的复杂性

调制识别任务的对抗攻击研究中，考虑更为真实的黑盒场景与复杂信道环境具有现实价值. 针对信道效应的讨论，大体可分为2种场景：攻击者与目标模型具有相同/不同信道分布，如图7所示.

图  7  考虑信道效应的2种对抗攻击场景示意图

Figure  7.  Illustration of two adversarial attack scenarios considering channel effect

下载: 全尺寸图片 幻灯片

场景1：相同信道分布（攻击发起之前）. 攻击者具有和接收器相同的训练数据集或数据分布，信道效应只会影响对抗样本的攻击效果. 按照假设条件，该场景细分为以下3种情况.

1）不考虑模拟信道模型：在对抗性扰动中添加相对随机相位偏移^[25,96].

2）完整信道模型：假设已知信道模型且恒定不变，利用信道效应“升级”对抗样本生成算法，解决扰动信号相位偏移与大小变化等问题^[15,78].

3）有限信道模型：假设未知信道模型，仅知信道分布，利用主成分分析（PCA）对有限信道信息进行降维^[15,78]；或者考虑到信道效应的时变性，对连续信号切片计算扰动^[79].

在物理对抗攻击场景下，还可以利用信道差异构建多目标优化，如通过DNNs训练模型参数，解决正常通信的误码率与窃听接收器的分类精度的最优化问题^{[90-91,94-95]}. 其中基于GAN的对抗转化网络（ATN）在该优化问题中有较好的实验效果^[29,92-93].

场景2：不同信道分布（攻击发起之前）. 攻击者具有和接收器不同的训练数据集或数据分布，信道效应不仅会影响对抗攻击效果，而且攻击者在训练数据的收集过程中已经默认为不完美的.

该场景下的对抗攻击效果与攻击者和发射器的位置距离、扰动信号的信号功率等有关，需进行深入的探讨研究. Kim等人^[105]通过实验表明，在黑盒场景下，选择适当的扰动信号发射功率，以及与信号源的位置更接近（与发射器间的距离固定），可以提高对抗攻击效果. 此外，通过生成通用对抗扰动UAP，可实现跨类别扰动迁移，增强对抗攻击的普遍适用性.

3.2.2   数据特性：信号数据的间接性

当不考虑无线通信环境影响，假设攻击者生成的对抗性扰动直接作用于接收器的分类模型上^[25,89]，通过理想实验证明DNNs调制识别模型的脆弱性. 当考虑真实无线通信环境影响，对抗性扰动信号的发射必须通过信道模型以及接收器的信号处理环节，因此攻击者只能间接影响接收器的DNNs调制识别模型. 很多研究工作^{[15,29,78-79,92-93]}尝试近似模拟信道模型以及接收器对信号数据的影响并讨论分析.

3.2.3   特征特性：特征表示的异质性

大部分研究工作集中在基于时频特征训练的DNNs上，对于信号的其他特征表示方法的研究较少. DelVecchio等人^[93]引入新定义的损失量，即光谱欺骗损失量，以保持扰动信号频谱的完整性，同时实现有效攻击与稳定通信；Lin等人^[20,88]关注到对抗攻击前后的输入信号波形变化，探讨如何保持攻击效果的同时，实现对抗攻击的隐蔽性，寻找最佳扰动方案.

综上所述，表7与表8对无线通信特性的对抗攻击方法进行了总结与归纳，包括针对各通信特性的假设/应用场景与处理方法.

表  7  针对于无线通信特性的对抗攻击方法汇总

Table  7.  Summary of Adversarial Attack Methods Considering Wireless Communication Characteristics

通信特性		相关研究工作	处理方法
信道效应的复杂性	场景1： 不考虑模拟信道模型	Sadeghi等人[16]	UAP具有移位不变性
		Bahramali等人[25]	UAP中添加相位旋转
	场景1： 完整信道 模型	Kim等人[15,78,95]	利用信道效应改进对抗算法
		Kim等人[84]	利用信道效应改进对抗算法，并合理分配多天线信号功率
		Flowers等人[19]	提出特定信道与动态信道场景实验
	场景1： 有限信道 模型	Flowers等人[29]	引入通信合页损失
		Kim等人[15,78]	PCA算法对信道信息降维，生成UAP
		Restuccia等人[79]	在一组连续的输入信号切片上计算扰动
		Sandler等人[96]	真实信道上使用SDR广播对抗性扰动信号
		Flowers等人[19]	提出特定信道与动态信道场景实验
	场景1： 物理对抗 攻击中利 用信道 差异	Flowers等人[29]	利用对抗转移网络ATN的变体ARN进行对抗攻击
		DelVecchio等人[92-93]	利用对抗转移网络ATN的变体AMN进行对抗攻击
		Restuccia等人[90,94]	基于DNN模型以多目标的线性组合为目标函数
		Hameed等人[91]	多目标优化，并降低传输速率来权衡误码率与分类精度
	场景2： 训练数据 集不同	Sadeghi等人[15-16,25,78,96]	生成与输人无关的通用对抗扰动UAP
特征表示的 异质性		Lin等人[20]	保证对抗攻击前后信号波形的一致，同时不减弱攻击性能
		DelVecchio等人[93]	引入频谱欺骗损失，保持对抗性扰动信号的频谱完整性
		Sahay等人[88]	基于频域特征分类，削弱黑盒对抗样本的可迁移性
信号数据的 间接性		Flowers等 人[15,19,29,78-79,91-93]	对信道模型、前向纠错编码FEC等影响模拟并讨论分析

下载: 导出CSV 

| 显示表格

表  8  调制识别的对抗攻击研究工作对3种通信特性涉及项汇总

Table  8.  Summary of Related Terms of Three Communication Characteristics on Adversarial Attack Research for Modulation Recognition

相关研究工作	信道效应的 复杂性	信号数据的 间接性	特征表示的 异质性
Kim等人[15]	✓	✓
Sadeghi等人[16]	✓
Flowers等人[19]	✓	✓
Lin等人[20]			✓
Bahramali等人[25]	✓
Kokalj-Filipovic等人[26]
Flowers等人[29]	✓	✓
Kim等人[78]	✓	✓
Restuccia等人[79]	✓	✓
Bair等人[80]
Kokalj-Filipovic等人[81]
Ke等人[82]
Davaslioglu等人[83]
Kim等人[84]
Yi等人[85]
Usama等人[86]
Usama等人[87]
Sahay等人[88]			✓
Lin等人[89]
Hameed等人[90]	✓	✓
Hameed等人[91]	✓	✓
DelVecchio等人[92]	✓	✓
DelVecchio等人[93]	✓	✓	✓
Hameed [94]	✓	✓
Berian等人[95]	✓	✓
Sandler等人[96]	✓	✓

下载: 导出CSV 

| 显示表格

4.   面向信号调制识别的对抗检测与防御

4.1   基于对抗训练的防御

对抗训练通过使用对抗样本训练DNNs模型来增强鲁棒性，减轻对抗攻击的影响，是较为主流防御方法. 每次迭代生成新的对抗样本重新训练模型，扩大训练集，提高模型抵抗力，防止攻击者破坏通信系统.

实际上，基于对抗训练的防御方法即是经验风险最小化（empirical risk minimization，ERM）的对抗攻击方法变体，旨在解决对抗样本风险最小化问题：

其中输入数据x与对应的真实标签y采样于分布$\mathcal{D}$，E为期望值. 式（17）可以解释为近似解决内部损失函数的最大化问题和外部经验风险的最小化问题，即通过梯度上升找到最坏情况以模拟对抗攻击，并通过梯度下降在模型参数上找到最具鲁棒性的参数，实现防御目的.

对抗训练防御机制已被应用于保护信号调制识别模型免受对抗攻击中^[25-26]. Bahramali等人^[25]在单一通用对抗扰动UAP攻击场景下，使用单一扰动向量生成对抗样本训练模型；在扰动生成模型PGM攻击场景下，使用PGM生成对抗样本以提高模型鲁棒性.

对抗训练防御机制存在些许问题，如防御者需要预知攻击者使用的对抗攻击方法^[15]，而攻击者也可以对经过对抗训练后的模型生成新的对抗性扰动，并且对抗训练后通常会降低干净信号样本的识别精度. Madry等人^[67]提出使用多种对抗样本生成方法训练模型；为减轻对抗攻击影响，另一种方法是通过自编码器对DNNs调制识别模型进行预训练，从而增强模型鲁棒性^[26]；Hameed等人^[91]引入课程学习^[121]的思想，使用按信噪比降序的新训练样本，对分类模型进行训练，并逐回合增加低信噪样本. Hameed等人^[91]通过实验证明增加训练样本的数量与类别以及使用基于课程学习的训练策略能够提高分类器模型精度及鲁棒性.

4.2   基于随机平滑的可验证防御

与需预知具体攻击方法的基于对抗训练的防御方法不同，可验证防御方法对各类攻击方法具有普适性，即若分类器模型对于输入样本x的l₂或l_∞领域内的所有样本预测值恒定，则该模型被认为是具有可靠性的^[122]. 如随机平滑，通过高斯噪声对训练集进行数据增强，提高模型对多个梯度方向的鲁棒性.

Kim等人^[15,25]已经在调制识别中实现基于随机平滑的可验证防御方法的应用，作为对单一通用对抗扰动UAP攻击的防御机制. Kim等人^[15]将随机平滑作为防御机制，在训练阶段，将高斯噪声作为扰动对模型进行训练，以重新构造平滑分类器g ($\cdot$)，对于被扰动的输入样本，g ($\cdot$)输出原分类器模型f ($\cdot$)最有可能输出的类别的概率：

其中n为高斯噪声，即n~$\mathcal{N}$(0, σ²I ). 以上公式表示g (x)可以输出标签c，其对应的输入信号样本{$\boldsymbol x^* \in$${\mathbb{R}^d}$: $f(\boldsymbol x^*) =c$}在高斯分布$\mathcal{N}$(0, σ²I )上关于标签c具有较高的概率测度. σ为高斯噪声的标准差，另一个超参数为添加到每个训练样本的噪声样本数k，即x_i + n₁, x_i + n₂, …, x_i + n_k，其中n_j为标准差σ的高斯噪声，防御者通过调整2个超参数以平衡分类准确率与模型对扰动的鲁棒性. 由于在无线通信传输过程中，接收信号中已包含信道噪声，随机平滑防御机制会一定程度上增加噪声水平. 在测试阶段，Kim等人^[15]使用随机平滑方法验证模型分类结果的可信度，即通过双侧假设检验法来判断分类模型对扰动信号的分类结果的置信度.

4.3   基于降低噪声的防御

基于降低噪声的思想，防御者接收器根据对攻击者的了解程度，对受到扰动的接收信号进行信号处理，以消除扰动信号的影响，试图重建原始传输信号，从而提高分类器模型的准确率.

Bahramali等人^[25]基于对攻击者对抗性扰动的先验知识，在接收信号中消除扰动信号的影响，并通过实验表明，对于单一UAP向量攻击，降低噪声可以完全破坏攻击效果，而对于扰动生成模型PGM生成大量UAP的攻击场景下无效.

在真实物理场景下，降噪处理如噪声检测和滤波是无线通信关键步骤之一，有助于消除一部分对抗扰动信号的影响，如Hameed等人^[91]讨论了纠错码率的提高可以有效提高对抗攻击的防御能力，使得被攻击后的信号在接收端能被发现或纠正.

4.4   基于通信特性的防御

在无线通信领域，对抗攻击防御方法也同样存在不同于其他领域的特性，如Sahay等人^[88]利用信号特征异质性，提出了基于频域特征的信号调制识别模型. 该模型能削弱黑盒攻击下对抗样本的可迁移性，有效减轻基于时域特征训练的代理模型发起的对抗攻击.

4.5   基于统计学的对抗检测

4.5.1   射频信号样本的峰值平均功率

射频信号对抗样本检测可以利用射频信号的统计学特征，如信号的数字化射频样本数据的峰值平均功率（peak to average power ratio，PAPR）^[27]. PAPR的统计学分布是无线通信中的重要指标，被用作调制信号的签名. 如果信号的PAPR与其调制方式的预期统计分布不符，则需进一步分析以确保准确性. 在未知信道条件下，由于多路径衰减以及无线环境影响，相比于其他统计量如信号振幅，PAPR统计量指标对于线性时间不变的信道而言表现更高的可靠性^[27]. 使用双样本KS检验^[123]，可计算和评估样本的PAPR分布，来判断PAPR是否与对抗样本或合法输入样本的统计量相似^[27]，该有效性依赖于样本数量.

4.5.2   DNNs分类模型的Softmax输出

Softmax分布方法是通用的对抗样本检测方法之一，其依赖于DNNs模型最后一层的统计数据来检测由对抗样本引起的分布变化，从而判断输入是否具有对抗性. 与4.5.1节相同，Kokalj-Filipovic等人^[27]同样利用双样本测试（KS）统计测试来确定训练输入和其对抗样本的Softmax分布是否相似，该方法有效性取决于信号波形和信道模型的影响.

4.5.3   基于统计学方法的对抗触发器检测

对于木马攻击，即通过对训练数据嵌入木马等对抗性触发器进行的对抗攻击，可以利用中位数绝对偏差（median absolute deviation，MAD）算法和聚类算法等统计学方法进行检测^[83]. MAD算法通过计算数据点与中位数绝对偏差的中位数，即median$(|x_i- \bar{\boldsymbol X}|)$，其中$x_i \in \boldsymbol X$，$\bar{\boldsymbol X}=median(|\boldsymbol X|)$从而进行异常点检测，Davaslioglu等人^[83]实验指出基于MAD算法的对抗触发器检测方法的有效性，依赖于训练数据集中毒样本的数量；Davaslioglu等人^[83]还提出了基于聚类的2步异常点检测方法，第1步利用t-SNE算法对样本数据进行降维，第2步再利用聚类方法进行异常点检测，并通过实验指出聚类方法的有效性不受中毒样本数量所影响.

综上所述，表9对面向调制识别的对抗防御与检测方法进行了比较. 对抗检测方法更偏向数据驱动，依赖于对抗实验先决条件. 防御方法主要围绕提升模型鲁棒性与降低扰动影响2方面展开，可以着重考虑无线通信特性在防御方法研究中的应用.

表  9  面向调制识别的对抗防御与检测方法比较

Table  9.  Comparison of Adversarial Defense and Detection Methods for Modulation Recognition

类别	方法	详细技术	主要思想	优点	缺点
防御	对抗训练	UAP对抗训练[25]	最大化对抗损失、最小化模型参数损失，实现对抗信号防御	提升模型鲁棒性，操作相对容易	对训练数据与攻击方法具有依赖性，容易出现过拟合现象
		自编码器预训练[26]
		PGD对抗训练[91]
	随机平滑	基于随机平滑的可验证防御[15,25]	通过高斯噪声对训练集进行数据增强，以提高分类器模型对多个梯度方向的鲁棒性	提升模型的泛化能力，对C&W攻击比其他防御机制的防御效果好	训练时间较长
	降低噪声	扰动减法[25]	根据对攻击者的了解程度，对受到扰动的接收信号进行信号处理，以消除扰动信号的影响	降低扰动影响，减小攻击成功率	需要扰动信号先验知识，防御效果较差
		纠错编码 [91]	提高编码效率	降低扰动影响，提升信息传输速率	防御效果较差
	通信特性	利用信号特征 的异质性 [88]	提出基于频域特征的信号调制识别模型，以抵御攻击者通过时域特征训练的代理模型发起的对抗攻击	频域特征训练的模型识别性能优于时域，并且对抗攻击防御效果较为优秀	依赖于信号数据集的特征表示形式
检测	统计学方法	PAPR[27]	利用接收信号的数字化射频样本数据的峰值平均功率 PAPR进行统计测试	对抗检测精度较高	依赖于收集的输入样本的数量
		Softmax输出[27]	利用DNNs模型最后一层的统计数据来检测由对抗样本引起的分布变化	对抗检测精度较高	依赖于信号波形和信道模型的影响
		对抗触发器检测[83]	利用中位数绝对偏差（MAD）算法和聚类算法等统计学方法对触发器进行检测	对抗检测精度较高	依赖于训练数据集被投毒样本的数量

下载: 导出CSV 

| 显示表格

5.   调制识别中对抗深度学习的未来展望

随着深度学习成为当前新兴通信系统（如5G通信）的核心，其自身面对对抗攻击展现出的脆弱性成为研究焦点. 为了实现更为智能与高效的信息通信与资源管理，应当充分考虑无线通信信号的独特属性，开发安全、灵活、高鲁棒性的深度学习信号调制识别模型，支撑无线安全深入研究和快速发展. 以下本文将对无线通信中对抗深度学习的未来研究工作进行大致讨论与展望.

5.1   无线通信数据集

标准化的真实世界信号数据集可以更充分展现无线通信领域的真实物理场景，为研究工作提供更具应用价值的数据支撑. 与CV和NLP领域相比，无线领域缺少公开的深度学习数据集，现有数据集如RML等^[4,36,38]往往未考虑对抗攻击以及信号处理链的影响，仅包含有限的中心频率偏移等硬件与信道的自然影响. 因此，开发更多公开可用的信号数据集对于研究工作非常有价值，这些数据集可以代表不同的真实物理场景，不仅包括信道变化、多重干扰以及波形变化，还可以包括对抗攻击的影响. 虽然最近有更多的数据集涌现^[124-126]，对抗攻击与相应防御技术的实现仍然是亟待解决的应用研究需求，为更好地评估真实信道与无线电硬件对于调制识别任务的影响，满足真实物理环境下基于深度学习模型的对抗攻击与防御的延迟、功率和计算复杂性等研究需求.

5.2   鲁棒性信号特征

在构建无线通信中的深度学习模型过程中，信号特征的鲁棒性也是未来研究工作中的关键. 目前，关于信号特征鲁棒性的研究与讨论较少. Lin等人^[89]关注信号不同调制方式的鲁棒性差异，通过实验说明AM-SSB和PAM4的安全性更高，而BPSK，QAM16和QPSK等较易受攻击，但未对信号特征的鲁棒性进行讨论；Ilyas等人^[127]通过实验表明，目标模型为抵御对抗攻击应将信号的鲁棒性特征纳入构建模型策略之内. 相比之下，在CV和NLP领域对于特征工程和识别鲁棒性特征的研究较为深入. 因此应当探索新技术来识别对于对抗攻击有鲁棒性的重要信号特征，并将非鲁棒性特征与鲁棒性特征相隔离，加入到训练模型中进行特征学习，从而提升模型的泛化能力和对抗攻击的防御能力.

5.3   可验证防御机制

为无线通信中的对抗攻击设计并开发可验证的防御机制也是一项亟待探索的研究方向. 尽管研究者们提出了多种防御技术，包括对抗训练和使用统计学方法等，这些防御技术大多是在攻击方法的启发下而提出的后验防御机制，并且只在受限的实验环境下有效性，缺乏可靠的泛化能力和充足的理论依据支撑，且面对未知的新型攻击可能无效，或将面对更强大的对抗攻击时，防御方法往往是无效的. 已有研究工作提出了使用随机平滑的可验证防御技术^[15]显示了良好防御性能，但仍需进一步严谨地评估与分析，尝试寻找更多能用理论证明的可验证的防御技术，并对调制识别模型及性能进行深入安全性与鲁棒性分析.

除以上几点本节讨论的未来可考虑研究的重点工作内容，为将深度学习模型应用于未来无线安全通信中，还可以考虑将不可解释的黑箱模型转向可解释模型，以促进无线安全解决方法的广泛采用，包括但不限于考虑将物理学的基本规律注入到DNNs模型的学习过程中，以提高通用性与可解释性，并确保对攻击的鲁棒性.

6.   总　　结

本文重点关注于信号调制识别领域的对抗深度学习研究现状，系统全面地总结了目前为止该领域的对抗攻击与防御技术研究工作，同时充分考虑无线通信环境下信号对抗攻击的独特性质以及模型鲁棒性、技术灵活性、无线通信安全性. 首次提出了信号调制识别领域的通用对抗攻击分类框架与威胁模型，将该领域研究工作系统地分类为物理自我防御式攻击和数字直接访问式攻击. 同时，详细阐述了对抗攻击方法、对抗样本生成技术与理论公式、对抗检测与防御技术最新的研究工作，系统提炼了无线通信对抗攻击研究的3个维度特性并归纳相应的处理方法. 最后对该领域的对抗深度学习的未来前景进了讨论. 面向信号调制识别领域的对抗深度学习研究属于一个新兴的研究领域，迫切寻求研究者们进一步的探索，以量化对抗攻击的影响，更好地进行对抗检测与防御工作，为无线通信安全性提供更有潜力的深度学习解决方案.

作者贡献声明：徐冬月负责调研并完成论文的撰写；田蕴哲负责论文审阅，并给出详细修改指导意见；陈康负责论文部分格式修订；李轶珂、吴亚伦、童恩栋、牛温佳、刘吉强、史忠植负责论文审阅. 童恩栋和牛温佳为共同通信作者.