作者没有提供源码
深度神经网络对于对抗性攻击很脆弱,它会引入额外的噪声干扰,导致在训练好的模型上的高置信率的错误分类,但是对时域欺骗的对抗性攻击不容易转移到使用频域特征训练的模型上,所以本文使用频域特征训练,增加正确分类被干扰信号的概率,本文在四个模型上进行IQ特征和频域特征作为输入的训练,并分析了在有无对抗性攻击时的模型性能,量化带有现实通信约束的无线信道中对抗性可转移性的程度。
II AMC方法
发送信号s,收到信号x
,k是时间,n是高斯白噪音,
是SNR(接收机处知道),h为信道脉冲响应,包括信号缺陷如符号速率偏移等,h未知。
他的频域特征采用离散傅里叶变换建模,
包含x的所有频率成分。x和X都用实部和虚部值表示,
训练分类器(iq)用θ参数化,为:
计算输入信号属于哪种调制星座;训练分类器(dft)用φ参数化,为
。
四种网络:
隐藏层都用RELU,以及输出层C个单元的softmax:
都使用Adam优化器,75epochs,batch size64,交叉损失熵,
1)FCNN:包含3个隐藏层,大小256,128,128,一个单独单元u的输出
,每个隐藏层dr = 0.2。
2)CNN: 包括256和64的两个卷积层,每个dr = 0.2,跟随一个128的完全连接层,分别使用kernel为2*5,1*3。
3)RNN:由75的Lstm加128的RELU完全连接层组成。
4) CRNN:两个卷积层(128,64)kernel(2*5,1*3)+32的LSTM
对抗干扰
攻击的目的是使用尽可能少的功率注入σ,防止由于高功率攻击被检测。所以功率限制:
我们采用两种方法注入对抗干扰:
1)FGSM(fast gradient sign method ):一步直接耗完所有功率。
L指f(,θ)的代价函数(交叉损失熵),在代价函数梯度行为的方向添加扰动。
2) BIM(basic iterative method)迭代的用完。
a<PT。clip用来确保每次迭代的基于a的额外扰动在干扰功率预算内。
III 结果分析
使用RadioML2016.10B dataset数据集,数据集中的每个信号,xn,信噪比为18db,归一化为单位能量,由一个128长观测窗口根据某一数字星座调制而成。我们聚焦于四种调制方案CPFSK,GFSK,PAM4,QPSK,被一个包含6000个样本,总24000个信号,使用70、15、15的训练、验证测试集划分,训练集和验证集用来评估 f 和 g 的参数的,测试集评估训练模型对干扰的健壮性。每个都包含IQ域的点,和频域点。
对时频特征实验对比
每个模型使用频域特征的性能都更好,CNN获得最好的性能,有更高的测试精度和最快的收敛速度,并且在频域训练集与验证集上几乎没有过拟合,FCNN在训练数据上有轻微的过拟合,RNN无法收敛到94%以上的验证精度,CRNN虽然分类性能好,但展现出不稳定性,需要更多个epochs。
对应精确度如下:
有无攻击实验对比
FGSM攻击,PT<=0.02,(相当2%的额外功率),可以看到频域特征缓解了对抗攻击,
BIM攻击,differentα-bounds withPT= 0.0200.
频域特征缓解了对抗攻击。
更进一步分析CNN,cnn对频率特征的训练显示出显著的改进
未来的工作可能会考虑更具侵略性的AMC环境中对抗可转移性的影响,在这种环境中,对手的知识水平可能是未知的或不可预测的。
188
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
