【最新综述】雷达像智能识别对抗研究进展（视频）

原创高勋章, 张志伟雷达学报

点击蓝色“雷达学报”关注

背景介绍

基于深度神经网络的雷达像智能识别技术已经成为雷达信息处理领域的前沿和热点，然而这种基于数据驱动的智能方法存在潜在的鲁棒性缺陷，易受到对抗样本的攻击。对干净样本中若干个特定像素施加人眼难以察觉的微小扰动可显著增大样本在模型上的交叉熵损失，导致识别模型误判样本的类别。比如在图1所示的MSTAR数据集识别任务中，在干净的自行榴弹炮样本上添加微小的对抗扰动后，神经网络会以高置信度将其误判为推土机。对抗样本的出现暴露了深度学习本身的漏洞和脆弱性。

自2012年对抗样本概念被提出以来，针对光学图像分类网络的对抗攻击得到了较为系统深入的研究，研究成果推动了人们对深度学习可解释性和深度模型内在工作机制的理解。为了应对对抗攻击的威胁，提升智能识别模型的鲁棒性，国内外学者从输入样本数据预处理、模型对抗训练和样本对抗属性检测等方面开展了对抗防御方法研究。最近两年，一些结合了雷达图像特点的对抗攻击与防御方法相继被提出，这些方法结合了雷达目标散射中心和距离单元的特点，具有一定程度的语义可解释性，推动了雷达目标智能识别对抗技术的发展。如何有效防御对抗攻击的威胁是未来雷达目标智能识别系统走向工程实用时必须考虑的重要问题。

图1 雷达目标对抗样本示例

团队工作

国防科技大学电子科学学院态势综合感知团队面向战略预警、防空反导和空天突防等重大需求，开展智能目标识别与对抗等方面的科学技术与工程应用研究，是国家自然科学基金委“空间攻防信息处理与目标识别”创新研究群体、教育部“空间攻防信息处理”创新团队的核心组成。在雷达目标智能识别与对抗领域，团队持续深入开展了非合作/小样本/高动态等复杂场景下的雷达目标识别、结合雷达目标特性的对抗样本生成、超材料调控对抗样本物理实现、对抗样本检测与智能模型鲁棒性提升等研究并取得了创新性成果。

国防科技大学黎湘院士团队对雷达像智能识别对抗攻击与对抗防御技术进行了系统综述，并讨论了该领域相关开放问题和发展趋势。该工作已发表在《雷达学报》2023年第4期“国防科技大学建校70周年雷达技术专刊”的论文“雷达像智能识别对抗研究进展”（高勋章，张志伟，刘梅，龚政辉，黎湘）。

论文介绍

神经网络分类模型易受到对抗攻击的威胁。攻击者可以在隐蔽的条件下误导智能目标识别模型做出错误预测，严重影响其识别精度和鲁棒性。论文首先从对抗扰动生成机理、攻击先验、攻击特异性和攻击阶段四个维度对现有攻击方法进行分类，并对各类别中代表性方法的特点进行了分析和总结。

图2 对抗攻击方法分类术发展总结

雷达像对抗攻击方法研究已经由数字域方法逐渐深入到物理域可实现方法。论文将雷达二维像对抗攻击方法归纳为迁移光学方法、结合雷达像数字域特点的方法、结合雷达像对抗样本物理实现特点的方法三类，重点介绍了散射中心理论指导下的对抗扰动生成方法。

HRRP对抗攻击方面分别介绍了基于全距离单元扰动的方法和基于特定距离单元扰动的方法。基于全距离单元扰动的方法分别计算每个距离单元处关于损失函数的梯度，并沿着梯度上升的方向添加适当强度的干扰脉冲形成HRRP对抗样本。基于特定距离单元扰动的方法将扰动约束在目标区域的距离单元上以增加对抗样本的物理可实现性。

图3 HRRP对抗攻击生成方法

论文将现有的雷达像对抗样本防御方法根据数据处理阶段分为输入端防御、模型端防御和输出端防御。输入端防御在数据层面对训练/测试样本进行处理，主要思路有预处理和数据增强两种。模型端防御希望改善模型自身的鲁棒性来降低对抗攻击的威胁，主要有优化训练目标函数和改进网络结构两种方式，其中优化目标函数的方法以对抗训练为代表，即在对抗训练的过程中将扰动约束为目标区域的散射中心样式，如图5所示。输出端防御也称为对抗检测，旨在判断待测样本是否具有对抗属性。现有的对抗检测方法通常从统计分布的角度设计检测判据，通过查验模型输出的隐层特征、得分向量、置信度等来判断待测样本是否存在异常。达像对抗攻击方法研究已经由数字域方法逐渐深入到物理域可实现方法。