先进电磁频谱智能攻击与防御发展及启示_黄知涛.pdf

第 44 卷第 1 期 国 防 科 技 Vol.44,No.1 2023 年 2 月 NATIONAL DEFENSE TECHNOLOGY Feb.2023 收稿日期 2022-10-31 修回日期 2022-12-28 采用日期 2023-01-04 基金项目 军队科研基金（2018-023）作者简介 黄知涛，男，教授，博士生导师，研究方向为综合电子战；柯达，男，博士研究生，研究方向为综合电子战；王翔，男，博士，副教授，研究方向为综合电子战。“科技+军事”未来战争高端论坛专题编者按 组稿专家：曾 立（国防科技大学国防科技战略研究智库教授、博士生导师）刘书雷（国防科技大学国防科技战略研究智库副主任、研究员、硕士生导师）当今世界，新一轮科技革命、产业革命和军事革命加速演进，科技的发展进步和广泛应用，正在推动战争形态和作战方式深入变革，推动革命性的作战力量和手段不断涌现，推动战场空间和作战领域不断拓展。科学技术在战争中的地位和作用空前提升，日益成为影响战争胜负的关键因素。为深入学习贯彻党的二十大精神，发挥国防科技大学自身科技和人才优势，从科技视角探寻未来战争制胜的机理道理原理，推进科技赋能军事、加速科技向战斗力转化，打造基于科技研究未来战争的高端学术平台，国防科技大学于2022年11月25至26日在长沙举办了国防科技前沿论坛2022，智库主持了“科技+军事”未来战争专场暨子论坛。此次论坛以“前沿技术创新与未来高端战争”为主题，共邀请国家和军队有关部委、作战部队、军地高校、军工集团、科研机构等院士、将军及领域知名专家160余人参加研讨，同期收到征文160余篇。经选，本期刊发其中的7篇文章，余下佳作还将陆续推出。先进电磁频谱智能攻击与防御发展及启示 黄知涛1，柯 达2，王 翔2（1.国防科技大学电子对抗学院，安徽 合肥 230088；2.国防科技大学电子科学学院，湖南 长沙 410073）摘 要 以对抗样本攻击与防御为代表的反人工智能技术可实现对智能电磁频谱感知系统的扰乱与欺骗，已逐渐发展成为电磁频谱作战智能攻防的关键技术。本文分析了近年来以对抗样本攻击为典型样式的先进电磁频谱攻击和防御技术手段，并以几种典型的基于深度学习的通信信号调制识别模型为对象，研究了智能攻击技术的作用机理，仿真分析了基于扰动能量最小准则的对抗攻击效果，在此基础上总结了智能攻击技术的特点，并阐述了该技术带来的影响。最后借鉴发达国家国防科技发展的经验，给出了启示建议，强调应高度关注智能系统脆弱性问题，要提前布局开展相关关键核心技术攻关与应用研究，避免出现“先建设后打补丁”的情况。关键词 电磁频谱作战；人工智能；反人工智能；智能电磁频谱感知 中图分类号 TP18/TN925 文献标志码 A 文章编号 1671-4547(2023)01-0005-07 DOI：10.13943/j.issn 1671-4547.2023.01.02 6 国防科技 2023 年第 1 期（总第 338 期）引言 电磁空间已成为联合作战的关键战场，以争夺制电磁权为核心任务的电磁战已成为侦察监视、军事航天、防空反导、精确打击和无人作战等新型作战力量不可或缺的支撑力量。近年来，以美国为代表的军事强国一直在创新电磁空间作战概念、研发先进电磁空间作战技术、制定电磁空间作战规划，试图始终保持在电磁空间的绝对作战优势。电磁频谱感知是电磁频谱作战的重要环节，承担电磁频谱环境侦察监视与电磁态势获取的任务，为电磁频谱作战提供支援和情报服务。随着以深度学习为代表的人工智能技术的快速发展，电磁频谱感知的层次从浅层的信号特征分析推向深层的辐射源行为认知、意图推理等，极大提升了电磁频谱感知的能力。但是由于人工智能技术本身存在的脆弱性，也催生了一系列围绕人工智能系统的攻击技术，同时相应发展了提升网络稳健性和鲁棒性的防御技术。如果将智能攻击与防御技术应用到电磁频谱作战中，将会形成遏制对手能力的智能电磁频谱作战系统，甚至革新未来电磁空间的作战体系。本文简要梳理了当前电磁频谱智能攻击与防御领域的发展现状。美国从2017年起开始布局该领域的前瞻性研究，先后发布了研究报告、专著等多种成果。以大型科技公司和知名高校为代表的技术攻关力量以对抗样本攻击为典型手段，从原理机理、攻击方法、防御手段、现实因素影响等多方面出发，开展基础前沿和关键技术攻关，取得了丰硕的成果。本文结合典型场景下基于深度学习的信号调制识别的仿真实验，分析了智能攻击的机理，总结了智能攻击技术的特点和对未来产生的影响，认为该技术将会普遍存在于未来的智能化系统中，在智能化作战时代发挥不可替代的作用。在今后装备建设过程中，要高度重视电磁频谱智能攻击与防御技术的运用，紧跟国际前沿，尽快布局一批电磁频谱智能攻击与防御相关研发项目。1 现状 近年来，以美国为代表的发达国家在智能电磁频谱作战领域的研究走在世界前列。本文简要梳理和总结了近几年国外在以对抗样本为典型手段的智能攻防方面开展的研究，掌握其最新的发展动态，分析其研究特点。1.1 人工智能赋能电磁频谱作战方面的战略研究现状 就美国等发达国家的人工智能发展战略而言，2017年，美国哈佛大学肯尼迪政治学院发布研究报告1，认为人工智能（Artificial Intelligence，简称AI）未来将会像核、航空航天、网络、生物技术一样，成为深刻影响国家安全的革命性技术。为保持美国在AI技术领域的领先地位，报告建议美国国防和情报机构重点投资开发攻防两端的“反人工智能”（Counter-AI）能力，以对抗机器学习的漏洞。2018年，美国国防高级研究计划局（DARPA）宣布将投资超过20亿美元发展“AI Next”，即下一代人工智能技术2。DARPA重点部署了五大方向，其中强健的AI和对抗性AI便是从智能攻击和防御的角度研究人工智能及其运用问题的。时任DARPA副局长彼得海拉姆强调，“AI Next”的三大目标之一就是增强人工智能技术的稳健性。美国联合人工智能中心主任、海军陆战队中将迈克格伦在2020年宣布，“美国未来将重点发展对抗性人工智能技术，确保人工智能算法的安全受到保护”3。美国人工智能安全委员会在2021年提交的报告中指出，鲁棒性、弹性以及抗欺骗和干扰的人工智能技术是大国军事竞争对抗的关键点4。英国近年来一直在积极推动AI赋能电磁频谱作战相关研究。BAE系统公司FAST研发实验室产品主管克里斯拉帕指出：“外部环境中的波形越来越多，电磁频谱越来越拥塞，将信息处理成情报的成本越来越高。因此，人工智能和机器学习不仅需要应用在传感器上，还需要应用在传感器资源管理器、控制中心以及后端 黄知涛，等：先进电磁频谱智能攻击与防御发展及启示 7 波形分析处理中。将人工智能和机器学习引入处理链的不同阶段是逆转成本曲线的关键。”学者Karen Zita Haigh和Julia Andrusenko在2021年出版的专著认知电子战：人工智能方法5中指出，未来的认知电子战系统必须考虑存在对抗样本攻击等极端数据条件。一方面，要监视电子侦察的所有环节，确保处理的数据不含有对抗样本，从源头防止被“毒化”的数据进入智能系统；另一方面，要综合利用集成学习、数据增强、分布式传感器等多重手段提升电子侦察系统的鲁棒性，从系统架构、网络鲁棒性等角度提升对“含毒”数据的适应能力。随着智能化技术的快速发展和大规模应用，智能攻击与防御水平势必将成为未来智能电磁频谱作战系统实战能力的重要体现。1.2 智能电磁频谱感知攻防对抗研究现状 2010年以来，DARPA和美国陆海空三军陆续启动自适应电子战行为学习、自适应雷达对抗、极端射频频谱条件下的通信和射频机器学习系统等AI赋能电磁频谱作战相关项目。以国外大力发展的认知电子战项目来看，其工作流程首先是要实现对战场复杂电磁环境的感知，进而评估和预测感知到的态势，最终形成决策方案。认知电子战：人工智能方法一书也同样指出，认知电子战的核心是智能电磁频谱感知5。美国马里兰大学和蓝色光环（BlueHalo）公司等联合组成的团队重点打造电磁频谱感知中的“矛”6-10。该团队的研究重点包括两方面，一是挖掘对深度学习网络进行对抗攻击的内在机理，力图清晰定位深度学习网络的“脆弱性”；二是着重研究现实物理世界中，电磁信号发射、接收过程对实施对抗样本攻击的影响。该团队研究发现，在实施电磁信号伪装攻击时，由于不能破坏自身工作过程，伪装攻击信号的功率往往很微弱，发射、接收、传输过程中的某些非理想效应也会大幅削弱其攻击性能。为解决这一现实问题，该团队提出了一种信道反演的电磁信号伪装攻击方法，这 种方法能够改善信道畸变对伪装攻击的破坏，未来更能推广到5G、物联网、毫米波等多种对抗场景。美国智能自动化公司（Intelligent Automation Inc）结合生成对抗网络（Generative Adversarial Network，简称GAN）技术，针对基于机器学习的物联网设备认证提出了一种IoTGAN技术11。该技术不仅可以攻击深度学习模型，也可以攻击机器学习模型，极大拓展了电磁信号对抗攻击的适用场景。在美国陆军研究办公室的支持下，该团队还对一种基于对抗学习的频谱数据“毒化”攻击12-14方式进行了持续研究，即通过生成对抗网络技术伪造频谱环境，对认知无线电系统的频谱感知过程进行数据“毒化”，误导并操控认知无线电系统的行为。美国科技公司Perspecta旗下的实验室则重点研究打造电磁频谱感知中的“盾”，主要关注如何检测、防御并适应电磁信号伪装攻击15-16。该团队结合电磁信号处理的专家知识，研究了如何从接收到的未知信号中检测出是否含有基于对抗样本技术的数据“毒化”攻击，并提出了一种基于自编码器预训练的防御手段，显著提升了智能化电磁频谱感知的鲁棒性。该方法的思路相对简单，就是用“含毒”的数据对网络进行训练，提升网络对对抗样本攻击的适应能力。无论是战略研究方面还是关键技术攻关方面，国外在电磁频谱作战的智能攻击与防御领域均投入了大量资源，且已取得了显著成果，体现了这些国家在电磁频谱作战领域发展智能与反智能作战能力的坚定决心，也开辟了智能电磁频谱作战的新战场。2 机理分析 以下将以智能电磁频谱感知系统中通信信号调制识别应用为例，分析如何实施基于对抗样本的伪装攻击，并基于深度学习的电磁频谱感知系统存在的脆弱性，说明智能伪装攻击8 国防科技 2023 年第 1 期（总第 338 期）技术对电磁频谱感知系统的威胁。针对智能化电子侦察系统的智能攻击系统模型主要由通信发射方、接收方和对抗性扰动发射机组成，如图1所示。在正常的通信过程中，信号经信道传输至接收机，此时，信号被电子侦察系统截获，侦察系统会对接收信号的调制方式进行识别，并进一步完成信号解调解译等工作，从而获取对方的信号体制、参数甚至通信内容等情报信息。为了避免被敌方智能侦察系统识别，对抗性扰动发射机会同时辐射对抗性扰动信号，此时，接收方和侦察方接收到的是叠加了扰动的信号。为避免扰动对正常通信信号的干扰，同时又能使智能化侦察系统难以识别，要求对抗性扰动的能量要尽可能小，不影响通信接收方的正常工作。图1 针对智能化电子侦察系统的智能攻击系统模型 本文基于扰动能量最小准则，设计了一套对抗扰动生成方法，其原理如图2所示。在样本点x的局部空间附近，可以把分类器f 近似看作一个线性分类器。要在样本点x上添加扰动，使其跨过分类界面被误判，且扰动的能量尽可能小，应对样本点x施加一个垂直于分类界面方向的扰动，扰动的大小略大于样本点到分类界面 图2 基于扰动能量最小准则的对抗扰动 生成方法原理 的距离。文章对几种典型通信信号调制识别网络进行了对抗攻击实验，验证了方法的可行性。实验以当前较为成熟的VT_CNN2、VGG11、Resnet18三种深度学习模型为攻击对象，分别进行了针对智能通信信号调制识别的扰乱和欺骗实验。实验所用数据来源于开源数据集RML2016，包含11种典型的通信调制方式，数据信噪比范围为-20 dB18 dB，样本总数为22万，每类数据的样本数均匀分布，每个样本均为128点长同相正交（In-pha