降噪自編碼器用于頻譜感知對(duì)抗防御模型*

楊研蝶，李志剛，張思成，包志達(dá)，林云

（哈爾濱工程大學(xué)信息與通信工程學(xué)院，黑龍江 哈爾濱 150006）

0 引言

隨著物聯(lián)網(wǎng)和6G[1]等通信服務(wù)的快速發(fā)展，無(wú)線頻譜使用需求愈發(fā)迫切，頻譜感知[2]是實(shí)現(xiàn)動(dòng)態(tài)頻譜接入和高效頻譜使用的先決條件。目前，針對(duì)頻譜感知問(wèn)題的研究有很多，大多數(shù)方法通過(guò)研究信號(hào)和噪聲的不同特征，設(shè)計(jì)相應(yīng)的決策統(tǒng)計(jì)量來(lái)檢測(cè)信號(hào)[3]，并基于人為設(shè)計(jì)的特征或決策統(tǒng)計(jì)來(lái)完成決策。然而，設(shè)計(jì)這些特征分類策略需要廣泛的分析，并且依賴于專業(yè)領(lǐng)域知識(shí)和大量先驗(yàn)信息。深度學(xué)習(xí)[4]是一種能夠從數(shù)據(jù)中自動(dòng)學(xué)習(xí)特征的機(jī)器學(xué)習(xí)方法，已在圖像處理[5]、語(yǔ)音識(shí)別[6]和無(wú)線電信號(hào)分類[7]等領(lǐng)域得到了廣泛應(yīng)用。隨著深度學(xué)習(xí)技術(shù)的發(fā)展，在最近的一些研究中，深度神經(jīng)網(wǎng)絡(luò)[8]被用來(lái)從數(shù)據(jù)中自動(dòng)學(xué)習(xí)特征以完成頻譜感知任務(wù)，在單節(jié)點(diǎn)頻譜感知和協(xié)作頻譜感知中，利用卷積神經(jīng)網(wǎng)絡(luò)（CNN,Convolutional Neural Network）、長(zhǎng)短期記憶網(wǎng)絡(luò)（LSTM,Long Short-Term Memory）等[9-10]深度學(xué)習(xí)方法可以消除噪聲功率不確定等問(wèn)題的影響，獲得比傳統(tǒng)方法更好的檢測(cè)性能。

然而，基于深度學(xué)習(xí)的頻譜感知模型容易受到頻譜對(duì)抗攻擊[11-13]的影響，做出錯(cuò)誤的感知決策。Sagduyu等人[14]在短頻譜感知周期內(nèi)，發(fā)射偽造的發(fā)射機(jī)頻譜感知數(shù)據(jù)，使基于深度學(xué)習(xí)的頻譜感知模型產(chǎn)生錯(cuò)誤決策。Kim 等人[15]利用信道、發(fā)射機(jī)輸入和分類器架構(gòu)的信息提出了多種對(duì)抗攻擊，破壞目標(biāo)分類器的性能。Zheng 等人[16]在黑盒場(chǎng)景下設(shè)計(jì)了三種針對(duì)深度學(xué)習(xí)頻譜感知模型的頻譜對(duì)抗攻擊，驗(yàn)證了當(dāng)前基于深度學(xué)習(xí)頻譜感知模型的脆弱性。

目前針對(duì)頻譜感知所面臨的對(duì)抗攻擊的防御方法研究較少。Sagduyu 等人[17]故意做出錯(cuò)誤傳輸決策以增加攻擊者決策錯(cuò)誤，保護(hù)己方發(fā)射機(jī)的網(wǎng)絡(luò)吞吐量。Luo 等人[18]針對(duì)智能攻擊提出了LEB 方法，保護(hù)融合中心免受對(duì)抗攻擊的影響。但以上防御方法需要在次用戶發(fā)射機(jī)性能和防御效果之間取得平衡。此外，O’Shea 等人[19]研究表明機(jī)器學(xué)習(xí)可用于頻譜異常檢測(cè)問(wèn)題，并且LSTM 優(yōu)于卡爾曼時(shí)間序列預(yù)測(cè)器。Li 等人[20]構(gòu)建深度神經(jīng)網(wǎng)絡(luò)（DNN,Deep Neural Network）捕獲頻譜使用模式，檢測(cè)故障和誤用導(dǎo)致的頻譜異常。這些防御方法僅對(duì)異常頻譜進(jìn)行檢測(cè)，并沒(méi)有判斷正確的頻譜感知狀態(tài)。除上述防御方法之外，Lin 等人[21]提出應(yīng)用于端到端頻譜數(shù)據(jù)識(shí)別模型的基于網(wǎng)絡(luò)量化的對(duì)抗防御方法，有效防御了基于梯度的白盒對(duì)抗攻擊。Sahay 等人[22]設(shè)計(jì)了一種結(jié)合時(shí)域特征和頻域特征進(jìn)行識(shí)別的無(wú)線接收機(jī)架構(gòu)，能夠有效防御黑盒對(duì)抗攻擊。這些防御方法針對(duì)特定的攻擊模型具有魯棒性，面對(duì)其他攻擊模型卻顯示出脆弱性。

與現(xiàn)有方法不同的是，本文所提出的方法可以兼顧發(fā)射機(jī)性能和防御效果，去除惡意擾動(dòng)，在多種攻擊模型下，提高頻譜感知模型的魯棒性。本文提出使用降噪自編碼器（CLAE,CNN LSTM Auto Encode）作為預(yù)訓(xùn)練結(jié)構(gòu)，提取頻譜感知數(shù)據(jù)的魯棒特征，緩解頻譜對(duì)抗攻擊的干擾，并且在此基礎(chǔ)上結(jié)合防御蒸餾（DD,Defensive Distillation）提出聯(lián)合防御（CLAE-DD）的方法，進(jìn)一步增強(qiáng)感知模型對(duì)對(duì)抗攻擊的防御性能。在灰盒、白盒和黑盒三種攻擊模型下，實(shí)驗(yàn)驗(yàn)證了所提出的防御模型對(duì)多種頻譜對(duì)抗攻擊的有效性。

1 系統(tǒng)模型與問(wèn)題表述

1.1 基于深度學(xué)習(xí)的頻譜感知方法

頻譜感知可以表示為一個(gè)二元假設(shè)檢驗(yàn)問(wèn)題，如下所示：

其中H1和H0分別表示頻譜信道占用和空閑的狀態(tài)，s(n)表示主用戶信號(hào)，u(n) 表示均值為0，方差為δ2的高斯白噪聲，n表示采樣點(diǎn)數(shù)，x(n) 表示接收信號(hào)，h表示信道增益。

頻譜感知的性能通常由檢測(cè)概率和虛警概率表示，其定義如下：

其中P(·) 表示概率，Pd是指主用戶信號(hào)存在且成功被檢測(cè)的概率，Pf是指主用戶信號(hào)不存在卻被錯(cuò)誤檢測(cè)為存在的概率。從攻擊的角度評(píng)估模型魯棒性的指標(biāo)為攻擊成功率，其定義如下：

其中SA表示成功誤導(dǎo)次用戶做出錯(cuò)誤決策的攻擊次數(shù)，N表示攻擊嘗試次數(shù)。

1.2 問(wèn)題表述

本文所提出的頻譜感知防御任務(wù)的數(shù)學(xué)模型可以表示為：

其中δ(n)表示對(duì)抗擾動(dòng)，x(n)表示干凈信號(hào)，||·||p表示lp范數(shù)，ε表示擾動(dòng)步長(zhǎng)，y表示信道狀態(tài)，fθ表示頻譜感知分類器模型，使用輸入信號(hào)訓(xùn)練感知分類器得到網(wǎng)絡(luò)參數(shù)θ，表示添加CLAE 或CLAE-DD 防御訓(xùn)練后的頻譜感知分類器模型，使用輸入信號(hào)訓(xùn)練降噪自編碼器模型以及頻譜感知分類器模型得到網(wǎng)絡(luò)參數(shù)攻擊方在輸入信號(hào)中添加小于擾動(dòng)步長(zhǎng)的最小擾動(dòng)使模型將頻譜狀態(tài)H1誤檢測(cè)為H0，本文的防御方法使防御訓(xùn)練后的模型可以過(guò)濾對(duì)抗擾動(dòng)，提升感知模型對(duì)對(duì)抗信號(hào)的信道狀態(tài)的判斷正確率。

本文所提出的防御模型可表示如下：

其中g(shù)(·) 表示降噪自編碼器，x’(n) 表示CLAE 重構(gòu)后的信號(hào)，fθ’表示經(jīng)過(guò)CLAE-DD 防御訓(xùn)練后的分類器模型，利用該方法對(duì)經(jīng)過(guò)CLAE 濾波后的感知信號(hào)進(jìn)行分類，能夠達(dá)到較好的檢測(cè)效果。

2 攻擊方法

（1）快速梯度符號(hào)法（FGSM,Fast Gradient Sign Method）FGSM[23]是一種經(jīng)典的基于梯度的算法，可以通過(guò)一次梯度更新快速產(chǎn)生對(duì)抗樣本。首先進(jìn)行梯度計(jì)算：

其中Gx(n)表示計(jì)算所得的梯度值，表示計(jì)算損失函數(shù)模型的梯度，θ為分類器模型的參數(shù)，y*為攻擊者期望的分類器模型的輸出類別。那么對(duì)抗擾動(dòng)的生成公式可以表示為：

其中sign(·)表示符號(hào)函數(shù)。因此FGSM 生成的對(duì)抗樣本為：

直觀上，F(xiàn)GSM 的目的是在模型損失最大的方向上添加ε有界擾動(dòng)。

（2）基本迭代法（BIM,Basic Iterative Method）

BIM[24]攻擊通過(guò)迭代優(yōu)化了FGSM 的攻擊效果。BIM 以較小的步長(zhǎng)執(zhí)行FGSM 算法，并將更新后的對(duì)抗樣本裁剪到有效范圍，在BIM 攻擊中，應(yīng)首先進(jìn)行梯度計(jì)算，獲得第t次計(jì)算的梯度值：

然后將第(t+1)次迭代中的梯度更新為：

其中Clipx(n),ε表示將z裁剪到[x(n)-ε,x(n)-ε]的范圍。

（3）映射梯度下降法（PGD,Projected Gradient Descent）

PGD[25]攻擊可以被視為BIM 的廣義形式，是一種典型的迭代攻擊，可以看作隨機(jī)擾動(dòng)和FGSM 迭代的組合，在相同的擾動(dòng)強(qiáng)度下，PGD 被認(rèn)為是最具對(duì)抗性的攻擊算法，PGD 的算法公式如下：

其中n表示隨機(jī)擾動(dòng)，α表示擾動(dòng)步長(zhǎng)。

3 防御方法

3.1 降噪自編碼器

目前有研究表明[26-27]，降噪自編碼器可以把輸入往數(shù)據(jù)流形分布ζ密度最高的方向移動(dòng)，使得重構(gòu)后的輸出更加靠近ζ。分類器對(duì)ζ上的信號(hào)具有較好的分類效果，對(duì)抗信號(hào)在輸入空間度量下接近干凈信號(hào)，但是卻遠(yuǎn)離干凈信號(hào)的流形，因此分類器會(huì)對(duì)其分類錯(cuò)誤。本文提出使用一個(gè)基于深度學(xué)習(xí)的降噪自編碼器將對(duì)抗信號(hào)推回到流形附近以實(shí)現(xiàn)防御。

本文所使用的降噪自編碼器模型CLAE 的結(jié)構(gòu)如圖1 所示：

圖1 基于降噪自編碼器的防御框架

CLAE 包括兩個(gè)部分，編碼器ul和解碼器vφ，ul由CNN 和LSTM 結(jié)構(gòu)組成，分別提取輸入信號(hào)的局部特征和時(shí)間特征，vφ負(fù)責(zé)進(jìn)行反卷積操作，從ul提取的特征中恢復(fù)出降噪之后的信號(hào)。首先使用FGSM 攻擊生成對(duì)抗信號(hào)，組成對(duì)抗信號(hào)數(shù)據(jù)集χ*：

將FGSM 生成的對(duì)抗信號(hào)添加到CLAE 模型的訓(xùn)練數(shù)據(jù)集χCLAE中，與干凈信號(hào)數(shù)據(jù)集χ共同作為CLAE 模型的訓(xùn)練數(shù)據(jù)，即，CLAE 模型的輸出為：

損失函數(shù)使用均方誤差函數(shù)：

其中N表示訓(xùn)練樣本數(shù)，χtarget為CLAE 訓(xùn)練的標(biāo)簽，由對(duì)抗信號(hào)和干凈信號(hào)所對(duì)應(yīng)的原始信號(hào)組成，即χtarget→(χ0,χ0)。CLAE 訓(xùn)練過(guò)程的偽代碼如算法1 所示：

算法1：訓(xùn)練降噪自編碼器

3.2 防御蒸餾

防御蒸餾[28]算法利用蒸餾思想訓(xùn)練模型。在神經(jīng)網(wǎng)絡(luò)中softmax 層將DNN 的最后一個(gè)隱藏層產(chǎn)生的輸出向量Z(x(n))歸一化為概率向量F(x(n))，其計(jì)算公式如下：

其中，T被稱為蒸餾溫度，進(jìn)行蒸餾訓(xùn)練時(shí)，要求T＞1。增大T可以減小模型的梯度，使得網(wǎng)絡(luò)模型更加平滑，降低模型對(duì)擾動(dòng)的敏感性。

首先，根據(jù)原始訓(xùn)練樣本χ和標(biāo)簽Y在溫度T的條件下訓(xùn)練一個(gè)初始DNN，得到概率分布F(x(n))。其訓(xùn)練的損失函數(shù)為：

其中ω為初始網(wǎng)絡(luò)模型的參數(shù)。Y為one-hot 向量，正確類別的元素為1，當(dāng)網(wǎng)絡(luò)權(quán)重更新時(shí)，標(biāo)簽不為1 的神經(jīng)元對(duì)應(yīng)0 的輸出，DNN 對(duì)輸入可能做出過(guò)于自信的預(yù)測(cè)。然后，利用輸入信號(hào)χ和F(x(n)) 作為標(biāo)簽，在溫度T下訓(xùn)練一個(gè)與初始DNN 相同結(jié)構(gòu)的蒸餾網(wǎng)絡(luò)，得到新的概率分布Fd(x(n))，其訓(xùn)練的損失函數(shù)為：

其中，(x(n)) 是Fd(x(n)) 第i個(gè)元素。使用軟標(biāo)簽代替硬標(biāo)簽可以確保訓(xùn)練算法在更新θ時(shí)按其似然性約束輸出神經(jīng)元，避免網(wǎng)絡(luò)過(guò)分自信預(yù)測(cè)的問(wèn)題，提高網(wǎng)絡(luò)的泛化能力，隱藏網(wǎng)絡(luò)模型的梯度。

3.3 聯(lián)合防御

CLAE 可以將輸入信號(hào)往流形ζ上移動(dòng)，可是經(jīng)過(guò)CLAE 重構(gòu)后的頻譜信號(hào)可能并未到達(dá)ζ上。為了緩解這一問(wèn)題，本文在CLAE 預(yù)訓(xùn)練的基礎(chǔ)上結(jié)合防御蒸餾提出了一種聯(lián)合防御的方法，旨在獲得更加魯棒的模型。CLAE 可以在一定程度上將對(duì)抗信號(hào)拉回到干凈信號(hào)的流形周圍，過(guò)濾對(duì)抗信號(hào)，而防御蒸餾則側(cè)重于隱藏網(wǎng)絡(luò)梯度，平滑訓(xùn)練網(wǎng)絡(luò)。本文所提出的CLAE-DD 的防御框圖如圖2 所示：

圖2 聯(lián)合防御的防御框架

首先，使用對(duì)抗信號(hào)和干凈信號(hào)組成訓(xùn)練集χCLAE訓(xùn)練CLAE 模型，在CLAE 模型具有足夠的重構(gòu)準(zhǔn)確性后，固定CLAE 的網(wǎng)絡(luò)參數(shù)訓(xùn)練頻譜感知分類器。在分類器模型訓(xùn)練階段，結(jié)合蒸餾算法訓(xùn)練初始模型，分類器的輸入為CLAE重構(gòu)后的頻譜信號(hào)χ=ul(vφ(χCLAE))，標(biāo)簽為對(duì)抗信號(hào)和干凈信號(hào)所對(duì)應(yīng)的正確標(biāo)簽Y’，優(yōu)化目標(biāo)為：

利用優(yōu)化目標(biāo)更新ω，得到輸出概率分布F(x’(n))，然后使用初始模型的輸出F(x’(n))作為軟標(biāo)簽，在同樣的溫度T下訓(xùn)練蒸餾模型，增強(qiáng)模型的魯棒性，優(yōu)化目標(biāo)為：

利用軟標(biāo)簽訓(xùn)練模型可以隱藏網(wǎng)絡(luò)輸入信號(hào)和硬標(biāo)簽之間損失函數(shù)的梯度，有助于提高分類器對(duì)其訓(xùn)練集之外的泛化性，增強(qiáng)其對(duì)流形周圍的輸入信號(hào)的檢測(cè)概率。CLAE-DD 的訓(xùn)練過(guò)程如算法2 所示：

算法2：聯(lián)合防御算法

4 實(shí)驗(yàn)結(jié)果

4.1 數(shù)據(jù)集與實(shí)驗(yàn)設(shè)置

在本文的實(shí)驗(yàn)中，頻譜感知生成的仿真信號(hào)包含8 種調(diào)制類型的信號(hào)，分別為BPSK、QPSK、8PSK、2FSK、GFSK、16QAM、64QAM、4PAM 和AWGN 信號(hào)。信噪比（SNR,Signal to Noise Ratio）范圍為-20 dB 至-2 dB，間隔為2 dB，每個(gè)信號(hào)的長(zhǎng)度為2×128。對(duì)于每個(gè)調(diào)制類型以及噪聲信號(hào)，在每個(gè)信噪比下生成1 000 個(gè)樣本，并以8:1:1 的比例劃分為訓(xùn)練集、驗(yàn)證集和測(cè)試集。

頻譜感知的分類器使用殘差神經(jīng)網(wǎng)絡(luò)（ResNet），其網(wǎng)絡(luò)結(jié)構(gòu)如圖3 所示。在分類器訓(xùn)練階段，所使用的參數(shù)均采用高斯分布隨機(jī)初始化，批量大小為128，并使用RMSprop 作為訓(xùn)練方法，初始學(xué)習(xí)率為0.001，網(wǎng)絡(luò)經(jīng)過(guò)10 個(gè)epoch 的訓(xùn)練。CLAE 訓(xùn)練過(guò)程參數(shù)設(shè)置與ResNet相同，防御蒸餾實(shí)驗(yàn)部分采用的蒸餾溫度T=27。

圖3 ResNet網(wǎng)絡(luò)結(jié)構(gòu)

4.2 灰盒攻擊

在灰盒攻擊模型中，假設(shè)攻擊者可以訪問(wèn)感知模型體系結(jié)構(gòu)及其參數(shù)，但對(duì)輸入分類器模型之前的任何預(yù)處理結(jié)構(gòu)和算法一無(wú)所知，攻擊者使用感知模型的梯度生成對(duì)抗樣本。除了探究擾動(dòng)影響的相關(guān)實(shí)驗(yàn)，其他實(shí)驗(yàn)均在對(duì)抗擾動(dòng)為0.06 下進(jìn)行。

圖4 展示了FGSM、BIM 和PGD 生成的對(duì)抗樣本對(duì)有防御和無(wú)防御模型的攻擊效果。從圖中可以看出本文所使用的ResNet 網(wǎng)絡(luò)在無(wú)攻擊的情況下，可以保持較好的檢測(cè)性能。在頻譜對(duì)抗攻擊下，當(dāng)SNR 為-14 dB 時(shí)，無(wú)防御模型的檢測(cè)概率降低到10%左右，而經(jīng)過(guò)CLAE 預(yù)訓(xùn)練的模型，檢測(cè)概率可以達(dá)到40%。CLAE 中編碼器模型的CNN 模塊和LSTM 模塊分別提取信號(hào)數(shù)據(jù)的局部特征和時(shí)間特征，解碼器模型朝著原始信號(hào)進(jìn)行重構(gòu)，使得對(duì)抗信號(hào)向著原始信號(hào)的流形移動(dòng)。另外，從圖4（b）中也可以發(fā)現(xiàn)，在SNR 為-14 dB 時(shí)，CLAE-DD 的檢測(cè)概率相比于CLAE 提升了20%，CLAE 與防御蒸餾結(jié)合后，可以利用防御蒸餾算法平滑訓(xùn)練得到的頻譜感知分類器，提高分類器模型的泛化能力，從而實(shí)現(xiàn)更優(yōu)異的防御效果。

圖4 不同防御模型基于灰盒攻擊的檢測(cè)概率

圖5 描述了當(dāng)SNR 為-12 dB 時(shí)，三種梯度攻擊對(duì)有防御模型和無(wú)防御模型的攻擊成功率。從圖中可以看出，對(duì)于三種梯度攻擊，基于CLAE 預(yù)訓(xùn)練的防御方法可將攻擊成功率降低到30% 左右，與防御蒸餾結(jié)合后，CLAE-DD 可進(jìn)一步將攻擊成功率降低到10% 左右，基于CLAE 的防御方法可以有效緩解對(duì)抗攻擊的干擾。上述的實(shí)驗(yàn)結(jié)果可以看出，BIM 和PGD 的攻擊效果優(yōu)于FGSM 的攻擊，為了驗(yàn)證基于CLAE 的防御方法對(duì)不同擾動(dòng)值的防御能力，本文使用這兩種攻擊方法在不同的擾動(dòng)大小下進(jìn)行了實(shí)驗(yàn)。圖6 描述了SNR 為-14 dB 時(shí)，灰盒攻擊下三種模型對(duì)不同擾動(dòng)大小的對(duì)抗樣本的魯棒性。從圖中可以看出，對(duì)于這兩種攻擊方式，當(dāng)擾動(dòng)小于0.06 的時(shí)候，CLAE 和CLAE-DD 都擁有40% 以上的檢測(cè)概率。并且隨著擾動(dòng)值增加，無(wú)防御模型的檢測(cè)概率基本為0，CLAE 的檢測(cè)概率可以達(dá)到18%，CLAEDD 的檢測(cè)概率依然可以達(dá)到30% 左右，基于CLAE 的防御模型對(duì)不同大小的擾動(dòng)均具有良好的防御效果。

圖5 不同防御方式下灰盒模型的攻擊成功率比較

圖6 不同擾動(dòng)水平下灰盒攻擊的防御效果

4.3 白盒攻擊

在白盒攻擊模型中，假設(shè)攻擊者可以訪問(wèn)感知分類器的體系結(jié)構(gòu)及其參數(shù)，并且攻擊者知道應(yīng)用于主用戶信號(hào)的預(yù)處理結(jié)構(gòu)和算法，將感知模型和CLAE 當(dāng)作一個(gè)整體產(chǎn)生對(duì)抗樣本。本文在對(duì)灰盒攻擊模型進(jìn)行分析的基礎(chǔ)上，對(duì)基于白盒攻擊的防御效果也進(jìn)行了討論，更好地證明了基于CLAE 的防御方法在不同攻擊模型下的防御性能。

圖7 描述了在白盒攻擊模型下，CLAE 和CLAE-DD防御三種頻譜對(duì)抗攻擊的防御效果。從圖中可以得出，CLAE 對(duì)FGSM 的防御效果較為理想，對(duì)于攻擊能力更強(qiáng)的BIM 和PGD 攻擊，檢測(cè)概率較差。而CLAE-DD 對(duì)三種攻擊都具有優(yōu)異的防御效果。在CLAE 防御的基礎(chǔ)上增加防御蒸餾算法，可以通過(guò)設(shè)置T的參數(shù)減小模型梯度，降低模型對(duì)擾動(dòng)的敏感性，達(dá)到防御對(duì)抗攻擊的目的。

圖7 不同防御模型基于白盒攻擊的檢測(cè)概率

圖8 描述了在SNR 為-12 dB 時(shí)，基于白盒攻擊的三種梯度攻擊對(duì)有防御模型和無(wú)防御模型的攻擊成功率。從圖中可以看出，對(duì)于FGSM 的攻擊，CLAE 可以將攻擊成功率降低31%，而CLAE-DD 可以將攻擊成功率降低到6%，同樣，對(duì)于BIM 和PGD 的攻擊，CLAE 可以將攻擊成功降低10% 左右，而CLAE-DD 的防御方法可以將攻擊成功率降低40% 左右，實(shí)現(xiàn)了非常好的防御效果，驗(yàn)證了所提出的防御模型對(duì)頻譜對(duì)抗攻擊的有效性。同樣為了驗(yàn)證基于CLAE 的防御方法對(duì)白盒攻擊不同擾動(dòng)大小的防御能力，對(duì)BIM、PGD 兩種攻擊方法在不同擾動(dòng)值下產(chǎn)生的攻擊進(jìn)行了實(shí)驗(yàn)。圖9 展示了信噪比為-14 dB時(shí)，三種模型對(duì)基于白盒攻擊的不同擾動(dòng)大小的對(duì)抗樣本的魯棒性。從圖中可以看出，隨著擾動(dòng)的增加，無(wú)防御模型和基于CLAE 防御的檢測(cè)概率快速下降，而基于CLAEDD 的防御方法，檢測(cè)概率下降較為平緩，因?yàn)镃LAE-DD結(jié)合了降噪自編碼器的降噪效果和防御蒸餾平滑訓(xùn)練模型的能力，使得模型的魯棒性更強(qiáng)，攻擊更為困難。

圖8 不同防御方式下白盒模型的攻擊成功率比較

圖9 不同擾動(dòng)水平下白盒攻擊的防御效果

4.4 黑盒攻擊

在黑盒攻擊模型中，攻擊者知道次用戶感知模型的感知任務(wù)，但對(duì)次用戶所用的感知模型（包括其架構(gòu)和參數(shù)值）以及應(yīng)用于輸入的預(yù)處理結(jié)構(gòu)都一無(wú)所知。攻擊者利用代理模型的梯度生成對(duì)抗攻擊并將其遷移到次用戶感知模型的輸入信號(hào)，這種攻擊更加符合現(xiàn)實(shí)情況。本文利用LeNet 網(wǎng)絡(luò)作為代理模型生成對(duì)抗擾動(dòng)，在灰盒、白盒攻擊之外設(shè)置黑盒攻擊的實(shí)驗(yàn)，研究的攻擊場(chǎng)景更加全面，更有說(shuō)服力地證明了本文所提防御方法的有效性。

圖10 描述了在黑盒攻擊模型下，CLAE 和CLAEDD 防御三種頻譜對(duì)抗攻擊的防御效果。從圖中可以得出，CLAE 和CLAE-DD 都可以提升頻譜感知模型面對(duì)黑盒對(duì)抗攻擊的檢測(cè)概率。對(duì)于三種頻譜對(duì)抗攻擊，當(dāng)SNR為-14 dB 時(shí)，CLAE 通過(guò)預(yù)訓(xùn)練提取信號(hào)魯棒特征，過(guò)濾對(duì)抗干擾，相比于無(wú)防御模型將檢測(cè)概率提高21% 左右，CLAE-DD 在CLAE 的基礎(chǔ)上，利用蒸餾算法平滑網(wǎng)絡(luò)梯度，可以進(jìn)一步將檢測(cè)概率提高41% 左右。

圖10 不同防御模型基于黑盒攻擊的檢測(cè)概率

在深度學(xué)習(xí)中，黑盒攻擊依靠簡(jiǎn)單的輸入和輸出映射信息來(lái)對(duì)未知模型進(jìn)行攻擊，這導(dǎo)致了黑盒攻擊成功率較低。從圖11 可以看出，黑盒攻擊對(duì)頻譜感知模型的攻擊成功率遠(yuǎn)低于灰盒和白盒攻擊。另外，從實(shí)驗(yàn)結(jié)果可以看出，本文所提出的防御方法也能夠?qū)崿F(xiàn)良好的防御效果。對(duì)于FGSM、BIM 和PGD 攻擊，CLAE 可以將攻擊成功率降低到15%、14% 和14%，而CLAE-DD 可以將三種攻擊的攻擊成功率都降低到5%，實(shí)現(xiàn)了較有理想的防御效果，可以有效地防御黑盒頻譜對(duì)抗攻擊。圖12 展示了信噪比為-14 dB 時(shí)，三種模型對(duì)BIM 和PGD 攻擊基于黑盒模型產(chǎn)生的不同擾動(dòng)大小的對(duì)抗樣本的魯棒性。從圖中可以看出，在灰盒和白盒模型中所觀察到的防御有效性同樣適用于黑盒模型。隨著擾動(dòng)的增加，頻譜感知模型的檢測(cè)概率逐漸下降，在擾動(dòng)大小為0.1 時(shí)，無(wú)防御模型的檢測(cè)概率為5%，而基于CLAE 和CLAE-DD 防御模型的檢測(cè)概率分別為29%、45%?；贑LAE 預(yù)訓(xùn)練可以過(guò)濾各種攻擊模型產(chǎn)生的對(duì)抗干擾，CLAE-DD 可以進(jìn)一步平滑訓(xùn)練網(wǎng)絡(luò)，減小模型梯度，降低攻擊者的攻擊成功率。

圖11 不同防御方式下黑盒模型的攻擊成功率比較

圖12 不同擾動(dòng)水平下黑盒攻擊的防御效果

5 結(jié)束語(yǔ)

針對(duì)頻譜對(duì)抗攻擊，本文提出了基于CLAE 的防御方法，CLAE 預(yù)訓(xùn)練能夠有效緩解頻譜對(duì)抗攻擊，在CLAE 預(yù)訓(xùn)練的基礎(chǔ)上結(jié)合防御蒸餾算法，可以平滑網(wǎng)絡(luò)增加頻譜感知模型的魯棒性。首先使用FGSM 生成的對(duì)抗信號(hào)和干凈信號(hào)訓(xùn)練CLAE 模型，然后使用CLAE 的重構(gòu)信號(hào)作為訓(xùn)練集，結(jié)合防御蒸餾算法平滑訓(xùn)練頻譜感知分類器。針對(duì)三種攻擊方法，對(duì)所提出的防御模型進(jìn)行評(píng)估，實(shí)驗(yàn)結(jié)果表明，本文所提出的基于CLAE 的防御方法能夠有效地抵御不同擾動(dòng)大小的梯度攻擊。

綜上所述，本文提出了一種能夠緩解頻譜感知對(duì)抗攻擊的防御方案，但是本方案依然存在很多值得研究和提升之處，例如，在本文的實(shí)驗(yàn)中，沒(méi)有考慮頻譜環(huán)境變化對(duì)防御性能的影響，如何在不同的信道狀態(tài)下實(shí)現(xiàn)有效的防御是下一步的研究?jī)?nèi)容。另外，本文所選用的主用戶信號(hào)類型以及噪聲范圍具有一定局限性，可以進(jìn)一步擴(kuò)大研究范圍以發(fā)現(xiàn)問(wèn)題，對(duì)該防御方案提出改善。