Robust Attack on Deep Learning based Radar HRRP Target Recognition
西电,雷达信号处理国家实验室
摘要:近年来,在HRRP的雷达自动目标识别(RATR)自动学习领域,深度学习因其具有强大的自动从训练数据中学习特征的能力而受到越来越多的关注。然而,最近的研究表明,深度学习模型很容易受到敌对的例子的影响。在本文中,我们验证了在基于深度学习的HRRP目标识别中也存在对抗性的例子。提出了一种新的对抗攻击算法鲁棒HRRP攻击(RHA),可以在现实世界中产生鲁棒对抗扰动。对HRRP数据的实验结果表明,RHA显著降低了HRRP识别性能,表明该方法的有效性和鲁棒性。
在本文中,我们重点是对时域HRRP进行鲁棒扰动,从而显著降低HRRP的识别性能。我们首先验证了在基于HRRP的RATR领域中也存在着对抗性的例子。图1显示了一个由FGSM[14]创建的数字对抗性例子,从中我们可以看到,在干净的HRRP上添加小幅度的扰动可以很容易地欺骗一个神经网络。我们进一步考虑了扰动的长度和位置等物理条件,设计了鲁棒HRRP扰动(RHA),这可以显著降低物理世界中的HRRP识别性能。实验结果表明,RHA显著降低了HRRP的识别性能,表明该方法具有良好的有效性和鲁棒性。据我们所知,这是第一篇关注基于HRRP的RATR文件中的对抗性例子的论文。
一个用FGSM生成扰动的例子:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BhNFocvC-1649239454237)(..\图片\论文笔记\Robust Attack on Deep Learning based Radar HRRP Target Recognition\1.jpg)]](https://img-blog.csdnimg.cn/dde91281690b45bc89f6919109634602.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAU3Vuc2hpbmVfdmljdG9yeQ==,size_20,color_FFFFFF,t_70,g_se,x_16)
方法:将产生鲁棒扰动的问题作为一个优化问题:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MpBTxUeD-1649239454240)(..\图片\论文笔记\Robust Attack on Deep Learning based Radar HRRP Target Recognition\2.jpg)]](https://img-blog.csdnimg.cn/c01f87224eac4a1f93a11d2b6a75f230.png)
D是一个距离度量函数,例如,我们可以使用L2或L无穷范式来度量对抗样本和原始样本之间的距离。使用拉格朗日松弛的方法来重新表述优化问题:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-px8YRV9r-1649239454242)(..\图片\论文笔记\Robust Attack on Deep Learning based Radar HRRP Target Recognition\3.jpg)]](https://img-blog.csdnimg.cn/a619d16c68424339b4c7d12172dc0332.png)
L是交叉熵损失函数,yt是目标类,f是预测结果,λ是超参数,δ是扰动。
我们的扰动可以适用于任何输入。如果攻击成功,fθ(x?)=yt,这可以称为非目标攻击。如果我们指定了对抗性示例的类,那么这将被称为目标攻击(攻击后识别为特定的类别)。
默认情况下,δ将覆盖HRRP的整个范围。但是扰动只能添加到目标范围内的一段距离像,采用常数假报警率(CFAR)[17]来寻找需要进行扰动的目标区域。我们将时域HRRP输入到算法中,然后得到目标区域的范围。另外一个我们应该考虑的物理条件是扰动长度。在现实世界中,小范围扰动比大范围扰动更容易实现。所以我们设置了一个超参数(l)作为扰动的长度。我们期望扰动可以放置在目标区域的任何位置。在训练和测试时间中,我们在目标区域随机选择一个位置来放置特定长度的扰动。具体地说,我们使用一个掩模(mask)来投射具有一定长度的目标上的扰动。mask是一个向量,其维度与x(clean的HRRP)相同。我们在添加扰动的范围内填充1,而在其他地方填充零。设Mx为x的掩模,δ0=Mx·δ为扰动添加的掩模。然后我们的优化问题就变成了:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5ixqx90j-1649239454251)(..\图片\论文笔记\Robust Attack on Deep Learning based Radar HRRP Target Recognition\4.jpg)]](https://img-blog.csdnimg.cn/e7c7372ca9f548458fd6081c92fdf892.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-r5isvTRJ-1649239454253)(..\图片\论文笔记\Robust Attack on Deep Learning based Radar HRRP Target Recognition\5.jpg)]](https://img-blog.csdnimg.cn/69a4195ac0a84b559586b7f6156e8a2d.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAU3Vuc2hpbmVfdmljdG9yeQ==,size_10,color_FFFFFF,t_70,g_se,x_16)
实验结果:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KL8LFi14-1649239454256)(..\图片\论文笔记\Robust Attack on Deep Learning based Radar HRRP Target Recognition\6.jpg)]](https://img-blog.csdnimg.cn/ae1e16292a804b958094d19600fa29ec.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAU3Vuc2hpbmVfdmljdG9yeQ==,size_9,color_FFFFFF,t_70,g_se,x_16)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-l53fVZDy-1649239454257)(..\图片\论文笔记\Robust Attack on Deep Learning based Radar HRRP Target Recognition\7.jpg)]](https://img-blog.csdnimg.cn/e2d18f88ee1f427ab801205ba1dd1fc5.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAU3Vuc2hpbmVfdmljdG9yeQ==,size_20,color_FFFFFF,t_70,g_se,x_16)