DE-JSMA:面向SAR-ATR模型的稀疏對抗攻擊算法

金夏穎,李揚,潘泉

(1.西北工業大學 網絡空間安全學院,陜西 西安 710072; 2.西北工業大學 自動化學院,陜西 西安 710072)

合成孔徑雷達(synthetic aperture radar,SAR)廣泛應用于地理勘測、軍事信息處理等領域。由于SAR圖像人工解譯十分困難,且SAR系統獲取的數據量不斷增加,近年來SAR圖像解譯已轉向智能化,基于深度神經網絡模型(deep neural network,DNN)的合成孔徑雷達自動目標識別系統(synthetic aperture radar automatic target recognition,SAR-ATR)可自動提取特征,大幅提高了識別準確率和效率[1-3]。但研究表明[4-9]DNN模型易受到對抗樣本的攻擊,且對抗樣本能夠以高置信度被DNN模型誤分類,但人眼幾乎無法辨別。

2014年,Szegedy等[10]首次發現DNN模型的脆弱性。而后,Goodfellow等[4]解釋了這種“對抗攻擊”現象存在的原因,即DNN模型高維空間中的線性性質導致無限小的對抗擾動在DNN模型前向傳播過程中不斷積累,最終引起輸出的巨大變化。根據對抗擾動的疏密程度,可將對抗攻擊分為密集攻擊和稀疏攻擊。密集攻擊通常以全尺寸分布的方式向輸入圖像添加擾動,例如:Goodfellow等[4]提出了利用損失函數梯度的快速梯度符號方法(fast gradient sign method,FGSM);Moosavi-Dezfooli等[5]提出了基于超平面分類的攻擊方法DeepFool;Carlini和Wagner[6]提出了C&W算法,將距離度量引入到目標函數中,迭代尋找其最優解。與密集攻擊不同,稀疏攻擊主要需要考慮2個問題,即擾動位置和擾動強度的選擇,例如:Papernot等[7]提出了基于雅各比矩陣的顯著圖攻擊算法(Jacobian saliency map attack,JSMA),構建顯著圖挑選顯著特征,并對其添加擾動;Su等[8]提出了OnePixel算法,結合差分進化(differential evolution,DE)[11]算法確定擾動像素坐標和擾動強度,利用DNN模型的結果引導進化方向;Modas等[9]提出了SparseFool算法,是DeepFool算法在稀疏攻擊上的應用,但只能進行非定向攻擊。

上述攻擊算法均針對光學圖像,而近年來,針對SAR-ATR系統的對抗攻擊研究也開始涌現。2020年,Huang等[12]使用3種主流對抗攻擊算法攻擊基于DNN的SAR-ATR模型,識別準確率降低90%以上,首次證明了SAR-ATR模型的脆弱性。2021年,Du等[13]提出了Fast C&W算法,引入編碼器網絡實現了原始樣本到對抗樣本的映射,提高了算法實時性。最近,Peng等[14]提出了斑點變異攻擊(speckle-variant attack,SVA)算法,通過操縱斑點噪聲模式增強對抗樣本的遷移性。然而現有針對SAR圖像的對抗攻擊算法均為密集型,擾動范圍大,物理可行性差。而且SAR圖像由離散散射中心亮斑組成,目標區域占比較小,導致其特征冗余程度高[15],因而采用稀疏攻擊添加針對性擾動的方式可解釋性更強,稀疏對抗樣本也更貼合物理世界中監測區域被部分遮擋或附著異物的情況。

為了解決上述問題,針對SAR圖像特征稀疏性,本文在JSMA算法的基礎上提出了一種新的稀疏攻擊方法——基于差分進化的雅各比顯著圖攻擊算法(differential evolution-Jacobian saliency map attack,DE-JSMA),在精確篩選出對模型推理結果影響較大的顯著特征的同時,動態選擇合適的特征值,并延伸設計,使其既可以定向攻擊,又可以非定向攻擊。為了更全面地驗證攻擊有效性,本文構建了一種結合攻擊成功率和對抗樣本平均置信度的新指標Fc值。實驗結果表明,在沒有增加過多耗時,且保證高攻擊成功率的情況下,DE-JSMA實現了可靠性更高、稀疏性更優的稀疏攻擊,并且表現出了優越的重定向能力。

1 SAR-ATR系統攻擊分析

SAR-ATR系統通常包括圖像采集、數據預處理、深度神經網絡訓練和驗證、深度識別模型測試和部署等幾個重要的信息處理步驟,這些步驟都具有潛在的安全問題。①圖像采集階段:攻擊者使用特定方式干擾SAR傳感器的數據采集鏈路。在SAR成像的過程中,攻擊者可以設置不同的干擾模式來攻擊SAR抗欺騙干擾技術。②圖像預處理階段:在提取圖像信息前,需對原始圖像數據進行一系列校正和預處理操作,在這個過程中也會存在新的安全風險,例如重采樣攻擊,攻擊圖片被圖像識別模型縮放到特定的空間分辨率后才會得以顯現。③模型訓練階段:典型的攻擊方式包括投毒攻擊和后門攻擊。投毒攻擊是指攻擊者設法對訓練數據進行某種惡意操作進而污染訓練數據,使原有數據的概率分布發生改變,模型可用性被破壞的一種攻擊方式。而后門攻擊是指模型在訓練階段使用某些精心制作的惡意樣本進行訓練,此模型對于正常樣本的預測結果表現正常,但對于某些具有特定屬性的測試樣本,便可以觸發后門使模型的預測結果受攻擊者操控。④模型測試階段:典型的攻擊方式是規避攻擊,規避攻擊的一個代表性工作就是針對DNN模型的對抗攻擊。⑤模型部署階段:典型的攻擊方式包括面向設備的硬件攻擊、操作系統攻擊等。許多支持神經網絡加速的開源軟硬件平臺的底層安全問題尚未得到充分驗證,這給模型部署帶來了很大的安全風險。

本文的工作是針對SAR-ATR系統的模型測試階段實施對抗攻擊,在圖像分類任務中,對抗攻擊的目的是針對輸入圖像(即原始樣本)X∈RH×W及其真實標簽Y∈RJ,找到一個人眼難以察覺的對抗擾動δ,從而誤導目標識別模型F:RH×W→RJ輸出錯誤預測結果。衡量對抗擾動δ的大小通常使用Lp范數。對抗攻擊的形式化表達如(1)式所示

(1)

式中:F為深度神經網絡模型;X為原始樣本;X′為對抗樣本;Y為原始樣本的標簽;Y′為對抗樣本的標簽;δ為對抗擾動;D為樣本取值范圍,圖像中通常為像素值范圍[0,255];‖·‖p為度量對抗擾動大小的范數,p=0時,范數值表示相較于原始樣本,對抗樣本改變的像素個數大小;p=2時,范數值表示對抗樣本和原始樣本之間的歐幾里得距離。

由(1)式可知,對抗攻擊可看作一個在規定條件內最小化的優化問題,但DNN模型高度非線性的性質導致此優化問題非線性且非凸,因此找到這個問題的最優解并非易事。

2 DE-JSMA算法

本文將(1)式中的求解轉化為最佳擾動位置與大小選擇的問題,因此,設計的DE-JSMA算法主要分為3步。第一步是利用雅克比顯著性計算的方法實現顯著圖的計算;第二步是利用算得的顯著圖確定要攻擊的位置;第三步則是利用差分進化算法計算顯著性圖所在點的攻擊強度,最終得到對抗擾動δ,將其添加到干凈樣本X上獲得對抗樣本X′從而實現有效的稀疏攻擊,整體框架圖如圖1所示。在JSMA的基礎上,本文進行了延伸設計,使得提出的DE-JSMA既可以實現非定向攻擊,也可以實現定向攻擊,具體的算法設計將在下文進行詳細介紹。

圖1 DE-JSMA算法框架圖

2.1 顯著性檢測方法

顯著性檢測方法主要分為以下2步:

1) 求前向梯度

前向梯度的定義是目標模型輸入與隱藏層輸出映射函數的雅各比矩陣,可表示單個隱藏層輸出關于單個輸入特征的變化關系,其公式為

(2)

式中:X為輸入圖像;F(·)為目標模型輸入到隱藏層輸出的映射函數;Fj為第j個隱藏層輸出;xi為輸入圖像的第i個特征;M為輸入圖像的特征總數,即像素總數;N為目標模型隱藏層的輸出個數。

2) 計算顯著圖

JSMA算法提出了基于雅各比矩陣的顯著圖計算方法,此方法只適用于定向攻擊,其公式為

S(X,t)[i]=

(3)

式中,t為目標類別標簽。

JSMA算法只實現了定向攻擊,本文將此算法推廣到非定向攻擊場景,其公式為

(4)

式中,l為輸入圖像的真實標簽。

2.2 差分進化算法

Storn和Price[11]提出差分進化算法,采用基于群體的啟發式搜索解決連續空間全局優化問題。DE算法通過有針對性地選擇系統參數優化系統的某些屬性,DE-JSMA中選取的待優化系統參數為挑選出的顯著特征特征值。差分進化算法優化問題的標準流程是,首先設計一個目標函數對問題目標進行建模,該函數可結合任意約束。目標函數大多會將優化問題定義為最小化問題,這種目標函數可被更準確地描述為成本函數。DE-JSMA中差分進化的目標函數fDE設為目標網絡模型輸出的目標類別置信度,如(5)式所示,以此來確定特征值進化的方向。

(5)

式中:c(X′(t))為對抗樣本目標類別t的置信度;c(X′(l))為對抗樣本標簽類別l的置信度。

而后算法初始化種群即待優化系統參數的候選值,循環執行變異、交叉和選擇操作,完成種群的進化,直到算法迭代次數達到上限,或種群最優解達到預設誤差精度時,算法結束。

算法1DE-JSMA

輸入干凈樣本X; 標簽類別l; 定向攻擊的目標類別t;

神經網絡模型輸入到隱藏層輸出的映射函數F;

攻擊上限γ; 攻擊步長n;

DE算法最大迭代次數Imax

輸出對抗樣本X*

1)X*←X

2) whileN≤γand 攻擊未成功 do

4) if 非定向攻擊 then

5) 利用(4)式計算顯著圖

S=saliency-map(F(X*),l);

6) else if 定向攻擊 then

7) 利用(3)式計算顯著圖

S=saliency-map(F(X*),t);

8) end if

9) 按照攻擊步長n選取顯著特征;

10) whilej

11) 利用DE算法微調顯著特征的特征值;

12)N←N+n;

13) end while

14) end while

DE-JSMA算法執行過程如算法1所示。開始攻擊前,需設置攻擊方式(非定向攻擊/定向攻擊)、攻擊步長n、DE算法最大迭代次數Imax和攻擊上限γ。若攻擊方式設為定向攻擊,則還要設置攻擊的目標類別。攻擊步長是指單次擾動的特征數量。攻擊上限指擾動特征數量的上限,γ最大可設為16 384(即128×128)。由于顯著圖的計算需要較大計算成本,因此為減少計算顯著圖的次數,每輪需要選取多個顯著特征,即攻擊步長n,但n也不宜過大,否則會造成后續差分進化算法尋優過程中計算成本增加。n默認為5。DE算法最大迭代次數Imax也不宜過大,否則同樣會造成耗時過長,而且在單步攻擊中迭代次數過多,易使對抗擾動陷入局部最優解。Imax默認為3。

設置參數后,DE-JSMA將迭代攻擊直至攻擊成功或擾動特征數量超出攻擊限制,每輪攻擊包含3個步驟:首先計算前饋神經網絡模型的“前向梯度”,即模型輸入到隱藏層輸出映射函數的梯度(第3)步),并利用前向梯度計算顯著圖(第4)～8)步);然后基于顯著圖選取顯著特征,特征越顯著表示對模型輸出影響越大(第9)步);最后利用差分進化算法尋優,為選取的顯著特征確定像素值(第10)～13)步)。每輪攻擊結束判斷是否攻擊成功,若成功則攻擊結束,否則進入下一輪攻擊,如此迭代直至攻擊成功。

3 實驗及分析

為了驗證DE-JSMA的有效性,本文在公開的SAR圖像數據集MSTAR上分別對經典的DNN模型如AlexNet、VGG16以及ResNet18等進行攻擊,并以攻擊成功率、Fc值以及平均擾動特征個數作為評價指標,分別在定向攻擊和非定向攻擊場景下展開對比實驗。

3.1 實驗環境與實驗設置

硬件環境為英特爾Silver 4210R處理器,128 GB內存。軟件環境為64位Ubuntu 20.04.1操作系統,顯卡為GeForce RTX 3090,開發環境為Python 3.6.13,PyTorch 1.9.0。

實驗采用包含10類目標的SAR圖像數據集MSTAR,攻擊的3個目標模型在MSTAR訓練集上的訓練準確率分別為92.62%,97.11%,91.39%,如表1所示。本文從MSTAR測試集的每個分類分別隨機選取10張圖像,選取的100張圖像構成驗證數據集,用于測試對抗攻擊算法,3個模型攻擊數據集上的分類準確率分別為91.00%,97.00%,91.00%,如表1所示。

表1 3個目標模型的準確率 %

本文將與FGSM、C&W、DeepFool、SparseFool、JSMA、OnePixel 5個對抗攻擊算法進行對比實驗,算法特性如表2所示。

表2 不同算法的特性表

3.2 評價指標

1) 攻擊成功率

攻擊成功率RAS是評價對抗攻擊算法最常用的評價指標,按定義可分為定向攻擊和非定向攻擊。定向攻擊的攻擊成功率表示在全部樣本中,可被模型分類為目標類別的比例,其公式為

(6)

非定向攻擊的攻擊成功率表示在全部樣本中,可被模型錯誤分類的對抗樣本的比例,其公式為

(7)

式中,y(n)為第n個干凈樣本的標簽類別。

2)Fc值

對抗樣本的可靠性可通過其對抗類別的置信度來衡量,置信度越高,表示對抗樣本具備越多對抗類別的特征,進而表明對抗樣本攻擊性能就越強。當目標模型發生微調時,置信度高的對抗樣本仍能保持攻擊效果的概率更高。RAS是評價對抗攻擊算法最重要的指標,可靠性相對次要,因此本文將攻擊成功率和與對抗樣本置信度相關的參數C結合起來,將二者的調和平均數定義為一個新指標Fc,有助于綜合評價對抗樣本的質量并提供更準確的判斷依據,Fc值越大,表示對抗樣本在保證攻擊有效性的前提下更可靠,其公式為

(8)

3) 平均擾動特征個數Navg

DE-JSMA算法對擾動進行L0范數約束的稀疏對抗攻擊。L0范數可表示相較于原始樣本,對抗樣本改變的像素個數,因此本文將L0范數的平均值Navg作為衡量對抗擾動稀疏性和對抗樣本隱蔽性的指標,其公式為

(9)

式中:S為對抗樣本總數;I(·)為指示函數。

4) 平均耗時Tavg

平均耗時是評價攻擊算法的一項重要評價指標,用于衡量攻擊算法的實時性,其公式為

(10)

式中,Ti為第i個對抗樣本的攻擊耗時,單位為s。

3.3 實驗結果與分析

本節實驗中,攻擊上限γ設為16 384,即可攻擊任意多個特征,攻擊步長n和最大迭代次數Imax分別采用默認值5和3。攻擊的可視化結果如圖2所示。

圖2 DE-JSMA對抗攻擊可視化展示

非定向攻擊實驗對比結果如表3所示。DE-JSMA攻擊成功率均達到100%,攻擊效果非常優越。然而Fc值結果并不突出,因為DE-JSMA非定向攻擊時,擾動優化的目標是樣本偏離原有決策邊界,而非讓某一對抗類別置信度增加,這就導致非定向攻擊中對抗樣本置信度往往較低,進而導致Fc值較低,但并不影響DE-JSMA的有效性。從Navg來看,DE-JSMA僅擾動0.09%～0.31%的像素就達到了100%的攻擊成功率,且擾動特征數量比第二稀疏的OnePixel少71.67%～91.62%,攻擊稀疏性最好,這正是DE-JSMA的優勢所在,將擾動集中到極少數的像素上,大大增加了攻擊的物理可實現性。

表3 非定向攻擊對比結果

針對定向攻擊,本文同樣在MSTAR數據集上展開,并對其10個類別全部進行了定向攻擊。為了綜合對比攻擊效果,實驗結果為各項指標全類別結果的均值,如表4所示。從攻擊成功率RAS來分析,DE-JSMA和JSMA有著相似的表現性能,均遠超其他算法,但在Fc值這一評價指標下,DE-JSMA有著鮮明的優勢,生成的對抗樣本在保證有效性的同時表現出最優的可靠性。與非定向攻擊不同,DE-JSMA在挑選出顯著像素后,差分進化算法能有效利用目標類別對目標模型進行有針對性的優化,進而優化得到具有高置信度的對抗樣本,即可靠的對抗樣本。由此可得,DE-JSMA更適用于定向攻擊。除此之外,DE-JSMA同樣表現出最佳的稀疏性,在擾動0.60%～0.85%的極少數像素的情況下實現定向攻擊,大大提升了攻擊的實用價值。

表4 定向攻擊對比結果

針對SAR-ATR系統高實時性的特點,所提出的攻擊算法要有一定的時效性,因此將平均耗時Tavg設置成另一重要指標。DE-JSMA自身具有稀疏特性,因此只和同類型的稀疏算法進行對比。稀疏攻擊算法在非定向攻擊和定向攻擊時的平均耗時對比結果如表5所示,其中定向攻擊的平均耗時為全類別平均耗時的均值。

由表5可知,非定向攻擊時,DE-JSMA耗時最短,均遠遠低于OnePixel,與之相差1～2個數量級。然而在定向攻擊時,盡管計算一次顯著圖選取多個顯著特征,這種做法可起到省時的作用,但差分進化算法收斂緩慢,優化確定顯著特征的像素值的過程會耗費大量時間,因此DE-JSMA比JSMA耗時略高,但若將差分進化算法替換成更先進的優化算法,算法的時間性能將會有進一步的提升。

為了更全面地展示DE-JSMA算法定向攻擊的性能,圖3以熱力圖的方式展示了針對3種目標模型全類別的定向攻擊結果。熱力圖縱軸的0～10表示干凈樣本的源類別,每個源類別從測試數據集中選取10個干凈樣本,共選取出100個干樣本,橫軸的0～10表示對抗樣本的目標類別,圖中數字表示源類別10個干凈樣本中,成功攻擊成目標類別的對抗樣本個數,熱力圖數值越大,顏色越深,表示該數值對應的源類別被攻擊成目標類別的樣本數越多,即該源類別更易被攻擊成目標類別。單張熱力圖中定向攻擊成功總次數除以定向攻擊發起總次數可以計算得到,DE-JSMA算法定向攻擊AlexNet、VGG16和ResNet18時,分別能以79.67%,93.56%,91.00%的成功率將干凈樣本重定向為任意目標類別,這進一步說明了DE-JSMA在定向攻擊中的有效性。

圖3 定向攻擊源類別與目標類別相關性熱力圖

4 結 論

基于DNN的SAR-ATR系統存在嚴重的安全問題?？紤]到SAR圖像的特征稀疏性,本文提出了DE-JSMA稀疏攻擊算法,在精確篩選出對模型推理結果影響較大的顯著特征的同時,動態選擇合適的特征值。本文還構建了一種結合攻擊成功率和對抗樣本平均置信度的新指標Fc值,來全面評價攻擊算法的有效性和可靠性。實驗結果表明,在沒有增加過多耗時,且保證高攻擊成功率的情況下,DE-JSMA在定向、非定向2種攻擊場景中均實現了可靠性更高、稀疏性更優的稀疏攻擊,并且表現出了優越的重定向能力。后續工作中需進一步提升算法執行效率,以滿足SAR-ATR系統的高實時性。