作者：高勋章, 张志伟, 刘梅 龚政辉 黎湘

注：若涌现无法显示完备的情形，可 V 搜索“人工智能技能与咨询”查看完全文章

择要

基于深度神经网络的雷达像智能识别技能已经成为雷达信息处理领域的前沿和热点。
然而，深度神经网络模型易受到对抗攻击的威胁。
攻击者可以在暗藏的条件下误导智能目标识别模型做出错误预测，严重影响其识别精度和鲁棒性。
该文梳理了近年来雷达像智能识别对抗技能发展现状，总结剖析了现有雷达一维/二维像识别对抗攻击方法和防御方法的特点，末了谈论了当前雷达像智能识别对抗研究领域值得关注的5个开放问题。

关键词

雷达像识别 / 深度神经网络 / 对抗攻击 / 后门攻击 / 对抗防御

1. 弁言

随着人工智能技能的发展，基于深度神经网络的雷达像智能识别算法取得了精良的性能[1]。
然而现有研究表明，深度神经网络模型常日存在鲁棒性毛病，易受到对抗攻击[2]的威胁。
利用这种技能，攻击者可以在暗藏的条件下勾引雷达智能目标识别模型做出错误的预测，比如，在一张干净的自行榴弹炮样本(图1(a))上添加眇小的对抗扰动(图1(b))后，神经网络以高置信度将其误判为推土机(图1(c))。
如何设计和防御这一类对抗样本，将成为支配雷达目标智能识别系统时须要考虑的主要问题。

图 1 雷达目标对抗样本示例

近年来，针对神经网络分类模型的对抗攻击与对抗防御研究呈现出快速发展的趋势，雷达像智能识别对抗技能也引起了研究者的关注。
文献[3]系统剖析了雷达目标识别模型的对抗鲁棒性，总结了常用的对抗攻击与防御方法。
在文献[4]中，作者综述了遥感图像智能识别面临的安全性问题。
最近，一些结合了雷达目标特性的对抗攻击与对抗防御新方法相继被提出，这些方法考虑了雷达目标散命中间和间隔单元的特点，具有一定程度的语义可阐明性，推动了雷达目标智能识别对抗技能的快速发展。

本体裁系梳理了雷达像识别对抗领域的最新研究成果，总结了雷达一维像和二维像对抗攻击方法以及对抗防御方法，并谈论了目前雷达像智能识别对抗领域中的开放问题。

2. 雷达像智能识别

传统的雷达像识别方法常日利用特色工程构建模板库，并采取得当的分类器[5-7]进行识别，其识别效果依赖人工设计特色的质量。
基于深度神经网络的雷达像智能识别算法通过卷积、池化等操作自动获取雷达像特色，其识别性能优于传统人工方法。

雷达像包括雷达一维像和雷达二维像。
雷达一维像常日指高分辨间隔像(High-Resolution Range Profile, HRRP)，反响目标散命中间在雷达视线方向上的投影，具有姿态敏感性、幅度敏感性和平移敏感性等特点。
基于HRRP的雷达目标智能识别模型常日采取一维卷积网络[8]和循环神经网络(Recurrent Neutal Network, RNN)[9]。
雷达二维像反响目标散命中间在二维成像平面中的投影，可分为合成孔径雷达(Synthetic Aperture Radar, SAR)图像和逆合成孔径雷达(Inverse Synthetic Aperture Radar, ISAR)图像。
目前针对SAR图像的智能识别研究较多，所用模型紧张采取二维深度卷积网络及各种改进模型。
比较于光学图像，雷达像的获取本钱较高，在实际运用中难以获取充足的演习样本，导致深度网络模型涌现过拟合问题。
从简化模型构造的角度出发，复旦大学徐丰团队[10]提出了仅有5个全卷积层的轻量化神经网络A-ConvNets，在MSTAR[11]数据集上的识别率达到99%以上的同时大幅减少了网络参数。
还有一部分学者从数据增强的角度出发，对有限演习样本进行风雅化处理[12]或者利用天生式模型扩充演习集[13]，实现演习数据受限条件下的目标识别。
在非互助场景下，识别方可获取的演习样本更加有限，常日只能获取少量乃至多少个演习样本。
这种少样本条件下的雷达像识别常日采取迁移学习[14]和元学习[15]等方法。

基于深度神经网络的雷达像识别方法一样平常采取梯度低落的办法更新网络参数，使模型对演习数据的预测分布与其真实分布的交叉熵最小。
这种基于数据驱动的智能识别方法存在潜在的鲁棒性毛病。
比如，只需对图像中多少个特定位置的像素施加扰动便可显著增大样本在模型上的交叉熵丢失，从而导致深度识别模型误判样本的种别。
这种毛病为深度学习系统在雷达像识别中的运用带来了极大的安全隐患。

3. 雷达像智能识别对抗攻击

2014年，Szegedy等人[16]创造深度神经网络易遭受对抗攻击的威胁。
通过在一张干净图片上加入一些精心设计的眇小扰动，攻击者可以天生对抗样本，并在人眼难以察觉的条件下误导神经网络分类模型做出错误的预测。
设计并实现误导深度神经网络模型的对抗性扰动的过程，称为对抗攻击。

3.1 对抗攻击事理

深度识别模型的演习过程如图2所示。

图 2 深度模型识别事理图

给定一个尺寸为ℎ×的样本x及其真实标签y，一个网络参数为的k分类网络的演习阶段可视作在已知标签y的条件下，探求最小化交叉熵丢失l的模型参数的过程：

(1)

模型的测试阶段则是在固定模型参数的条件下，为待测样本探求丢失最小的种别标签i的过程，表示为

(2)

对抗攻击将样本x视作待优化量，沿着梯度上升的方向对x添加扰动来增大其与真实标签y之间的交叉熵，进而改变目标式(2)的预测结果，即

(3)

令和adv分别表示样本在扰动前后的差异和天生的对抗样本，并用L范数来对的大小进行约束，则对抗攻击的目标函数可转化为

(4)

扰动范数定义了目标函数(1)中扰动的约束形式，其表达式为

(5)

常用的约束范数有0范数、2范数和∞范数。
0范数衡量了≠adv的像素总和，此约束下的扰动具有稀疏性；2范数衡量了x和adv之间的欧氏间隔，此约束下的扰动在视觉上难以察觉；∞衡量了x和adv之间的最大像素深度差异，

范数下的扰动方向与梯度方向同等，运算更加便捷。

3.2 对抗攻击分类

图3给出了对抗攻击从扰动机理、攻击者先验、攻击特异性和攻击阶段4个方面的分类。

图 3 对抗攻击方法分类

从产生机理来看，对抗攻击可分为基于梯度的攻击、基于优化的攻击和天生式攻击。
险些所有的神经网络都通过梯度低落的办法来优化丢失函数，丢失函数值越小，代表分类偏差越小，模型识别效果越好。
从这一机制出发，基于梯度的攻击沿着梯度上升的方向对干净样本施加对抗扰动，使得新样本在模型上的丢失函数值增大，以实现勾引模型误判的目的，范例的方法有快速梯度符号法[17](Fast Gradient Sign Method, FGSM)、根本迭代法[18](Basic Iteration Method, BIM)、DeepFool法[19]等。
基于优化的攻击将对抗扰动的天生转化为约束条件下的寻优问题，通过在限定条件下探求最能影响分类结果的像素点进行扰动实现对抗样本的天生，范例的方法有CW法[20]、雅可比显著图法[21]、单像素法[22]等。
不同于在干净样本上添加对抗扰动的方法，天生式攻击[23]利用天生对抗网络直接天生对抗样本，具有天生速率快、无需获取真实目标样本的上风。

依据攻击者对目标模型的先验信息获打水平，对抗攻击可分为白盒攻击、黑盒攻击和灰盒攻击。
白盒攻击是指攻击者对深度模型的网络种类、节点权重、演习集等参数完备已知，且可以与模型进行输入与输出的交互。
黑盒攻击是指攻击者除了可以与模型交互外，无法获知模型的其他任何信息。
灰盒攻击是指攻击者知道模型的种类和构造，可以与之交互，但节点权重未知。
通过白盒攻击[17-25]天生的对抗样本常日在目标模型上具备较高的欺骗率，但在不同模型之间的迁移性较差。
黑盒对抗样本常日在某个代理白盒模型上天生，再通过特定的寻优办法[26-28]增强自身跨模型的攻击性能，在捐躯了白盒欺骗率的情形下提高了迁移性。
灰盒对抗样本的性能介于白盒对抗样本和黑盒对抗样本之间。
当前，雷达像智能识别对抗研究大都基于白盒假设，即攻击者完备获取了目标模型的所有信息。
然而在非互助场景下的雷达目标识别中，识别方与被识别方均缺少彼此的先验信息，且在识别过程中双方无法交互信息，因而攻击方难以获取目标模型的反馈来辅导对抗扰动的天生。
在黑盒条件下，对抗样本的扰动天生须要耗费较长的运算韶光，难以实时地运用于雷达目标识别系统，且攻击的成功率常日也较低。

依据攻击特异性，对抗攻击可分为定向攻击和非定向攻击。
定向攻击哀求模型将对抗样本误判为攻击者指定的种别。
非定向攻击天生的对抗样本只哀求模型的预测种别与真实种别不同，无需指定详细的缺点种别。
定向攻击常日须要减小对抗样本在指定种别上的丢失，直到样本在指定种别上的预测概率超过真实类别的预测概率。
非定向攻击只需增大对抗样本与其真实类别的丢失，直到真实类别的预测概率低于某一阈值或者被其他类别的预测概率超过。

依据攻击发生的阶段，对抗攻击可分为躲避攻击和后门攻击。
躲避攻击在模型的推理阶段天生对抗样本进行攻击，后门攻击发生在模型的演习阶段，攻击者可修改一部分演习数据或者对演习过程进行恶意操纵，使模型对含有特定图案(称为触发器)的图像样本预测为攻击者指定的种别，而对干净样本正常预测。
从事理上看，后门攻击利用的漏洞来源于非常数据，这种漏洞是人为布局的而非网络自然形成的，躲避攻击所用漏洞来源于神经网络与人类认知的差异性。
从攻击者的权限上看，躲避攻击常日须要在推理阶段结合待测样本与目标模型，经由一定的优化过程在线产生，而后门攻击须要干预模型的演习阶段，具有投毒和木马两种形式，投毒攻击常日只修改演习集数据，木马攻击者权限则可扩展至模型参数、模型构造、演习方法等。
从攻击目的来看，后门攻击关注触发器对模型行为的滋扰，而躲避攻击更加关注样本对模型预测的影响。

目前后门攻击已在人脸识别[29]、交通路牌识别[30]领域造成安全威胁，在卫星遥感[31]和无人机侦察[32]领域，后门攻击也引起了研究者的关注。
鉴于目前雷达像识别领域尚未有后门攻击研究的公开文献，下文所述雷达二维/一维像对抗攻击方法均属于躲避攻击。

3.3 雷达二维像智能识别对抗攻击

早期的雷达像智能识别对抗攻击方法将雷达像视作单通道的灰度图像，借鉴光学图像中的对抗攻击方法逐像素地天生对抗扰动，这类方法在雷达像识别对抗攻击的起步阶段研究较多，常日为履历性探索和实证性研究。
文献[33]首次对雷达数据集上的对抗样本进行了履历性剖析，指出蕴含特色信息越丰富的雷达像越随意马虎受到对抗噪声的扰动，并且对抗样本常日分布在几种特定的种别上。
文献[34]认为雷达像与光学图像的紧张差异在于雷达像具有稀疏性，并在MSTAR数据集上复现了多种基于0范数的稀疏攻击方法。
文献[35]将光学图像识别中经典的通用对抗扰动方法迁移到雷达像识别中，并在MSTAR数据集上评价了主流分类识别网络的对抗鲁棒性，指出构造越繁芜的网络越随意马虎受到对抗样本的攻击。

在迁移、复现光学对抗攻击方法的根本上，一些研究进一步考虑了雷达像在数字域的特点，比如特色的稀疏性[36]，以及适用于雷达目标识别的攻击场景，比如黑盒场景[37]和领悟识别场景[38]。
文献[36]指出深度模型在SAR图像中提取到的高维特色存在大量冗余信息，并提出利用U-net[39]码网络进行前向映射来代替传统CW方法的大范围寻优，在攻击效果基本不变的情形下大幅度提高了运算速率。
文献[37]针对雷达二维像提出了一种扰动幅度更小的攻击方法，且该方法在黑盒条件下仍保持了在缺点种别上的较高置信度。
文献[38]针对遥感图像提出了一种基于稀疏差分协同进化的对抗攻击方法，提高了多源领悟传感器下的对抗样本欺骗率。
文献[40]在不获取演习集样本的条件下利用黑盒通用对抗扰动攻击SAR图像分类模型，实现了超过60%的欺骗率。
上述方法在设计对抗扰动时结合了雷达像在数字域的特点，但未涉及数字域对抗样本在物理域的实现办法。

从物理实现的角度上看，光学图像的对抗扰动可通过相机拍摄实现由数字域向物理域的转换，而雷达像的对抗扰动则须要表示为目标回波的相关能量累积。
因此，研究者希望建立数字域的雷达像对抗扰动与二面角、三面角等真实物理构造的电磁散射特性的联系[41]，从而增加雷达像对抗样本的物理可实现性。
对处于运动中的雷达目标而言，背景区域是不断变革的，因而一个可行的思路是将扰动约束在目标区域附近。
文献[42]提出将对抗扰动约束为多少个像素点的聚合后再添加到目标附近，以此来逼近实际场景中的目标散射点。
文献[43]利用Gabor特色对SAR图像进行纹理分割来天生目标区域掩模，并在对抗攻击的目标函数中加入掩模约束，将扰动限定在目标区域。
文献[44]指出对抗攻击天生的高频非鲁棒特色可能导致模型的对抗薄弱性，通过将对抗扰动约束为SAR图像散斑的形式，提高了非互助条件下的黑盒攻击迁移率。
上述方法在天生扰动时，虽然考虑了对扰动区域进行约束，但仍未建立对抗扰动与目标电磁散射特性的紧密联系。

最近，利用属性散命中间理论来辅导对抗扰动的天生引起了学界的关注。
属性散命中间模型用多个参数来描述二面角、三面角等范例构造的散射机理，可定量描述频率f、方位角等参数对目标电磁散射相应的影响[45]，个中单个散命中间的相应可表示为

(6)

个中，c为雷达中央频率，c为光速，

是影响散射相应的参数集，A是幅度，x和y分别为间隔向和方位向的坐标，表示频率依赖，表示方位依赖，L表示分布散命中间的强度，

表示当前散命中间的方位角。
通过将对抗扰动天生过程与属性散命中间约束相结合，可提高雷达像对抗扰动的物理可实现性，范例的方法如表1所示。
文献[46]利用属性散命中间重构算法提取出SAR图像中目标区域的散射点，然后利用空域变换攻击来扭曲散射点的形状，实现了将扰动约束在目标区域内的同时增加攻击的暗藏性。
文献[47]利用属性散命中间模型天生参数化的对抗性散命中间，并利用基于高斯随机步长的贪心算法在限定的目标区域内探求对抗性散命中间的最优位置，该方法首次在数字域的对抗扰动中添加了雷达属性散命中间的成像约束，并在MSTAR数据集上得到了较高的欺骗率。
文献[48]针对现有基于正交匹配追踪(Orthogonal Matching Pursuit, OMP)[49]的散命中间提取方法耗时长，难以在SAR图像识别系统中实时运用的问题，提出一种改进的OMP方法来降落运算代价。
在得到目标属性散命中间的根本上，文献[48]进一步提出一种模型无关的黑盒对抗样本天生方法，首先在MSTAR数据集上对演习样本进行属性散命中间重构来得到干净样本散命中间先验，然后通过增加对抗样本与干净样本之间的JS散度来实现攻击。
基于属性散命中间的对抗攻击方法使数字域的对抗扰动具有更好的物理实现前景，但仍因此静态的单帧图像作为攻击根本，未能对目标运动过程中的扰动变革进行建模。

表 1 基于属性散命中间模型的范例雷达二维像对抗攻击方法

代表性的雷达二维像对抗攻击方法如表2所示。

表 2 雷达二维像对抗攻击研究现状

3.4 雷达一维像智能识别对抗攻击

针对HRRP识别模型的对抗攻击同样知足式(1)的形式。
根据扰动范围的不同，针对HRRP目标的对抗攻击可分为全间隔单元扰动和特定间隔单元扰动。

3.4.1 全间隔单元扰动

对付一个具有N个间隔单元的HRRP样本x，攻击者分别打算每个间隔单元处关于丢失函数的梯度，并沿着梯度上升的方向添加适当强度的滋扰脉冲便可形成HRRP对抗样本。
文献[63]首次利用光学图像中经典的对抗攻击方法来滋扰雷达HRRP识别模型。
该作者提出了一种改进FGSM方法来提高HRRP对抗样本对扰动位置和扰动幅值的鲁棒性，通过在一个标签为“安26”的飞机目标HRRP数据上添加全间隔单元扰动，该方法成功将模型的分类结果误导为“雅克42”飞机目标，如图4所示。
文献[64]对HRRP分类模型的对抗鲁棒性进行探索，并通过优化的办法天生了HRRP通用对抗扰动。
文献[65]履历性地探索了针对雷达HRRP分类模型的对抗攻击，并提出了4种HRRP对抗攻击方法用于白盒、黑盒、通用扰动和特异扰动4种不同的运用处景。
基于全间隔单元扰动的攻击方法思路大略，只需在光学对抗攻击方法的根本上调度输入维度即可，具有较低的运算繁芜度，但天生的扰动难以扩展至旗子暗记域。

图 4 基于全间隔单元扰动[63]的HRRP对抗攻击示意图

3.4.2 特定间隔单元扰动

HRRP数据反响了雷达回波在径向上的散射强度，目标区域的散射强度大而背景区域的散射强度小，且背景区域的成像条件变革较快。
与雷达二维像对抗样原形似，针对HRRP识别模型的攻击也希望将扰动约束在目标区域的间隔单元上以增加对抗样本的物理可实现性。
文献[66]提出一种与欺骗滋扰机相结合的雷达HRRP分类模型对抗攻击方法，该作者首先利用差分进化算法探求HRRP数据中易受攻击的薄弱间隔单元，然后利用滋扰机在这些间隔单元中注入特定幅值的滋扰脉冲，实现了高置信度HRRP对抗样本的天生。
利用文献[66]的方法，可在一个“安26”目标的干净HRRP数据中的特定间隔单元上增加对抗扰动后，神经网络将其误判为“塞斯纳S”，如图5所示。

图 5 基于特定间隔单元扰动[66]的HRRP对抗攻击示意图

目前针对雷达HRRP攻击的研究相对较少，现有公开文献所述两类方法如表3所示。

表 3 雷达一维像对抗攻击研究现状

4. 雷达像智能识别对抗防御

对抗防御紧张研究如何抵御对抗样本的滋扰，提升深度神经网络鲁棒性。
针对神经网络模型对抗鲁棒性的研究已经成为深度学习可阐明性理论的主要组成部分。
现有雷达像对抗防御方法紧张借鉴光学图像中的对抗防御技能，本文依照防御阶段的不同，将对抗防御方法分为输入端防御、模型端防御和输出端防御，如图6所示。
输入端防御包括对演习数据和测试数据的预处理、数据增强等操作。
模型端防御包括改进模型的演习策略和设计更鲁棒的模型构造。
输出端防御只调取模型的特色向量、logit向量、置信度向量等，通过设计特定判据来检测模型的输出是否存在非常。

图 6 对抗防御方法分类

4.1 输入端防御

输入端防御在数据层面对测试样本或者演习样本进行处理，紧张思路有预处理和数据增强两种。

预处理方法将对抗扰动视作噪声，希望通过降噪、尺度变换等预处理办法去除待测样本中潜在的对抗扰动。
文献[68]对输入模型的图像像素进行随机丢弃来毁坏对抗样本在模型隐蔽层中的表征，再利用重构网络还原像素丢弃后的图像送入模型识别，有效降落了对抗扰动的影响。
文献[69]将图像进行二值化阈值分割后再输入网络，有效肃清了对抗扰动的影响。
此方法在手写体数据集MNIST[70]上取得较好的效果，但是对大尺度多通道的对抗样本识别性能不佳。
文献[71]将对抗扰动视作噪声，并演习一个超分辨网络对待测图像进行预处理，将超分辨增强后的图像输入网络来抑制对抗扰动的威胁。
文献[72]将输入图像进行小波变换和余弦展开，然后利用传统的支撑向量机进行分类，有效规避了基于深度模型天生的对抗样本的攻击。
基于预处理的防御方法对二范数扰动下的对抗样本有较好的抑制效果，但也会影响干净样本的识别率。

数据增强方法认为样本数量不敷带来的过拟合问题会导致模型对付眇小的对抗扰动敏感，因此可通过扩充演习样本数量的办法提高模型的对抗鲁棒性。
文献[73]指出利用自监督比拟学习演习模型可以增强SAR图像分类模型的对抗鲁棒性，比拟学习在演习过程中额外天生一批数据增强样本，通过优化原始样本与增强样本之间的间隔分布，使得特色空间中同类样本聚拢而异类样本簇相互阔别。
在文献[73]的根本上，文献[74]以对抗样本作为增强样本，采取对抗性自监督学习在演习过程中降落干净样本与对抗样本的比拟丢失，进一步提高了SAR图像分类模型对主流对抗攻击的鲁棒性。
但由于自监督比拟学习未能充分利用样本的标签信息，以上防御方法均会导致模型在干净样本测试集上的识别率降落。

4.2 模型端防御

模型端防御希望改进模型自身的鲁棒性来降落对抗攻击的威胁，紧张有优化演习目标函数和改进网络构造两种办法。

优化目标函数方法以对抗演习为代表，这类方法同时利用干净样本和对抗样本进行演习，将对抗攻击的扰动天生函数融入演习目标函数中，从而使模型在演习过程中学习到对抗样本的先验信息。
关于对抗演习为什么能提高模型鲁棒性，领域内学者的意见有以下几点：一是对抗样本起到了扩充数据集的浸染，使得深度模型能够学习到更丰富的特色用于分类[18]。
二是对抗演习得到的模型更加关注样本中全局性的特色，因此会忽略掉局部的对抗噪声扰动[75]。
经典的对抗演习方法TRADE[76]将对抗样本引起的鲁棒性偏差拆分为自然分类偏差与边界偏差之和，并通过调度两种偏差的权重得到鲁棒性与分类精度的折中。
在雷达领域，文献[77]研究了不同噪声对SAR图像识别模型的影响，包括随机噪声、相位噪声和对抗噪声，并创造迁移光学领域的对抗演习策略不仅可以提升SAR图像识别模型的对抗鲁棒性，也有助于提高模型在随机噪声和相位噪声环境下的识别率。
文献[47]针对雷达像对抗样本中扰动的区域约束问题，提出一种改进的对抗演习策略，如图7所示，即在对抗演习的过程中将扰动约束为目标区域的散命中间样式，实验证明该方法可有效防御基于散命中间约束扰动的对抗样本。
基于对抗演习的防御方法虽然思路大略，但是模型演习过程十分耗时，且所获模型无法防御二次攻击。

图 7 基于优化目标函数的防御方法

在改进模型构造方法方面，文献[78]提出将深度模型中的Softmax层更换为竞争性过完备层(Competitive Overcomplete Output Layer)，该层利用多个神经元的输出来共同表征某一类别的预测结果，可在MSTAR数据集上有效降落DeepFool攻击的成功率。
文献[79]利用SAR-BagNet[80]不雅观察SAR图像识别过程，创造深度模型在对SAR图像进行识别时，背景区域承担了较多的分类贡献，而经由对抗演习的模型则会重点识别SAR图像的目标区域，且经典的对抗演习方法Trade[76]运用于文献[79]所提出的SAR-AD-BagNet模型时取得了更低的分类精度丢失。
基于改进模型构造的方法对特定对抗样本具有较好的防御效果，但须要对现有的模型构造进行修正，难以运用于常用模型中。

4.3 输出端防御

输出端防御也称为对抗检测，该任务旨在对待测样本是否具有对抗属性做出判断，实在质上是一个二分类任务。
现有的对抗检测方法常日从统计分布的角度设计检测判据，通过查验模型输出的隐层特色、得分向量、置信度等来判断待测样本是否存在非常。

2016年，Hendrycks等人[81]首次采取主身分剖析法比较干净样本与对抗样本的差异，创造对抗样本的影响紧张来源于具有较小贡献的奇异值。
文献[82]利用演习集样本获取神经网络隐蔽层特色的核密度先验，然后将待测样本在隐蔽层中的分布特性和贝叶斯不愿定性作为检测指标，通过逻辑回归的办法探求得当的判据阈值。
文献[83]提出利用样本的局部内在维度(Local Intrinsic Demensionality, LID)来区分对抗样本和干净样本，认为对抗样本的LID值比干净样本的LID值高。
文献[84]提出利用样本的特色级别马氏间隔值来检测对抗样本，认为干净样本在模型上的中间层特色知足类条件高斯分布(马氏间隔值小)，而对抗样本则阔别类条件高斯分布之外(马氏间隔值大)。
文献[85]认为样本子空间是非线性的黎曼流形，并利用样本费希尔信息矩阵的奇异值作为特色设计检测判据。
文献[86]提出基于最近邻居和贡献函数(Nearest Neighbors Influence Function, NNIF)联合讯断的对抗检测方法，NNIF法认为干净样本的最近邻样本和最影响分类结果的样本应处于同一分布，对抗样本则不知足此关系。
文献[87]履历性地探索了SAR图像对抗样本的扰动幅度与对抗检测算法性能之间的关系，指出检测算法性能随着对抗样本扰动幅度的低落而退化，并进一步指出测试样本与对抗样本的特色分布稠浊会导致检测性能低落[88]，提出在演习过程中引入基于视角旋转和噪声的比拟丢失来改进现有马氏间隔法和局部维度法对SAR图像对抗样本的检测性能。
文献[89]探索了扰动区域约束对现有对抗检测算法的影响，在已知扰动区域先验的条件下利用对抗样本和干净样本的能量差异实现检测。

在雷达像智能识别对抗中，对抗检测技能授予了深度模型感知恶意攻击的能力。
然而，这一类防御方法无法判断目标的真实种别，难以单独胜任识别任务，常日作为分类模型中的子模块发挥浸染。

表4汇总了目前经由雷达像数据集验证的对抗防御方法。

表 4 雷达像识别对抗防御方法

5. 雷达像智能识别对抗的开放问题

总体来看，上文所述雷达像智能识别对抗方法紧张集中在算法理论层面，所天生的雷达像对抗样本缺少可靠的物理实现办法，与实际运用仍存在较大差距，对HRRP、小样本等详细运用处景下的识别对抗问题还有待深入研究。
以下5个开放问题是目前雷达像智能识别对抗领域值得重点关注的研究方向。

5.1 雷达HRRP的智能识别对抗

HRRP数据的处理过程比较于雷达二维像更加大略，在设计HRRP对抗扰动的物理实现方法时，无需考虑运动补偿、间隔单元徙动纠正等。
然而，由于HRRP目标具有姿态敏感、平移敏感等特点，在探求HRRP对抗性间隔单元时须要考虑姿态角以及方位角变革带来的影响。
只管目前尚未有针对HRRP对抗样本的防御方法被提出，但从旗子暗记形式来看，HRRP数据和语音数据均具有一维的形式，且不同时候的旗子暗记均具有时序干系性。
因此，可借鉴语音旗子暗记对抗防御中常用的音频扰动[95]、音频压缩[96]等方法，对HRRP对抗样本中的对抗性间隔单元进行毁坏或者重构后再进行识别，以达到防御目的。

5.2 小样本雷达像智能识别对抗

在非互助雷达目标识别中，识别方常日难以获取充足的样本用于模型演习，常常须要借助小样本学习方法。
基于小样本学习的雷达像识别方法对预演习模型和先验数据具有较强的依赖性，比如基于迁移学习的方法[14]常常利用光学中的预演习模型作为骨干网络，基于元学习的方法[15]则须要利用一批已知数据演习西席网络。
当用户缺少对预演习模型和先验数据的监管时，攻击者可采取投毒或木马的形式在预演习模型中植入后门。
利用含有后门的预演习模型开展小样本学习，将导致用户模型难以收敛或者对中毒样本做出错误预测。
然而，后门攻击须要攻击者滋扰受害模型的演习阶段，其难点在于提高中毒样本的暗藏性，哀求触发器图案应尽可能难以察觉，比如采纳不可见后门攻击[97-99]的形式。
此外，也可采取干净标签攻击[100-102]的形式，使得中毒样本与干净样本仅在是否包含触发器上具有差别，而两者的演习标签同等，以此来进一步提高中毒样本暗藏性。
作为智能识别对抗的防御方，应重视演习数据的安全性筛查以及预演习模型的后门检测，可通过擦除重构的办法[103]肃清演习数据中的潜在触发器，也可通过反演触发器像素[104]的办法确定所用模型是否包含后门。

5.3 针对SAR图像目标检测网络的对抗攻击

SAR图像智能目标检测和识别模型每每是一体化的，针对SAR图像目标检测网络的对抗攻击也是主要的研究方向。
在光学图像领域针对Faster-RCNN[105], YOLO[106]等目标检测网络的对抗攻击方法紧张有全局对抗扰动[107]和局部对抗扰动[108]两种，攻击目的包括隐蔽待检测目标、误导分类结果、滋扰候选框天生等。
SAR图像中背景区域与目标区域具有能量分布差异，在设计针对SAR图像目标检测网络的对抗攻击方法时可以利用这一先验信息。
全局扰动攻击方法需对整幅图像的每一像素点进行扰动，运用于大尺度SAR图像时物理实现难度大，而局部扰动的方法仅在目标区域天生对抗补丁，更易于物理实现。

5.4 雷达像对抗样本与库外样本的区分

雷达目标识别模型在测试阶段既可能碰着对抗样本，也可能碰着演习集中未涌现过的种别样本，即库外(Out Of Distribution, OOD)样本。
从持续学习的角度来看，OOD样本可作为一种潜在的新样本加入演习库以提高模型的识别能力，而对抗样本则带有恶意属性因而须要剔除。
现有检测方法常日只能区分正常样本与非常样本，无法区分非常样本属于OOD样本还是对抗样本。
从标签属性来看，OOD样本的真实标签不属于演习集之中的任何一类，而对抗样本的标签则是演习集中的某一指定种别，利用样本在特色子空间中的流形分布与其在模型上的预测标签有望实现两种样本的区分。

5.5 雷达像对抗样本的物理实现

光学图像中常用的全局扰动对抗攻击方法在雷达领域缺少语义可阐明性，在雷达回波旗子暗记中难以实现。
在设计物理可实现雷达像对抗样本时须要考虑两个问题：一是建立图像域对抗扰动与物理域目标电磁散射特性之间的联系，比如借鉴几何绕射模型、属性散命中间等参数化模型将扰动区域约束为二面角、三面角、顶帽等真实构造的散命中间分布，然后利用电磁超材料[109]、滋扰机等无源或有源的办法将这些“对抗性散命中间”调制到雷达回波旗子暗记中。
二是研究能同时适用于不同分辨率雷达像的数字域对抗扰动天生方法，提高对抗样本对不同分辨率雷达目标识别系统的攻击有效性。

声明:公众号转载的文章及图片出于非商业性的教诲和科研目的供大家参考和磋商，并不虞味着支持其不雅观点或证明其内容的真实性。
版权归原作者所有，如转载稿涉及版权等问题，请立即联系我们删除。

注：若涌现无法显示完备的情形，可 V 搜索“人工智能技能与咨询”查看完全文章