对抗性无线电频谱机器学习：使规避深度学习中的信号分类成为可能

0.引用

Flowers B A. Adversarial RFML: Evading Deep Learning Enabled Signal Classification[D]. Virginia Tech, 2019.

1.摘要

2.介绍与动机

持续在线连接和高数据率在大多数现代国家已经变得无处不在。这为许多应用提供了动力，如社交媒体、智能家居设备和互联车辆。然而， 络使用率仍在迅速扩大。从 2017 年开始计算，预计到 2022 年，移动通信量将增长 7 倍，届时，联 设备的数量将超过人类 1.5 倍。随着使用量的增加，无线频谱仍然是一种有限的自然资源。因此，我们必须发明更智能的方法来有效地利用这一资源。

随着深度神经 络（DNNs）在计算机视觉（CV）等其他领域的成功应用，深度学习已经渗透到无线通信研究的几乎所有方面。它已被应用于创建新的无线波形，控制无线电资源，并通过信号分类帮助频谱感知。所有这些应用的结合可用于认知无线电（CR）的开发，以便构建智能无线电，以一种既高效又能产生高度可靠通信的方式访问频谱。

DNNs 在 CV 等其他应用中已被证明易受所谓的对抗性示例的攻击。对抗性的例子很小，人类无法察觉，干扰被巧妙地设计并应用于 DNNs 的输入，从而在推理时造成错误分类。这些对抗性例子的制作被称为对抗性机器学习，特别是一种对抗性规避攻击。在 RFML 的背景下，对抗性机器学习可用于通过主要用户仿真中断动态频谱接入（DSA）系统，避免移动发射机跟踪，或通过混淆自动调制分类（AMC）系统来避免解调过程。尽管 CV 中已经广泛研究了这类漏洞及其防御措施，但 RFML 中才开始研究这类漏洞。

虽然 RFML 对对抗性机器学习规避攻击和防御的研究可以建立在 CV 领域大量研究文献的基础上，但 RFML 除了 CV 中通常考虑的那些目标和能力之外，还具有额外的对抗性目标和能力。敌对目标必须分为两种：一种是直接对窃听者进行数字干扰信号的攻击，另一种是只能在空中传输（OTA）前干扰信号的物理攻击。尽管直接访问窃听者分类 络的攻击能够注入原始扰动，但由于其对分类器输入的数字访问，物理攻击受到 RFML 系统中所有常见噪声源的损害，例如热噪声、多径传播以及信号检测效果，这些都会削弱敌方逃避分类的能力。此外，在无线通信的环境中，攻击必须针对主要的兴趣度量，即误码率（BER）来描述。敌方可能会试图避开窃听分类器，但如果窃听分类器也会破坏到协作接收机的传输，则其益处有限。

3.主要研究贡献

?

巩固了 RFML 中存在的额外对抗目标和能力，并提出了一个新的威胁模型，用于评估无线通信环境中的对抗性规避攻击。

?

给出了 RFML 系统对当前使用的快速梯度符号法（FGSM）攻击的对抗性机器学习方法的脆弱性及其结果。分析了 RFML 系统在敌方直接访问分类器时对敌方机器学习的脆弱性，同时分析了 RFML 系统对 OTA 敌方机器学习攻击的脆弱性。

?

4.研究背景

该部分首先概述了无线物理层，为理解通信感知攻击提供了必要的背景。然后描述了什么是 CR，为什么要使用它，以及 DNN 为什么是这类设备的天然促成因素。在放大 CR 的一个子集，即支持深度学习的信号分类阶段之后，概述了该子模块面临的所有威胁。传统上，这些威胁要么属于 络安全，要么属于电子攻击；然而，目前的工作主要涉及对抗性机器学习，特别是与规避攻击有关。在本章中，我们将简要介绍规避攻击，以及与之密切相关的先前工作

4.1 无线物理层

任何无线通信系统的主要目标都是将信息从发射器传送到接收器。数字通信系统的简化图如下图图 1 所示。

图 1 数字通信发射机/接收机对概述

在此图中，“应用程序”试图将位传输到另一个设备上运行的应用程序。为了简单起见，下图没有对可能的应用程序进行任何区分，并且省略了 络堆栈的所有其他层。然后，发射机首先将通过比特编码到符号空间、内插和滤波信号来“调制”该信息，以限制频谱使用，然后将信号发送到射频前端（RFFE）。RFFE 将使用数模转换器（DAC）将信号从数字转换为模拟，将信号的频率移到载波频率上，然后使用天线放大和传输信号。其中，接收器实现这个过程的逆过程。信号的 RFFE 接收并放大信号，然后将信号频率下移到基带，并使用模数转换器（ADC）将其数字化。对信号使用“匹配滤波器”，使接收符号的信噪比（SNR）最大化。然后，信号被抽取到每个符号一个样本当中，理想情况下是在最佳采样时间以最大化 SNR，并且通常做出硬决策以将符号解码回位。

在任何真实的环境中，都会有多个发射器和接收器。一对的信号是另一对的干扰源，因为无线频谱是有限的。随着最近物联 设备以及互联车辆的爆炸式增长，环境中的无线设备数量呈指数级增长，但可用的频谱没有增加，因此随着每一个新设备的出现变得更加稀缺。而解决这种稀缺性的一种方法是通过 CR。

4.2 对于无线电的认知

CR 是 1999 年提出的一个术语，被描述为一种智能设备，它通过处理射频（RF）信号数据来感知和了解其环境，并基于这种环境知识调整其传输参数，以实现高度的安全性可靠的通信或其他用户定义的目标，如有效的频谱使用。提高频谱利用率的一种方法是 DSA。

有三种典型的频谱接入技术：许可、非许可和管理。传统的蜂窝系统将集中管理，其中基站控制频谱使用，以实现所需的接收机性能；然而，CRs 能够形成分散的或自组织的 络，可以利用未授权或管理频率中的频谱空洞。基于在 CR 附近工作的发射机，这些频谱孔与时间、空间和频率有关。因此，CR 必须接收宽带信号、对该频谱进行分析、调整传输参数以利用频谱孔或更好地适应环境的干扰，然后传送。在最简单的情况下，CR 可以识别未使用的频带并随后在该频带上发射。

4.2.1 无线电的关键促成因素

1)软件无线电

软件无线电（SDR）与 CRs 的推出时间大致相同。它们的定义特征是，大多数信号处理是在软件中进行的，而不是在硬件中。在软件中执行信号处理可以在无线电的整个生命周期中提供几乎无限的灵活性，因为它可以通过 OTA 软件补丁进行更新，但是，这是以计算开销为代价的。随着计算能力的降低，以及专用的数字信号处理（DSP）芯片的出现，软件无线电（SDR）成为现实世界应用的可行解决方案。

SDR 还受益于开源框架，这些框架降低了创建波形的成本。尽管每个框架的确切方法不同，但它们都提供了可重用的信号处理模块，例如用于滤波、功率谱密度估计或调制的模块，这些模块可以快速用于每个新波形。目前的工作利用了 GNU 无线电，它提供了生命周期管理、信号处理块的调度、波形创建的图形编程接口，以及一系列 SDR 设备的良好软件驱动程序支持，这些设备被称为通用软件无线电外围设备（USRP）。

2)射频机器学习

DARPA RFML 系统是一个旨在开发“将现代数据驱动机器学习应用于射频频谱领域的基础”的项目。该项目的两个主要目标是开发提高频谱感知以及自主控制无线电资源的技术。RFML 和机器学习在无线通信中的应用之间的主要区别是希望消除对手工设计功能的需求。因此，虽然目前的工作不会将基于特征的机器学习视为 RFML，但它使用 RFML 简洁地描述了基于深度学习的最新技术迭代，这些技术不使用人类工程特征作为输入。消除对人工工程特性的需求是非常有益的，特别是在快速变化的环境中，因为它消除了对人在回路中的需求，从而大大加快了适应速度。然而，了解这些系统的安全风险非常重要，这是当前工作的重点。

机器学习在许多方面都是 CR 的天然推动者。CR 的关键目标之一是能够从环境中学习。现代强化学习的进展表明，DNNs 有能力学习一个 Q 函数，该函数近似于给定环境当前状态下一组动作的回 。类似的技术可以应用于 CR，其中深度强化学习代理控制无线电资源。还开发了支持深度学习的波形。一般来说，使用一种已知的调制形式；然而，通过自动编码器，研究人员已经证明了使用 DNNs 直接合成以数据为条件的波形的能力。

即使机器学习不能控制整个无线电，它也可以通过将这些技术应用于给定原始 IQ 输入的信号分类任务，在 CV 分类系统的深度学习的大量成功基础上，帮助频谱感知。传统上，信号分类由两个不同的步骤组成。第一步将在时间和频率上检测和隔离信号，而第二步将对隔离信号进行分类。虽然 DNNs 可以将这两个步骤结合在一个称为语义分割的过程中，但目前的工作没有考虑这些技术，而是特别关注由 DNNs 辅助的传统信号分类，因为这是最成熟的技术。

本节中提到的对 DNNs 执行的所有 CR 任务的威胁可能具有类似的目标；但是，由于信号分类是迄今为止研究最广泛的 RFML 任务，因此当前的工作特别关注对信号分类任务的威胁。虽然关注这些信号分类任务会有一些通用性的损失，但是所开发的方法可以很容易地转移到所有其他任务中。

2)频谱感知：盲信号分类

CR 的无线电环境不是先验的，因此必须实时地被感知。接收器通常不知道在空间还是频率上发生传输。因此，在后续分类之前，CR 必须首先检测信号并在时间和频率上将其隔离。在隔离之后，可以估计或分类信号的参数和该信号的发射机，以便在决策阶段使用。在 CR 的上下文中，估计信号的功率、中心频率和带宽有助于识别频谱空洞。CR 可以对所使用的信号的调制进行分类，这将允许在事先不知道格式或者 CR 发送器动态地适应调制的情况下进行自动解调。此外，CR 可以执行特定的发射器识别，这将有助于跟踪环境中的发射器，即使其传输参数改变。了解发射机的业务模式有助于预测它们何时发射，从而有助于识别未来的频谱空洞。

图 2 RFML 系统简化图

上图图 2 为用于信号分类的 RFML 系统的简化图。该系统对将遇到的信号没有先验知识，因此进行盲信号分类。因此，它首先在时间和频率上检测和分离信号，然后使用 DNNs 以最小的预处理对连续信号的短段执行信号分类。分类阶段的输出可以帮助频谱感知。

4.2.2 adhoc 络中的竞争

频谱是有限的自然资源，因此 CRs 可能会争夺频谱资源。其中，Haykin 描述了一种博弈论方法来解决这种竞争，这种方法导致纳什均衡，前提是每个 CR 都是“理性的”，因此采取了最佳的行动，并且每个 CR 都有一个“世界观”。因此，如果一个 CR 欺骗了所有相邻 CR 的频谱感知级，以便利用该系统并为自己获得频谱资源，则是对该系统的自然威胁。目前的工作集中在设想一个认知无线电可以欺骗深度学习的频谱感知，特别是信号分类任务。

4.3 对 RFML 信号分类的威胁

现实中存在许多危害 RFML 系统的攻击。电子战（EW）是指利用频谱来阻止敌人。虽然这可以扩展到适用于当前工作，但当前工作使用 EW 来描述对信号检测阶段或 RFFE 的攻击，如下图图 3 所示。

图 3 RFFE 对抗攻击手段

敌方可以将能量引导到 RFFE，以消除其感知其他信号的能力，或者可以产生检测概率低的通信信号，因此永远不会被发送到信号分类阶段。目前的工作没有考虑对 RFFE 或信号检测的攻击，而是认为它们是静态的，因此不响应攻击。

而 RFML 系统建立在 SDR 之上，因此会受到针对这些软件实现的传统 络安全攻击。GNU 无线电对这些攻击的脆弱性已在中得到证明。虽然 络安全攻击可能明显影响 RFML 信号分类，但这些并不是当前工作的重点。

当前的工作检查了信号分类阶段特有的威胁，因此关注对抗性机器学习，在 CV 的背景下，使这种学习活动激增。

4.3.1 对抗式机器学习

下图图 4 概述了 RFML 环境下对抗性机器学习的威胁面。显示的攻击类型可以分为三个逻辑类别：隐私攻击、因果攻击和规避攻击。

图 4 RFML 环境下对抗性机器学习的威胁面

1)隐私攻击

隐私攻击通过观察分类器的输入和输出信息来获取分类器工作方式的信息。成员推断攻击确定特定输入是否是分类器训练数据集的一部分[68]。模型提取攻击使用相同的信息来构建近似等价的模型[69]。一般来说，隐私攻击是一个问题，因为它们损害了模型的机密性。当训练数据可能很敏感时，这种情况尤其普遍，例如在医疗保健应用程序中。除了本身就是一种攻击之外，这些隐私攻击还可以是探索性的，并为对手提供更多的知识，以便尝试规避攻击。因此，虽然这些攻击可以补充目前的工作，但它们不是重点，因此不作进一步讨论。

2)因果攻击

因果攻击通过影响模型的训练过程来注入漏洞。数据中毒攻击会操纵训练数据，以改变模型的学习决策边界。这种攻击类型与使用 OTA 数据重新捕获训练的任何系统都极为相关，因为对手只要靠近信号采集设备就可以注入训练数据。这些攻击已经开始在 CR 的背景下进行研究。

软件特洛伊木马攻击破坏了 络的训练阶段，以便在学习到的参数中注入一个漏洞，以后可以利用该漏洞进行攻击。这种类型的攻击假设访问级别非常高，因为它需要能够直接设置它所攻击的 DNNs 的参数。虽然这似乎不合理，但考虑到多个公司通常在一个产品上进行协作，这可能是一个严重的威胁。如果 A 公司在 B 公司组装和销售最终产品的同时受聘培训模型，那么 B 公司可能希望验证它所提供的模型是否以某种方式受到损害，而这种方式以后可能会被利用。

因果攻击的最终目的是通过训练时的攻击来降低分类器在推理时的性能。因此，虽然目前的工作没有考虑因果攻击所需的高访问级别，但它确实探索了具有类似目标但不假设对训练过程有任何影响的逃避攻击。

3)规避攻击

目前的工作主要集中在 RFML 环境下的对抗性规避攻击。它可以被描述为一种攻击，它假设一个经过充分训练的静态模型，并对输入进行控制。然后，敌方智能地对导致错误分类的输入进行“扰动”。已有的 CV 文献对这种类型的攻击进行了很好的研究，但 RFML 的研究才刚刚开始。

4.4 相关工作

5.攻击方法评估

本节概述了在当前工作中用于评估已开发的敌方规避攻击成功与否的常用方法。尽管目前的工作使用 AMC 作为参考 CR 任务，但威胁模型，即从窃听者的角度提出仍然适用，前提是：

1.

敌方的主要目标是将信息无线传输到协作接收机。

2.

窃听者使用 DNNs，通过输出最可能的类或最有利的动作来帮助信号分类或决策。

因此，本节中使用的词汇可以用来描述几乎所有支持深度学习的 CRs 面临的威胁。本章首先描述了当前工作中使用的系统模型，然后描述了该模型可能面临的独特威胁，最后给出了窃听者分类 络的参考实现。

5.1 自动调制分类系统模型

当前的工作考虑了盲信号分类的任务，即窃听者试图检测频谱中的信号，在时间和频率上隔离它，并执行调制分类。该任务假设信号是发射机和协作接收机之间的无线通信，其中窃听者不同步并且具有非常有限的关于通信的先验信息。最终，窃听者可以使用 DSA、信号情 的输出，和/或作为解调信号和提取传输的实际信息的初步步骤。

该模型中对抗性例子的研究可以从窃听者或发送者的角度进行。首先，这项研究可以被认为是对 RFML 系统的脆弱性分析，所获得的信息可以用来产生一个更强大的窃听者，通过对抗性机器学习来抵御欺骗。此外，这项研究可以被认为是一个可行性分析方法，以保护传输从窃听者。避开窃听者可能会限制对发射机的跟踪或对其传输的自动解调。目前的工作在这项技术的应用中并不偏袒任何一方，而是为双方提供了一个案例；然而，敌手一词被用来描述在当前工作的其余部分中试图躲避窃听者的发送器。

5.2 威胁模型

一个用于描述 CV 环境下对抗性机器学习的威胁模型以及丰富的分类法已经存在；然而，仅考虑 CV 应用的威胁模型缺乏 RFML 特有的对抗性目标和能力。因此，目前的工作扩展了 RFML 最初提出的威胁模型，并概述了当前工作如何符合相关文献。在描述当前工作在文献中的地位之前，本节首先扩展了在讨论 RFML 系统的对抗性威胁时必须考虑的对抗性目标和能力的独特类别。对手可能拥有的目标在横轴上显示，对手可能拥有的能力或先前知识在纵轴上显示。因此，“最容易”的敌方规避攻击将显示在图表的左上角，“最难”的敌方规避攻击将显示在右下角。

5.3 AMC 目标 络

5.3.1 络架构

当前的工作使用的是如图 5 中所示的 DNNs 体系结构，该体系结构是在中首次引入的，用于参考原始 IQ AMC 模型，但是，本工作中的方法适用于所有 络体系结构。这种结构由两个卷积层和两个完全连接的层组成。该 络将 IQ 样本作为[1,2，N]张量，对应于 1 个通道、IQ 和 N 个输入样本。目前的工作使用了扩展的滤波器尺寸，使用 7 个抽头的滤波器，并在每侧填充 3 个零。第一卷积层有 256 个通道或内核，分别对 I 和 Q 进行滤波。第一层不使用偏置项，因为这导致在我们的训练中梯度消失。第二层由 80 个通道组成，并使用二维实卷积对 I 和 Q 采样进行滤波。该层包括一个偏置项。然后将特征映射展平并输入两个完全连接的层，第一层由 256 个神经元组成，第二层由输出类的数目组成。所有层都使用 ReLU 作为激活

图 5 卷积神经 络结构

5.3.2 数据集 A

这项工作的大部分使用了开放的源码 RML2016.10A 数据集。

这个合成数据集包括 11 种调制类型：BPSK、QPSK、8PSK、CPFSK、GFSK、PAM4、QAM16、QAM64、AM-SSB、AM-DSB 和 WBFM。这些信号在 GNU 无线电内部产生，并通过一个动态信道模型，在-20 dB 到 18 dB 的 SNR 处产生采样信号。数据子集如图 5 和图 6 所示。

图 5 数据集 A 中 FSK 和模拟调制的随机样本

图 6 数据集 A 中 LDAPM 调制的随机样本

使用开放源代码数据集可以复制结果；但是，此数据集仅提供一个输入大小，即 128 个复杂样本。此外，该数据集包含有限的中心频率偏移。因此，有必要创建一个额外的数据集，根据中心频率偏移执行额外的评估。

5.3.3 数据集 B

数据集 A 和数据集 B 之间的主要区别在于信道模型以及所使用的调制。数据集 B 包含一个静态信道模型，中心频率偏移和信噪比计算为 Es/N0，而数据集 a 包含一个动态信道模型，但没有中心频率偏移。数据集 A 包含数据集 B 不包含的静态多路径效果。此外，数据集 B 仅使用数据集 a 包含的调制的子集。

这个额外的数据集也是使用 GNU 电台的合成数据创建的。创建了三个输入大小不同的数据集（128、256 和 512）。这些合成数据集包括 5 种调制方案：BPSK、QPSK、8PSK、QAM16 和 QAM64。与 RML2016.10A 数据集保持一致，根升余弦滤波器的每个符号的样本数固定为 8。符号中的单边滤波器跨度在 7 到 10 之间均匀变化，步长为 1。根升余弦的滚降系数在 0.34 ～ 0.36 之间变化均匀，步长为 0.01。对于信道模型，调制信号受到 AWGN 的影响，并给出中心频率偏移，以模拟接收器信号检测阶段的误差。AWGN 的功率用 Es/N0 计算，步长为 2，从 0db 到 20db 均匀变化。标准化为采样率的中心频率偏移以 0.2%的步长从 ?1%到 1%均匀扫掠。数据的子集如图 7 所示。

图 7 随机抽取样本实验情况

5.3.4 实验结果

该 络在 PyTorch 中实现，并使用 nvidia1080gpu 和 Adam[81]优化器进行训练。使用数据集 A 训练 络时使用的大小为 1024，使用数据集 B 训练 络时使用的批大小为 512，这是因为示例大小增加了。模型训练的数据集是一种用于正则化的数据集，正如最初提出的那样；然而，模型在数据集 B 上训练使用批处理规范化，因为这增加了较大示例大小的训练稳定性。对于所有模型，学习率设置为 0.001，并采用提前停止，耐心值为 5。

在训练期间，30%的数据集被保留作为测试集。其余 70%的数据用于训练序列，5%的训练集用作验证集。所有数据都是随机分割的，唯一的例外是所有数据集的调制等级和信噪比都保持平衡。然后在测试集中的每个信噪比下评估每个模型的总体精度，结果如图 8 中数据集 A 和图 9 中数据集 B 所示。正如预期的那样，增加输入大小会提高数据集 B 的所有信噪比范围内的精度。数据集 B 的峰值精度比数据集 A 更高，即使是对于等效的 128 大小的输入 络，这可能是因为有更多的调制将 络与数据集 A 中的相混淆。而数据集 B 之间的特定信噪比无法进行比较图 8 和图 9 中的两个测试结果由于底层数据集使用了不同的信噪比度量，因此未来章节中的所有图都以 Es/N0 表示结果。

图 8 SNR 准确率

图 9 数据集 B 测试三种不同 DNN 输入大小的精确度与信噪比

6.直接访问规避攻击

目前工作的重点是开发一种针对 RFML 的 OTA 对抗性规避攻击。本章通过研究 FGSM 攻击的有效性朝着这一目标迈出了一步，FGSM 攻击是 CV 中提出的一种对抗性规避攻击方法，其分类器环境可直接访问。

本节首先介绍了针对非目标规避攻击的对抗性机器学习的概念，并描述了 FGSM 如何创建对抗性示例。然后，它将 FGSM 调整为以功率比为界，这在无线通信中是常见的，而不是以特征空间中的距离为界，这在 CV 中是常见的。利用这种适应性，进行基线评估，以确认 FGSM 对 RFML 模型有效。本章的其余部分致力于研究输入大小和噪声对对抗性攻击的影响。通过研究随机抽取的单个示例，以及 AWGN 对这些示例的影响，本节详细介绍了 OTA 攻击中可能遇到的一些影响。最后进行了总结，并在第 7 节对 FGSM 攻击的这些影响进行了更广泛的研究。

6.1 基线评估

为了首先描述基于原始 IQ 的 AMC 上的对抗性机器学习的有效性，使用数据集 a 上训练的模型对 Es/Ej 的平均分类精度进行了基线研究。在添加扰动之前或之后，在没有向对抗性示例添加噪声的情况下执行该攻击，并且因此假设直接访问分类器输入。这代表了分类 络的最佳情况，因为没有添加噪声，所以 SNR 是无限的，因此当模型不受攻击时，它将是最精确的。此外，这也显示了对手的最佳情况，因为扰动也不会被噪声扭曲。因此，这是双方最理想的环境。此外，为了更接近模拟的 OTA 环境中从分类精度和误码率两方面研究的结果，将调制限制为 BPSK、QPSK、8PSK、QAM16 和 QAM64。

6.2 攻击效能与神经 络输入

经验证明，增加 DNNs 输入大小可以提高[48]中原始 IQ AMC 的性能。除此之外，分类精度由于允许更多对抗性干扰能量进入算法也会产生不利影响。因此，目前的工作提出了一个实验来验证这一直觉。在数据集 B 上训练同一 络的三个副本，它们只在输入大小上有所不同。然后重复上一节的分析，如图 10 所示。

图 10 三个不同模型对每个 Es/Ej 的相对分类精度排名

正如预期的那样，在很高的 E/Esj 下，当对抗能量很低时，具有最大输入大小的 络是最精确的。然而，当 E/Esj 降到 55 dB 以下时，它很快被第二大输入大小所取代。一旦 E/Esj 降到 15 dB 以下

分类准确度排名与初始排名相反，最小的输入大小是最准确的，最大的输入大小是最不准确的。因此，在开发用于对抗性环境的 RFML 系统时，必须平衡增加输入大小的好处和增加攻击面的成本。

6.3 实验结论

基于深度学习的原始 IQ AMC 在对手直接访问分类器输入时容易受到非目标对手示例的攻击。此外，研究还表明，尽管增加 DNNs 的输入大小可以提高非对抗性场景中的准确度，但是对于给定的 Es/Ej，它可以使分类器更容易受到欺骗。然而，这些结果假设直接访问分类器输入，这在操作环境中是不现实的。更现实的攻击只能通过随机无线信道访问分类器的输入；因此，本章从细粒度的角度研究了 AWGN 对使用

FGSM 算法发现，噪声会对对抗成功产生负面影响。因此，本节中给出的评估并不表明 OTA 攻击中的对手成功率。下一章对相同的方法进行评估，但是，在 OTA 环境中，噪声源可能对对抗成功产生负面影响，并且应用于传输的扰动可能对到协作接收机的通信产生负面影响。

7.自我保护躲避攻击

所有 OTA 攻击都必须考虑接收机效应对敌方成功的影响；此外，自我保护攻击必须平衡躲避敌方的次要目标和通过无线信道传输信息的主要目标。传统上，这些影响在以前的工作中被忽略，因此，虽然上一节研究了在接近完美条件下的对抗性成功，但本章研究了在存在三种特定接收器影响的情况下评估示例时对对抗性成功的影响，这三种影响可能会在 OTA 攻击期间发生：AWGN，采样时间偏移和中心频率偏移。虽然这些影响并不是所有可能发生的噪声源的全部，但是额外影响的研究留给了将来的工作。[9][1]

本节的工作没有考虑噪声对敌方成功的影响，也没有考虑干扰对敌方机器学习方法中目标接收器的影响。因此，本章使用了与第 6 节中研究的相同的 FGSM 方法，但研究了该方法如何在窃听者处的 OTA 攻击中崩溃或影响接收器处的预期通信。

7.1 环境仿真

本节中使用的模拟环境的高级概述如图 11 所示，每个主要模块如下所述。无线通信环境下的全面评估需要 DSP 和 ML 框架的接口。目前的工作分别使用 GNU-Radio 和 PyTorch；然而，方法论并不以任何方式依赖于这些框架的使用。

图 11 评价方法框图

7.2 加入高斯白噪声的影响

AWGN 对误码率和分类精度都有负面影响。此外，AWGN 可能对对抗成功产生负面影响。本节通过大规模的研究进一步评估了这些负面影响，以验证从第 6.5 节获得的直觉可以概括所有例子。在某些情况下，例如在“垃圾示例”或“愚弄图像”中，对抗式机器学习的主要目标可能只是创建一个输入，该输入被高度自信地分类为从噪声输入开始的某个目标类。然而，在大多数实际应用中，欺骗分类器是次要目标，必须与主要目标相平衡。在 CV 中，这个主要目标是保持人类对图像的感知。在当前的工作中，自我保护攻击的主要目标是使用已知的调制向友好的接收器传输信息，而次要目标是避免窃听者识别该调制方案。因此，本节展示了对抗性机器学习和 AWGN 对误码率的复合影响以及 AWGN 对误码率的影响

对抗成功率。

利用在数据集 A 上训练的模型，考虑了 Es/N0 和 Es/Ej 的范围。对于所考虑的每个 Es/N0，执行一万次试验以提供给定随机信号的信道模型中存在的随机过程的平均值。目前的工作考虑了图 12 中 BPSK 和图 12 中 QPSK 的误码率和分类精度。

图 12 误码率的影响

通过查看图 12，可以观察到当使用 Es/Ej 为 4dB 的白盒对抗攻击时，分类精度可以降低到 ≈0%，而对 BPSK 的误码率没有明显影响。虽然这是一个非常强烈的结果，但它只发生在 SNR>15 dB 时。一个比较合理的结果是 10 分贝的基线结果。为了达到与无攻击基线相同的误码率，敌方在 Es/Ej 为 8 dB 的情况下执行敌方攻击时，必须将其信噪比（SNR）和传输功率提高 ≈2 dB。如图 5.3 所示，对于 QPSK 也可以进行类似的分析，其中要求 SNR 增加 4db 以保持相同的误码率，同时将分类精度降低到<20%。

因此，虽然高信噪比的窃听者几乎总是会被 Es/Ej 为 8dB 的 BPSK 传输所欺骗，但 Es/N0 为 10dB 的窃听者仍然会在 20%的时间内正确分类该信号。如果对手希望使用 FGSM 更普遍地实现 BPSK 的 0%分类，那么他们将需要使用 4db 的 Es/Ej 进行传输。这种攻击强度要求 SNR 增加 ≈4db 以保持相同的误码率。在图 13 中观察到的较低 SNR 下的准确度增加也可以在图 12 中观察到，因此在 BPSK 示例中进行了推广。在图 14 的 8PSK 和图 15 的 QAM16 的结果中也可以观察到这种影响，但程度较小。因此，即使仅从准确度的角度来评估对手的成功，对手也可能会受到 AWGN 信道的显著损害，并且必须为干扰贡献更多的能量，以便获得与直接访问规避攻击相同的成功率

图 13 A 数据集通过 FGSM 攻击的输出