1.   引言

长期以来，合成孔径雷达(Synthetic Aperture Radar, SAR)图像目标识别是雷达图像解译的研究热点之一，其关键在于从SAR图像各种复杂场景中提取有用的特征信息以完成特定的目标识别任务。与传统的目标识别算法相比，基于深度学习的SAR图像目标识别算法具备端到端特征学习的优势，可有效提高目标识别效率并减少对人工判读的依赖^[1]。因此，这些算法被用于SAR星上处理和地面处理中，以保障战场侦察、环境监测、灾害预警、资源勘探等任务顺利进行^[2,3]，能够显著提高目标识别的精度和效率。然而，有研究表明深度神经网络模型容易受到对抗样本的威胁^[4]。例如，攻击者通过在T72图像中(图1(a))添加精心设计的微小扰动(图1(b))，深度神经网络模型以高置信度将其错误地识别为BMP2(图1(c))，这对SAR目标识别任务带来严重威胁。因此，研究SAR智能识别对抗攻击技术，不仅可以提升对重要目标的保护能力，更有助于反向提高SAR智能识别系统的安全性和鲁棒性，防御对抗攻击带来的潜在风险。

图  1  SAR目标对抗样本示例

Figure  1.  SAR target adversarial example

下载: 全尺寸图片 幻灯片

现有SAR图像对抗攻击方法主要聚焦于对抗样本的生成技术研究，可分为数字域对抗样本和伪物理域对抗样本两大类。其中，数字域对抗样本是指通过求解梯度优化^[5,6]、约束优化^[7,8]、估计分类边界^[9]和基于生成对抗网络(Generative Adversarial Network, GAN)^[10,11]等方式，在时域或频域图像中直接添加人眼难以观察到的细微扰动，以此来引导目标识别模型做出误判。伪物理域对抗样本则是根据物理光学(Physical Optics, PO)和多重反射过程建立攻击对象的属性参数中心模型^[12,13]，并利用属性散射中心模型来生成参数化的对抗性散射中心，然后将对抗性散射中心添加到干净图像样本中实现针对目标识别的对抗攻击。除构建对抗性散射中心外，另有部分研究人员在利用属性散射中心重构算法提取目标区域的散射中心，并对散射中心进行扰动攻击来生成SAR对抗样本。

当前生成数字域对抗样本的方法主要通过借鉴光学图像中的攻击算法和框架^[14−16]，并针对SAR图像的特性进行了适应性调整。值得注意的是，SAR图像与光学图像在成像原理、图像特性等方面存在根本性差异。光学传感器具有“所见即所得”的特点，其成像通过捕捉并处理从目标物体反射回来的光信号来生成可见光图像。像素值对应的是接收到的光信号强度，即反映了目标物体在该像素位置上反射的光强度。而SAR传感器的成像过程依赖于发射微波信号并接收反射回波，其过程反映的是目标散射中心特性在二维成像平面上的映射投影。其中，图像中的像素值代表的是回波信号的相干累积能量，像素点距离向由目标到雷达天线相位中心的斜距决定，方位向由雷达天线和目标点之间相对运动引起的多普勒频率决定^[17]。通过迁移、复现光学对抗攻击方法并未建立扰动像素与雷达信号的物理对应关系。伪物理域对抗样本生成方法基于电磁散射特征信息生成对抗样本并直接叠加至SAR图像上^[18]，但由于SAR成像过程中，目标表现出的后向电磁散射特性随着目标材质、几何形状、背景环境及成像条件(如成像几何、姿态、遮挡和电磁波频段、带宽、极化特性等)的改变而产生显著变化，通过实测和仿真计算建立的电磁散射模型均难以描述SAR成像过程中目标电磁散射在三维空间的变化规律。因此，上述攻击方法虽一定程度反映了目标后向散射特性，但却没有考虑对抗样本在物理域中的具体实现方式。

为了生成在物理域中真实有效的对抗样本，在可见光领域，相关研究人员通过在目标物体上添加贴纸^[19,20]、补丁^[21]、服装^[22,23]、图像^[24,25]，或通过改变场景中的光照^[26,27]、天气^[28−30]、相机参数^[31,32]，以及使用化妆^[33]、3D打印伪影^[34,35]等形式来改变目标光学成像的反射特性，从而破坏检测模型识别光学图像的决策特征，以导致检测识别失效。在红外领域，相关研究人员通过使用TC材料^[36−38]影响热红外相机的成像。这主要影响热辐射的分布，即通过改变红外图像的辐射特性来构建对抗性纹理。本文从上述光学、红外物理域攻击方法中获得启发，提出从SAR成像散射机理出发生成物理域可实现的SAR对抗攻击。具体来说，由于在SAR成像过程中其回波信号受雷达系统参数、目标几何特性、散射特性、运动特性及大气气象条件等多种影响因素的制约。当上述因素发生变化时，会造成回波信号振幅和相位发生变化。因此，可以通过对回波信号的振幅和相位进行精细化扰动来生成物理域SAR对抗样本。

其中，对于振幅的扰动攻击，我们可以使用以下几种方法进行实现：(1)在目标物体上加装角反射器，并精细调制角反射器的几何形状及其摆放位置；(2)在目标物体特定位置加装振幅可重构超表面材料^[39−41]来对回波信号的振幅进行精细调制；(3)在目标物体上加装DRFM干扰机用于在捕获的脉冲雷达信号中插入一个或多个干扰点目标信号。对于相位扰动攻击，则可以通过使用反射/透射型相位可重构超表面材料对电磁波的波形灵活控制^[42−44]，并在信号处理和成像处理后生成SAR对抗样本。上述对抗攻击方法与SAR成像过程融为一体，具有物理可实现性。

虽然现有的一些综述也总结了SAR对抗攻击方法^[45,46]，但其主要集中在列表和分类上，缺乏对物理域SAR对抗攻击实现的思考与讨论。这促使我们迈出第1步，系统地阐述了物理域SAR对抗攻击的定义及实现原理，并给出了具体的实现方法。本文第2节系统梳理了国内外研究机构和院校在SAR目标识别对抗攻击技术领域的研究进展，然后对比分析了现有SAR图像对抗攻击技术的攻击效果，并归纳总结其中存在的不足；第3节从SAR成像机理出发，阐述了SAR对抗攻击在物理域的定义和实现原理；第4节则探讨了SAR对抗攻击的物理实现方法，并结合SAR成像仿真给出了具体的实现方式；第5节对全文内容进行总结并针对SAR对抗攻击领域目前存在的一些挑战和问题进行了阐述，探讨了未来的发展方向。

2.   SAR图像对抗样本研究进展与挑战

对抗样本由Goodfellow等人^[47]提出，并经Czaja等人^[48]首次将对抗样本的概念引入到遥感图像中。Chen等人^[49]通过设计不同的攻击算法证明了基于深度神经网络的SAR图像识别系统易受对抗攻击的影响，通过在SAR图像I中引入细微而精心设计的扰动$\delta$，即可欺骗训练良好的深度神经网络模型f产生错误的识别结果，表示为

其中，$\parallel \delta \parallel$表示扰动$\delta$的大小，$\epsilon$表示扰动的最大允许值。由于对抗样本的广泛存在，基于深度神经网络(Deep Neural Networks, DNN)的SAR图像识别模型在面对对抗样本时表现出严重的对抗脆弱性。针对这一问题，目前主流的观点提供了两种解释^[50]。其中，第1种观点认为训练数据集是从无限的样本空间中使用有限且特定的方式进行提取，神经网络只能学习到高维特征空间中样本附近的区域，无法泛化到整个样本空间。因此，当对抗样本属于分布外样本或越过特征空间中不同类别间的决策边界时，就会导致DNN模型出现误判。第2种观点从计算过程的角度出发，认为机器计算的精度有限，添加小扰动可能会导致系统误差不可控，并且线性网络的层层叠加会放大这些扰动，特别是在高维空间中，导致计算结果的巨大偏差。

本文对现有SAR图像的对抗攻击技术进行了总结和梳理，按照是否基于SAR成像电磁散射机理，将现有SAR图像对抗攻击技术划分为数字域对抗样本和伪物理域对抗样本两大类。

2.1   数字域SAR图像对抗样本生成方法

早期关于SAR图像的对抗攻击研究多借鉴光学图像的攻击方法，通过对每个像素进行逐一修改来产生对抗扰动。与光学图像目标识别不同，SAR目标识别系统的输入数据可以是灰度图像，也可以是频域的复数图像。因此，数字域SAR对抗样本生成方法可以细分为灰度图像攻击和复数图像攻击这两种形式。根据在灰度图像中添加扰动区域的不同，灰度图像攻击方法又可以细分为全局对抗扰动和局部对抗扰动这两种类型。其中全局对抗扰动是指在整幅输入影像中添加扰动；而局部对抗扰动是指在输入图像中的目标区域添加扰动以误导SAR目标识别系统产生错误预测。

2.1.1   SAR灰度图像对抗攻击

2.1.1.1   全局扰动

根据对抗样本的生成模式，本研究将SAR灰度图像中全局对抗扰动方法划分为基于梯度、基于优化、基于边界、基于GAN和基于迁移等5个子类。其中，基于梯度、基于优化和基于边界的攻击方法属于白盒攻击范式，即攻击者可以直接获取模型的权重、架构、训练数据等详细信息，从而利用这些信息生成对抗样本。而基于GAN和基于迁移的攻击方法属于黑盒攻击范式。在黑盒情况下，攻击者对目标模型的结构、参数等信息一无所知，甚至可能无法直接访问模型。黑盒攻击通常依赖于模型的输入输出关系，通过观察模型的响应来生成对抗样本。

(1) 基于梯度的攻击方法

基于梯度的攻击算法通过直接计算模型损失函数相对于输入样本的梯度来生成对抗性扰动。其核心思想是沿着能够最大化模型损失的方向添加扰动，通常一次性或通过少量迭代，直接引导模型输出错误的预测结果。快速梯度符号法(Fast Gradient Sigh Method, FGSM)^[47]最早被引入到SAR图像样本的对抗攻击中^[50,51]，通过在网络模型中沿梯度变化最大方向添加扰动使损失函数快速增加，最终导致模型产生错误分类。Zhou等人^[52]以YOLOv3^[53]和Faster-RCNN^[54]等目标检测模型为例，系统地研究了FGSM攻击方法在SAR图像中生成的对抗样本对不同类型目标检测网络性能的影响。实验结果显示，Faster-RCNN等两阶段网络表现出更强的鲁棒性，而YOLOv3等单阶段网络对对抗样本较为敏感，即便是在测试样本中加入人眼难以察觉的微小扰动，也会导致其丢失大部分目标。

虽然FGSM算法在上述目标分类识别和检测识别任务中表现出较好的攻击效果，但由于其采用单步攻击方式，产生的扰动较大，且主要适用于线性目标函数，这限制了其攻击成功率。为了解决这个问题，FGSM的改进版——基础迭代法(Basic Iterative Method, BIM)^[55]，已被广泛应用于SAR图像的对抗攻击中^[56]。BIM算法将FGSM中的单步扰动分解为多步进行，同时利用裁剪操作保持图像像素在有效范围内。通过多次小幅度的梯度更新来优化扰动强度，有效地解决了FGSM无法应对非线性目标函数问题。

上述基于梯度的攻击方法可以使SAR识别系统输出错误的识别结果，而攻击者更希望将模型的输出转化为一个特定类别。Huang等人^[57]将ILCM (Iterative Least-likely Class Method)方法^[55]应用到SAR图像对抗样本生成中。该方法是BIM的一种改进形式，通过在损失函数中用目标标签替换真实标签，实现了从非目标攻击转向目标攻击的转变。然而，BIM类方法^[58]生成的对抗样本受学习率步长的限制容易陷入局部极大值点，从而影响SAR图像对抗样本的迁移性能。对此，Xu等人^[59]提出了一种名为“图像混合与梯度平滑”(Image Mixing and Gradient Smoothing, IMGS)的新方法，通过在幅度和相位上混合其他图像并使用局部均方误差(Local Mean Square Error, LMSE)滤波器平滑梯度，从而增强了对抗样本在SAR图像分类中的攻击可迁移性。此外，在目标检测识别任务中，Gao等人^[60]提出NAA方法，在累积平方梯度阶段添加了一个衰减系数，用以控制获取历史梯度信息的比例。梯度累积被转换成衰减指数参数的移动平均，以优化梯度利用程度，使之产生更具可迁移性的对抗样本。

为了提升攻击成功率，投影梯度下降法(Preject Gradient Descent, PGD)^[61]也被应用到SAR图像的对抗攻击中^[62]，该方法是BIM算法的改进版，通过增加迭代次数并引入随机化处理来提升攻击的效果。除以上FGSM方法及其变体外，徐延杰等人^[50]将基于雅可比矩阵的显著图攻击方法(Jacobian-based Saliency Map Attack, JSMA)^[63]用于SAR图像对抗攻击研究中，该方法受显著性图^[64]概念所启发，主要通过利用模型的输出类别概率信息，来进行反向传播并计算得到相应的梯度信息。然后根据梯度信息计算出对模型分类结果影响程度最大像素点的位置，然后在该像素位置添加扰动以生成SAR图像对抗样本。

(2) 基于优化的攻击方法

对抗攻击的过程本质上是寻找最优扰动的过程，以此来产生有效的对抗样本。因此，对抗样本生成可被框架化为一个约束优化问题，通过求解这一问题来实施对抗攻击。C&W (Carlini & Wagner Attack)攻击算法作为最经典的基于优化的对抗攻击算法之一^[15]，已经被广泛地应用于SAR图像的对抗攻击领域^[7]。该方法设置了一个含有可调节超参数的目标函数来衡量输入与输出之间的${L}_{p}$距离。通过调整目标函数中的参数，可以增大最优解的搜索空间，进而显著提升SAR图像的攻击成功率。

然而，C&W算法受训练速度较慢、可迁移性能较差等缺点的制约。由于每个测试样本的对抗扰动必须以迭代的方式进行长时间的优化，因此时效性差，并不适合需要及时响应的对抗攻击任务。为了克服C&W算法可迁移性较差的问题，相关研究人员^[7]引入了EAD (Elastic-net Attacks to DNNs)^[65]方法来生成攻击扰动。该方法可以被视为C&W算法在${L}_{1}$距离范式上的扩展。其采用弹性网正则化技术^[66]来解决在${L}_{1}$范式下的高维特征选择问题，从而能够找到更多有效的对抗扰动，大幅提升了SAR图像对抗样本的可迁移性能。

同时，为了解决C&W算法生成SAR图像对抗样本训练速度较慢的问题，Du等人^[8]提出Fast C&W对抗样本生成算法。该算法构建了一个深度编码器网络来学习从原始SAR图像空间到对抗样本空间的前向映射，通过这种方式，可以在攻击期间通过快速前向映射更快地生成对抗扰动。作为特征提取网络，编码器网络可以通过优化攻击损失函数来学习可分离的数据区域，使扰动主要集中在目标区域而不是背景杂波区域。因此，该算法在攻击成功率、扰动范围和计算效率方面具有很强的整体性能。相比于基于C&W的攻击算法，徐延杰等人^[50]还利用One-pixel算法来生成对抗扰动^[67]。该方法把对抗样本的生成过程转换为一个有约束的优化问题，只需确定待修改的像素位置，再通过差分进化优化算法对这些像素值进行调整，即可成功实施攻击。

除目标分类识别任务的攻击外，Zhou等人^[68]提出了一种基于条件随机场的目标检测识别任务对抗攻击方法(Conditional Random Field-based Adversarial attack, CRFA)。该方法将攻击表述为优化问题，并设计上下文信息损失来计算扰动前后局部特征模式的能量差异。通过最大化能量差异来扰乱SAR目标检测中目标与其周围环境之间的内在相互作用，从而使检测模型产生偏移甚至漏检目标。与基于梯度的攻击方法相比，这种基于优化的方法能够生成更小、更精细的扰动，在SAR图像对抗攻击任务上实现了更高的攻击成功率。

(3) 基于边界的攻击方法

基于边界的攻击算法利用超平面的分类思想^[69]，通过计算输入样本与模型分类边界之间的距离，利用梯度信息引导样本逐步逼近分类边界。不同于直接优化损失函数的方式，该算法通过迭代优化找到最小的扰动量，使样本能够越过分类边界，最终导致模型产生错误分类。该方法的核心在于在保持对抗样本与原始样本相似性的同时，实现最小扰动下的误分类。基于边界的DeepFool^[16]和HSJA (Hop Skip Jump Attack)^[70]算法最先被引入到SAR图像的对抗攻击中^[7]，DeepFool算法通过不断迭代计算样本与分类边界的最小距离，生成指向最近分类边界的扰动向量，直到生成的SAR图像对抗样本跨越分类边界。而HJSA算法则在估算的分类边界上重复梯度方向估计、几何级数搜索步长和二分法搜索边界这3个步骤来生成SAR图像对抗样本。

为了提升生成的对抗样本的泛化性能， Moosavi-Dezfooli等人^[71]提出了通用的对抗扰动方法(Universal Adversarial Perturbations, UAP)。该方法通过计算原始样本与分类边界之间的最短距离，生成统一的对抗扰动，能够对整个数据集中的样本进行有效攻击。Wang等人^[72]和刘哲等人^[73]分别将UAP方法融入到SAR图像非目标攻击和目标攻击过程中，通过对训练集内所有SAR图像执行迭代攻击，以寻找能够欺骗大多数训练集样本的扰动。

此外，Huang等人^[9]将DBA (Distributed Backdoor Attck)方法^[74]应用到SAR目标识别对抗攻击任务中。该方法首先通过随机游走计算出扰动值较大的初始对抗样本，然后以此为基础，在模型分类边界附近寻找更小的扰动值以生成最终的对抗样本。与基于优化的方法相比，基于边界的攻击方法直接对分类边界进行了处理，因此计算得到的扰动更加精确。相比之下，Qin等人^[75]通过对特征字典建模而得到一种针对SAR图像分类的通用对抗攻击方法(Feature Dictionary Attack, FDA)。该方法将不同方向的SAR图像组合成一个特征字典集来拟合目标的分布，在得到每个目标的特征字典集后，通过梯度下降法查询不同目标的分布边界。然后基于特征字典集内目标的未知数据进行近邻计算以找到与未知数据匹配的相应数据，并在未知数据上添加存储在字典中的相应扰动最终生成对抗样本。

在上述白盒攻击方法中，攻击者能够完全访问目标模型的结构和参数，这使得他们能够利用模型的梯度信息来生成对抗样本。然而，这种攻击范式的有效性在实际应用中可能受到限制，因为攻击者并不总能获取足够的信息，特别是在面对未知模型时。因此，随着对抗攻击的研究深入，黑盒攻击方法逐渐引起了关注。在黑盒场景中，攻击者无法访问模型的内部信息，必须依赖于输入输出的观察结果。这促使研究者发展了基于迁移的攻击方法，利用已知模型生成对抗样本，并希望这些样本能够成功迁移到未知模型上。此外，基于生成对抗网络(GAN)的黑盒攻击方法也逐渐兴起，通过生成高质量的对抗样本，进一步提升在未知模型上的攻击效果。这些方法不仅增加了对抗样本的多样性，还增强了其在不同模型之间的迁移能力，为黑盒攻击提供了更强的策略支持。

(4) 基于GAN的攻击方法

由于生成对抗网络(GAN)能够生成高度逼真的SAR图像^[76−79]，因此部分研究人员研究了利用GAN生成具有清晰目标边缘和明确弱散射中心的SAR图像的对抗样本。Wang等人^[10]将AdvGAN^[80]应用到SAR图像对抗样本生成中，通过学习和近似原始图像的分布，并训练生成器来生成攻击率较高且视觉效果良好的对抗扰动，从而使SAR图像对抗样本在接近原始图像的同时对目标模型具有良好的攻击性。

受语义分割网络和生成对抗网络的启发，Du等人^[11]构建出Attack-UNet-GAN来改进SAR自动目标识别模型的对抗样本生成。其中，语义分割网络UNet^[81]作为生成器可将训练过程中低分辨率和高分辨率的特征图连接起来，并学习基本的组件散射中心信息，以生成更精细的SAR图像对抗样本。而判别器网络的输入则为原始SAR图像或由UNet网络生成的对抗样本，其目的是将UNet网络的输出从真实样本中尽可能分辨出来。通过生成判别网络相互制衡、不断调整参数，可以很好地学习SAR图像的基本特征，从而帮助建立从SAR图像空间到对抗样本空间的映射，使生成的对抗样本拥有真实SAR图像的特征和强大的欺骗性。

为了提升对抗可迁移性，Du等人^[82]提出可迁移对抗网络(Transferable Adversarial Network, TAN)，通过训练两个独立模块来实施对抗攻击。其中生成器模块通过原始数据的一步前向映射制作对抗样本，而衰减器模块则通过捕捉最有害的变形来削弱对抗样本的有效性，从而实现了无需先验知识的SAR图像高可迁移黑盒攻击。此外，Wan等人^[83]提出一种名为可迁移通用对抗网络(Transferable Universal Adversarial Network, TUAN)的新方法。基于生成对抗网络的思想，TUAN方法实现了生成器和衰减器的博弈，以提高通用对抗扰动(UAP)的可迁移性。其中，生成器用于生成对抗扰动，而衰减器则通过削弱扰动效果来增强其在不同模型间的鲁棒性。研究结果表明，TUAN方法即使在小样本条件下也能有效运行，在非目标和目标攻击中都优于现有的UAP算法，并具有更好的隐蔽性。与基于梯度和优化的攻击方法相比，基于GAN的攻击方法是一种更有效地生成具有高质量对抗样本的算法。

(5) 基于迁移的攻击方法

基于迁移的攻击方法涉及对目标模型的代理模型发起攻击，以生成具有迁移性的对抗样本，这些样本能够成功地攻击目标模型^[84]。Lin等人^[85]基于深度神经网络在浅层具有相似特征表征的假设，提出了一种创新的浅层特征攻击方法(Shallow-Feature Attack, SFA)来提升攻击算法的可迁移性。该方法通过提取网络模型浅层的梯度和特征图来生成关键特征，并结合浅层特征与端到端损失构建混合损失函数，有效地在黑盒情况下生成具有高迁移性的对抗样本。Chen等人^[86]认为SAR图像中的散斑噪声具有非鲁棒性，直接从模型中提取非鲁棒特征进行攻击会导致对抗样本在特定模型上表现出局部最优，但在不同模型间的可迁移性变差。因此，提出通过修改影响模型决策的关键区域来进行攻击的PWFA (Positive Weighted Feature Attack)方法。该方法首先应用随机像素遮罩策略减少散斑噪声对原始图像的影响，随后定义扰动特征的损失函数，并将其与交叉熵损失结合，通过迭代优化的方法来生成具有更高可迁移性的对抗样本。

受UAP方法启发，Peng等人^[87]建立了一个完全黑盒的通用攻击框架(Fully Black-box Universal Adversarial attack, FBUA)并将其应用到SAR图像对抗攻击任务。FBUA方法通过模拟SAR数据集来训练替理模型，然后利用替代模型生成通用对抗性扰动，以攻击多种深度神经网络架构。同时，Peng等人^[88]认为高频特征受到闪烁现象的影响导致稳定性较低，而低频特征则反映了目标的主要结构，具有强大的泛化能力。基于这一特点，提出了一种基于低频优化和特征偏差的语义启发式SAR目标对抗攻击算法(Target Segmentation based Adversarial Attack, TSAA)。通过在扰动生成过程中引入低频优化，生成的对抗样本专注于被攻击目标的低频特征，这些特征具有更好的泛化性。然后，生成的对抗样本被引导攻击目标的高层次语义特征，从而提高了对抗样本的可迁移性。除以上两种基于迁移的方法外，Peng等人^[89]还提出了一种基于合成数据到实测数据(S2M)的对抗性攻击评估方法，利用可迁移性估计攻击(TEA)来增强基于合成数据训练的替理模型的攻击性能，从而有效揭示SAR自动目标识别系统的潜在对抗风险。

此外，万烜申等人^[90]借鉴了动量迭代快速梯度符号法(Momentum Iterative Fast Gradient Sigh Method, MI-FGSM)^[14]的思想，提出了一种新的基于迁移的黑盒攻击算法(Transfer-based Black-box Attack Algorithm, TBAA)。该算法首先结合SAR图像的特性，对图像进行随机斑点噪声变换，以缓解模型对斑点噪声的过拟合，从而提高算法的泛化能力；随后设计了一个能够快速找到最优梯度下降方向的ABN优化器，通过快速收敛模型梯度来提升攻击的有效性；最后引入了拟双曲动量算子，确保梯度在快速收敛的同时不易陷入局部最优，进一步提高了对抗样本在黑盒攻击中的成功率。Huang等人^[91]提出了一种名为类内变换和类间非线性融合攻击(Intra-class Transformations and Inter-class Nonlinear Fusion Attack, ITINFA)的新方法，从两个方面提升了对抗样本的迁移性：一方面，通过类内单图像的变换，利用一系列与SAR图像特性相符的多样化变换，确保了梯度更新方向的稳定性，减少了对代理模型的过拟合风险；另一方面，类间融合策略则通过非线性方式整合其他类别的信息，有效增强了特征融合的效果，从而引导对抗样本发生误分类。

2.1.1.2   局部扰动

针对全局攻击方法可解释性弱、攻击结果可控性低和攻击目标针对性低等缺点，周隽凡等人^[92]结合SAR的成像机理提出稀疏攻击的概念，将对抗扰动的重点放在SAR图像中的高亮目标区域。常用的稀疏攻击算法包括Sparse-RS^[93], SparseFool^[94]和CornerSearch^[95]等。其中，Sparse-RS采用随机搜索的核心思想，在确定初始扰动位置和大小后，通过迭代随机选择扰动的位置和大小。当迭代导致模型误分类或达到预设的最大迭代次数时，算法停止并输出当前的扰动结果。SparseFool算法是 DeepFool算法在稀疏方向上的应用，其核心思想为计算每次迭代中样本到分类边界的距离，并在分类边界的切线方向上计算并累加扰动。CornerSearch算法则基于穷举迭代求解的思想。该方法将每个像素点视为立方体，计算其每个通道周围的梯度并取其中的最小值作为扰动值，通过并行迭代来求解一组待攻击样本的扰动值，以生成SAR图像对抗样本。金夏颖等人^[96]在 JSMA 算法的基础上提出了一种新的稀疏攻击方法——基于差分进化的雅可比显著图攻击算法(Differential Evolution-Jacobian Saliency Map Attack, DE-JSMA)，在精确筛选出对模型推理结果影响较大的显著特征的同时，动态选择合适的特征值并延伸设计，从而提升攻击成功率。

由于在电磁波传播过程中目标周围的电磁波将会被目标阻挡，因此在SAR图像中相应的位置将会被成像为阴影区域。而对于阴影区域和背景散斑区域，增加扰动可能会违反SAR成像特性，难以通过人工检查。受稀疏对抗扰动方法的启发，Meng等人^[97]在生成SAR图像对抗样本时提出局部对抗扰动的TRPG (Target Region Perturbation Generator)方法。其核心内容为利用基于Gabor特征的纹理分割(Gabor Feature-based Texture Segmentation, GFTS)方法^[98]来提取SAR图像中目标的掩模，然后将掩模参数引入扰动生成器的损失函数中，这样即可将SAR图像对抗样本的扰动聚合到目标区域，最后通过基于优化的C&W方法来生成更符合SAR图像特征的对抗样本。

除了提取SAR图像中目标区域的掩模来生成局部扰动外，文献[99]在生成对抗扰动的过程中增加了一个${L}_{0}$范数约束的小扰动范围损失来约束扰动的覆盖范围。该方法首先使用基于优化的方法生成对抗扰动；其次通过求解该损失函数对输入扰动的梯度来找到扰动覆盖区域内对识别结果影响较小的像素点；然后将这些像素的扰动设置为零进行进一步迭代，从而生成具有较小扰动范围的SAR图像对抗样本。Du等人^[100]提出了一种名为通用局部对抗网络(Universal Local Adversarial Network, ULAN)的半白盒攻击方法，通过计算模型的注意力热图定位SAR图像中与识别结果高度相关的目标区域，并利用基于U-Net的生成器学习从噪声到UAP的映射，从而在仅扰动SAR图像四分之一或更少区域的情况下，有效实现对抗性攻击。

为了使生成的局部对抗扰动获得良好的迁移性，Peng等人^[101]提出散斑变体攻击(Speckle-Variant Attack, SVA)方法。该方法由基于梯度的扰动生成器和目标区域提取器这两个主要模块组成。其中扰动生成器用于实施背景散斑的变换，在每次迭代期间破坏原始的噪声模式并不断重构散斑噪声，以防止生成的对抗样本过拟合噪声特征，从而实现强大的可迁移性。目标区域提取器通过限制扰动的区域来确保在实际场景中添加对抗性扰动的可行性，在注入目标掩模的情况下，扰动仅限于图像中描述目标反射率的部分。因此，所提出的 SVA方法能够产生更具可迁移性和物理可行性的对抗样本。

此外，光学图像中基于对抗补丁的攻击方法^[102]也被借鉴到SAR图像的局部攻击中。其中，具有代表性的有SAR Sticker^[103]方法和Target Partial-Occlusion^[104]方法。SAR Sticker方法使用Grad-CAM (Gradient-weighted Class Activation Mapping)^[105]提取输入SAR图像中对识别模型影响最大的区域，并将其作为生成对抗补丁的区域，然后采用C&W攻击来确保生成对抗补丁的有效性。Target Partial-Occlusion方法结合OTSU算法和形态学运算提取SAR图像中的目标区域。然后，引入随机搜索(Random Search, RS)算法，在遮挡面积和遮挡值的约束下，优化提取的目标区域中的遮挡位置，从而达到对SAR目标识别网络进行误分类的目的。

除了上述针对目标分类识别任务的对抗攻击方法外， Duan等人^[106]提出了一种专为SAR目标检测任务设计的区域自适应局部扰动(Region-adaptive Local Perturbations, RaLP)框架，该框架包含两个模块。首先，为了应对SAR图像中的相干散斑噪声干扰，设计了局部扰动生成器(Local Perturbation Generation, LPG)模块，该模块通过对原始图像进行滤波，减少扰动生成时引入的散斑特征，并将对抗性扰动以局部形式叠加在物体散斑较弱的区域，从而减小相干散斑与对抗扰动之间的相互干扰。其次，为了解决局部对抗扰动在尺寸变化方面的适应性不足问题，设计了自适应扰动优化器(Adaptive Perturbation Optimizer, APO)模块，该模块能够根据物体的大小和形状自适应调整扰动的尺寸，从而增强了攻击的普适性和效果。

2.1.2   SAR复数图像对抗攻击

目前绝大多数SAR图像对抗样本都是在灰度图像上生成的。但是，SAR图像是一种高分辨率的二维频域复数图像^[107−109]，其中不仅包含振幅信息，还包含相位信息。为了生成更加真实的SAR复数图像的对抗样本，并且能够在雷达目标图像识别的实数域上进行有效的对抗样本攻击。张棋祥^[110]提出一种基于生成对抗网络的SAR复数图像对抗样本生成算法。该算法首先将传统典型深度学习模型修正为复数形式，然后将复数深度学习模型作为生成对抗神经网络的生成器和判别器，并对判别器进行预训练；再然后将传统实数交叉熵损失函数修正为复数形式，并对复数形式的判别器进行训练；最后，使用复数生成器生成复数形式的雷达目标对抗样本，攻击其他复数深度学习模型。实验结果表明该算法不仅能够有效地攻击复数深度学习模型，而且具有跨数据域攻击的特性，即将复数对抗样本转换成可视化的灰度图像时，在无目标攻击下，也能有效攻击实数形式的深度学习模型。

受stAdv (spatially transformed Adversarial attack)算法通过优化平滑流场的偏移量来对原始样本空间进行变换以产生对抗攻击观点的启发^[111]，文献[112]提出在频域中优化流场从而在SAR复数图像上生成对抗样本的新方法。该方法使用离散余弦变换(Discrete Cosine Transform, DCT)将输入SAR图像从时域空间转换到频域空间。在频域空间内，通过基于优化的方法优化流场来生成对抗扰动。然后再由反离散余弦变换(Inverse Discrete Cosine Transform, IDCT)将扰动信号从频域空间变换回时域空间从而得到SAR灰度图像对抗样本。与基于灰度图像的对抗攻击方法相比，基于复数图像的攻击方法更符合SAR的数据特征，生成的对抗样本具有更好的攻击性和跨域可迁移的特性。

为了便于读者理解，本文将数字域SAR图像对抗攻击方法进行了整理并归纳在表1中。

表  1  数字域SAR图像对抗样本生成方法

Table  1.  Digital domain SAR image adversarial example generation method

攻击方式	扰动范围	具体分类	攻击原理	方法代表
SAR灰度 图像攻击	全局对抗扰动	基于梯度的攻击方法	利用目标识别模型的梯度信息生成对抗样本	FGSM[50−52] BIM[56] ILCM[57] IMGS[59] NAA[60] PGD[62] JSMA[50]
		基于优化的攻击方法	优化损失函数来生成对抗样本	C&W[7] EAD[7] Fast C&W[8] One-pixel[50] CRFA[68]
		基于边界的攻击方法	利用搜索等优化算法来生成对抗样本， 使其跨越目标识别模型决策边界	DeepFool[7] HJSA[7] UAP[72,73] DBA[9] FDA[75]
		基于GAN的攻击方法	训练一个生成对抗网络(GAN)来生成对抗样本	AdvGAN[10] Attack-UNet-GAN[11] TAN[82] TUAN[83]
		基于迁移的攻击方法	对目标模型的替理模型发起攻击，生成具有迁移性的对抗样本并成功攻击目标模型	SFA[85] PFWA[86] FBUA[87] TSAA[88] TEA[89] TBAA[90] ITINFA[91]
	局部对抗扰动	基于稀疏的攻击方法	结合SAR图像特征的稀疏性，将扰动重点放在目标区域	Sparse-RS[92] SparseFool[92] ConnerSearch[92] DE-JSMA[96]
		基于优化的攻击方法	注入目标掩模限制扰动区域，并通过优化损失函数 来生成对抗样本	TRPG[97]
			构造小扰动范围损失限制扰动区域，并通过优化损失函数来生成对抗样本	文献[99]
		基于梯度的攻击方法	利用基于梯度的扰动生成器实施散斑变体攻击，并通过目标区域提取器限制扰动区域	SVA[101]
		基于边界的攻击方法	计算模型的注意力热图定位SAR图像中与识别结果高度相关的目标区域，并在该区域生成通用扰动	ULAN[100]
		基于补丁的攻击方法	在SAR图像中插入特制补丁图案，诱导模型做出错误 的决策或识别	SAR Sticker[103] Target Partial-Occlusion[104] RaLP[106]
SAR复数 图像攻击	局部对抗攻击	基于GAN的攻击方法	训练一个复数形式的生成对抗网络(GAN)来生成 频域复数图像对抗样本	文献[110]
		基于优化的攻击方法	在频域空间中通过优化的攻击方法来优化流场从而在 复数图像上生成对抗样本	文献[112]

下载: 导出CSV 

| 显示表格

2.2   伪物理域SAR图像对抗样本生成方法

光学图像的对抗样本生成通过添加噪声和特定的结构来实现。然而，在SAR图像中，成像过程是电磁波相干散射场的叠加，因此通过现有的光学图像对抗样本生成方法来生成SAR图像对抗样本在物理上往往是不可行的。为了生成具有明确物理意义的SAR图像对抗样本，需要添加一些物理上可行的结构。文献[12]率先提出一种基于属性散射中心模型^[113]引导的SAR图像对抗样本生成方法，该方法首先在原有目标物理模型中加入伪装结构散射模型，实现基于散射模型的SAR图像生成。然后，采用改进的基于梯度的方法生成具有伪装结构目标的SAR图像。受上述研究启发，Peng等人^[13]提出SMGAA (Scattering Model Guided Adversarial Attack)算法，通过引入有效的属性散射中心模型和一种通用的成像方法来描述典型几何结构在SAR成像过程中的散射行为，并设计了一个定制的优化过程以柔和的贪婪方式搜索最有效的对抗性散射体，从而生成在物理空间下更可行和更稳健的对抗扰动。此外，Ye等人^[114]提出OTSA (On-Target Scatterer Attack)方法，通过引入基于高斯核的位置评分机制将对抗性散射体的位置限制在目标区域，然后使用梯度上升方法解决对抗性散射体的优化问题。OTSA 能够生成描述散射体位置、形状、大小和幅度的参数向量，以指导攻击的物理执行，从而误导SAR图像分类器。

最近，学界开始关注使用属性散射中心重构理念来引导对抗扰动的生成。例如，ASC-STA (Attributed Scattering Center guided SAR Target recognition adversarial Attack)方法^[115]采用属性散射中心重构算法，从SAR图像中提取目标区域的散射点；随后使用空域变换攻击来改变目标微结构的局部灰度关系，进而改变目标散射点的特性，实现在增加攻击成功率的同时将扰动限制在目标区域内。SCMA (Scattering Center Model Attack)方法^[116]基于获取目标的属性散射中心，进一步提出了一种模型无关的黑盒对抗样本生成策略。这种方法首先在MSTAR数据集上对训练样本进行属性散射中心重构，以获取干净样本的散射中心先验，然后通过增加对抗样本与干净样本之间的JS散度来实施攻击。

为了便于读者理解，本文将上述伪物理域SAR图像对抗攻击方法进行了整理并归纳在表2中。

表  2  伪物理域SAR图像对抗攻击方法分类

Table  2.  Pseudo-physical domain SAR image adversarial attack method

攻击方式	具体分类	攻击原理	方法代表
属性散射 中心攻击	对抗性散射体	利用属性散射中心模型生成参数化的对抗性散射中心， 并优化对抗性散射中心的位置及散射响应	文献[12] SMGAA[13] OTSA[114]
	属性散射中心模型重构	利用属性散射中心重构算法提取目标区域的散射中心，并对散射中心进行扰动攻击	ASC-STA[115] SCMA[116]

下载: 导出CSV 

| 显示表格

2.3   存在问题与挑战

数字域SAR图像对抗攻击方法侧重于通过使用从计算机视觉领域借用的攻击算法来验证SAR自动目标识别模型的脆弱性。该类方法通过在SAR图像上直接添加噪声来实现针对SAR目标识别的对抗攻击。然而，SAR图像中的像素点表示的是目标物体的后向散射信息，这些信息不仅包括散射强度信息，还有相位信息，多极化成像中还包含有极化信息。而数字域攻击方法缺乏SAR成像的先验信息和领域知识，未能建立起扰动像素与雷达信号的对应关系，生成的对抗扰动缺乏在现实场景下的物理可实现性。

对于伪物理域对抗攻击方法，其仍是从SAR成像的结果图像出发，依赖于静态的单帧SAR图像中的目标散射特性进行对抗样本生成。而SAR成像本就是雷达与目标相对运动的产物，上述方法未能有效考虑对目标在运动过程中扰动的变化进行建模。实际上，随着目标实时方位角的变化，目标物体中的散射结构会产生不同的后向散射响应。同时，直接在图像域目标物体中添加对抗性散射体也难以真实反映对抗性散射体添加后对周围区域的多径效应和背景的散斑变化，对抗样本容易被检测出并被针对性抑制和消除。因此，伪物理域攻击方法很难在真实场景下实现。

3.   物理域SAR对抗攻击策略分析

在合成孔径雷达领域，物理域SAR对抗样本与SAR干扰、欺骗等概念紧密相关，但它们在性质和目的上有所不同。具体来说，物理域SAR对抗样本通过在目标物体及周围环境中添加特定的扰动来改变雷达回波信号，在不明显影响成像质量的情况下，使基于DNN网络的SAR目标识别模型产生误判或定向识别为其他类别。相对而言，SAR干扰技术则主要集中在产生强可见度的压制噪声或高隐蔽性的假目标来攻击传统的SAR目标分类器。

针对物理空间中SAR图像样本的对抗攻击，需要综合考虑SAR成像原理及成像影响因素以制定有效的攻击策略。图2展示了物理域SAR对抗攻击流程与SAR成像链路的对应关系。从图2上半部分可以看出，物理域SAR对抗攻击主要分为4个阶段^[117]。其中第1阶段对应数字域/伪物理域对抗扰动生成，即基于给定的DNN模型在灰度或复数图像中生成扰动，并受到不同攻击形式和攻击目标的约束。第2阶段为物理域对抗媒介制造阶段，即设计适当的物理媒介来承载与攻击形式相符的扰动，然后使用合适的材料制造它们。第3阶段为物理域对抗样本生成阶段，即将对抗性媒介应用于现实场景中，并被SAR成像传感器捕获，从而生成对抗样本图像。第4阶段为攻击阶段，即SAR成像传感器捕获的对抗样本图像被输入到基于DNN的模型以发起攻击。

图  2  物理域SAR对抗攻击流程与SAR成像链路对应关系

Figure  2.  Correspondence between the physical domain SAR adversarial attack process and the SAR imaging link

下载: 全尺寸图片 幻灯片

图2下半部分展示了SAR完整的成像链路。从图中可以看出，SAR成像过程可以概括为信号发射、目标响应、信号回波、信号处理、成像处理以及得到成像结果等6个步骤。对于非合作雷达目标，很难通过技术手段去改变雷达系统参数、运动参数及其信号处理和成像参数，只能将对抗媒介添加到信号传播过程中，再由对抗媒介来生成对抗扰动信号，从而使得雷达接收机在接收到干净样本回波信号的同时也会接收到与干净样本信号高度耦合的对抗扰动信号。

因此，区别于数字域及伪物理域攻击在图像中添加对抗扰动的方法，物理域对抗攻击在SAR成像链路的目标响应和信号回波阶段进行对抗媒介的制造，如表3所示。然后，使用对抗媒介(例如角反射器、可重构电磁超表面)来改变目标对雷达信号的响应，或使用对抗媒介(例如干扰机)将对抗扰动信号直接添加到干净样本回波中来生成对抗样本回波信号。最后，在信号处理阶段，雷达接收机会将反射回来的包含对抗扰动信号在内的回波信号进行信号处理和解调，从而获得目标的位置、速度、形状等信息，并经成像处理后得到SAR对抗样本。

表  3  不同类型的攻击方法在SAR成像链路中添加扰动的位置

Table  3.  Different types of attack methods add perturbations to the SAR imaging link

成像链路	数字域	伪物理域	物理域
信号发射	×	×	×
目标响应	×	×	√
信号回波	×	×	√
信号处理	×	×	×
成像处理	×	×	×
成像结果	√	√	×

下载: 导出CSV 

| 显示表格

本节内容从SAR成像流程出发，探讨了在目标响应和信号回波这两个成像阶段添加对抗媒介以生成物理域SAR对抗样本的可能性。SAR成像是一个复杂的过程，涉及从信号发射到回波信号处理等多个阶段。在信号发射阶段，SAR系统通过天线向地面目标发射短脉冲信号。在SAR系统中，最常用的信号是线性调频(Linear Frequency Modulation, LFM)脉冲信号。LFM脉冲信号的载频在脉冲宽度内线性变化，其复数表达式可以描述为特定的数学形式：

其中，A是信号的振幅项；$\mathrm{r}\mathrm{e}\mathrm{c}\mathrm{t}\left({t}/{{T}_{\mathrm{p}}}\right)$是脉冲宽度为${T}_{\mathrm{p}}$的矩形函数，表示信号仅在$\pm {{T}_{\mathrm{p}}}/{2}$时间内存在。$\mathrm{e}\mathrm{x}\mathrm{p}(\mathrm{j}2{\pi }{f}_{0}t+\mathrm{j}{{\pi }K}_{\mathrm{r}}{t}^{2})$是信号的相位项，其中${f}_{0}$为载波频率；${K}_{\mathrm{r}}$为调频斜率。在不考虑信号传输过程中存在大气衰减的情况下，发射的微波信号在到达地面后与目标物体发生相互作用，如反射、透射和吸收等，这一过程被称为目标响应。在目标响应阶段，SAR发射信号在与地面目标相互作用后形成回波信号，可以表示为

其中，${\sigma }_{0}$是目标的雷达散射截面(Radar Cross Section, RCS)，表示目标在雷达接收方向反射信号的能力；t为“快”时间变化；$\eta$为“慢”时间变化；$\mathrm{c}$为电磁波的传播速度；$R\left(t \right)$为目标相对于雷达的斜距。SAR系统通过天线接收反射回来的信号，这些信号具有一定的时间、频率和相位等特征。通过应用合成孔径技术多次发射和接收回波信号，使得有效的合成孔径大小相对于天线尺寸更大，从而提高了成像分辨率。

SAR系统接收地面反射的回波信号后将信号转化为数字信号进行采样和量化，并进行后续的成像流程。涉及两个关键的处理步骤：信号处理和成像处理。信号处理主要包括滤波、去斜等过程。成像处理是指通过距离-多普勒等成像算法处理获得最终的SAR图像。实际中，通常将信号处理纳入SAR成像处理过程一并开展。以SAR常用的距离-多普勒成像算法为例，其表达式如下所示：

其中，$I(x,y)$表示成像结果，x和y分别为距离向和方位向的坐标；$s(t,\eta )$是信号处理后的回波信号；${W}_{{\mathrm{r}}}\left(t\right)$和${W}_{{\mathrm{a}}}\left(\eta \right)$分别表示距离向和方位向的加权窗函数，用于改善距离向和方位向的分辨率和旁瓣水平；${H}_{\mathrm{r}\mathrm{c}}\left(t\right)$表示距离压缩滤波器，用于匹配滤波并增加距离维度的信号强度；${H}_{\mathrm{a}\mathrm{c}}\left(\eta \right)$表示方位压缩滤波器，用于方位维度的信号处理；${\mathrm{e}}^{-\mathrm{j}2{\pi }{f}_{t}\left(t\right)}$表示距离维度的相位调整，通常与目标到雷达的距离有关；${\mathrm{e}}^{-\mathrm{j}2{\pi }{f}_{\eta }\left(\eta \right)}$表示方位维度的相位调整，通常与目标相对于雷达的多普勒频率变化有关；${\mathrm{d}}t{\mathrm{d}}\eta$分别表示快时间和慢时间上的积分变量。

对于数字域对抗样本，其将SAR成像结果视作单通道的灰度图像，并使用光学图像中的攻击方法在成像结果I中逐像素地生成对抗扰动。生成数字域对抗样本的通用表现形式如式(1)所示。

对于伪物理域对抗样本，其使用属性散射中心模型来描述二面角、圆柱体和三面角等典型结构的散射机理。单个散射中心的响应如下所示：

其中，f表示频率；$\phi$表示方位角；${{\varTheta }}_{N}=[A,x,y, \alpha ,\gamma ,L,\bar{\phi }]$是影响散射响应的参数集，$\alpha$表示频率依赖因子，$\gamma$表示方位依赖因子，L表示分布散射中心的强度，$\bar{\phi }$表示当前散射中心的方位角。结合属性参数中心模型的对抗扰动可以写成$I(\zeta ,{{\varTheta }}_{N})$的形式。其中，$\zeta =[{f}_{0},B,{\varphi }_{m},m,n,W(\cdot \left)\right]$为SAR成像参数。B表示雷达波的带宽；${\phi }_{m}$为孔径累积角；m和n表示在频率和观测角度区间内的采样点数量；$W(\cdot )$为加权窗函数。根据高频近似^[118]和几何衍射理论^[119,120]，单个散射体的响应之和可以很好地近似于高频区域的总后向散射场。因此，伪物理域对抗样本可以写成${I}^{{\mathrm{adv}}}=I+I(\zeta ,{{\varTheta }}_{N})$的形式，即通过优化属性散射中心参数集${{\varTheta }}_{N}$来生成对抗样本${I}^{{\mathrm{adv}}}$，从而使SAR目标分类器错误分类。

对于物理域SAR对抗样本，一个可行的思路是将扰动添加到雷达信号传输过程中，使得雷达接收机接收到的回波信号中既包含目标物体的原始回波信号，同时也包含对抗扰动信号。根据散射场叠加理论，当对抗扰动信号能够与SAR系统的发射信号在时间上相同步，且对抗扰动信号的调制方式、脉冲重复频率等参数与SAR系统的工作模式相匹配，扰动信号就会被成功地叠加到目标回波信号中，再经过信号处理和成像处理流程后最终得到SAR对抗样本。由式(3)可知，除雷达系统参数和运动参数外，SAR回波信号值的大小与其振幅和相位相关。因此可以通过在信号传输过程(包含目标响应和信号回波阶段)中添加振幅扰动信号或相位扰动信号来改变干净样本的目标回波。根据SAR成像原理，在距离向和方位向的扰动信号相互独立。因此在方位向和距离向添加振幅与相位扰动信号的表达式的一般形式如下：

其中，$p\left(t\right)={A}_{p}{\mathrm{e}}^{\mathrm{j}\left(\phi \right(t\left)\right)}$表示对抗扰动信号。其中，${A}_{q}$表示扰动信号的振幅，${\mathrm{e}}^{\mathrm{j}\left(\phi \right(t\left)\right)}$表示扰动信号的相位部分，其中$\phi \left(t\right)$是相位角。添加对抗扰动后的对抗样本回波可以表示为

然后，得到的对抗样本回波信号经SAR系统进行信号处理和成像处理后，生成对抗样本的表达式可以简写为

其中，$I\left({s}_{a}\left(t,\eta \right)\right)$表示SAR系统对对抗样本回波信号进行成像。

此外，还应当考虑两种特殊形式。第1种形式是通过在目标物体表面添加角反射器构建强反射点，即通过扰动雷达散射截面${\sigma }_{0}$中用于描述目标几何结构的参数来生成对抗扰动回波信号，其一般表达式为

其中，${\sigma }_{a}$表示添加对抗扰动后的雷达散射截面。在得到对抗扰动信号${s}_{p}(t,\eta )$后，其后续处理流程与式(7)、式(8)保持一致。第2种形式是通过涂覆吸波材料(可重构电磁超表面)对雷达回波进行衰减。在这种形式下，生成对抗样本不再是干净样本回波信号和对抗扰动信号的相干散射场叠加，而是通过扰动雷达散射截面${\sigma }_{0}$中用于描述目标材料特性的参数来生成对抗样本回波信号，其一般表达式为

在得到对抗样本回波信号${s}_{a}(t,\eta )$后，其后续处理流程与式(8)保持一致。在3.1节和3.2节，本研究将结合对物理域SAR对抗攻击策略的分析，分别从目标响应和信号回波这两个阶段展开具体的讨论与说明。

3.1   目标响应阶段对抗攻击策略

对于SAR图像，其成像过程利用电磁波相干散射场的叠加。因此，在目标响应阶段，可以应用散射场叠加原理在目标物体上添加对抗扰动来攻击分类器。由式(9)可知，对抗样本回波信号与添加扰动后的雷达散射截面${\sigma }_{a}$相关。${\sigma }_{a}$描述的是地面目标对入射雷达波的散射能力，如果目标的${\sigma }_{a}$更大，这意味着它向雷达系统反射回更多的能量，因此接收到的回波信号的振幅值也会更大。基于此，可以通过调整${\sigma }_{a}$来扰动回波信号的振幅，进而生成SAR对抗样本。${\sigma }_{a}$与目标形状尺寸、几何结构、材质和电学性质、表面散射中心分布和数量、表面粗糙度以及目标的方位角和俯仰角等目标散射特性有关。此外，雷达系统参数也会对${\sigma }_{a}$产生影响。可以将其看作以上众多物理参数的函数，即

其中，$\lambda$为波长，$\theta$是入射角，P是极化方式，$\varphi$是地面目标方位角，${\sigma }_{{\mathrm{r}}}$为电导率，${\varepsilon }_{{\mathrm{r}}}$为介电常数，${u}_{{\mathrm{r}}}$为磁导率，$\mathcal{T}$是表面粗糙度，S是目标几何形状，d为特征尺寸。更进一步的，可以通过改变影响雷达散射截面的物理参数集${\varTheta }_{P}$来生成对抗样本。因此，扰动${\sigma }_{a}$可以细化为对某一物理参数进行扰动从而改变回波信号的强度，如下所示：

其中，${\varTheta }'_{P}$表示对影响雷达散射截面的某一项物理参数添加扰动$\delta$后生成的对抗扰动参数集；$I(\cdot )$表示成像模型，将生成的对抗扰动参数集代入到成像模型中得到对抗样本$I({s}_{a})$。本文针对${\varTheta }_{P}$中的各项参数进行仔细的分析和比对。其中，波长$\lambda$、入射角$\theta$、极化方式P、地面目标方位角$\varphi$为雷达系统参数或运动参数，很难将对抗扰动添加在上述参数中。目标几何形状S和特征尺寸d往往与目标的几何结构相关，而电导率${\sigma }_{{\mathrm{r}}}$、磁导率${u}_{{\mathrm{r}}}$、介电常数${\varepsilon }_{{\mathrm{r}}}$以及表面粗糙度$\mathcal{T}$与目标的材料特性相关。因此，可以针对目标几何结构和材料特性参数添加对抗扰动来改变${\sigma }_{a}$，进而得到SAR物理域对抗样本。在3.1节的后半部分，本文将讨论两种具体的可应用于目标响应阶段的对抗媒介。

角反射器：由式(11)可知，雷达散射截面与其几何结构相关。即在不同的观测角度下，同一目标具有不同的雷达散射截面，从而会呈现出不同的散射特征。研究者可以通过扰动目标几何结构来改变其散射特性，进而得到SAR图像对抗样本。在现实场景下，目标一般具有刚性结构，难以直接对目标结构进行调整。因此，这一策略可以通过在目标物体上安装角反射器(对抗性散射体)^[121,122]，并通过优化角反射器的几何形状和摆放位置来实现。如图3所示，雷达角反射器通常是由相互垂直的金属面构成的刚性结构。这种特殊的几何结构使得入射电磁波在反射器内部发生多次反射，最终导致雷达波沿着入射方向反射回去。在实际情况中，角反射器的RCS会受到反射器尺寸、形状和角度的影响。因此，改变角反射器的形状、尺寸或摆放位置可以有效地改变它的雷达散射截面，从而在SAR图像中产生不同的后向散射特征。与利用属性散射中心模型重构对抗性散射体并将其成像结果添加到SAR干净样本的思路不同，该策略将角反射器添加到三维目标模型中来调控目标对电磁波信号的响应，并经SAR成像链路后，在SAR图像上的目标区域上形成具有旁瓣扩散效应的强散射点。

图  3  角反射器模型

Figure  3.  Corner reflector model

下载: 全尺寸图片 幻灯片

可重构电磁超表面：由式(11)可知，雷达散射截面还与目标表面材料的电导率${\sigma }_{\mathrm{{r}}}$、介电常数${\varepsilon }_{{\mathrm{{\mathrm{r}}}}}$和磁导率${u}_{{\mathrm{r}}}$等电磁特性相关。其中，电导率${\sigma }_{{\mathrm{r}}}$描述了材料导电的能力；介电常数${\varepsilon }_{{\mathrm{r}}}$是材料在电场中储存电能的能力的量度；而磁导率${u}_{{\mathrm{r}}}$则描述了材料对磁场线的透过能力。如图4所示，根据电磁波损耗机理^[123]，当入射电磁波与目标表面材料相交时，表面材料会对电磁波产生反射、吸收和透射现象。其中，部分电磁波会直接从表面材料的前界面直接反射回来，其余部分电磁波则透射到表面材料内部。在此过程中，由于表面材料的介电性质和磁性特性，部分电磁波能量会转化为热能或其他形式的能量，并因此被有效地耗散，从而造成电磁波的内部损耗。剩余的电磁波会在通过后界面时发生后界面反射或者透射入金属背衬中。因此，只需要选取合适的可重构电磁超表面材料^[124,125]或通过各种物理、化学方式对表面材料进行改性^[126,127]，便可改变目标散射特征，进而实现对SAR的对抗攻击。

图  4  电磁波损耗机理模型

Figure  4.  Electromagnetic wave loss mechanism model

下载: 全尺寸图片 幻灯片

3.2   信号回波阶段对抗攻击策略

信号回波阶段的攻击策略主要依靠在目标信号回波中引入精心设计的扰动信号，并通过信号处理和成像处理流程生成物理域的SAR对抗样本。为确保扰动信号的隐蔽性和有效性，需综合考虑扰动信号在时域、频域、振幅和相位等方面的特性。时域上，扰动信号的时延需与目标回波信号严格对齐，以避免被雷达系统的时延校正算法消除；频域上，扰动信号的频率应与雷达的工作频率和带宽精确匹配，确保其能够有效进入雷达的成像处理链路。

在保证扰动信号与目标回波信号时频一致的基础上，如式(6)—式(8)所示，通过精确调整扰动信号的振幅和相位，使其在不被显著检测的情况下对DNN目标识别过程产生有效干扰。在进行振幅调制时，必须确保扰动信号的强度足以影响DNN识别结果，但又不至于超过雷达系统的干扰检测门限；而相位的调整应确保扰动信号与目标回波信号在成像处理过程中产生一定程度的相位差异，以破坏信号的相干性，从而使扰动信号的能量分布在更广泛的区域，而不是集中在一个点上。当具有不同强度或散焦效果的对抗扰动被添加到目标回波信号所成像的干净样本中时，这些对抗扰动会在成像结果中表现为异常的点目标或散斑噪声(图5)，使得DNN在对图像进行分析时产生错误的分类或识别，最终生成具有欺骗性的SAR对抗样本。在3.2节的后半部分，本文将讨论一种具体的可应用于信号回波阶段的对抗媒介。

图  5  点目标成像结果

Figure  5.  Point target imaging results

下载: 全尺寸图片 幻灯片

DRFM干扰机：数字射频存储器(Digital Radio Frequency Memory, DRFM) 干扰机可以对截获的脉冲雷达回波信号进行复制、存储、调制和转发^[128]。在不直接改变原始回波信号的情况下，DRFM技术可以被用来在捕获的脉冲雷达信号中插入一个或多个点目标信号。这些点目标信号在被混合到原始回波信号前，会根据需要使用DRFM进行调制、转发和上变频处理。例如，可以将DRFM干扰机中预先存储的可变点目标信号与接收到的原始回波信号进行卷积，随后进行数模转换并调制到对应的频率，以确保与原始雷达回波的有效混合。这种策略性地调整后的混合信号随后被发射回雷达接收器，并通过二维成像算法处理，最终生成具有欺骗性的SAR对抗样本。

3.3   实验验证

本文对SAR物理域对抗攻击进行了系统且深入的实验验证，旨在评估通过对抗媒介构造的对抗扰动在多种应用场景中的有效性和鲁棒性。实验设计分为3个部分：首先测试了在目标响应阶段引入角反射器以及可重构电磁超表面材料的对抗效果；其次，验证了在信号回波阶段利用DRFM干扰机在目标回波信号中引入对抗扰动信号生成对抗样本的可行性。这3部分实验均在仿真环境中实现，以确保对不同对抗媒介的影响能够得到充分评估，并为后续的真实场景应用奠定基础。通过这些实验，本研究详细分析了在不同环境条件下生成的对抗样本对基于DNN模型的SAR图像识别性能的影响，为进一步理解和优化物理域对抗攻击提供了坚实的实验依据。

3.3.1   添加角反射器

SAR图像是雷达接收到的地物目标的微波反射成像，其回波信号受到目标几何结构的显著影响。不同目标结构会在回波信号中产生独特的散射特征，从而导致成像效果的差异。因此，可以通过在目标物体上添加角反射器来改变目标几何结构，进而破坏DNN网络识别SAR图像的显著特征从而生成对抗样本。基于此，提出一种基于差分方程的SAR影像显著区域物理攻击方法^[129]。该方法首先将被观测目标及角反射器的物理模型(如CAD模型+材质)进行参数化得到参数模型；其次通过RaySAR光线追踪器来模拟电磁波照射在目标上的散射过程，从而实时或近实时仿真目标在任意姿态、配置或观测几何条件下的图像或特征；然后通过SAR-BagNet网络^[130]识别SAR目标的显著区域来确定添加角反射器的位置和尺寸(图6)；最后，通过基于差分方程的伪梯度动态步长优化策略，对角反射器参数模型中用于描述表面材料对电磁波的反射率、散射率以及表面粗糙度的参数进行迭代优化，以生成SAR图像的对抗样本(如图7所示)。

图  6  角反射器添加位置示意

Figure  6.  Schematic of corner reflector placement

下载: 全尺寸图片 幻灯片

图  7  网络总体流程图

Figure  7.  Overall network flowchart

下载: 全尺寸图片 幻灯片

本研究使用仿真得到的T72类别的数据替换掉MSTAR数据集中的对应类别，并结合MSTAR数据集中其余9个类别的数据训练出一个以ResNet-18为骨架网络的十分类器。然后，在T72目标的物理模型中添加角反射器以攻击训练好的分类网络。表4展示了添加充气式平面角反射器作为对抗媒介及通过优化策略改变其反射系数、散射系数以及表面粗糙度的实验结果。表4中第2列为仿真图像的平均分类分数；第3列为MSTAR数据集中BMP2类别所对应的平均分类分数；第4列为ResNet-18分类网络识别仿真图像的分类准确率；第5列为通过基于差分方程的伪梯度动态步长优化策略来调整角反射器及其设计参数后的攻击成功率。从表4中可以看出，当优化所添加对抗性散射体的散射系数后，能够最大限度地改变分类器的分类结果。通过在原物理模型中添加角反射器及改变其设计参数后，生成的对抗样本可以使分类器识别仿真图像的准确率由100%下降为14.4%。实验结果表明本研究提出的方法为研究SAR物理域对抗攻击提供了很高的可行性。

表  4  对抗攻击结果

Table  4.  Adversarial attack results

类型	平均分类 分数(T72)	平均分类 分数(BMP2)	分类准确率(%)	攻击成功率(%)
干净样本	0.975	0.024	100	——
添加角反射器	0.852	0.148	87.8	12.2
改变角反射器 反射系数	0.727	0.273	84.4	15.6
改变角反射器 散射系数	0.263	0.736	27.8	72.2
改变角反射器 表面粗糙度	0.165	0.833	14.4	85.6

下载: 导出CSV 

| 显示表格

3.3.2   添加可重构电磁超表面材料

已有研究分析表明，如果吸波材料的吸波率超过90%，可以实现雷达散射截面减缩10 dB以上^[131]。因此，可以通过在目标表面涂覆吸波可重构超表面并灵活调控超表面单元对雷达波的反射来生成物理域SAR对抗样本。基于此，本研究提出一种在三维目标模型表面涂覆吸波材料并通过扰动吸波材料散射特征参数来生成SAR对抗样本的SAR-SPA方法。该方法网络流程图如图8所示。其中，${M}=\{{{m}}_{1}, {{m}}_{2},{{m}}_{3},{\cdots,{m}}_{{n}}\}$用于表示目标物体的几何形状。以“car”模型为例，该模型的几何形状由数千个不同大小的网格${{m}}_{{i}}$构成； ${T}=\{{{t}}_{1},{{t}}_{2},{{t}}_{3},{\cdots,{t}}_{{n}}\}$则表示涂覆在每个网格表面的吸波材料的散射特征参数。散射特征参数${{t}}_{{i}}$包含反射系数${{F}}_{\mathrm{s}}$、散射系数${{F}}_{\mathrm{d}}$和表面粗糙度因子${{F}}_{\mathrm{r}}$等。

图  8  SAR-SPA方法网络流程图

Figure  8.  SAR-SPA method network flowchart

下载: 全尺寸图片 幻灯片

在图8的SAR目标识别模块，使用RaySAR模拟器在相机参数${\mathrm{\theta }}_{\mathrm{r}}$和散射特征参数${T}$下对组成三维目标模型的每个网格进行渲染并得到二维SAR图像。然后，深度神经网络模型${f}$根据渲染的图像作为输入并输出正确的预测结果。在图8的对抗样本生成模块，展示了通过改变组成目标模型的每个网格的散射特征参数来生成SAR图像对抗样本的过程，这涉及两个重要的阶段，即对抗样本生成和散射特征参数优化。这两部分的定义如下：

定义3.1(对抗样本生成)：对于所有的${{t}}_{{i}}\in {T}$，对抗散射特征参数${{T}}_{\mathrm{a}\mathrm{d}\mathrm{v}}$可以被定义为

其中，$\mathfrak{R}$表示射线追踪器；${\mathrm{\theta }}_{\mathrm{r}}$为相机参数，用于表示相机的位置和相对目标物体的旋转角度；在攻击流程中，将扰动添加到组成目标模型的每个网格的散射特征参数中得到对抗性散射特征参数${{T}}_{\mathrm{a}\mathrm{d}\mathrm{v}}$，再经SAR图像仿真得到对抗样本x′。

定义3.2(散射特征参数优化)：对于所有的${{t}}_{{i}}\in {T}$，最终的对抗性散射特征参数${{T}}_{\mathrm{a}\mathrm{d}\mathrm{v}}^{\mathrm{*}}$可以被定义为

${f}$表示分类模型，Y表示目标真实的类别；${\mathrm{\theta }}_{\rm{f}}$表示分类模型的参数。在散射特征参数优化中，使用定制的损失函数$\mathcal{I}(\cdot )$对对抗性散射特征参数${{T}}_{\mathrm{a}\mathrm{d}\mathrm{v}}$进行迭代优化，得到最终的对抗性散射特征参数${{T}}_{\mathrm{a}\mathrm{d}\mathrm{v}}^{\mathrm{*}}$(定义2)。当包含有${{T}}_{\mathrm{a}\mathrm{d}\mathrm{v}}^{\mathrm{*}}$属性的对抗样本被输入到分类器f中时，可以诱导分类器产生误导性更强的错误识别结果。

本研究评估了SAR-SPA方法在MSTAR数据集中7个仿真类别上的攻击效果，并对比了SAR-SPA方法和通用对抗扰动(UAP)^[71]、对抗补丁(Patch)^[102]以及使用均匀分布函数对三维目标模型中的反射系数和散射系数进行随机扰动(Random)的攻击效果，并保持UAP和Patch这两种攻击方法的攻击迭代次数、扰动大小与学习率大小与本研究提出的SAR-SPA方法相一致。实验结果如表5所示。

表  5  不同目标类别攻击成功率

Table  5.  Attack success rate of different target categories

Model	Attack	2S1	BMP2	BRDM_2	BTR_60	T72	ZIL-131	ZSU-23-4	平均值
AlexNet	Original	2.50	1.39	10.00	2.22	1.67	0	0	2.54
	Random	5.56	3.89	22.22	3.61	1.39	0	0.83	5.36
	UAP	36.67	2.78	81.11	83.06	87.22	35.83	39.17	52.26
	Patch	26.67	1.39	33.89	77.78	36.67	29.44	5.83	30.24
	SAR-SPA	95.28	95.56	83.33	85.83	81.94	35.56	45.17	74.67
GoogLeNet	Original	6.39	1.67	6.67	4.17	2.78	1.11	1.39	3.45
	Random	5.56	3.33	8.06	4.17	2.78	1.67	2.50	4.01
	UAP	40.83	32.22	13.33	9.44	78.89	16.67	32.50	31.98
	Patch	34.44	1.67	12.22	45.56	27.50	15.00	3.89	20.04
	SAR-SPA	72.50	86.67	80.56	81.94	77.78	35.83	42.50	68.25
VGG16	Original	1.39	0.56	10.00	2.78	0.28	0	2.50	2.50
	Random	1.67	2.22	11.67	5.28	0.28	0.56	1.11	3.26
	UAP	20.28	0	14.17	26.67	7.50	1.39	30.83	14.41
	Patch	38.61	0	15.28	46.94	5.00	11.67	10.83	18.33
	SAR-SPA	65.00	76.94	79.44	81.39	69.44	33.06	36.11	63.05
ResNet50	Original	1.39	0.56	6.39	5.28	0.28	0	0	1.99
	Random	1.67	1.11	7.78	2.50	0.28	0	1.39	2.10
	UAP	91.39	81.39	98.89	73.33	81.11	32.50	45.83	72.06
	Patch	46.94	2.50	31.67	56.11	37.22	34.72	0.28	29.92
	SAR-SPA	95.83	93.33	98.06	83.89	87.22	32.50	46.39	76.75
InceptionV3	Original	14.17	1.67	11.11	8.06	3.06	0	0	5.44
	Random	7.50	1.94	6.67	5.83	1.94	0	0.28	3.45
	UAP	45.83	77.22	62.78	8.89	53.61	43.05	34.44	46.55
	Patch	60.56	5.00	43.89	60.28	43.33	30.83	2.22	35.16
	SAR-SPA	58.33	83.06	75.28	72.50	60.28	35.28	35.00	59.96
MobileNetV2	Original	4.44	0.28	5.00	3.06	0	0	0	1.83
	Random	5.28	1.94	6.39	4.44	0.56	0	0.28	2.70
	UAP	74.17	76.39	75.28	66.11	66.39	30.28	37.22	60.83
	Patch	3.33	53.89	26.39	24.17	9.72	8.89	7.50	19.13
	SAR-SPA	81.67	76.39	77.68	73.06	78.61	31.11	42.22	65.82
ShuffleNetV2	Original	2.50	0	3.61	1.39	0.28	0	0	1.11
	Random	3.06	1.67	5.28	3.05	0	0	0.56	1.95
	UAP	70.56	69.44	82.50	76.67	91.94	33.89	36.11	65.87
	Patch	11.39	26.94	37.78	21.11	18.33	20.56	3.06	19.88
	SAR-SPA	81.94	79.72	91.67	86.39	96.67	45.28	47.78	75.64
EfficinetNetV2	Original	8.06	0	3.33	0.83	0	0	0	1.75
	Random	8.61	0.28	3.33	2.78	0.28	0	0	2.18
	UAP	91.67	78.06	82.78	63.33	76.94	9.17	90.00	70.28
	Patch	37.78	0.28	9.17	26.67	16.11	4.17	6.94	14.45
	SAR-SPA	98.33	95.83	98.61	91.84	97.50	45.83	49.72	82.52
Vision Transformer	Original	0.83	0	3.06	3.33	0.56	0	0	1.11
	Random	1.11	0.56	3.61	3.89	0.56	0	0	1.39
	UAP	9.17	22.78	33.89	26.94	14.17	2.78	4.72	16.35
	Patch	48.33	30.56	11.67	20.56	10.00	3.61	12.50	19.60
	SAR-SPA	14.72	21.94	19.17	15.83	17.22	8.61	9.17	15.24
Swin Transformer	Original	0	0	4.17	0	0	0	0	0.60
	Random	0.56	0.83	5.00	0.28	0	0	0	0.95
	UAP	48.33	21.67	14.44	42.50	20.00	4.17	30.28	25.91
	Patch	32.50	45.22	43.61	25.28	44.72	11.11	15.56	31.14
	SAR-SPA	38.06	41.39	32.22	38.06	33.33	18.06	15.83	30.99
注：加粗数值表示最优结果。

下载: 导出CSV 

| 显示表格

从表5可以看出，训练好的分类器模型能够很好地拟合仿真数据集，在7个类别上的平均识别准确率达到94.56%以上。然后，使用上述4种攻击方法对干净样本添加扰动，并对攻击结果进行了统计和分析。其中，Random方法攻击效果最差，这反映了随机扰动相对于更精细设计的对抗扰动在欺骗DNN模型方面的局限性。例如，在使用Random方法时，大多数模型的平均攻击成功率仅能提升不到1%。甚至对于InceptionV3模型，使用Random方法进行攻击后会使其平均攻击成功率相较攻击前下降1.99%。推测原因为使用Random方法攻击时会导致目标雷达散射特性参数发生变化，而这一变化又会造成成像结果前后景对比度的改变。这使得在有些情况下，添加Random扰动会起到一个正激励噪声的作用，能够让目标特征更加显著，从而导致分类模型识别效果变好。

相较Random方法，使用UAP方法和Patch方法生成对抗扰动可以取得显著的攻击效果。其中，UAP方法通过在图像中引入微妙但系统的扰动，能够在多个目标上普遍降低分类准确率，特别是在ResNet50, ShuffleNetV2和EfficientNetV2等模型上，7个类别的平均攻击成功率分别达到了72.06%, 65.87%和70.28%。这种方法的高效性在于其能够利用深度学习模型的普遍脆弱性，对多个类别产生广泛的影响。而Patch攻击通过在图像中添加精心设计的可见补丁，产生强烈的局部干扰。这种攻击策略不仅能够在目标识别系统中引发混淆，还在基于Transformer架构的DNN模型上达到了最高的平均攻击成功率(在Vision Transformer和Swin Transformer模型上平均攻击成功率分别为19.60%和31.14%)，显示出其对Transformer架构的分类模型具有更强的破坏力。

与其他攻击方法相比较，本研究提出的SAR-SPA方法展示出强大的攻击能力，在基于CNN架构的分类模型中平均攻击成功率达到59.96%以上，显著优于其他几种攻击方法；在基于Transformer架构的模型上平均攻击成功率达到15.24%以上，虽然平均攻击成功率略低于基于Patch的攻击方法，但是在ZIL-131这一类别上相对基于Patch的攻击方法仍有所提升。同时，本研究发现，相对于其他5种目标类别，该方法在ZIL-131和ZSU-23-4这两种目标类别中攻击成功率相对较低。推测原因为ZIL-131卡车和ZSU-23-4防空单位与数据集中其他类别在目标轮廓和散射特征上差异较大，因此很难被错误识别为其他类别。

此外，本研究还发现了一个有趣的现象，CNN模型相较Transformer模型更容易攻击。推测原因为CNN模型主要通过局部感受野来提取特征，这意味着它们对输入图像的每一小部分进行操作。这种局部处理方式使得CNN对局部的图像扰动特别敏感(例如目标区域)，尤其是那些能显著改变局部图像统计特性的扰动。而Transformer模型依赖于自注意力机制，这使得它们能够捕捉到输入数据中的全局依赖关系。因此，Transformers能更好地理解整体上下文，这可能使得它们对局部扰动不那么敏感，从而导致攻击成功率较低。

在接下来的部分，本研究展示了使用不同攻击方法生成的对抗样本的可视化效果图。由于本文所用分类模型较多，难以在同一张图中显示所有结果(全部展示则需要放置10×5×7=350张图像)。因此仅以ResNet50模型为例展示了使用不同攻击方法生成的对抗样本图像。生成的对抗样本如图9所示。

图  9  不同攻击方法可视化效果图(以ResNet50为例)

Figure  9.  Visualization of different attack methods (taking ResNet50 as an example)

下载: 全尺寸图片 幻灯片

3.3.3   添加DRFM干扰机

数字射频存储器(DRFM)技术赋予干扰机捕获和存储雷达发射信号的能力，并通过高精度的数字处理与调制，在保留信号相位和幅度特性的前提下进行再发射。借助DRFM技术，可以在捕获的目标回波信号特定位置叠加对抗扰动信号，以增强该位置的回波强度。随后，干扰机将对抗扰动信号与原始目标回波信号一并发射至雷达接收系统，并保持与原始信号的相位一致性，从而在信号处理和成像处理后生成物理域的SAR对抗样本。

本研究根据DRFM技术特点，提出一种结合点目标振幅调制攻击的物理域SAR对抗样本生成方法—SAR-PTAMA(图10)。具体来说，SAR-PTAMA方法首先结合最大类间方差算法(OTSU)与形态学操作来提取目标区域掩模，将扰动点的位置仅限制在用于描述目标散射的部分；然后，提出一种基于差分进化(DE)生成少量像素对抗扰动的黑盒攻击方法，并采用自适应强度调整策略，根据目标区域内的原始散射特性，动态调整扰动点的散射强度，确保扰动的不可检测性同时最大限度地保留对模型识别的影响；此外，考虑到SAR成像的旁瓣扩散特性，在获取扰动点位置和扰动强度的基础上，提出一种基于点目标振幅调制攻击的方法来模拟扰动点的旁瓣扩散，并通过调整点目标扰动信号的振幅来更准确地控制扰动点的散射强度，以更真实地再现SAR成像中的对抗扰动。

图  10  SAR-PTAMA方法网络流程图

Figure  10.  SAR-PTAMA method network flowchart

下载: 全尺寸图片 幻灯片

采用SAR-PTAMA方法攻击MSTAR数据集的实验结果如表6所示。其中，每一行表示一种分类器，每一列表示一种攻击方法。本研究分别测试了FGSM^[47], JSMA^[63], One-pixel^[67]以及使用最大类间方差算法^[132]与形态学操作来控制One-pixel攻击算法的扰动区域(One-pixel+OTSU)和本研究所提出的SAR-PTAMA攻击方法的攻击成功率。从表6中可以看出，虽然本研究所提出的SAR-PTAMA攻击方法的攻击成功率远不及FGSM和JSMA算法，但相比于FGSM方法需要扰动128×128像素(100%)和JSMA方法需要扰动500像素(3%)，本研究所提出的方法仅需扰动5像素(0.08%)就能达到平均25.72%的攻击成功率。同时，由于本研究在生成对抗扰动时考虑了SAR实际的成像过程，因此，通过SAR-PTAMA攻击方法生成的对抗扰动更具备物理可实现性。

表  6  不同攻击方法攻击成功率(%)

Table  6.  Attack success rate of different attack methods (%)

Model	Original	FGSM	JSMA	One-pixel	One-pixel+OTSU	SAR-PTAMA
LeNet	2.79	60.53	93.09	9.07	5.51	34.08
AlexNet	5.41	35.56	92.57	16.70	12.19	29.40
GoogLeNet	0.68	55.53	82.78	35.60	8.31	22.81
VGG16	1.72	55.41	88.29	5.19	2.88	24.21
ResNet50	2.43	45.03	41.03	17.54	15.34	18.10

下载: 导出CSV 

| 显示表格

在接下来的部分，本研究展示了使用上述攻击方法生成的对抗样本的可视化效果图。由于MSTAR数据集包含类别较多，难以在同一张图中显示所有结果(全部展示则需要放置5×6×10=300张图像)。因此仅以T72类别为例展示了使用不同攻击方法生成的对抗样本图像。生成的对抗样本如图11所示。

图  11  不同攻击方法可视化效果图(以T72为例)

Figure  11.  Visualization of different attack methods (taking T72 as an example)

下载: 全尺寸图片 幻灯片

4.   物理域SAR对抗攻击未来研究方向

目前虽然在SAR图像对抗样本的生成上取得了显著进展，但对抗样本实现的本质机理和物理域对抗攻击的实际效果仍待进一步探索，同时针对SAR对抗攻击的防御和可信识别技术研究也需同步开展。未来，可以从以下几个方面进行深入探究：

(1) 深入探索SAR对抗样本生成的本质机理。当前的SAR图像对抗攻击研究主要集中在如何有效生成对抗样本上，如利用优化算法和深度学习技术生成能够欺骗目标识别系统的样本。然而，对于这些对抗样本生成的深层次机制和本质原因，研究仍较为有限。深入探讨SAR图像对抗样本的生成机理，包括对抗扰动如何在SAR成像过程中与目标的电磁特性相互作用，如何影响雷达回波信号的相干性以及对抗样本在目标识别模型中的作用机制，将有助于揭示对抗攻击的本质。理解这些机理不仅能够为现有技术提供理论支撑，还可能引导开发出新的对抗样本生成方法，提升对抗攻击的有效性和针对性。

(2) 深化数字域到物理域对抗攻击效能的转换研究。目前，SAR物理域对抗攻击的研究还处于初步阶段，尤其是在如何有效地将数字域中优化的扰动成功迁移到物理域时，面临显著挑战。这主要是源于SAR成像的连续时间积累特性、目标对成像条件的散射敏感性以及平台和系统带来的噪声与干扰，都会导致扰动在物理域中的效能下降。未来的研究应深入探讨这些因素如何影响数字域扰动在物理域中的保持与传播，进而优化扰动生成方法，提升扰动在不同成像条件下的稳健性和鲁棒性，以克服效能下降的问题，确保对抗攻击在物理域中依然具备有效性。

(3) 提升物理域SAR对抗样本的多维度泛化能力。未来研究应重点解决如何生成能够在不同观测角度、分辨率和波段下依然有效的SAR对抗样本。这需要深入研究目标在SAR成像中不同条件下的散射特性变化，开发自适应的对抗扰动生成方法，使扰动能够跨越多角度、多分辨率和多波段条件下保持一致性和鲁棒性。通过引入多维度泛化机制，提升对抗样本在复杂成像条件下的稳定性和攻击效果，确保其在多场景、多任务中的广泛适用性。这一研究方向将为对抗样本的实际应用提供更加可靠的技术基础。

(4) 研究对抗攻击在动态目标和多雷达系统中的协同效应。随着多雷达协同探测技术的发展，多个SAR系统同时观测同一目标的情况越来越常见，且目标通常处于运动状态，这使得对抗样本的生成和应用面临更大的挑战。未来的研究应探索物理域对抗样本在多雷达系统中的表现，分析这些样本在动态目标环境中是否能够保持一致的误导效果，或者是否需要根据各雷达系统和目标运动特性的差异设计不同的对抗扰动。此外，还需研究在目标运动过程中如何有效地保持对抗扰动的隐蔽性和持续性，以避免被多雷达系统的协同探测识别。这将有助于开发更加复杂和精细的对抗攻击策略，提升对抗样本在复杂雷达探测网络和动态场景中的有效性。

(5) 加强SAR对抗攻击防御和可信识别技术研究。随着对抗攻击技术的不断发展，SAR系统的安全性和可靠性面临严峻挑战。为了提升SAR系统在复杂电磁环境中的抗攻击能力，必须加强对抗攻击防御和可信识别技术的研究。这包括开发新的算法和技术，以检测并防御对抗样本，确保目标识别的准确性和系统的稳健性。此外，研究还应探索如何通过增强系统的鲁棒性来降低对抗攻击的成功率，例如，通过多模态数据融合、信号处理技术优化等手段，提高系统对对抗样本的识别能力。未来的研究不仅应着眼于技术层面的防御，还需从系统设计和架构的角度出发，构建可信赖的SAR系统，确保其在各种对抗环境下仍能保持高水平的性能和可靠性。

5.   结语

在本文中，我们系统地探讨了SAR目标识别对抗攻击的现状和挑战，特别是从数字域、伪物理域向物理域的演进。我们总结了现有的SAR对抗攻击方法在生成对抗样本方面取得的进展，同时也指出了这些方法在实际应用中存在的局限性，如在实际场景中缺乏物理可实现性、未能充分考虑目标运动和环境因素对成像结果的影响等。这些局限性限制了现有方法在复杂现实环境中的适用性，迫切需要开发更为现实可行的对抗攻击技术。

物理域对抗攻击的重要性在于它通过直接改变目标的几何形状、材料特性，或使用干扰设备生成真实的对抗扰动，能够实现更为隐蔽且难以检测的攻击效果。这种方法不仅增强了对抗样本的现实性，也提出了更高的防御需求，使得SAR系统的安全性面临前所未有的挑战。通过深入的实验验证，我们证明了物理域对抗样本在仿真环境中的有效性，为进一步在真实场景中应用这些技术奠定了基础。

展望未来^[133]，SAR对抗攻击的研究应聚焦于提升物理域对抗样本的稳定性和隐蔽性，尤其是在动态目标和多雷达系统等复杂环境中的应用。同时，发展更为高效的防御机制也将成为研究的重点，以确保SAR系统在面对新型对抗攻击时依然能够可靠运行。总之，本文为SAR对抗攻击技术的发展提供了全面的理论基础和实验支持，并指出了未来可能的研究方向，为保障SAR系统的安全性和可靠性提出了新思路。