本文探讨了深度学习在无线电信号调制分类中的应用,揭示其易受对抗性攻击的弱点。研究提出了一种新算法生成针对白盒输入的细粒度对抗性攻击,同时展示了计算效率更高的白盒通用对抗性扰动和黑盒UAP攻击的创建方法。实验表明,即使在小的扰动下,模型性能也会大幅下降,且UAPs具有移位不变性,降低了攻击者对模型知识和同步性的需求。
论文链接:https://arxiv.org/pdf/1808.07713.pdf
·摘要·
(深度学习极易受到攻击)
本文1.考虑DL在无线电信号调制分类任务的使用,给出了该应用程序中创建白盒和通用黑盒对抗性攻击的实用方法。
2.证明攻击在输入小的扰动时也可以极大降低分类性能,比传统攻击要强大。在无线物理层基于深度学习的算法的使用提出了安全性和鲁棒性问题。
对抗性实例:通过稍微干扰原始输入获得恶意输入,使得DL算法误分类。扰动指的不是“随机白噪声”,是在特征空间中寻找的能导致模型输出错误的方向。
·贡献
1.提出了一种用于生成细粒度的特定于白盒输入的对抗性攻击的新算法。
2.提出了一种计算效率高的算法来制作白盒通用对抗性扰动(UAP)。
3.展示如何创建黑盒UAP攻击。
4.揭示了UAPs的移位不变性质。
·对抗性攻击简要回顾·
数学语言表示:
f(.; θ) : X → R^C 一个DNN分类器,θ为模型参数的设置,C为类的数量。
X ⊂ R^p 输入域,p为输入的维度
x ∈ X 输入x
ˆl(x, θ) = arg maxk fk(x, θ) 分类器分类给输入x的标签,对应于第k类的输出f
rx 输入x和分类器f的对抗性扰动
【r可能不是唯一的,我们会使用不同的范数如无穷大范数。无线通信环境下,
l2-norm 是一种自然选择因为其考虑了扰动功率 】
(快速梯度方法)FGM
求解(1)比较困难,提出了不同方法来逼近对抗性扰动,FGM为常用方法。以粗粒度扰动为代价,为制作对抗性示例提供计算效率高的方法。
L(θ, x, y) 模型的损失函数
y ∈ {0, 1}^C 标签向量
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
