（1）引言

? 神經網絡通常存在魯棒性缺陷，易受到對抗攻擊的威脅。攻擊者可以隱蔽的誘導雷達智能目標識別做出錯誤預測，如：

? a圖是自行車，加上對抗擾動后神經網絡就會將其識別為挖掘機。

（2）雷達像智能識別

? 傳統的雷達像識別方法通常利用特征工程構建模板庫，并采用合適的分類器進行識別。其效果特別依賴于人工設計特征的質量。

? 基于HRRP(High-Resolution Range Profile)是一維距離像，具有姿態敏感性，幅度敏感性和平移敏感性等。通常采用一維卷積網絡和循環神經網絡。

? 二維像主要為SAR圖像和ISAR圖像，目前針對SAR圖像研究較多。但是相比于光學圖像，雷達圖像獲取難度高，因此再訓練中的樣本不夠會導致過擬合現象。有以下幾種方法(1)使用輕量化神經網絡，大幅度減少網絡參數；(2)對有限樣本進行精細化處理進或利用生成式模型擴充訓練集；(3)再雷達圖像更少的情況下，使用遷移學習和元學習等方法。

? 基于速度神經網絡的雷達像識別方法一般采用提到都下降來使得預測分布和真實分布的偏差最小。這種具有潛在的魯棒性缺陷，比如只要在圖像上若干個位置的像素施加擾動就可以增大偏差，從而導致模型誤判。

（3）雷達像智能識別對抗攻擊

? 上一小節中最后一段的這種“設計并實現誤導神經網絡模型的對抗性擾動的過程叫做對抗攻擊”。

3.1對抗攻擊原理

? 神經網絡的訓練過程是尋找最小化偏差的過程：（尋找模型參數$\theta$）
$$\underset{\theta }{\text{argmin?}}l(f_{\theta }(x),y)$$
? 神經網絡的測試過程為尋找最小化偏差的過程：（尋找分類標簽$i$）
$$\underset{i}{\mathrm{argmin}}l(f_{\theta }(x),i),i\in (1,2???k)$$
? 對抗攻擊將樣本 $x$ 視為待優化量，沿著梯度上升的方向對 $x$ 添加擾動來增大其與真實標簽$y$之間的交叉熵（偏差），即:
$$\underset{x}{\max }l(f_{\theta }(x),y)$$
? 可以使用如下方法來設計擾動 $\eta$ ：
$$\underset{\eta }{\min }{\Vert \eta \Vert }_{L}s.t.\mathrm{argmax}(f(\underset{x_{\mathrm{adv}}}{\underbrace{x+\eta }}))\ne y$$

3.2對抗攻擊分類

?

? 幾乎所有的神經網絡都通過梯度下降的方式來優化損失函數，損失函數值越小，代表分類誤差越小，模型的識別效果越好。

? 基于梯度的攻擊沿著梯度上升的方向對干凈的樣本施加對抗擾動，使得新樣本在模型上的損失函數值增大，以實現誘導模型誤判的目的。

? 基于優化的攻擊將對抗擾動的生成轉化為約束條件下的尋優問題，通過在限定條件下尋找最能影響分類結果的像素點擾動來達到模型誤判的目的。

? 生成式攻擊利用生成對抗網絡直接生成對抗樣本，具有生成速度快，無需獲取真實目標樣本的優勢。

? 依據攻擊者對目標模型的先驗信息獲取程度可以分為黑盒攻擊，灰盒攻擊，白盒攻擊。

? 依據攻擊特異性，可以分為定向攻擊和非定向攻擊。定向攻擊要求將對抗樣本誤判為攻擊者指定的類別。非定向攻擊要求將生成的對抗樣本與模型的預測類別不同。

? 依據攻擊發生的階段，對抗攻擊可以分為逃避攻擊和后門攻擊后門攻擊發生在模型的訓練階段，攻擊者可篡改一部分訓練數據或者對訓練過程 進行惡意操縱，使模型對含有特定圖案(稱為觸發 器)的圖像樣本預測為攻擊者指定的類別，而對干凈樣本正常預測。

? 逃避攻擊通常需要在推理階段結合待測樣本與目標模型， 經過一定的優化過程在線產生。

3.3 雷達二維像智能識別對抗攻擊

? 早期雷達像智能識別對抗攻擊方法將雷達像視為單通道的灰度圖像，借鑒光學圖像中的對抗攻擊方法逐像素的生成對抗擾動。蘊含特征信息越豐富的雷達像越容易受到對抗噪聲的擾動，并且對抗樣本通常分布在幾種特點的類別上。結構越復雜的網絡越容易受到對抗樣本的攻擊。

? 從物理實現的角度上看，光學圖像的對抗擾動可通過相機拍攝實現由數字域向物理域的轉換，而雷達像的對抗擾動則需要體現為目標回波的相干能量累積。

? **我們希望建立數字域的雷達像對抗擾動與二面角、三面角 等真實物理結構的電磁散射特性的聯系。從而增加雷達像對抗樣本的物理可實現性。**對于運動中的雷達目標而言，背景區域不斷變化，因此思路為將擾動約束在目標區域附近。將對抗擾動約束為若干個像素點的聚合后再添加到目標附近，以此來逼近實際場景中的目標散射點。掩膜約束。也有文獻指出對抗攻擊生成的高頻非魯棒特征可能導致模型的對抗脆弱性，通過對對抗擾動約束為SAR圖像散斑的形式。

屬性散射中心模型：

? 屬性散射中心模型用多個參數來描述二面角、三面角等典型結構的散射機理，可以定量描述頻率$f$、方位角$?$等參數對目標電磁散射響應的影響，單個散射中心的響應可以表示為：
$$\begin{array}{rl}E(f,?;{\Theta }_N)=& A?{\left(\text{j}\frac{f}{f_{\mathrm{c}}}\right)}^{\alpha }?\exp \left(?\mathrm{j}\frac{4\pi f}{c}(x\cos ?+y\sin ?)\right)?\mathrm{sinc}\left(\frac{2\pi f}{c}L\sin (??\overline{?})\right)?\exp (?2\pi f\gamma \sin ?)\end{array}$$

其中${\Theta }_N$是影響散射響應相應的參數集指的是影響散射響應的參數集合。用這個模型來實現其物理可實現性。

3.4 雷達一維像智能識別對抗攻擊

? 針對HRRP目標的對抗攻擊可分為全距離單元擾動和特定距離單元擾動。

全距離單元擾動：

? 對于一個具有距離單元的HRRP樣本$x$，攻擊者分別計算每個距離單元處所處的損失函數的梯度，并沿著梯度上升的方向添加適當的干擾脈沖便可以形成HRRP的對抗樣本。

? **缺點：**生成的擾動難以擴展到信號域。

特定距離單元擾動：

? 與雷達二維像對抗樣本相類似，針對HRRP識別模型的攻擊也希望將擾動約束在目標區域的距離單元。首先找到HRRP數據中易受攻擊的脆弱距離單元，然后利用干擾機在這些距離單元中注入特定幅值的干擾脈沖，實現了高置信度HRRP對抗樣本的生成。

（4）雷達像智能識別對抗防御

? 現有雷達像對抗防御方法主要借鑒光學圖像對抗中的防御技術，本文依照防御階段不同。將對抗防御方法分為輸入端防御，模型端防御和輸出端防御。輸入端防御包括對訓練數據和測試數據的預處理、數據增強等操作。模型端防御包括改善模型的訓練測量和設計更魯棒的模型結構 。輸出端防御值調取模型的特征向量、logit向量、置信度向量等，

輸入端防御：

? 預處理方法將對抗擾動視為噪聲，希望通過降噪、尺度變換等預處理方法去除對抗擾動。

模型端防御：

? 希望改善自身模型的魯棒性來降低對抗攻擊的威脅，主要有優化訓練目標函數和改進網絡結構兩種方式。

輸出端防御：

? 其本質是一個二分類任務。現有的對抗檢測方法通常從統計分布的角度設計檢測判據。查驗模型輸出的隱層特征、得分向量、置信度來判斷待測樣本是否存在異常。

（5）雷達智能識別對抗的開放問題

1.雷達HRRP的智能識別對抗

? 盡管目前尚未有針對HRRP對抗樣本的防御方法提出，但從信號形式看，HRRP數據和語音數據均具有一維的形式，且不同的信號均具有時序相關性。因此可以借鑒語音信號對抗防御中常用的音頻擾動，音頻壓縮等方法，對HRRP對抗樣本中的對抗性距離單元進行破壞或重構后再進行識別，以達到防御的目的。

2.小樣本雷達像智能識別對抗

? 當用戶缺乏對預訓練模型 和先驗數據的監管時，攻擊者可采用投毒或木馬的形式在預訓練模型中植入后門。使用含有后門的預 訓練模型開展小樣本學習，將導致用戶模型難以收斂或者對中毒樣本做出錯誤預測。

3.針對SAR圖像目標檢測網絡對抗攻擊

? 針對SAR圖像目標檢測網絡的對抗攻擊也是重要的研究方向。藏待測目標、誤導分類結果、干擾候選框生成等。SAR圖像中背景區域與目標區域具有能量分布差異，在設計針對SAR圖像目標檢測網絡的對抗攻擊方法時可以利用這一先驗信息。全局擾動攻擊方法需對整幅圖像的每一像素點進行 擾動，應用于大尺度SAR圖像時物理實現難度大， 而局部擾動的方法僅在目標區域生成對抗補丁，更易于物理實現。

4.雷達對抗樣本與庫外樣本的區分

? 雷達目標識別模型在測試階段極可能遇到訓練集中未出現的樣本，即庫外樣本（Out Of Distribution，ODD）樣本。現有檢測方法只能區分正常樣本與異常樣本，無法區分異常樣本是屬于ODD樣本還是對抗樣本。