摘要
深度学习技术极大地提高了雷达图像目标分类的精度,但由于神经网络自身的脆弱性使得雷达图像分类系统的安全性受到威胁。本文对雷达对抗样本的攻击性及雷达对抗样本与原始样本在频率域上的差异性进行了分析,并在此基础上,提出了两步式雷达对抗样本检测技术来提升雷达分类模型的安全性。首先基于频率域对输入的雷达图像进行第1步对抗样本检测,分离出对抗样本,然后将剩下的图像分别送入到一个经过对抗训练的模型和一个未经过对抗训练的模型进行第2次对抗样本检测。通过这种两步式的检测方法,可以有效地检测出对抗样本,检测成功率不低于95.73%,有效提升了雷达分类模型的安全性。
雷达图像在监测、测绘和军事等方面有着广泛的用
随着深度学习在计算机视觉领域的不断发展,深度神经网络在图像目标分类中取得了很好的效
针对雷达图像分类模型的安全性问题,本文结合雷达图像频域转换和对抗训练,提出了一种基于雷达图像分类模型的两步式对抗样本检测方法。首先基于雷达干净样本与对抗样本在频率域中的差异进行第1步对抗样本检测,然后使用基于对抗训练的方法对剩余数据进行第2步对抗样本检测。实验结果表明,本文所提出的两步式检测方法可以有效地检测出雷达对抗样本,检测成功率不低于95.73%,平均检测成功率为97.93%,提升了雷达图像分类模型的安全性。
对抗样本是指在原始样本中人为添加微小噪声生成的样本,这些对抗样本从视觉上不易被察觉,但会使训练好的深度模型出错,威胁基于深度神经网络的应用。向干净样本中添加人为设计的极小的扰动产生对抗样本,对抗样本会使训练好的模型以很高的置信度输出错误类别。

图1 决策边界与MSTAR数据集中对抗样本与干净样本特征可视化
Fig.1 Decision boundary and visualization of adversarial and clean sample features in the MSTAR dataset
自对抗样
FGS
(1) |
式中: 为干净样本,为生成的对抗样本,为损失函数的梯度,为干净样本对应的类别,为符号函数,为限制扰动范围的一个常数。FGSM的主要思想是通过计算预测概率与真实值之间损失函数的梯度,并通过符号函数来得到梯度方向,将得到的梯度方向乘以扰动步长得到对抗噪声,最后将噪声加到干净图像上获得对抗样本。这些对抗样本对线性性相对较高的模型攻击效果较强。
PG
(2) |
式中:将第1步对抗样本初始化为原始样本,为截断函数,将扰动约束在范数范围内,为单步攻击的步长,为迭代次数。由PGD攻击方法生成的对抗样本攻击性较强。
SPA
根据上述攻击算法生成的对抗样本可以有效攻击神经网络模型,使得模型分类出错,而且生成的对抗样本与原始样本之间的像素差距很难被发现。如

图2 不同攻击方法产生的雷达对抗样本
Fig.2 Adversarial radar samples generated by different attack methods
神经网络强大的特征提取能力使其可以准确地分类雷达样本,常见的神经网络主要包括输入层、卷积层、池化层、全连接层和输出层。实验选取了常用的卷积神经网络VGGNe
VG
ResNe
由于雷达图像的散射成像机理,导致雷达成像机制不同于光学成像系

图3 两步式雷达对抗样本检测技术
Fig.3 Two-step radar adversarial sample detection technique
为了分析雷达原始样本与对抗样本在空间域的差异,探究过程中首先选取100张原始图像,然后使用3种攻击方法得到对应的对抗样本,然后进行空间域上的灰度统计,绘制出灰度直方图。如

图4 不同攻击产生的对抗样本与原始样本在空间域中的灰度直方图
Fig.4 Grayscale histograms of adversarial samples generated by different attacks and original samples in spatial domain
本文使用傅里叶变换将原始图像和对抗样本从空间域变换到频率域,对频谱图进行分析。傅里叶变换的表达式为
(3) |
式中:分别为图像的宽和高,为图像在处的像素值,为对应的频域值。

图5 不同攻击产生的对抗样本与原始样本频谱图的灰度值直方图
Fig.5 Grayscale value histograms of spectrograms of adversarial samples generated by different attacks and original samples
本文基于频谱的变异系数(Coefficient of variation, CV)来区分对抗样本与原始样本,变异系数的计算公式为
(4) |
式中: 和分别为图像的高和宽;为频谱图在点处的像素值;为频谱图像素值的平均值。

图6 原始样本与不同对抗样本分别在空间域与频率域中的CV值
Fig.6 CV values of original samples and different adversarial samples in spatial and frequency domains respectively
针对基于频率域的对抗样本检测方法检测后剩余的混合数据,本文通过基于对抗训练的方法再次检测,进一步提升了雷达分类模型的安全性。对抗训练以一种类似于数据增强的手段,针对当前模型生成对抗样本,然后将这些对抗样本与原始样本送入模型进行再次训练,可以有效地提升模型的鲁棒性。对抗训练的目的可以表示为
(5) |
式中:和分别为干净样本和与之对应的正确类别,以此训练得到模型,为模型对应的参数。向干净样本添加噪声得到对抗样本,然后送入模型中再次训练,得到新的模型,其参数为。对于输入的对抗样本,未经过对抗训练的模型分类会出错,而经过对抗训练的模型则会得到正确的结果。
对于经过第1步检测后剩余的数据,将其输入未经过对抗训练的模型得到预测类别,再将其输入到经过对抗训练的模型得到预测类别,如果类别则输入的数据为对抗样本,否则为干净样本。基于对抗训练的雷达对抗样本检测算法如下:
输入:第1步检测后剩余的混合数据集
输出:是干净样本或对抗样本
(1) for in
(2) 样本输入模型得到预测类别
(3) 样本输入模型得到预测类别
(4) if then
(5) 为对抗样本
(6) else
(7) 为干净样本
(8) end for
本文首先在MSTA
MSTA
类别 | 2S1 | BRDM_2 | BTR_60 | D7 | T72 | BMP2 | BTR‑70 | T62 | ZIL131 | ZSU_23_4 |
---|---|---|---|---|---|---|---|---|---|---|
训练集数量 | 424 | 423 | 322 | 423 | 330 | 330 | 331 | 422 | 424 | 423 |
测试集数量 | 149 | 149 | 129 | 150 | 98 | 98 | 98 | 150 | 149 | 150 |

图7 MSTAR数据集示例
Fig.7 Examples from the MSTAR dataset
SENSA

图8 SENSAR数据集示例
Fig.8 Examples from the SENSAR dataset
本节使用1.2节提到的攻击算法在两个数据集上分别对ResNet18、ResNet50和VGG13深度神经网络进行攻击性验证,然后使用FGSM和PGD攻击算法分别在两个数据集上进行不同强度扰动的攻击实验,验证雷达分类模型在遭受攻击时分类性能难以保持。
由于MSTAR数据集中的目标都居于图像中心,所以在实验过程中,通过中心裁剪,将图像分辨率更改为64像素×64像素。对于SENSAR图像,分辨率由256像素×256像素压缩到224像素×224像素。然后分别使用白盒攻击FGSM、PGD和黑盒攻击SPSA算法在两个数据集上进行了攻击性实验。对于FGSM算法,实验中设置范数约束扰动=0.020用来生成对抗样本;针对PGD算法,实验中设置范数约束扰动=0.020,每次的步长为0.002,迭代10次用来生成对抗样本,对于黑盒攻击SPSA设置范数约束扰动=0.025,迭代20次来生成对抗样本。如
攻击方法 | MSTAR | SENSAR | ||||
---|---|---|---|---|---|---|
Res18 | Res50 | VGG13 | Res18 | Res50 | VGG13 | |
FGSM | 60.30 | 55.50 | 74.55 | 95.13 | 96.12 | 97.19 |
PGD | 65.30 | 44.17 | 66.67 | 100.00 | 99.04 | 100.00 |
SPSA | 60.76 | 57.65 | 71.24 | 97.17 | 98.93 | 99.94 |
为了进一步探究对抗样本对模型准确率的影响,在上述实验的基础上,针对FGSM攻击和PGD攻击分别设置了不同强度的扰动对模型进行攻击,设置扰动()分别为0.005、0.010、0.015、0.020、0.025、0.030。具体实验结果如表
数据集 | 模型 | 扰动 | |||||
---|---|---|---|---|---|---|---|
0.005 | 0.010 | 0.015 | 0.020 | 0.025 | 0.030 | ||
MSTAR | ResNet18 | 2.05 | 25.30 | 47.50 | 60.30 | 70.98 | 77.95 |
ResNet50 | 8.33 | 20.68 | 37.50 | 55.00 | 69.55 | 78.79 | |
VGG13 | 14.85 | 31.52 | 48.48 | 63.71 | 74.55 | 81.14 | |
SENSAR | ResNet18 | 84.05 | 93.49 | 95.00 | 95.13 | 96.12 | 97.19 |
ResNet50 | 68.93 | 78.20 | 88.80 | 92.48 | 93.02 | 93.84 | |
VGG13 | 87.30 | 94.51 | 93.60 | 93.60 | 94.31 | 94.45 |
数据集 | 模型 | 扰动 | |||||
---|---|---|---|---|---|---|---|
0.005 | 0.010 | 0.015 | 0.020 | 0.025 | 0.030 | ||
MSTAR | ResNet18 | 1.36 | 17.58 | 55.30 | 65.30 | 79.77 | 89.09 |
ResNet50 | 6.06 | 15.08 | 27.12 | 44.17 | 60.15 | 74.70 | |
VGG13 | 11.67 | 26.89 | 44.47 | 66.67 | 81.82 | 89.62 | |
SENSAR | ResNet18 | 79.29 | 97.79 | 99.39 | 100.00 | 100.00 | 100.00 |
ResNet50 | 88.98 | 97.40 | 98.34 | 99.04 | 99.57 | 99.86 | |
VGG13 | 98.36 | 100.00 | 100.00 | 100.00 | 100.00 | 100.00 |

图9 不同扰动程度下FGSM和PGD攻击方法在两个数据集上攻击3种分类模型的攻击成功率
Fig.9 Attack success rates of FGSM and PGD attack methods on three classification models across two datasets at different perturbation levels
从实验结果可以看出,深度神经网络模型极易受到对抗攻击,在扰动达到一定强度后,模型的准确率会急剧下降,表明基于深度神经网络训练得到的雷达分类模型非常脆弱,这对雷达分类系统的安全性是一个极大的威胁。
3.2节的实验已经证明了对抗样本对雷达分类模型具有攻击性,检测出这些对抗样本可以有效提升雷达分类模型的安全性。本节通过与3种对抗样本检测方法进行对比,验证所提出的两步式检测方法能更有效检测出雷达对抗样本。Zhou
(6) |
式中:和分别为被正确检测出的对抗样本和干净样本数量;和分别为被错误检测出的对抗样本和干净样本数量。
数据集 | 攻击 方法 | VGG13 | ResNet18 | ResNet50 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
DBA | LR | LiBRe | 本文 | DBA | LR | LiBRe | 本文 | DBA | LR | LiBRe | 本文 | ||
MSTAR | FGSM | 74.89 | 75.65 | 84.14 | 96.14 | 81.42 | 79.98 | 85.69 | 96.90 | 82.32 | 82.15 | 84.24 | 96.32 |
PGD | 71.01 | 72.48 | 80.27 | 96.52 | 79.63 | 81.97 | 80.27 | 97.82 | 83.01 | 80.38 | 82.79 | 95.73 | |
SPSA | 75.89 | 76.87 | 85.61 | 96.91 | 82.46 | 83.45 | 87.09 | 97.35 | 81.97 | 79.87 | 85.39 | 96.98 | |
SENSAR | FGSM | 78.12 | 79.95 | 80.91 | 99.22 | 80.25 | 71.86 | 83.38 | 99.16 | 78.12 | 75.46 | 81.98 | 99.21 |
PGD | 76.96 | 82.64 | 79.08 | 99.17 | 81.13 | 78.71 | 82.47 | 99.13 | 82.33 | 80.15 | 79.87 | 98.17 | |
SPSA | 79.98 | 80.28 | 81.28 | 99.23 | 84.75 | 80.45 | 86.77 | 99.41 | 79.94 | 82.67 | 83.87 | 99.45 |
为了进一步分析两步式检测方法的检测能力,本节使用该检测方法检测不同扰动程度的对抗样本。扰动值分别设为0.005、0.010、0.015、0.020、0.025和0.030,且对抗样本与干净样本的比例为1∶1。同时在扰动为0.020时,分析MSTAR数据集中不同类别在两步式检测方法中,每一步的检出数量及两个数据集中不同类型对抗样本在每一步的检出率。

图10 不同扰动程度下两步式检测方法的检测准确率
Fig.10 Detection accuracy of two-step detection method at different perturbation levels
类别 | 对抗样本总数量 | 第1步检出数量 | 第2步检出数量 | 检出总数量 | 剩余数量 | 对抗样本检出率/% |
---|---|---|---|---|---|---|
2S1 | 573 | 323 | 234 | 557 | 16 | 97.21 |
BRDM_2 | 572 | 422 | 107 | 529 | 43 | 92.48 |
BTR_60 | 451 | 302 | 134 | 436 | 15 | 96.67 |
D7 | 573 | 173 | 284 | 457 | 116 | 79.76 |
SN_132 | 428 | 397 | 28 | 425 | 3 | 99.30 |
SN_9563 | 428 | 416 | 12 | 428 | 0 | 100.00 |
SN_C71 | 429 | 424 | 5 | 429 | 0 | 100.00 |
T62 | 572 | 215 | 351 | 566 | 6 | 98.95 |
ZIL131 | 573 | 246 | 285 | 531 | 42 | 92.67 |
ZSU_23_4 | 573 | 171 | 397 | 568 | 5 | 99.13 |
合计 | 5 172 | 3 089 | 1 837 | 4 926 | 246 | 95.24 |

图11 MSTAR数据集中不同类别在两步式检测结果中每步对抗样本的检出比例
Fig.11 Detection proportions of adversarial samples for different categories in each step of the two-step detection results in the MSTAR dataset

图12 单步检测(Step 1、Step 2)与两步结合(Steps 1 & 2)检测准确率
Fig.12 Detection accuracy of single-step detection (Step 1, Step 2) and combined two-step detection (Steps 1 & 2)
本文针对雷达分类模型的安全性问题进行研究,分析了雷达对抗样本的攻击性和其在频率域与原始样本的差异,提出了一种两步式的雷达对抗样本检测技术。该方法首先基于雷达对抗样本与原始样本在频率域的差异进行第1步对抗样本检测,再基于对抗训练进行第2步对抗样本检测,实验结果表明此方法可以有效地检测雷达对抗样本,提升了模型的安全性。但是本文基于频率域的第1步检测成功率依赖于阈值的设置,后续工作中会基于频率域的差异设计出一种原始样本与对抗样本的分类器,不再依赖于阈值的设定,提升了该方法的泛化性。
参考文献
Guo Y, Du L, Wei D, et al. Robust SAR automatic target recognition via adversarial learning[J]. IEEE Journal of Selected Topics in Applied Earth Observations and Remote Sensing, 2020, 14: 716-729. [百度学术]
雷钰,刘帅奇,张璐瑶,等.基于深度学习的合成孔径雷达图像去噪综述[J].兵器装备工程学报,2022,43(11): 71-80. [百度学术]
LEI Yu, LIU Shuaiqi, ZHANG Luyao, et al. Review of synthetic aperture radar image denoising based on deep learning[J]. Journal of Ordnance Equipment Engineering,2022,43(11): 71-80. [百度学术]
Denis L, Dalsasso E, Tupin F. A review of deep-learning techniques for SAR image restoration[C]//Proceedings of 2021 IEEE International Geoscience and Remote Sensing Symposium IGARSS. [S.l.]: IEEE, 2021: 411-414. [百度学术]
Huang T, Zhang Q, Liu J, et al. Adversarial attacks on deep-learning-based SAR image target recognition[J]. Journal of Network and Computer Applications, 2020, 162: 102632. [百度学术]
谷雨,张琴,徐英.融合压缩感知和SVM的SAR变形目标识别算法[J].数据采集与处理,2016,31(4): 754-760. [百度学术]
GU Yu, ZHANG Qin, XU Ying. SAR distorted object recognition algorithm based on compressed sensing and support vector machine fusion[J]. Journal of Data Acquisition & Processing, 2016,31(4): 754-760. [百度学术]
Wang R, Wang W, Shao Y, et al. First bistatic demonstration of digital beamforming in elevation with TerraSAR-X as an illuminator[J]. IEEE Transactions on Geoscience and Remote Sensing, 2015, 54(2): 842-849. [百度学术]
Parrilli S, Poderico M, Angelino C V, et al. A nonlocal SAR image denoising algorithm based on LLMMSE wavelet shrinkage[J]. IEEE Transactions on Geoscience and Remote Sensing, 2011, 50(2): 606-616. [百度学术]
Geng J, Jiang W, Deng X. Multi-scale deep feature learning network with bilateral filtering for SAR image classification[J]. ISPRS Journal of Photogrammetry and Remote Sensing, 2020, 167: 201-213. [百度学术]
康志强,张思乾,封斯嘉,等.稀疏先验引导CNN学习的SAR图像目标识别方法[J].信号处理,2023,39(4): 737-750. [百度学术]
KANG Zhiqiang, ZHANG Siqian, FENG Sijia, et al. Sparse prior-guided CNN learning for SAR images target recognition[J]. Journal of Signal Processing, 2023,39(4): 737-750. [百度学术]
霍鑫怡,李焱磊,陈龙永,等.基于卷积注意力和胶囊网络的SAR少样本目标识别方法[J].中国科学院大学学报,2022,39(6):783-792. [百度学术]
HUO Xinyi, LI Yanlei, CHEN Longyong, et al. SAR few-sample target recognition method based on convolutional block attention module and capsule network[J]. Journal of University of Chinese Academy of Sciences, 2022,39(6): 783-792. [百度学术]
Du M, Bi D. Local aggregative attack on SAR image classification models[C]//Proceedings of 2022 IEEE 6th Advanced Information Technology, Electronic and Automation Control Conference (IAEAC). [S.l.]: IEEE, 2022: 1519-1524. [百度学术]
Yuan X, He P, Zhu Q, et al. Adversarial examples: Attacks and defenses for deep learning[J]. IEEE Transactions on neural Networks and Learning Systems, 2019, 30(9): 2805-2824. [百度学术]
Du C, Huo C, Zhang L, et al. Fast C&W: A fast adversarial attack algorithm to fool SAR target recognition with deep convolutional neural networks[J]. IEEE Geoscience and Remote Sensing Letters, 2021, 19: 1-5. [百度学术]
SZEGEDY C, ZAREMBA W, SUTSKEVER I, et al. Intriguing properties of neural networks[EB/OL].(2013-12-21)[2023-12-27]. https://arxiv.org/abs/1312.6199. [百度学术]
Kurakin A, Goodfellow I J, Bengio S. Artificial intelligence safety and security[M]. [S.l.]: Chapman and Hall, 2018: 99-112. [百度学术]
Li H, Huang H, Chen L, et al. Adversarial examples for CNN-based SAR image classification: An experience study[J]. IEEE Journal of Selected Topics in Applied Earth Observations and Remote Sensing, 2020, 14: 1333-1347. [百度学术]
Ross T D, Worrell S W, Velten V J, et al. Standard SAR ATR evaluation experiments using the MSTAR public release data set[C]//Proceedings of Algorithms for Synthetic Aperture Radar Imagery Ⅴ. [S.l.]: SPIE, 1998: 566-573. [百度学术]
He K, Zhang X, Ren S, et al. Deep residual learning for image recognition[C]//Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition. [S.l.]: IEEE, 2016: 770-778. [百度学术]
Carlini N, Wagner D. Towards evaluating the robustness of neural networks[C]//Proceedings of 2017 IEEE Symposium on Security and Privacy (SP). [S.l.]: IEEE, 2017: 39-57. [百度学术]
Madry A, Makelov A, Schmidt L, et al. Towards deep learning models resistant to adversarial attacks[C]//Proceedings of International Conference on Learning Representations (ICLR). [S.l.]: IEEE, 2018. [百度学术]
Uesato J, O’donoghue B, Kohli P, et al. Adversarial risk and the dangers of evaluating against weak attacks[C]//Proceedings of International Conference on Machine Learning. [S.l.]: IEEE, 2018: 5025-5034. [百度学术]
Papernot N, McDaniel P, Goodfellow I, et al. Practical black-box attacks against machine learning[C]//Proceedings of the 2017 ACM on Asia Conference on Computer and Communications Security. [S.l.]: ACM, 2017: 506-519. [百度学术]
SIMONYAN K, ZISSERMAN A. Very deep convolutional networks for large-scale image recognition[EB/OL].(2014-09-04)[2023-12-27]. https://arxiv.org/abs/1409.1556. [百度学术]
Schmitt M, Hughes H L, Zhu X X. The SEN1-2 dataset for deep learning in SAR-optical data fusion[J]. ISPRS Annals of Photogrammetry, Remote Sensing and Spatial Information Sciences, 2018, Ⅳ-1: 141-146. [百度学术]
Zhou Q, Zhang R, Wu B, et al. Detection by attack: Detecting adversarial samples by undercover attack[C]//Proceedings of European Symposium on Research in Computer Security. Cham: Springer, 2020: 146-164. [百度学术]
FEINMAN R, CURTIN R R, SHINTRE S, et al. Detecting adversarial samples from artifacts[EB/OL].(2017-05-01)[2023-12-27]. https://arxiv.org/abs/1703.00410. [百度学术]
Deng Z, Yang X, Xu S, et al. Libre: A practical bayesian approach to adversarial detection[C]//Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition. [S.l.]: IEEE, 2021: 972-982. [百度学术]