[发明专利]一种基于深度学习的HRRP对抗样本黑盒攻击方法

说明书

本发明属于雷达图像识别领域，为基于深度学习的HRRP对抗样本黑盒攻击方法。包括：一、选择替代模型用于生成有/无目标通用对抗扰动并获得对抗样本。首先，选取一个深度神经网络模型作为替代模型进行训练，并将其作为HRRP的分类器；接着，采用生成有/无目标通用对抗扰动的方法对数据集生成通用对抗扰动；然后，将该扰动分别添加至数据集每一个原始样本中，得到有/无目标对抗样本。二、利用替代模型生成的对抗样本攻击黑盒模型。首先，对黑盒模型进行训练。接着，将步骤一得到的对抗样本对黑盒模型进行有/无目标攻击。本发明能有效提高雷达目标识别的安全性，为对抗样本的生成机理和防御方法提供思路和帮助，具有重要的现实应用价值。

技术领域

本发明属于雷达图像识别领域，具体为一种基于深度学习的HRRP对抗样本黑盒攻击方法。

背景技术

基于深度学习的雷达目标识别算法，具有端对端特征学习的优势，能有效地提高目标识 别率，成为雷达目标识别的一类重要方法。但是，最近的研究表明，基于深度学习的光学图 像识别方法容易受到对抗样本的对抗攻击。对抗样本的存在表明深度学习方法存在极大的安 全隐患。

深度学习具有端到端和自动特征学习的优势，为基于HRRP的目标识别提供了一类方法， 同时也广泛应用于各个领域。深度学习方法很容易受到对抗攻击，Szegedy等人在2013年发 表论文《Intriguing properties of neural networks》，首次发现了一个“反直觉”的现 象，攻击者通过人为设计一种在视觉上不易于察觉的干扰信息注入输入样本，使输入样本具 有攻击性。它可以使基于深度学习方法的目标识别系统，以高置信度输出攻击者想要的任意 错误结果。

Moosavi-Dezfooli S M等人在2017年的IEEE conference on computer visionand pattern recognition会议上发表了论文《Universal adversarial perturbations》，提出 了一种计算普遍扰动的系统算法，证明了深度神经网络在这种扰动下是高度脆弱的。Sadeghi M等人在2018年的IEEE Wireless Communications Letters期刊上发表了论文《Adversarial Attacks on Deep-Learning Based Radio Signal Classification》，提出了利用主成分分 析法生成通用黑盒对抗样本的方法，证明了对抗样本对模型分类性能的破坏性很大，表明了 在无线电信号领域上，深度学习算法是非常容易受到攻击的。由此引起了深度学习技术其他 应用领域的关注，况且，基于雷达一维距离像的目标识别是否存在对抗样本是一个开放性的 问题。

发明内容

为了解决现有技术所存在的问题，本发明提供一种基于深度学习的HRRP对抗样本黑盒攻 击方法，采用生成对抗扰动的方法，利用替代模型分别生成无目标、有目标通用扰动，然后 生成相应的对抗样本，攻击黑盒模型，能有效提高雷达目标识别的安全性，为对抗样本的生 成机理和防御方法提供思路和帮助，具有重要的现实应用价值。

本发明采用以下技术方案来实现，基于深度学习的HRRP对抗样本黑盒攻击方法，包括以 下步骤：

S1、选取一个深度神经网络模型作为替代模型，并利用数据集对替代模型进行训练；

S2、选取样本，采用无目标或有目标通用扰动生成方法，以训练好的替代模型作为分类 器，对数据集生成通用的无目标或有目标对抗扰动，并对数据集的每个样本生成无目标或有 目标对抗样本；

S3、利用数据集对要攻击的黑盒模型进行训练；

S4、将步骤S2得到的无目标或有目标对抗样本对黑盒模型进行无目标或有目标攻击。