1.   引言

随着人工智能技术的发展，基于深度神经网络的雷达像智能识别算法取得了优异的性能^[1]。然而现有研究表明，深度神经网络模型通常存在鲁棒性缺陷，易受到对抗攻击^[2]的威胁。利用这种技术，攻击者可以在隐蔽的条件下诱导雷达智能目标识别模型做出错误的预测，比如，在一张干净的自行榴弹炮样本(图1(a))上添加微小的对抗扰动(图1(b))后，神经网络以高置信度将其误判为推土机(图1(c))。如何设计和防御这一类对抗样本，将成为部署雷达目标智能识别系统时需要考虑的重要问题。

图  1  雷达目标对抗样本示例

Figure  1.  Radar target adversarial sample

下载: 全尺寸图片 幻灯片

近年来，针对神经网络分类模型的对抗攻击与对抗防御研究呈现出快速发展的趋势，雷达像智能识别对抗技术也引起了研究者的关注。文献[3]系统分析了雷达目标识别模型的对抗鲁棒性，总结了常用的对抗攻击与防御方法。在文献[4]中，作者综述了遥感图像智能识别面临的安全性问题。最近，一些结合了雷达目标特性的对抗攻击与对抗防御新方法相继被提出，这些方法考虑了雷达目标散射中心和距离单元的特点，具有一定程度的语义可解释性，推动了雷达目标智能识别对抗技术的快速发展。

本文系统梳理了雷达像识别对抗领域的最新研究成果，总结了雷达一维像和二维像对抗攻击方法以及对抗防御方法，并讨论了目前雷达像智能识别对抗领域中的开放问题。

2.   雷达像智能识别

传统的雷达像识别方法通常利用特征工程构建模板库，并采用合适的分类器^[5-7]进行识别，其识别效果依赖人工设计特征的质量。基于深度神经网络的雷达像智能识别算法通过卷积、池化等操作自动获取雷达像特征，其识别性能优于传统人工方法。

雷达像包括雷达一维像和雷达二维像。雷达一维像通常指高分辨距离像(High-Resolution Range Profile, HRRP)，反映目标散射中心在雷达视线方向上的投影，具有姿态敏感性、幅度敏感性和平移敏感性等特点。基于HRRP的雷达目标智能识别模型通常采用一维卷积网络^[8]和循环神经网络(Recurrent Neutal Network, RNN)^[9]。雷达二维像反映目标散射中心在二维成像平面中的投影，可分为合成孔径雷达(Synthetic Aperture Radar, SAR)图像和逆合成孔径雷达(Inverse Synthetic Aperture Radar, ISAR)图像。目前针对SAR图像的智能识别研究较多，所用模型主要采用二维深度卷积网络及各种改进模型。相比于光学图像，雷达像的获取成本较高，在实际应用中难以获取充足的训练样本，导致深度网络模型出现过拟合问题。从简化模型结构的角度出发，复旦大学徐丰团队^[10]提出了仅有5个全卷积层的轻量化神经网络A-ConvNets，在MSTAR^[11]数据集上的识别率达到99%以上的同时大幅减少了网络参数。还有一部分学者从数据增强的角度出发，对有限训练样本进行精细化处理^[12]或者利用生成式模型扩充训练集^[13]，实现训练数据受限条件下的目标识别。在非合作场景下，识别方可获取的训练样本更加有限，通常只能获取少量甚至若干个训练样本。这种少样本条件下的雷达像识别通常采用迁移学习^[14]和元学习^[15]等方法。

基于深度神经网络的雷达像识别方法一般采用梯度下降的方式更新网络参数，使模型对训练数据的预测分布与其真实分布的交叉熵最小。这种基于数据驱动的智能识别方法存在潜在的鲁棒性缺陷。比如，只需对图像中若干个特定位置的像素施加扰动便可显著增大样本在模型上的交叉熵损失，从而导致深度识别模型误判样本的类别。这种缺陷为深度学习系统在雷达像识别中的应用带来了极大的安全隐患。

3.   雷达像智能识别对抗攻击

2014年，Szegedy等人^[16]发现深度神经网络易遭受对抗攻击的威胁。通过在一张干净图片上加入一些精心设计的微小扰动，攻击者可以生成对抗样本，并在人眼难以察觉的条件下误导神经网络分类模型做出错误的预测。设计并实现误导深度神经网络模型的对抗性扰动的过程，称为对抗攻击。

3.1   对抗攻击原理

深度识别模型的训练过程如图2所示。

图  2  深度模型识别原理图

Figure  2.  Recognition process of deep neural network

下载: 全尺寸图片 幻灯片

给定一个尺寸为$h \times w$的样本x及其真实标签y，一个网络参数为$\theta$的k分类网络${f_\theta }$的训练阶段可视作在已知标签y的前提下，寻找最小化交叉熵损失l的模型参数$\theta$的过程：

模型${f_\theta }$的测试阶段则是在固定模型参数$\theta$的前提下，为待测样本寻找损失最小的类别标签i的过程，表示为

对抗攻击将样本x视作待优化量，沿着梯度上升的方向对x添加扰动来增大其与真实标签y之间的交叉熵，进而改变目标式(2)的预测结果，即

令$\eta$和${x_{{\rm{adv}}}}$分别表示样本在扰动前后的差异和生成的对抗样本，并用L范数来对$\eta$的大小进行约束，则对抗攻击的目标函数可转化为

扰动范数${L_p}$定义了目标函数(1)中扰动的约束形式，其表达式为

常用的约束范数有${L_0}$范数、${L_2}$范数和${L_\infty }$范数。${L_0}$范数衡量了$x \ne {x_{{\rm{adv}}}}$的像素总和，此约束下的扰动具有稀疏性；${L_2}$范数衡量了x和${x_{{\rm{adv}}}}$之间的欧氏距离，此约束下的扰动在视觉上难以察觉；${L_\infty }$衡量了x和${x_{{\rm{adv}}}}$之间的最大像素深度差异，${\left\| {\left. {x - x'} \right\|} \right._\infty } = \max \left( {|{x_1} - {x_1}^\prime |,|{x_2} - {x_2}^\prime |,\cdots,|{x_n} - {x_n}^\prime |} \right)$，${L_\infty }$范数下的扰动方向与梯度方向一致，运算更加便捷。

3.2   对抗攻击分类

图3给出了对抗攻击从扰动机理、攻击者先验、攻击特异性和攻击阶段4个方面的分类。

图  3  对抗攻击方法分类

Figure  3.  Categories of adversarial attack

下载: 全尺寸图片 幻灯片

从产生机理来看，对抗攻击可分为基于梯度的攻击、基于优化的攻击和生成式攻击。几乎所有的神经网络都通过梯度下降的方式来优化损失函数，损失函数值越小，代表分类误差越小，模型识别效果越好。从这一机制出发，基于梯度的攻击沿着梯度上升的方向对干净样本施加对抗扰动，使得新样本在模型上的损失函数值增大，以实现诱导模型误判的目的，典型的方法有快速梯度符号法^[17](Fast Gradient Sign Method, FGSM)、基础迭代法^[18](Basic Iteration Method, BIM)、DeepFool法^[19]等。基于优化的攻击将对抗扰动的生成转化为约束条件下的寻优问题，通过在限定条件下寻找最能影响分类结果的像素点进行扰动实现对抗样本的生成，典型的方法有CW法^[20]、雅可比显著图法^[21]、单像素法^[22]等。不同于在干净样本上添加对抗扰动的方法，生成式攻击^[23]利用生成对抗网络直接生成对抗样本，具有生成速度快、无需获取真实目标样本的优势。

依据攻击者对目标模型的先验信息获取程度，对抗攻击可分为白盒攻击、黑盒攻击和灰盒攻击。白盒攻击是指攻击者对深度模型的网络种类、节点权重、训练集等参数完全已知，且可以与模型进行输入与输出的交互。黑盒攻击是指攻击者除了可以与模型交互外，无法获知模型的其他任何信息。灰盒攻击是指攻击者知道模型的种类和结构，可以与之交互，但节点权重未知。通过白盒攻击^[17-25]生成的对抗样本通常在目标模型上具备较高的欺骗率，但在不同模型之间的迁移性较差。黑盒对抗样本通常在某个代理白盒模型上生成，再通过特定的寻优方式^[26-28]增强自身跨模型的攻击性能，在牺牲了白盒欺骗率的情况下提高了迁移性。灰盒对抗样本的性能介于白盒对抗样本和黑盒对抗样本之间。当前，雷达像智能识别对抗研究大都基于白盒假设，即攻击者完全获取了目标模型的所有信息。然而在非合作场景下的雷达目标识别中，识别方与被识别方均缺乏彼此的先验信息，且在识别过程中双方无法交互信息，因而攻击方难以获取目标模型的反馈来指导对抗扰动的生成。在黑盒条件下，对抗样本的扰动生成需要耗费较长的运算时间，难以实时地应用于雷达目标识别系统，且攻击的成功率通常也较低。

依据攻击特异性，对抗攻击可分为定向攻击和非定向攻击。定向攻击要求模型将对抗样本误判为攻击者指定的类别。非定向攻击生成的对抗样本只要求模型的预测类别与真实类别不同，无需指定具体的错误类别。定向攻击通常需要减小对抗样本在指定类别上的损失，直到样本在指定类别上的预测概率超过真实类别的预测概率。非定向攻击只需增大对抗样本与其真实类别的损失，直到真实类别的预测概率低于某一阈值或者被其他类别的预测概率超过。

依据攻击发生的阶段，对抗攻击可分为逃避攻击和后门攻击。逃避攻击在模型的推理阶段生成对抗样本进行攻击，后门攻击发生在模型的训练阶段，攻击者可篡改一部分训练数据或者对训练过程进行恶意操纵，使模型对含有特定图案(称为触发器)的图像样本预测为攻击者指定的类别，而对干净样本正常预测。从原理上看，后门攻击利用的漏洞来源于异常数据，这种漏洞是人为构造的而非网络自然形成的，逃避攻击所用漏洞来源于神经网络与人类认知的差异性。从攻击者的权限上看，逃避攻击通常需要在推理阶段结合待测样本与目标模型，经过一定的优化过程在线产生，而后门攻击需要干预模型的训练阶段，具有投毒和木马两种形式，投毒攻击通常只篡改训练集数据，木马攻击者权限则可扩展至模型参数、模型结构、训练方法等。从攻击目的来看，后门攻击关注触发器对模型行为的干扰，而逃避攻击更加关注样本对模型预测的影响。

目前后门攻击已在人脸识别^[29]、交通路牌识别^[30]领域造成安全威胁，在卫星遥感^[31]和无人机侦察^[32]领域，后门攻击也引起了研究者的关注。鉴于目前雷达像识别领域尚未有后门攻击研究的公开文献，下文所述雷达二维/一维像对抗攻击方法均属于逃避攻击。

3.3   雷达二维像智能识别对抗攻击

早期的雷达像智能识别对抗攻击方法将雷达像视作单通道的灰度图像，借鉴光学图像中的对抗攻击方法逐像素地生成对抗扰动，这类方法在雷达像识别对抗攻击的起步阶段研究较多，通常为经验性探索和实证性研究。文献[33]首次对雷达数据集上的对抗样本进行了经验性分析，指出蕴含特征信息越丰富的雷达像越容易受到对抗噪声的扰动，并且对抗样本通常分布在几种特定的类别上。文献[34]认为雷达像与光学图像的主要区别在于雷达像具有稀疏性，并在MSTAR数据集上复现了多种基于${L_0}$范数的稀疏攻击方法。文献[35]将光学图像识别中经典的通用对抗扰动方法迁移到雷达像识别中，并在MSTAR数据集上评价了主流分类识别网络的对抗鲁棒性，指出结构越复杂的网络越容易受到对抗样本的攻击。

在迁移、复现光学对抗攻击方法的基础上，一些研究进一步考虑了雷达像在数字域的特点，比如特征的稀疏性^[36]，以及适用于雷达目标识别的攻击场景，比如黑盒场景^[37]和融合识别场景^[38]。文献[36]指出深度模型在SAR图像中提取到的高维特征存在大量冗余信息，并提出使用U-net^[39]码网络进行前向映射来代替传统CW方法的大范围寻优，在攻击效果基本不变的情况下大幅度提高了运算速度。文献[37]针对雷达二维像提出了一种扰动幅度更小的攻击方法，且该方法在黑盒条件下仍保持了在错误类别上的较高置信度。文献[38]针对遥感图像提出了一种基于稀疏差分协同进化的对抗攻击方法，提高了多源融合传感器下的对抗样本欺骗率。文献[40]在不获取训练集样本的条件下利用黑盒通用对抗扰动攻击SAR图像分类模型，实现了超过60%的欺骗率。上述方法在设计对抗扰动时结合了雷达像在数字域的特点，但未涉及数字域对抗样本在物理域的实现方式。

从物理实现的角度上看，光学图像的对抗扰动可通过相机拍摄实现由数字域向物理域的转换，而雷达像的对抗扰动则需要体现为目标回波的相干能量累积。因此，研究者希望建立数字域的雷达像对抗扰动与二面角、三面角等真实物理结构的电磁散射特性的联系^[41]，从而增加雷达像对抗样本的物理可实现性。对处于运动中的雷达目标而言，背景区域是不断变化的，因而一个可行的思路是将扰动约束在目标区域附近。文献[42]提出将对抗扰动约束为若干个像素点的聚合后再添加到目标附近，以此来逼近实际场景中的目标散射点。文献[43]利用Gabor特征对SAR图像进行纹理分割来生成目标区域掩模，并在对抗攻击的目标函数中加入掩模约束，将扰动限制在目标区域。文献[44]指出对抗攻击生成的高频非鲁棒特征可能导致模型的对抗脆弱性，通过将对抗扰动约束为SAR图像散斑的形式，提高了非合作条件下的黑盒攻击迁移率。上述方法在生成扰动时，虽然考虑了对扰动区域进行约束，但仍未建立对抗扰动与目标电磁散射特性的紧密联系。

最近，利用属性散射中心理论来指导对抗扰动的生成引起了学界的关注。属性散射中心模型用多个参数来描述二面角、三面角等典型结构的散射机理，可定量描述频率f、方位角$\phi$等参数对目标电磁散射响应的影响^[45]，其中单个散射中心的响应可表示为

其中，${f_{\rm{c}}}$为雷达中心频率，${\text{c}}$为光速，${\varTheta _N} = [A,x, y,\alpha ,\gamma ,L,\bar \phi ]$是影响散射相应的参数集，A是幅度，x和y分别为距离向和方位向的坐标，$\alpha$表示频率依赖，$\gamma$表示方位依赖，L表示分布散射中心的强度，$\bar \phi$表示当前散射中心的方位角。通过将对抗扰动生成过程与属性散射中心约束相结合，可提高雷达像对抗扰动的物理可实现性，典型的方法如表1所示。文献[46]利用属性散射中心重构算法提取出SAR图像中目标区域的散射点，然后利用空域变换攻击来扭曲散射点的形状，实现了将扰动约束在目标区域内的同时增加攻击的隐蔽性。文献[47]利用属性散射中心模型生成参数化的对抗性散射中心，并利用基于高斯随机步长的贪心算法在限定的目标区域内寻找对抗性散射中心的最优位置，该方法首次在数字域的对抗扰动中添加了雷达属性散射中心的成像约束，并在MSTAR数据集上获得了较高的欺骗率。文献[48]针对现有基于正交匹配追踪(Orthogonal Matching Pursuit, OMP)^[49]的散射中心提取方法耗时长，难以在SAR图像识别系统中实时应用的问题，提出一种改进的OMP方法来降低运算代价。在获得目标属性散射中心的基础上，文献[48]进一步提出一种模型无关的黑盒对抗样本生成方法，首先在MSTAR数据集上对训练样本进行属性散射中心重构来获得干净样本散射中心先验，然后通过增加对抗样本与干净样本之间的JS散度来实现攻击。基于属性散射中心的对抗攻击方法使数字域的对抗扰动具有更好的物理实现前景，但仍是以静态的单帧图像作为攻击基础，未能对目标运动过程中的扰动变化进行建模。

表  1  基于属性散射中心模型的典型雷达二维像对抗攻击方法

Table  1.  Typical radar image adversarial attacks based on attribute scattering center model

方法	干净样本	扰动	对抗样本	关键技术
文献[46]				散射中心提取，空域形变
文献[47]				单散射中心攻击
文献[48]				改进OMP算法，黑盒攻击

下载: 导出CSV 

| 显示表格

代表性的雷达二维像对抗攻击方法如表2所示。

表  2  雷达二维像对抗攻击研究现状

Table  2.  Summary of adversarial attacks on radar two-dimensional image

文献	攻击先验	扰动范数	验证模型	数据集	攻击特异性	优缺点
[33]	白盒	${L_\infty }$	VGG[50] ResNet[51] DenseNet[52] GoogleNet[53] InceptionV3[54]	MSTAR SENSAR[58]	非定向	验证光学方法的适用性和差异性，未结合雷达像特性
[34]	白盒	${L_0}$	A-ConvNet[10]	MSTAR	非定向
[35]	白盒	${L_2}/{L_\infty }$	自定义CNN	MSTAR	非定向
[36]	白盒	${L_2}$	ResNet	MSTAR	定向/非定向	结合了雷达像自身特性和识别场景，未考虑对抗样本的物理实现问题
[37]	白盒/黑盒	${L_2}/{L_0}$	A-ConvNet ResNet	MSTAR OpenSARship[59]	定向/非定向
[38]	白盒	${L_0}$	ResNet VGG MobleNet-v2[55]	So2Sat-LCZ42[60]	非定向
[40]	黑盒	${L_\infty }$	AlexNet[56] ResNet DenseNet VGG A-ConvNet	MSTAR SARSIM[61]	非定向
[41]	白盒	${L_\infty }$	CNN	MSTAR	非定向	对扰动区域进行初步限制，未建立扰动像素与雷达信号的对应关系
[42]	白盒/黑盒	${L_2}$	GoogleNet DenseNet InceptionV3 ResNet	MSTAR	非定向
[43]	白盒	${L_2}$	自定义CNN	MSTAR	非定向
[44]	黑盒	${L_\infty }$	AconvNet VGG ResNet DenseNet InceptionV4[57]	MSTAR	非定向
[46]	白盒	双线性变换	ResNet MobileNet-v2	MSTAR	非定向	考虑了单帧静止目标对抗样本的物理实现，未考虑目标运动过程中的扰动变化
[47]	白盒	${L_0}/{L_2}/{L_\infty }$	A-convNet VGG ResNet DenseNet MobileNet-v2	MSTAR SARBake[62]	非定向
[48]	黑盒	${L_2}$	VGG ResNet MobileNet	MSTAR	非定向

下载: 导出CSV 

| 显示表格

3.4   雷达一维像智能识别对抗攻击

针对HRRP识别模型的对抗攻击同样满足式(1)的形式。根据扰动范围的不同，针对HRRP目标的对抗攻击可分为全距离单元扰动和特定距离单元扰动。

3.4.1   全距离单元扰动

对于一个具有N个距离单元的HRRP样本x，攻击者分别计算每个距离单元处关于损失函数的梯度，并沿着梯度上升的方向添加适当强度的干扰脉冲便可形成HRRP对抗样本。文献[63]首次运用光学图像中经典的对抗攻击方法来干扰雷达HRRP识别模型。该作者提出了一种改进FGSM方法来提高HRRP对抗样本对扰动位置和扰动幅值的鲁棒性，通过在一个标签为“安26”的飞机目标HRRP数据上添加全距离单元扰动，该方法成功将模型的分类结果误导为“雅克42”飞机目标，如图4所示。文献[64]对HRRP分类模型的对抗鲁棒性进行探索，并通过优化的方式生成了HRRP通用对抗扰动。文献[65]经验性地探索了针对雷达HRRP分类模型的对抗攻击，并提出了4种HRRP对抗攻击方法用于白盒、黑盒、通用扰动和特异扰动4种不同的应用场景。基于全距离单元扰动的攻击方法思路简单，只需在光学对抗攻击方法的基础上调整输入维度即可，具有较低的运算复杂度，但生成的扰动难以扩展至信号域。

图  4  基于全距离单元扰动^[63]的HRRP对抗攻击示意图

Figure  4.  All-range-cell^[63] adversarial attacks on radar HRRP

下载: 全尺寸图片 幻灯片

3.4.2   特定距离单元扰动

HRRP数据反映了雷达回波在径向上的散射强度，目标区域的散射强度大而背景区域的散射强度小，且背景区域的成像条件变化较快。与雷达二维像对抗样本类似，针对HRRP识别模型的攻击也希望将扰动约束在目标区域的距离单元上以增加对抗样本的物理可实现性。文献[66]提出一种与欺骗干扰机相结合的雷达HRRP分类模型对抗攻击方法，该作者首先利用差分进化算法寻找HRRP数据中易受攻击的脆弱距离单元，然后利用干扰机在这些距离单元中注入特定幅值的干扰脉冲，实现了高置信度HRRP对抗样本的生成。利用文献[66]的方法，可在一个“安26”目标的干净HRRP数据中的特定距离单元上增加对抗扰动后，神经网络将其误判为“塞斯纳S”，如图5所示。

图  5  基于特定距离单元扰动^[66]的HRRP对抗攻击示意图

Figure  5.  Certain-range-cell^[66] adversarial attacks on radar HRRP

下载: 全尺寸图片 幻灯片

目前针对雷达HRRP攻击的研究相对较少，现有公开文献所述两类方法如表3所示。

表  3  雷达一维像对抗攻击研究现状

Table  3.  Summary of adversarial attacks on radar HRRP

文献	攻击先验	扰动方式	验证模型	数据集	攻击目标	特点
[63]	白盒	全距离单元	自定义CNN	3类飞机目标：雅克42；塞斯纳S/II；安26	非定向	仅设计数字域攻击，未考虑物理实现性
[64]	白盒	全距离单元	自定义CNN	3类飞机目标：雅克42；塞斯纳 S/II；安26	定向/非定向
[65]	白盒/黑盒	全距离单元	自定义CNN；全连接网络	MSTAR数据集的HRRP还原数据[67]	定向/非定向
[66]	白盒/黑盒	特定距离单元	AlexNet ResNet DenseNet InceptionNet	3类飞机目标：雅克42；塞斯纳S/II；安26	定向/非定向	较好的物理实现性，未考虑目标姿态等因素带来的影响

下载: 导出CSV 

| 显示表格

4.   雷达像智能识别对抗防御

对抗防御主要研究如何抵御对抗样本的干扰，提升深度神经网络鲁棒性。针对神经网络模型对抗鲁棒性的研究已经成为深度学习可解释性理论的重要组成部分。现有雷达像对抗防御方法主要借鉴光学图像中的对抗防御技术，本文依照防御阶段的不同，将对抗防御方法分为输入端防御、模型端防御和输出端防御，如图6所示。输入端防御包括对训练数据和测试数据的预处理、数据增强等操作。模型端防御包括改善模型的训练策略和设计更鲁棒的模型结构。输出端防御只调取模型的特征向量、logit向量、置信度向量等，通过设计特定判据来检测模型的输出是否存在异常。

图  6  对抗防御方法分类

Figure  6.  Categories of adversarial defense

下载: 全尺寸图片 幻灯片

4.1   输入端防御

输入端防御在数据层面对测试样本或者训练样本进行处理，主要思路有预处理和数据增强两种。

预处理方法将对抗扰动视作噪声，希望通过降噪、尺度变换等预处理方式去除待测样本中潜在的对抗扰动。文献[68]对输入模型的图像像素进行随机丢弃来破坏对抗样本在模型隐藏层中的表征，再利用重构网络还原像素丢弃后的图像送入模型识别，有效降低了对抗扰动的影响。文献[69]将图像进行二值化阈值分割后再输入网络，有效消除了对抗扰动的影响。此方法在手写体数据集MNIST^[70]上取得较好的效果，但是对大尺度多通道的对抗样本识别性能不佳。文献[71]将对抗扰动视作噪声，并训练一个超分辨网络对待测图像进行预处理，将超分辨增强后的图像输入网络来抑制对抗扰动的威胁。文献[72]将输入图像进行小波变换和余弦展开，然后使用传统的支撑向量机进行分类，有效规避了基于深度模型生成的对抗样本的攻击。基于预处理的防御方法对二范数扰动下的对抗样本有较好的抑制效果，但也会影响干净样本的识别率。

数据增强方法认为样本数量不足带来的过拟合问题会导致模型对于微小的对抗扰动敏感，因此可通过扩充训练样本数量的方式提高模型的对抗鲁棒性。文献[73]指出利用自监督对比学习训练模型可以增强SAR图像分类模型的对抗鲁棒性，对比学习在训练过程中额外生成一批数据增强样本，通过优化原始样本与增强样本之间的距离分布，使得特征空间中同类样本聚集而异类样本簇互相远离。在文献[73]的基础上，文献[74]以对抗样本作为增强样本，采用对抗性自监督学习在训练过程中降低干净样本与对抗样本的对比损失，进一步提高了SAR图像分类模型对主流对抗攻击的鲁棒性。但由于自监督对比学习未能充分利用样本的标签信息，以上防御方法均会导致模型在干净样本测试集上的识别率降低。

4.2   模型端防御

模型端防御希望改善模型自身的鲁棒性来降低对抗攻击的威胁，主要有优化训练目标函数和改进网络结构两种方式。

优化目标函数方法以对抗训练为代表，这类方法同时利用干净样本和对抗样本进行训练，将对抗攻击的扰动生成函数融入训练目标函数中，从而使模型在训练过程中学习到对抗样本的先验信息。关于对抗训练为什么能提高模型鲁棒性，领域内学者的看法有以下几点：一是对抗样本起到了扩充数据集的作用，使得深度模型能够学习到更丰富的特征用于分类^[18]。二是对抗训练得到的模型更加关注样本中全局性的特征，因此会忽略掉局部的对抗噪声扰动^[75]。经典的对抗训练方法TRADE^[76]将对抗样本引起的鲁棒性误差拆分为自然分类误差与边界误差之和，并通过调整两种误差的权重获得鲁棒性与分类精度的折中。在雷达领域，文献[77]研究了不同噪声对SAR图像识别模型的影响，包括随机噪声、相位噪声和对抗噪声，并发现迁移光学领域的对抗训练策略不仅可以提升SAR图像识别模型的对抗鲁棒性，也有助于提高模型在随机噪声和相位噪声环境下的识别率。文献[47]针对雷达像对抗样本中扰动的区域约束问题，提出一种改进的对抗训练策略，如图7所示，即在对抗训练的过程中将扰动约束为目标区域的散射中心样式，实验证明该方法可有效防御基于散射中心约束扰动的对抗样本。基于对抗训练的防御方法虽然思路简单，但是模型训练过程十分耗时，且所获模型无法防御二次攻击。

图  7  基于优化目标函数的防御方法

Figure  7.  Adversarial defense based on optimizing objective function

下载: 全尺寸图片 幻灯片

在改进模型结构方法方面，文献[78]提出将深度模型中的Softmax层替换为竞争性过完备层(Competitive Overcomplete Output Layer)，该层利用多个神经元的输出来共同表征某一类别的预测结果，可在MSTAR数据集上有效降低DeepFool攻击的成功率。文献[79]利用SAR-BagNet^[80]观察SAR图像识别过程，发现深度模型在对SAR图像进行识别时，背景区域承担了较多的分类贡献，而经过对抗训练的模型则会重点识别SAR图像的目标区域，且经典的对抗训练方法Trade^[76]应用于文献[79]所提出的SAR-AD-BagNet模型时取得了更低的分类精度损失。基于改进模型结构的方法对特定对抗样本具有较好的防御效果，但需要对现有的模型结构进行修改，难以应用于常用模型中。

4.3   输出端防御

输出端防御也称为对抗检测，该任务旨在对待测样本是否具有对抗属性做出判断，其本质上是一个二分类任务。现有的对抗检测方法通常从统计分布的角度设计检测判据，通过查验模型输出的隐层特征、得分向量、置信度等来判断待测样本是否存在异常。

2016年，Hendrycks等人^[81]首次采用主成分分析法比较干净样本与对抗样本的差异，发现对抗样本的影响主要来源于具有较小贡献的奇异值。文献[82]利用训练集样本获取神经网络隐藏层特征的核密度先验，然后将待测样本在隐藏层中的分布特性和贝叶斯不确定性作为检测指标，通过逻辑回归的方式寻找合适的判据阈值。文献[83]提出使用样本的局部内在维度(Local Intrinsic Demensionality, LID)来区分对抗样本和干净样本，认为对抗样本的LID值比干净样本的LID值高。文献[84]提出使用样本的特征级别马氏距离值来检测对抗样本，认为干净样本在模型上的中间层特征满足类条件高斯分布(马氏距离值小)，而对抗样本则远离类条件高斯分布之外(马氏距离值大)。文献[85]认为样本子空间是非线性的黎曼流形，并使用样本费希尔信息矩阵的奇异值作为特征设计检测判据。文献[86]提出基于最近邻居和贡献函数(Nearest Neighbors Influence Function, NNIF)联合判决的对抗检测方法，NNIF法认为干净样本的最近邻样本和最影响分类结果的样本应处于同一分布，对抗样本则不满足此关系。文献[87]经验性地探索了SAR图像对抗样本的扰动幅度与对抗检测算法性能之间的关系，指出检测算法性能随着对抗样本扰动幅度的下降而退化，并进一步指出测试样本与对抗样本的特征分布混淆会导致检测性能下降^[88]，提出在训练过程中引入基于视角旋转和噪声的对比损失来改进现有马氏距离法和局部维度法对SAR图像对抗样本的检测性能。文献[89]探索了扰动区域约束对现有对抗检测算法的影响，在已知扰动区域先验的条件下利用对抗样本和干净样本的能量差异实现检测。

在雷达像智能识别对抗中，对抗检测技术赋予了深度模型感知恶意攻击的能力。然而，这一类防御方法无法判断目标的真实类别，难以单独胜任识别任务，通常作为分类模型中的子模块发挥作用。

表4汇总了目前经过雷达像数据集验证的对抗防御方法。

表  4  雷达像识别对抗防御方法

Table  4.  Summary of adversarial defense in radar image recognition

防御层级	文献	验证模型	数据集	可防御	优缺点
输入端	[73]	ResNet	UC-Merced[90]	FGSM/PGD[91]/CW[20]/ DeepFool[19]/ HopSkipJump[92]/ Square[93]	仅需在数据端操作，影响干净样本识别率
	[74]	ResNet DenseNet MobileNet ShuffleNet A-ConvNet	MSTAR OpenSAR-Ship[59]	FGSM/PGD/DeepFool/ CW/SparseFool[94]/ HopSkipJump/Square
模型端	[77]	A-ConvNet VGG ResNet ShuffleNet	MSTAR[11]	FGSM[17]/PGD	已知攻击类型时防御效果好，训练耗时
	[47]	A-ConvNet	MSTAR SARBake[62]	PGD/SMGAA[47]
	[78]	自定义CNN	MSTAR	DeepFool	具有较好的可解释性，难以兼容主流模型
	[79]	SAR-BagNet[80] ResNet	MSTAR	FGSM/PGD/ CW/DeepFool
输出端	[87]	VGG ResNet DenseNet	MSTAR SARBake	FGSM/BIM[18]/ CW/DeepFool	无需更改模型结构，难以单独胜任识别任务
	[88]	ResNet	MSTAR	FGSM/BIM/ CW/DeepFool
	[89]	VGG ResNet DenseNet	MSTAR SARBake	FGSM/BIM/ CW/DeepFool

下载: 导出CSV 

| 显示表格

5.   雷达像智能识别对抗的开放问题

总体来看，上文所述雷达像智能识别对抗方法主要集中在算法理论层面，所生成的雷达像对抗样本缺乏可靠的物理实现方式，与实际应用仍存在较大差距，对HRRP、小样本等具体应用场景下的识别对抗问题还有待深入研究。以下5个开放问题是目前雷达像智能识别对抗领域值得重点关注的研究方向。

5.1   雷达HRRP的智能识别对抗

HRRP数据的处理过程相比于雷达二维像更加简单，在设计HRRP对抗扰动的物理实现方法时，无需考虑运动补偿、距离单元徙动矫正等。然而，由于HRRP目标具有姿态敏感、平移敏感等特点，在寻找HRRP对抗性距离单元时需要考虑姿态角以及方位角变化带来的影响。尽管目前尚未有针对HRRP对抗样本的防御方法被提出，但从信号形式来看，HRRP数据和语音数据均具有一维的形式，且不同时刻的信号均具有时序相关性。因此，可借鉴语音信号对抗防御中常用的音频扰动^[95]、音频压缩^[96]等方法，对HRRP对抗样本中的对抗性距离单元进行破坏或者重构后再进行识别，以达到防御目的。

5.2   小样本雷达像智能识别对抗

在非合作雷达目标识别中，识别方通常难以获取充足的样本用于模型训练，常常需要借助小样本学习方法。基于小样本学习的雷达像识别方法对预训练模型和先验数据具有较强的依赖性，比如基于迁移学习的方法^[14]常常利用光学中的预训练模型作为骨干网络，基于元学习的方法^[15]则需要利用一批已知数据训练教师网络。当用户缺乏对预训练模型和先验数据的监管时，攻击者可采用投毒或木马的形式在预训练模型中植入后门。使用含有后门的预训练模型开展小样本学习，将导致用户模型难以收敛或者对中毒样本做出错误预测。然而，后门攻击需要攻击者干扰受害模型的训练阶段，其难点在于提高中毒样本的隐蔽性，要求触发器图案应尽可能难以察觉，比如采取不可见后门攻击^[97-99]的形式。此外，也可采用干净标签攻击^[100-102]的形式，使得中毒样本与干净样本仅在是否包含触发器上具有差别，而两者的训练标签一致，以此来进一步提高中毒样本隐蔽性。作为智能识别对抗的防御方，应重视训练数据的安全性筛查以及预训练模型的后门检测，可通过擦除重构的方式^[103]消除训练数据中的潜在触发器，也可通过反演触发器像素^[104]的方式确定所用模型是否包含后门。

5.3   针对SAR图像目标检测网络的对抗攻击

SAR图像智能目标检测和识别模型往往是一体化的，针对SAR图像目标检测网络的对抗攻击也是重要的研究方向。在光学图像领域针对Faster-RCNN^[105], YOLO^[106]等目标检测网络的对抗攻击方法主要有全局对抗扰动^[107]和局部对抗扰动^[108]两种，攻击目的包括隐藏待检测目标、误导分类结果、干扰候选框生成等。SAR图像中背景区域与目标区域具有能量分布差异，在设计针对SAR图像目标检测网络的对抗攻击方法时可以利用这一先验信息。全局扰动攻击方法需对整幅图像的每一像素点进行扰动，应用于大尺度SAR图像时物理实现难度大，而局部扰动的方法仅在目标区域生成对抗补丁，更易于物理实现。

5.4   雷达像对抗样本与库外样本的区分

雷达目标识别模型在测试阶段既可能遇到对抗样本，也可能遇到训练集中未出现过的类别样本，即库外(Out Of Distribution, OOD)样本。从持续学习的角度来看，OOD样本可作为一种潜在的新样本加入训练库以提高模型的识别能力，而对抗样本则带有恶意属性因而需要剔除。现有检测方法通常只能区分正常样本与异常样本，无法区分异常样本属于OOD样本还是对抗样本。从标签属性来看，OOD样本的真实标签不属于训练集之中的任何一类，而对抗样本的标签则是训练集中的某一指定类别，利用样本在特征子空间中的流形分布与其在模型上的预测标签有望实现两种样本的区分。

5.5   雷达像对抗样本的物理实现

光学图像中常用的全局扰动对抗攻击方法在雷达领域缺乏语义可解释性，在雷达回波信号中难以实现。在设计物理可实现雷达像对抗样本时需要考虑两个问题：一是建立图像域对抗扰动与物理域目标电磁散射特性之间的联系，比如借鉴几何绕射模型、属性散射中心等参数化模型将扰动区域约束为二面角、三面角、顶帽等真实结构的散射中心分布，然后利用电磁超材料^[109]、干扰机等无源或有源的方式将这些“对抗性散射中心”调制到雷达回波信号中。二是研究能同时适用于不同分辨率雷达像的数字域对抗扰动生成方法，提高对抗样本对不同分辨率雷达目标识别系统的攻击有效性。