基于Grad-CAM的电磁信号对抗攻击方法*

周 侠 张一然 张 剑

（武汉数字工程研究所 武汉 430205）

1 引言

随着现代战争的不断发展，战场空间的信息交互越来越依赖电磁频谱，电磁空间已经成为了现在及未来作战体系的重要支撑。深度神经网络（Deep Neural Network，DNN）因其具有自动特征提取和高度非线性拟合等优势，进而被广泛应用于图像识别［1］等领域。电磁信号调制识别是无线通信中的重要一环，在军事上有着广泛的应用。为提升军事智能化，研究人员利用DNN 对电磁信号的调制方式进行识别。然而，研究表明深度神经网络模型容易受到对抗样本的影响，其中也包括了面向电磁信号识别的神经网络模型。向原始样本数据中添加人为构造的细微扰动，生成使得神经网络模型出现巨大决策错误的样本称为对抗样本，然而该样本有着很好的视觉干扰性，人眼不易察觉。

为了能够有效攻击敌方智能模型，提升我方智能攻击水平，本文利用神经网络可解释方法Grad-CAM（Gradient-weighted Class Activation Mapping）找寻数据样本中的关键特征点，然后在选取的特征点上添加扰动生成对抗样本。实验证明，根据特征显著图进行特征攻击能够在改动较少特征点的情况下完成对抗攻击，显著提升了对抗样本的隐蔽性。

2 相关工作

2.1 电磁信号调制识别

目前，利用DNN 对电磁信号进行调试识别主要基于信号序列和基于图像两个方面。基于信号序列，O'Shea等［2］在2016年首次将CNN模型用于电磁信号调制识别，该模型以信号数据的时间同相和正交（In-phase and Quadrature，IQ）序列作为输入，以调制方式为输出。2018年，O'Shea 等［3］在原来的研究基础上，将残差网络［4］（Residual Network，ResNet）进行调整用于适用电磁信号数据的数据维度，提出了基于ResNet的电磁信号调制识别模型。

由于DNN 在图像识别领域的优越性能，研究人员便考虑将电磁信号数据转换成图像进而使用传统面向图像识别的高性能网络模型［5～6］。

2.2 对抗样本生成

早在2013年，Szegedy 等［7］便提出了“对抗样本”（Adversarial Examples）的概念。2015年，Goodfellow 等［8］分析了深度网络训练时的目标，即通过梯度下降最小化损失函数，而对抗攻击的目标则与之相反，因此可以增大目标函数的损失进而完成攻击。基于该思想，提出了快速梯度符号攻击方法（Fast Gradient Sign Method，FGSM），该方法通过在梯度下降的反方向添加扰动生成对抗样本。为了生成隐蔽性更好的对抗样本，Kurakin 等［9］在FGSM的基础上进行多步少量的扰动添加优化，提出了基本迭代法（Basic Iterative Method，BIM）即在每次迭代中添加少量的扰动信息，直到生成使得模型分类错误的对抗样本。

总而言之，对抗样本攻击过程可以形式化如式（11）所示，该过程也可以理解为寻找对抗扰动η的过程。

2.3 可解释方法

以图像识别为例，可视化解释根据图像解释区域的视觉表示可分为基于梯度的解释方法和基于热力图的解释方法。基于梯度的可视化解释方法以特定类别的预测分数或高层的特征图为起点，计算其关于输入的梯度来获得每个像素对于预测结果的重要性，进而通过可视化得到解释结果。

基于热力图的解释方法，利用卷积层的输出（特征图）作为对模型进行解释的原始信息，通过计算特征图的权重，对特征图进行加权求和，再经过ReLU 激活函数得到最终的解释结果。2016年，Zhou 等［10］最先提出CAM（Class Activation Mapping）方法，该方法需连接一个全局平均池化层，并重新训练模型，然后通过每一类的输出得分计算得到每个特征图的权重。由于需改变模型结构进行重新训练，因此它的灵活性较差，代价高。受CAM 的启发，Selvaraju等［11］提出了Grad-CAM，使用特定类别的预测分数关于特征层的梯度来计算权重，且不用改变模型结构，比CAM更具泛化性。

2.4 电磁信号对抗样本

当前面向电磁信号领域的对抗样本研究还处于起步阶段，2019年Sadeghi 等［12］首次尝试将对抗样本引入电磁信号调试识别领域，证实了基于深度学习的电磁信号识别模型依旧容易受到对抗样本影响。2020年，Zhao 等［13］进一步将Nesteroy Adam应用到该领域，生成了与原始样本更为接近的对抗样本。2021年，王超等［14］基于FGSM 对目标模型的特征空间进行攻击，提出了激活攻击方法。

然而这些对抗样本生成方法缺乏特异性，使得攻击的目的性不强，在进行攻击时往往需要改动大量数据点。为了加强特征攻击，本文将神经网络可解释性方法Grad-CAM 引入对抗样本生成中，通过Grad-CAM 生成特征显著图，根据显著图选取显著特征点进行迭代添加扰动，直到生成对抗样本。

3 基于Grad-CAM的迭代攻击算法

3.1 Grad-CAM原理

Grad-CAM 的原理如图1所示，将图像x输入到模型F中获取每一类别的logits得分，如式（2）所示，其中θ表示模型参数，yc表示类别c 的logits 得分。

图1 Grad-CAM原理

由神经网络特性可知，目标网络F从输入图像x提取的最高层特征图(A1，A2，...，Ak)在卷积层和全连接层之间达到了平衡，具有较好的类别区分性，因此可以使用最高层特征图来定位感兴趣的目标。具体地，Grad-CAM可形式化描述为

其中，Ak表示最高层特征图的第k个通道，表示该通道的权重，其计算公式为

其中，Ak，i，j表示第k 个通道位于()i，j的元素，Z 表示归一化因子。由于通道权重是从类别c 的导数得来的，因此通道权重含有类别c 的相关信息，这也是Grad-CAM 能够针对不同决策结果进行解释的主要原因。

3.2 本文GC-BIM攻击方法

由图2所示，本文所提的基于Grad-CAM 的迭代攻击方法GC-BIM 主要分为两大步骤：1）选择攻击目标t，并根据模型F 对于样本x 在目标t 上的分类得分计算Grad-CAM 显著图；2）根据显著图选择数据点迭代添加扰动，直到生成对抗样本。

图2 基于GC-BIM的迭代攻击流程图

3.2.1 计算Grad-CAM显著图

首先将样本x 输入到模型F 中，得到每一类别的得分，然后选择一个攻击目标t，根据类别t 的得分反向计算最高层特征图的权重信息：

然后根据该权重值对特征图进行加权叠加，经过ReLU激活得到显著特征图：

为了减少特征点的选取数量，此时将ReLU 的另一个参数设为δ(δ＞0)以便对特征图进行二值化处理，即大于的特征点上添加扰动。

3.2.2 生成对抗样本

在由3.2.1 节得到扰动特征点之后，计算扰动的方向d，根据式（7）计算出模型F 的损失函数L 对于样本x在类别t上的损失梯度，然后取符号信息。

为了使得增加类别t 的分类得分，在方向d 上进行梯度下降操作，即当d 为正时，扰动方向为负，当d 为负时，扰动方向为正，因此扰动迭代添加扰动为

具体GC-BIM算法过程如下：

4 实验结果及分析

4.1 实验设置

4.1.1 数据集

本文实验在华为开源深度学习框架Mindspore1.6.2 的环境下进行，使用GPU 版本为CUDA11.1。

为了验证本节所提目标对抗攻击算法的有效性，受攻击模型采用基于信号序列的深度学习自动识别模型，而基于信号序列的识别模型使用的数据集为O'SHEA等人构建的公开数据集2018.01.OSC，因此本节实验也在此数据集上进行。数据集组成结构如图3所示。

图3 数据集组成结构

该数据集以调制方式为分类类别，包含24 个类别，也即24 种调制方式。其中，每种调制方式又包含了26 种信噪比（SNR∈［-20dB，30dB］，步长2dB），每种信噪比包含4096条数据，每条数据包含同相和正交波形序列（In-phase and Quadrature），每个序列包含1024 个数据点。实验中将该数据集按7：3 随机划分为训练集和测试集，为了验证攻击的有效性，仅使用测试集中的数据进行添加对抗扰动。

数据集可视化如图4所示。

图4 数据集可视化

4.1.2 被攻击模型

对抗攻击的目标模型是反映攻击效果的关键，在选择目标模型时应当选择表现良好、稳定的模型结构，如果目标模型本身识别正确率不高，那么攻击也就失去了意义。因此本文选取文献［2］中搭建的CNN 网络模型和文献［3］中设计的ResNet 网络模型。

具体地，CNN模型结构以电磁信号序列为模型输入，调制方式为模型输出。其结构如图5所示，该模型包括1 个输入层、7 个卷积层、7 个池化层和3 个全连接层，FC1 和FC2 后面紧跟SeLU 激活函数，FC3使用Softmax激活函数最终得到模型输出。

图5 CNN结构

ResNet模型同样以电磁信号序列为输入，调制类型为输出，其模型结构如图6所示，其中包含了1个输入层、6个残差模块和3个全连接层。同样地，ResNet 模型的前两个全连接层采用SeLU 激活函数，而FC3 采用Softmax 激活函数。如图7所示，其中每个残差块包含了1 个1×1 的线性卷积层、2 个残差单元和1个最大池化层。残差单元包含了1个连接ReLU激活函数的卷积层和1个线性卷积层。

图6 ResNet结构

4.2 实验结果及分析

为了评估本文对抗攻击算法的优越性，引入如下指标：对抗样本与样本结构相似度（SSIM），扰动比率（L0）单个样本耗时（ATC）。

在CNN 模型和ResNet模型上的攻击结果如表1所示。

如表1所示，CNN 模型在受到攻击时，准确率从88.6%急剧下降，而ResNet 模型也从92.6%出现了不同程度的下降，由此可见深度神经网络模型容易受到对抗样本的影响。

表1 基于Grad-CAM的对抗攻击结果

SSIM 反映的是样本之间的相似度，该值越高，则二者越相似。对比SSIM 可以发现，本文所提GC-BIM 算法的结果由于传统的FGSM、PGD 和BIM 等算法，这是由于引入例如Grad-CAM 显著图，使得添加扰动时更有目的性，从显著图中选取显著特征点迭代进行扰动添加，避免了在无关位置上引入额外扰动，使得对抗样本与原始样本更为相似。

L0指标反映的是样本中平均改动的数据点的数量，从表中可知，本文所提算法能够有效较少特征数量的选取，促进了结构相似度SSIM的提升。

对比ATC 可知，本文算法GC-BIM 需要更多轮迭代才能生成对抗样本，速度相较其他算法而言较慢，但其效果更好，隐蔽性更高，这种时间代价是值得的。

5 结语

为提升我方智能攻击水平，本文将深度神经网络可解释性方法Grad-CAM 引入到电磁信号识别领域的对抗样本生成中，提出了GC-BIM 攻击算法，通过Grad-CAM 显著图找出对促进攻击类别t分类的关键区域，然后根据该显著图选取关键特征进行扰动添加，实验证明该方法能够在保证攻击成功率的同时有效减少对原始样本的改动，虽然增加了时间开销，但是结构相似度SSIM 较传统攻击算法FGSM等提升了20%左右。