雷达像智能识别对抗研究进展

高勋章; 张志伟; 刘梅; 龚政辉; 黎湘

doi:10.12000/JR23098

雷达像智能识别对抗研究进展

DOI: 10.12000/JR23098

国防科技大学电子科学学院长沙 410073

基金项目: 国家自然科学基金(61921001)

详细信息

作者简介:
高勋章，研究员，博士生导师，主要研究方向为雷达目标识别、智能信息处理

张志伟，博士生，主要研究方向为雷达目标识别、智能对抗攻击与防御

刘　梅，硕士生，主要研究方向为智能感知与处理、雷达目标识别

龚政辉，助理研究员，主要研究方向为雷达对抗、雷达抗干扰、雷达通信一体化

黎　湘，教授，博士生导师，主要研究方向为雷达目标特性与识别

通讯作者:
高勋章 gaoxunzhang@nudt.edu.cn

张志伟 514131141@qq.com

责任主编：徐丰 Corresponding Editor: XU Feng
中图分类号: TP753
计量
- 文章访问数: 1789
- HTML全文浏览量: 399
- PDF下载量: 518
- 被引次数: 9
出版历程
- 收稿日期: 2023-05-29
- 修回日期: 2023-07-13
- 网络出版日期: 2023-07-26
- 刊出日期: 2023-08-28

Intelligent Radar Image Recognition Countermeasures: A Review

College of Electronic Science and Technology, National University of Defense Technology, Changsha 410073, China

Funds: The National Natural Science Foundation of China (61921001)

More Information

Corresponding author: GAO Xunzhang, gaoxunzhang@nudt.edu.cn; ZHANG Zhiwei, 514131141@qq.com

摘要

摘要: 基于深度神经网络的雷达像智能识别技术已经成为雷达信息处理领域的前沿和热点。然而，深度神经网络模型易受到对抗攻击的威胁。攻击者可以在隐蔽的条件下误导智能目标识别模型做出错误预测，严重影响其识别精度和鲁棒性。该文梳理了近年来雷达像智能识别对抗技术发展现状，总结分析了现有雷达一维/二维像识别对抗攻击方法和防御方法的特点，最后讨论了当前雷达像智能识别对抗研究领域值得关注的5个开放问题。
- 雷达像识别 /
- 深度神经网络 /
- 对抗攻击 /
- 后门攻击 /
- 对抗防御
Abstract: Intelligent radar image recognition based on Deep Neural Networks (DNN) has become an important topic in radar information processing. However, DNN models are susceptible to adversarial attacks. Malicious attackers can cause intelligent image recognition models to make incorrect predictions, considerably reducing their recognition accuracy and robustness. This article reviews recent research progress on intelligent radar image recognition countermeasures. Then it summarizes the adversarial attack methods on one/two-dimensional radar image recognition models and adversarial defense methods. Finally, it discusses five open questions worthy of in-depth research in intelligent radar image recognition countermeasures.
- Radar image recognition /
- Deep Neural Networks (DNN) /
- Adversarial attack /
- Backdoor attack /
- Adversarial defense

HTML全文

1.   引言

随着5G时代的到来，无线通信设备数量呈现爆炸式增长趋势。在这一背景下，全球通信产业对无线频谱的需求日益迫切。自2015年以来，英国的网络运营商每年需要为900 MHz和1800 MHz这两组频段分别支付1.0×10⁹～1.5×10⁹美元费用，用以提供2G/3G/4G的网络服务^[1]。2015年，位于700～1800 MHz的4组频段在德国被拍卖出了6×10⁹美元的天价^[2]。近期，美国联邦通信委员会完成了第1次5G频段竞拍，其中28 GHz频段以6×10⁸亿美元成交^[3]。根据报道，到2025年全世界将有超过7.5×10¹⁰台互联设备。这使得发掘额外的频谱资源更加迫在眉睫^[4]。为缓解这一矛盾，未来的通信系统将要探索与其他电子设备在同一频段下共存的可行性。其中，雷达频段被广泛认为是实现这一目的的最佳候选频段之一^[5]。

雷达起源于20世纪上半叶两次世界大战期间。经过数十年的发展，现代雷达系统已在全球范围内部署，并被应用于气象预报、警戒监视和航空导航等多个领域。目前，在10 GHz频段以下，L波段(1～2 GHz), S波段(2～4 GHz)和C波段(4～8 GHz)主要被大量军用或民用雷达系统所占据。然而，这些频段在未来将有可能容纳更多的长期演进技术(Long Term Evolution, LTE), 5G 新型无线电(New Radio, NR)系统和Wi-Fi系统^[5]。在更高频段，5G毫米波通信频段与车载毫米波雷达的工作频段十分接近。随着无线通信技术的进一步发展，将有越来越多的雷达频段受到干扰。从历史发展来看，雷达与通信系统向小型化以及更高频段不断演进。目前，在毫米波频段，现有雷达与通信系统的硬件架构、信道特性以及信号处理方法已经十分接近。从民用角度看，有相当一部分5G/B5G新兴应用需要进行感知与通信联合设计，例如智慧城市、智慧家庭等物联网应用，以及车联网、自动驾驶等智能交通应用。从军用角度看，雷达、通信、电子战等无线射频系统的发展长期以来呈现相互割裂、各自为政的状态，消耗了大量频谱与硬件资源，降低了作战平台的效能。为高效利用频谱资源，并服务于多种民用与军用新兴应用场景，雷达与通信的频谱共享(Radar and Communication Spectrum Sharing, RCSS)近期引起了学界和工业界的高度关注^[6-9]。

总体而言，RCSS技术包含两条研究路径(见图1)：(1)雷达与通信频谱共存(Radar-Communication Coexistence, RCC); (2)雷达通信一体化(Dual-Functional Radar-Communication system, DFRC)^[10]。其中，前者考虑的是分立的雷达与通信系统共用同一频谱，如何设计行之有效的干扰消除与管理技术来实现两者的互不干扰。后者则考虑的是雷达与通信系统除了共享同一频谱外，还共用同一硬件平台，如何设计一体化信号处理方案来同时实现通信与雷达感知功能。RCC技术往往要求雷达和通信系统周期性地交换一些信息以实现合作互利，例如雷达的发射波形、波束图样，通信的调制方式、帧格式以及雷达与通信系统之间的信道状态信息等等。在实际系统中，这一信息交换过程具有较高的复杂度。DFRC技术则直接通过共享硬件平台实现了频谱共享，并不需要额外的信息交换。此外，DFRC技术还能够通过双方的协同工作来同时提升二者的性能。如上文所述，当前，DFRC技术的内涵及应用已远远不止于对频谱利用率的提升，而是被进一步拓展至包括车联网、室内定位和隐蔽通信在内的多种新兴的民用及军用场景^[11-14]。

图 1 RCSS技术的两条研究路径

Figure 1. The two research directions of RCSS

下载: 全尺寸图片幻灯片

综上所述，本文将首先简要介绍RCC和DFRC技术的应用场景，再对两种技术的最新研究进展进行综述。

2.   应用场景

2.1   雷达与商用无线通信系统的共存

本节给出不同频段上雷达与商用通信系统频谱共存的实例：

(1) L波段(1～2 GHz)。该频段主要被用于远距离空中监视雷达，如空中交通管制雷达 (Air Traffic Control, ATC)。同时也被分配给5G NR，频分双工LTE(Frequency Division Duplexing-LTE, FDD-LTE)等蜂窝通信系统，以及全球卫星导航系统(Global Navigation Satellite System, GNSS)的上下行链路^[15]。

(2) S波段(2～4 GHz)。该频段通常用于高发射功率的机载预警雷达^[16]。由于该频段的电磁波对强降水等天气较为敏感，诸多远距离气象雷达亦在此频段上工作^[5]。该频段上的通信系统包括802.11b/g/n/ax/y WLAN网络，3.5 GHz TDD-LTE及5G NR^[17]。

(3) C波段 (4～8 GHz)。该频段对气象变化更加敏感，因此被分配给大多数气象雷达用于定位小/中雨^[5]。该频段亦可以用于战场/地面监控和船舶交通服务^[5]。处于该频段的无线系统主要包括802.11a/h/j/n/p/ac/ax等WLAN网络^[18]。

(4) 毫米波频段(30～300 GHz)。该频段一般用于车载雷达，以实现防碰撞检测、高精度成像等功能^[19]。然而，值得注意的是，由于毫米波通信即将成为5G NR标准的一部分^[20]，该频段在将来也会变得较为拥挤。目前，毫米波频段也被广泛用于802.11ad/ay等WLAN网络^[18]。

在以上共存实例中，蜂窝基站和空中交通管制雷达的互干扰作为一个长期遗留的历史问题亟需解决^[15]。在即将到来的5G网络中，相同的问题仍然存在。

2.2   5G车联网毫米波定位

为满足下一代自动驾驶车辆的指标需求，车联网(Vehicle-to-everything, V2X)通信要求低时延的数据传输。一般通信系统可以将时延控制在几百毫秒，而自动驾驶关键应用要求时延在10 ms量级^[11]。在同样场景下，雷达感知应当能够提供稳定可靠的厘米级高精度障碍物检测及环境感知功能。在本文著述之时，汽车定位和联网框架大多基于GNSS或默认标准，例如专用短程通信技术(Dedicated Short Range Communication, DSRC)^[21]和进阶长期演进技术(LTE-Advanced, LTE-A)的D2D模式^[19]。尽管这些方案可以提供基础的V2X功能，但均不能达到上文所述的要求。举例来说，4G蜂窝网络可以在10 m的精度范围内提供定位信息，时延一般高于1 s，而这远远不能达到保障安全驾驶的要求^[11]。

可以预见，5G通信技术将能够利用大规模MIMO天线阵列和毫米波频谱来满足上述V2X网络的定位与通信需求^[22,23]。毫米波频段具有充裕的可用带宽，不仅可以实现更高的数据传输效率，也可以显著提升距离分辨率。此外，大规模的天线阵列可以形成“铅笔式”的窄波束，准确地指向车辆或者其他感兴趣的目标所在方向。这可以补偿毫米波信号的路径损失，同时提高方位角的估计精度。更重要的是，由于毫米波信道的稀疏性，其仅包含少数多径分量。与sub-6 GHz频段丰富的散射路径相比，毫米波信道中雷达目标回波受到的杂波干扰要小得多，因此十分有利于对车辆的定位^[11]。此外，利用雷达通信一体化传输，还可以进一步实现车辆的情景信息感知^[24]。

综上所述，有必要在车载平台或者路边单元(Road Side Unit, RSU)同时实现雷达感知与通信功能。现有的雷达通信一体化方案大多是针对sub-6 GHz频段设计。面向智能交通以及车联网的毫米波雷达通信一体化方案则较少见诸报道。在此场景下，一体化设计将需要考虑诸多限制条件，例如毫米波信道、车辆的高动态以及轨迹约束等。

2.3   WiFi室内定位及动作识别

随着物联网的发展，对室内定位服务的需求与日俱增^[12,25]。尽管GNSS技术在室外环境下非常适用，其性能在室内应用中将大打折扣。作为一种低成本的解决方案，WiFi室内定位系统(WiFi-based Positioning System, WPS)在近年受到了学术界和工业界极大的关注^[12]。在WPS系统中，无线路由器收到用户端发射的信号，并根据测量信号的到达时间(Time of Arrival, ToA)和到达角(Angle of Arrival, AoA)来推断用户端的位置。此外，定位信息还可以通过测量接收信号强度(Received Signal Strength, RSS)及其他信号特征来获取。典型的信号特征包括频率响应、I/Q信号幅度等。这些信号特性将与一个预先测量好的特征数据库进行匹配，从而估计出一个最有可能的用户端位置^[26-28]。

为获取包括人体动作在内的更多目标细节信息，WiFi路由器还能够直接处理由人体反射或散射的目标回波。相比于传统的WPS系统，这类系统更类似于一种双站雷达。特别地，WiFi路由能够从信道状态信息(Channel State Information, CSI)提取因人体动作所引起的微多普勒频移，从而识别人的行为^[29]。这一技术的潜在应用将不仅局限于传统的室内定位，还能够拓展到包括老年人健康监测、情景感知、反恐行动和智能家居等一系列新型场景中^[30-32]。值得一提的是，近期由谷歌先进技术项目组(Advance Technology And Projects, ATAP)主导的“Soli”项目采用了类似的思想，即利用手机搭载的毫米波雷达对人的手势进行识别，从而实现无接触式的人机交互^[33]。

以上技术可以被视作利用WiFi网络来实现一种特殊的雷达/感知功能，因而可以被囊括在雷达通信一体化领域中。为实现同时同频的WiFi通信与定位，需要进一步发展先进的协同信号处理技术。

2.4   无人机感知与通信

在一些具有巨大数据需求量(例如球赛转播、演唱会等)或灾害应急场景(地震、火灾等)中，无人机可作为空中基站来服务于地面用户^[34]。在这些场景中，无人机既需要感知环境获得数据，又需要将这些数据传输给通信用户。因此，感知与通信是无人机网络两个不可或缺的功能。无人机平台上常用的摄像头传感器对包括光照强度、天气等在内的环境因素较为敏感。与此相比，基于电磁波的雷达传感器则能够全天候使用，还能被用于无人机集群编队和碰撞检测/避免^[35]。长期以来，无人机的通信与感知的研究是相互分离的。在感知与通信一体化技术方面少有以无人机网络为背景的研究工作。雷达传感器和通信收发机共享同一硬件平台，将能够有效地减小无人机的载荷，从而在降低能耗的同时提升无人机的机动性^[36]。

另外，由于无人机可能被用来进行物理和网络攻击，其对基础设施和人员也会构成威胁^[37-39]。即使是民用无人机，无意间飞入禁区也可能造成严重的后果^[40]。为了检测和跟踪未经授权的无人机，研究者提出了多种技术，例如雷达、摄像机和声学传感器。然而，部署专门用于侦测无人机的专用设备代价比较高昂^[41]。因此，人们越来越需要利用现有的通信系统(例如蜂窝基站)来监视未授权的无人机，同时向已授权的用户提供无线通信服务。因为这一部署不需要大量的额外硬件，从而有效降低了成本^[42]。此外，通过将基站改造为低功率雷达，包含有大量微基站的未来超密集网络(Ultra Dense Network, UDN)可以被用作城市防空系统，对未授权无人机威胁提供低空预警。

2.5   多功能射频系统

从发展历史来看，包括通信、电子战(Electronic Warfare, EW)和雷达在内的舰载与机载射频系统的开发是相互分离的。这些子系统的增长使得战斗平台的体积和重量以及天线阵列尺寸显著增加。这会导致更大的雷达截面积(Radar Cross-Section, RCS)，从而大大增加了被敌方侦测到的可能性。此外，这些子系统的共存不可避免地引起电磁兼容性问题，因而可能造成严重的相互干扰。为了解决这些问题，美国国防高级研究计划局(Defence Advanced Research Projects Agency, DARPA)于1996年启动了先进多功能射频概念(Advanced Multi-function Radio Frequency Concept, AMRFC)项目，其目的是设计能够同时支持上述多种功能的综合射频系统^[43,44]。在2009年，海军研究办公室(Office of Naval Research, ONR)实施了一项后续项目，即集成上层建筑(Integrated Topside, InTop)计划^[45]，这一项目的目标是基于AMRFC的结果进一步开发基于多功能射频系统的宽带射频组件和天线阵列。

显而易见，如何融合雷达与通信子系统是上述研究的核心问题。随后，DARPA在2013年资助了一项名为“雷达和通信共享频谱接入(Shared SPectrum Access for Radar and Communications, SSPARC)”的专用项目，并在2015年推进到第2阶段^[46]。这一项目的目的之一是释放部分6 GHz雷达系统的频谱，以供雷达和无线通信共享使用。SSPARC的目标不仅包括军事通信系统共享雷达频谱，还包括民用无线系统共享雷达频谱，这与上一节所讨论的雷达与商用通信系统共存问题密切相关。

2.6   雷达辅助的低截获概率(Low-Probability-of-Intercept, LPI)通信

许多通信应用都具有保密的需求。即在通信信息传输过程中应保护敏感信息，例如商业信息或关键设施的位置。因此，可以利用被截获概率来刻画保密通信的关键性能。传统上，LPI是通过跳频/跳时或扩频方法来实现的，这需要大量的时间和频率资源^[47,48]。从雷达通信一体化的角度来看，一种更经济的方法是将通信信号嵌入雷达回波中，以掩盖数据传输^[14,49,50]。

在上述场景中，LPI系统模型一般由散射目标、RF标签/应答器和雷达收发器组成。简单地说，雷达首先发射探测波形，这一波形可以被RF标签在到达目标时捕获。然后，RF标签用通信信息对雷达信号进行重调制，再将其发送回雷达，该RF标签自然会嵌入到所反射的雷达回波中^[14]。在这一过程中，应当通过控制其发射功率以及与雷达波形的相关性/相似性来设计相应的通信波形。如此一来，由于通信信号隐藏在随机的杂波和回波中，对其进行识别将非常困难。而雷达则可以利用一些先验信息对通信信号进行解码^[49]。因此，通过精心设计的波形和先进的信号处理技术，可以在雷达感知、通信速率和信息保密性之间取得多种性能折中。

2.7   无源雷达 (Passive Radar, PR)

从更广泛的角度来看，利用非合作通信信号进行目标探测的无源雷达可以被看作一种特殊的RCSS技术。这些信号源包括电视信号、蜂窝基站和数字视频/音频广播(Digital Video/Audio Broadcasting, DVB/DAB)^[51]。为了检测目标，无源雷达首先接收一个从外部发射机发出，经视距路径(通常称为“参考信道”)传输的参考信号。同时，它会收到同一信号经由目标散射(称为“监视信道”)后的散射信号^[52,53]。与有源雷达系统类似，这些散射信号同样包含目标的参数信息。因此，可以通过计算从两个信道收集的信号之间的相关性来估计有关目标参数。

众所周知，由于无源雷达在进行目标探测时保持静默，其很难被定位或者受到干扰，因此十分适用于对隐蔽性要求较高的场景。此外，它不需要额外的时间/频率资源，从而使得其成本和复杂度大大低于传统的有源雷达设备。因此，无源雷达又被称为“绿色雷达”^[52]。然而，由于所使用的信号不是专门为目标检测而设计的，并且发射源通常不受无源雷达的控制，其可靠性较差^[52]。为进一步提高检测概率同时保证良好的通信性能，可以采用RCSS技术进行联合波形设计和资源分配^[54]。

2.8   其他

除了上述场景外，还存在一些潜在的雷达通信一体化应用尚未引起人们的关注，举例如下：

(1) 无线射频识别(Radio Frequency IDentification, RFID)。典型的RFID系统由读取器和RF标签组成。RF标签可以分类为有源或无源的，取决于其是否携带电池。在进行射频识别时，读取器首先向标签发送询问信号，标签将该信号调制后返回给读取器，该调制信号中包含有标签天线阵列负载所形成的独特信号特征，读取器据此即可完成标签的识别^[55]。RFID技术具有类似雷达的传输机制，又通过背向散射通信在读取器和标签之间建立通信链路，所以可以在某种程度上视作雷达与通信的一体化。

(2) 医学传感器。生物传感器可被嵌入到人体内用来检测人体的健康状态。这些传感器只能支持低功耗的感知功能，且计算性能有限。因此，一般需要将测量的原始数据传输到体外设施完成进一步的处理。如何在该领域实现通信与感知一体化仍然是一个开放问题^[56]。

(3) 雷达作为通信中继。与传统无线通信不同，大多数雷达信号的传输都具有高功率和高指向性，这些特性使得雷达非常适合作为通信中继来使用。雷达可以将微弱通信信号放大后，转发给远距离通信用户^[57]。雷达通信一体化中继技术将能够在中/远距离通信应用中发挥重要作用。

3.   主要研究问题

本节对RCSS领域研究中存在的主要问题与挑战进行梳理。

3.1   雷达与通信同频共存的主要研究问题

总体而言，雷达通信同频共存可看作一种特殊的认知无线电场景。与传统仅包含通信系统的认知无线电不同的是，雷达与通信的同频共存需要同时考虑雷达探测与通信的性能指标，并且还要针对雷达所独有的工作模式进行优化设计。宏观而言，这一领域所研究的问题可大致分为以下3类：

(1) 干扰信道估计。为实现雷达与通信系统间的干扰消除，应首先对干扰信道进行估计。然而，与传统的通信系统间基于导频的信道估计不同，雷达所采用的工作模式、波形设计以及信号处理都与通信系统全然不同，因而传统信道估计方法往往并不适用。此外，雷达系统往往存在安全与隐私的需求，与民用系统之间共享导频信号进行合作式信道估计将有可能对其传输的安全性造成隐患，这就要求我们考虑非合作式的干扰信道估计方法。

(2) 发射机设计。在获取干扰信道信息以后，需要在发射端进行信号设计、波束成型和预编码等操作，以克服雷达与通信之间的互干扰，并尽量保证两者的性能指标不受太大影响。除通信的信号干扰噪声比、误码率、通信速率等指标外，还需要考虑雷达的估计与检测性能。相关性能指标包括检测概率、虚警概率和估计误差等。如何在认知无线电框架下对雷达性能进行分析与优化，是实现发射预编码设计的关键。

(3) 接收抗干扰设计。在雷达与通信共存场景下，接收机可能会同时收到雷达回波与通信信号。由于两种信号处于同一频段，往往需要对其进行分离，并对干扰信号进行抑制。例如在通信接收端，需要对雷达回波/散射波进行抑制，从而对通信信号进行低误码率解调；在雷达接收端，则需要识别并抑制通信信号，从而高精度地恢复目标回波。

3.2   雷达通信一体化的主要研究问题

相比雷达通信同频共存，雷达通信一体化需要实现雷达感知与无线通信功能的深度融合，因此所涉及的问题更为基础和本质。总体而言，我们可以将这一领域的研究分为以下3类：

(1) 雷达通信一体化信息论。为了揭示感知与通信一体化的信息论本质，需要对雷达通信一体化信息论进行研究。与传统香农信息论所不同的是，雷达探测具有不同的性能指标和极限。例如，目标检测性能由检测概率/虚警概率给出，目标参数估计方差的最优下界则由Cramér-Rao下界给出。需要在此基础上建立新的感知通信一体化信息论，探明两者的最佳性能边界及性能折中。

(2) 雷达通信一体化信号处理。雷达通信一体化的信号处理具体包括一体化波形设计、联合发射波束成型、联合信号接收等。总体可以归纳为时频域和空域信号处理两个方面。此外，从功能优先级的角度看，还可以将一体化信号处理思想分为以雷达为主的一体化设计(radar-centric)，以通信为主的一体化设计(communication-centric)和联合加权设计(joint design)3种类型。目前国内外对于雷达通信一体化的研究主要集中在信号处理这一方面，将在后文对相关研究现状进行详细综述。

(3) 雷达通信一体化协议及系统架构设计。从工作体制来看，通信一般采用时分或频分双工，而雷达则可大致分为脉冲式与连续波雷达。为实现雷达与通信体制的进一步融合，需要设计新的传输协议与系统架构，以实现雷达与通信功能的互不干扰甚至协同传输。此外，已有雷达通信一体化系统往往工作在sub-10 GHz频段。在未来的一体化应用场景，例如在车联网、无人机集群等网络中，将要在毫米波频段对感知与通信功能进行融合，来同时提供高精度定位与高速率通信服务。因此，需要设计低成本、低复杂度和高效率的毫米波雷达通信一体化的新系统架构。

4.   研究现状

本节将对RCSS领域的研究现状进行梳理和综述，首先讨论分立的雷达与通信系统的共存，再讨论雷达通信一体化的相关研究进展。

4.1   雷达与通信同频共存研究现状

(1) 机会频谱共享。机会频谱共享可以看作传统认知无线电技术的一种简单扩展，其中雷达是频谱的主要用户(primary user)，通信系统则是次级用户(secondary user)。这类方案通常要求次级用户感知频谱，并且在频谱未被占用时进行传输^[58]。为避免对雷达产生干扰，通信系统需要通过控制其传输功率来保证雷达接收到的干扰噪声比(Interference-to-Noise-Ratio, INR)小于其能容忍的门限。在此基础上，美国卡耐基梅隆大学的Saruthirathanaworakun等人^[59]于2012年进一步考察了蜂窝通信系统的旋转扫描雷达的同频共存。在这一模型中，雷达天线的主瓣在不断旋转，从而通信系统可以在位于雷达旁瓣内时进行通信。他们考虑了在给定雷达所能容忍的干扰噪声比要求下，基站与雷达之间的最短距离。同时，还计算了在此INR要求下基站对其下行用户所能达到的信号干扰噪声比(Signal-to-Interference-plus-Noise-Ratio, SINR)，从而给出了机会频谱共享场景下的下行通信速率，并分析了多种数据业务例如语音、视频和文件下载在这一场景下的可行性及其性能。

值得注意的是，以上方案虽然易于工程实现，但无法真正实现雷达与通信系统在时、频、空的资源共享。这是因为机会频谱共享方案仅仅允许通信系统在一定条件下传输信号，在其他情况下则不能。这些条件通常包括：(a)雷达是否正在该频段传输；(b)通信系统传输的信号功率是否会干扰雷达工作；(c)通信系统是否位于雷达波束图样的主瓣位置。因此，这一方案无法做到高效利用资源。此外，这些研究通常考虑的是机械式或相控阵扫描雷达与通信系统的共存，而这些雷达将在不久的将来为下一代集中式MIMO雷达所取代^[60,61]。对比旋转扫描雷达，MIMO雷达在进行目标搜索时通常发射全向正交波形，在进行目标跟踪时又需要进行波束成型。这使得基站很难在MIMO雷达随机切换其波束图样时识别其主瓣和旁瓣的位置。因此，需要采取更为先进的技术，例如预编码，来消除雷达与通信系统的互干扰。

(2) 干扰信道估计。在进行预编码设计之前，首先需要获取雷达与通信系统之间的干扰信道状态信息(Interference Channel State Information, ICSI)。传统上，可以通过雷达向通信系统发射导频信号来估计干扰信道，而这将不可避免地造成计算资源和信号资源的浪费，且会影响雷达正常的目标探测等操作。文献[62]进一步提出可以在雷达与通信系统之间架设一个控制中心来协调ICSI的估计和发射预编码的设计。在雷达具有优先权的频谱共享系统中，该控制中心还可以同时作为雷达的信息融合中心使用，并隶属于雷达站进行管理，从而避免了将雷达信号参数共享给民用通信系统所引起的安全问题。然而，控制中心的建设成本往往较高。有鉴于此，文献[63]提出一种新的雷达通信干扰信道估计方案，其核心思想是利用MIMO雷达的探测信号作为导频，因此雷达不需要再额外发射导频。由于MIMO雷达在目标搜索和跟踪两种模式间随机切换，基站需要首先利用假设检验方法判别雷达的工作模式，然后再据此对信道进行估计。

(3) 具有闭式解的预编码方案。在获取干扰信道以后，为保证雷达与通信系统真正同时同频工作，且互不干扰，可以在雷达或通信端进行预编码设计来消除干扰。与MIMO通信的迫零预编码(Zero-Forcing, ZF)类似，一种较为简单的具有闭式解的预编码方案是所谓零空间投影预编码(Null-Space Projection, NSP)，最早见于2012年由美国弗吉尼亚理工大学Sodagari等人发表的文献[64]。这一工作考虑了集中式MIMO雷达与MIMO通信接收机之间的共存问题，其预编码设计在雷达端进行。具体步骤为：首先估计雷达发射机与通信接收机之间的互干扰信道。然后，通过奇异值分解(Singular Value Decomposition, SVD)得到信道的右奇异向量矩阵，利用其中对应奇异值为0的部分奇异向量矩阵构造投影矩阵，该矩阵可以将任意信号投影至信道的零空间(null-space)中。最后，利用该投影矩阵对雷达信号进行线性预编码，即可保证其对通信接收机的干扰功率为0。可以看到，这一算法与MIMO通信中的SVD预编码有诸多相似之处。所不同的是，这一操作势必会对雷达的性能造成影响。根据作者的分析，MIMO雷达估计性能的Cramér-Rao下界(Cramér-Rao Bound, CRB)将会恶化^[64]。这是因为当MIMO雷达采用正交波形时得到的CRB是最优的，而投影矩阵无疑破坏了这种正交性。后续文献[65]中，作者进一步考虑了利用特征值矩阵中所有对应奇异值不超过某一门限的奇异向量构成的矩阵来设计预编码矩阵。利用该矩阵进行预编码后，雷达信号对通信系统造成的干扰将低于某一门限。作者同时指出，当特征值门限趋于无穷时，投影矩阵将趋近于单位矩阵，因此不会对雷达波形的正交性造成任何影响，同时却无法控制对通信接收机的干扰大小。反之，如果将干扰降为0，则经过预编码后的雷达波形将会严重失真。这正是雷达与通信性能的两种极端情况。而随着门限取值的变化，预编码矩阵可以在通信与雷达性能之间进行权衡。2015年，在先前研究的基础上，Khawar等人^[66]进一步分析了NSP预编码方法对MIMO雷达检测性能的影响，给出了检测概率(detection probability)性能曲线。

以上工作虽然能够较好地利用预编码设计解决雷达通信同频共存，但也存在两个较大的问题：(a)NSP预编码对通信接收机造成的干扰大小依赖于信道的奇异值，而奇异值的大小无法人为控制，因而并不能真正将干扰最小化，或是降低到任意给定门限以下；(b)若待探测目标的方向恰与干扰信道的零空间对齐，则该目标将无法被雷达识别。这些缺陷迫使学界考虑利用凸优化(convex optimization)方法来实现雷达与通信的同频共存。

(4) 基于凸优化方法的预编码设计。2016年，美国罗格斯大学的Li等人^[67]首先考虑了利用凸优化技术实现P2P MIMO通信系统与矩阵完成MIMO雷达(Matrix Completion MIMO Radar, MC-MIMO Radar)之间的同频共存问题。MC-MIMO雷达与普通MIMO雷达的不同之处在于，其仅对接收信号矩阵的部分元素进行采样，然后在接收端利用矩阵完成算法近似恢复出完整的雷达信号，从而达到节省计算资源的目的^[67]。文献[68]对通信发射信号的协方差矩阵和雷达的次采样矩阵进行联合优化，用以最小化雷达端在对接收信号采样后的等效干扰功率，同时满足通信系统的发射功率以及容量约束。作者利用拉格朗日对偶分解(Lagrangian dual-decomposition)和交替最小化算法(alternating minimization)对相关问题进行了求解。2017年，Li等人^[62]进一步将与信号相关的雷达杂波(signal-dependent clutter)引入优化模型中，使其更符合雷达工作的实际情形。美国哥伦比亚大学的Zheng等人^[68]考虑了脉冲式雷达(pulsed radar)与通信的共存问题。他们指出，在共存场景下，通信对雷达的干扰是持续不断的，而由于脉冲占空比的存在，雷达对通信的干扰则是间歇性的。因此，他们给出了一种新的通信速率度量方式，即所谓的“复合速率”(compound rate)。该速率是存在雷达干扰时的通信速率与不存在干扰时的通信速率的加权和。在文献[68]中，作者对通信信号的协方差矩阵以及雷达信号进行了优化，用以最大化通信的复合速率，同时满足雷达和通信的发射功率预算，以及雷达的接收SINR门限。这一优化问题在雷达干扰满足特殊条件时可被解析求解。

为进一步实现MIMO雷达与多用户MIMO通信系统(Multi-User MIMO, MU-MIMO)的频谱共存，文献[69]给出了一种在不完美ICSI假设下的稳健预编码方案，在最大化雷达的检测概率的同时保证下行通信用户的SINR约束条件。文献[70]给出一种干扰对齐预编码方案来实现多个雷达与多个通信系统之间的频谱共享。文献[71]则考虑了雷达估计性能的优化，在存在通信干扰的情况下，通过在雷达端进行预编码来最小化目标估计的Cramé r-Rao界。进一步地，文献[72]给出了一种基于“建设性干扰”概念的通信端发射预编码方案，即利用已知的通信用户间干扰来加强下行用户的接收SINR，同时最小化对雷达的干扰。仿真结果显示，在相同的发射总功率约束下，相比于传统预编码方案，这一方案中通信系统的性能得到极大提升，同时雷达收到的通信干扰显著减小。

(5) 接收机设计。在本节最后讨论了雷达通信共存场景下的接收机设计方案。这一接收机需要在存在雷达干扰的情况下解调通信信号，或是在存在通信干扰的情况下对雷达目标进行估计。目前，这方面的主要工作都集中在通信接收机的设计上。文献[73]首先考虑了在雷达与通信非协作情况下的通信接收机设计。在这一模型中，通信接收机在有多个未知雷达干扰源的情形下工作，并尝试解调通信信号。他们首先证明，在某种表示域下，通信系统接收到的雷达干扰是稀疏(sparse)的。同时，在迭代式解调算法中，解调错误将随着迭代次数的增加变得更加稀疏。综合这两点后，他们提出了基于压缩感知(compressed sensing)和原子范数(atomic norm)约束的优化算法，以实现联合解调及雷达波形估计，由此消除雷达信号干扰并恢复通信信号。仿真结果显示，这一算法可以使通信接收机获得较好的误符号率(Symbol Error Rate, SER)性能。

在典型共存场景下，通信系统将周期性地收到雷达的干扰脉冲，这类脉冲信号通常具有较高的幅度和较窄的时间宽度。因此可以将通信接收机收到的雷达干扰近似建模为具有恒定幅度的加性信号。虽然干扰信号的幅度可以较为准确地进行估计，但由于雷达信号的随机时延，其相位将难以进行估计。文献[74]考虑了在雷达干扰信号的幅度已知相位未知情况下的通信接收机设计问题，主要包括：(a)在给定通信星座图的情况下，如何根据最大似然准则决定最佳的判决域；(b)如何设计自适应的最优星座图来最小化通信的误符号率。仿真结果显示，在低功率雷达干扰下，最优星座图呈同心六边形形状；在高功率雷达干扰下，最优星座图为非等间距的脉冲幅度调制(Pulse Amplitude Modulation, PAM)。

4.2   雷达通信一体化研究现状

(1) 雷达通信一体化系统的信息论研究。为了研究雷达通信一体化系统所能达到的性能极限，必须在统一的理论框架下对两种系统的性能度量进行讨论。这就要求使用信息论来对其进行分析。这其中的一个关键问题是，如何给定雷达系统性能的信息论度量。众所周知，传输速率是衡量通信系统性能的重要指标。通信发射符号一般取自一个可数的离散星座图(constellation)。假设星座图的大小为 $N$ ，则每一个星座点包含了 ${\mathrm{l}\mathrm{o}\mathrm{g}}_{2}N$ 比特信息，因而可以用比特率(bit rate)来对通信速率进行度量。与通信系统相反，雷达系统发射的信号并不是取自一个离散的星座点集，且其本身并不包含信息。只有在被待探测目标反射回来后，才会在回波中携带目标的信息。因此难以将比特率这样的概念用到雷达系统中。注意到，在点目标模型下，雷达通常需要估计目标的距离、速度和方位角这3个重要参数，分别对应于雷达信号的3个维度：快时间域(fast time，即单个脉冲内时间)、慢时间域(slow time，即脉冲个数)和空间域。在这3个维度，可以将信号经过采样后划分为多个分辨单元，每个单元对应了一个特定的目标距离、速度和角度。而对回波的处理，就是通过脉冲压缩、傅里叶变换和接收波束成型等操作，判断其在哪个单元内具有最大的响应，从而将该分辨单元作为目标参数的估计^[75]。这就启发我们，可以将每一个分辨单元视作一个“星座点”，从而对雷达获取目标信息的“速率”进行度量。这一思想最先由美国的Guerci等人^[76]在2015年提出。进一步注意到，通信系统的传输速率极限由香农容量给定，而香农容量定义为发射端到接收端的最大互信息(mutual information)。那么雷达系统中是否存在与之对应的性能界呢？一个自然的联想是雷达的Cramér-Rao下界。根据参数估计理论，CRB是所有无偏估计器的性能下界。换言之，CRB给出了参数的无偏估计所能达到的最小方差^[77]。如果将方差视为对参数估计量的不确定性，那么，类似于通信系统中互信息的概念，可以将雷达对“目标参数不确定性的消除”定义为雷达与目标之间的互信息，亦即雷达与目标之间的“信道容量”。基于这一认识，2016年，美国亚利桑那州立大学的Chiriyath等人^[78]定义了雷达的“估计速率”(estimation rate)，并利用上述方法导出了估计速率的上界。在文献[78]中，他们考虑一种雷达通信一体化接收机，该接收机同时处理雷达信号的回波以及通信用户的上行信号，因而可以被看作一种特殊的多址信道。与此同时，他们类比通信系统中对多址信道的分析方法，分别考虑了时分、频分、串行干扰消除(Successive Interference Cancellation, SIC)以及注水(water-filling)体制下，雷达的估计速率与通信的比特率之间的性能权衡曲线。2017年，文献[79]进一步给出了一种加权频谱效率，通过对一体化系统的雷达和通信功能分别赋予一定的权重，来计算二者频谱效率的加权和，并以此作为一体化系统的一种综合性能度量。2018年，文献[80]针对多天线一体化系统进行了分析，并给出了其估计速率的定义。

(2) 雷达通信一体化系统的时频域信号处理。雷达通信一体化系统的一个核心问题就是一体化波形设计，即设计一种新型复用波形，使之既能携带通信信息，又能用于雷达目标探测。早期的雷达通信一体化波形主要集中在对时频域信号的处理上。其中，最早的一体化方案可以追溯到1963年，Randall提出利用雷达脉冲对通信数据进行调制的单向通信系统。该系统利用地面雷达向导弹发射脉冲组，每个脉冲相对于参考脉冲的位置不同代表不同意义，也即利用脉冲组携带了信息^[81]。2003年，加州大学洛杉矶分校的Brown等人^[82,83]率先提出了利用斜率相反的Chirp信号调制通信信息的雷达通信一体化系统，由于相反斜率的Chirp信号之间存在准正交性，因而可以将雷达与通信信号区分开来。2008年，瑞典布京理工学院的Jamil等人^[84]提出利用Oppermann多相序列扩频码来区分雷达探测功能和通信功能，他们得出Oppermann序列有较好的自相关性和较小的互相干性，模糊函数具有较好的多普勒容忍性，在通信方面具有多址的能力，非常适合作为雷达通信一体化波形。

2009年，德国卡尔斯鲁厄理工学院的Sturm等人^[85]提出了基于正交频分复用(Orthogonal Frequency Division Multiplexing, OFDM)的雷达通信一体化系统，并提出了对OFDM通信波形的雷达处理方案，该方案利用快速傅里叶逆变换(IFFT)算法和快速傅里叶变换(FFT)算法分别估计距离与速度，能够实现距离域与多普勒域的解耦，具有极佳的性能。2010年，美国迈阿密大学的Garmatyuk等人^[86]也提出了OFDM雷达通信一体化信号的处理方式。2010年，加拿大蒙特利尔大学的Han等人^[87]提出了基于时分双工体制的雷达通信一体化系统，该体制将系统工作时隙划分为雷达时隙与通信时隙，雷达使用正斜率-无斜率-负斜率变化的线性调频波形，通信则可使用任意调制方式，通信周期和雷达周期交替出现，在时域上互不干扰。2011年和2012年，Sturm等人^[88]和Han等人^[89]分别发表综述性论文。总结了截止到当年学术界有关雷达通信一体化波形设计的研究与进展。Sturm等人将一体化波形分类为线性调频体制、扩频码体制与OFDM体制，并对这几种方案分别做了仿真分析，得出OFDM体制是性能最佳的一体化波形这一结论。2016年，英国思克莱德大学的Gaglione等人^[90]提出利用分数阶傅里叶变换(Fractional Fourier Transform, FrFT)替代OFDM中的离散傅里叶变换(DFT)，从而可以将正弦载波替换为Chirp信号载波，同时实现雷达功能和通信功能。国内方面，在王小谟院士的指导下，中国电子科学研究院的Chen等人^[91]于2011年提出一种结合Chirp信号与MSK调制的恒包络一体化波形，称为LFM-MSK信号，并在文献[91]中分析了这种波形的雷达模糊函数。2015年，北京理工大学的文献[86]在此基础上进一步给出了LFM-MSK的时频分析。由于调制了随机通信数据，LFM-MSK信号的雷达匹配滤波将出现较高副瓣。为此，刘志鹏^[92]还提出一种加窗反卷积方案来对副瓣进行消除。近期，国内对基于OFDM体制的雷达通信一体化也有诸多研究，例如西安电子科技大学的刘永军^[93]提出了MIMO-OFDM体制下的雷达通信一体化信号处理方法，西安电子科技大学的刘冰凡等人^[94]进一步结合了LFM和OFDM体制，给出了一种不影响波形正交性的一体化波形设计。为了增加信号的传输距离，使得发射机能够满功率工作在功放的饱和区而不引起信号失真，需要进一步降低OFDM一体化信号的峰值平均功率比(Peak-to-Average Power Ratio, PAPR)，甚至设计恒包络的OFDM信号。这方面的研究与讨论见文献[95]和文献[96]。

(3) 雷达通信一体化系统的空域信号处理。通过对上述工作的总结可以看出，基于时频域分析的单天线雷达通信一体化波形设计已经有了较为充分的研究。然而，随着4G和5G通信技术的发展，MIMO技术已被广泛应用于各类民用通信系统中。为实现雷达与MIMO通信系统的结合，在空间域上对一体化波形进行分析与设计是一种必然趋势。近年来，MIMO雷达在学界得到了广泛的研究。与MIMO通信类似，MIMO雷达也利用多天线得到更高的分集增益和自由度，极大提升了信号处理的性能。两种技术之间的相似性提供了结合MIMO雷达与MIMO通信的可能性。这一方向的文献主要见于美国维拉诺瓦大学Amin等人的相关研究。2006年，澳洲的Donnet等人^[97]首先提出了结合MIMO雷达与OFDM通信的设想。2015年，Hassanien^[98]首次提出在视距信道内利用MIMO雷达发射波束图样的副瓣进行通信的方案。具体而言，这一方案利用发射波束成型来调整副瓣的高度，用于表示不同的通信符号，相当于对其进行了幅度调制。通信接收机则利用能量检测来判断收到的符号是“1”还是“0”。一体化系统利用主瓣进行目标探测，利用副瓣进行通信，因此其雷达功能基本不受影响。为提升通信速率，并将这一方案拓展至多用户通信场景，2016年，Hassanien等人^[99]考虑MIMO雷达发送 $Q$ 个正交波形，可以在一个脉冲内代表Q个比特，并利用两个加权向量对发送波形加权，使得合成波形拥有相同的主瓣和不同的旁瓣，用以区分二进制数据，且不影响雷达性能。再进一步假设有 $N$ 个通信用户分布在 $N$ 个角度，于是需要使得这 $N$ 个角度的副瓣产生高低变化。同年，文献[100]提出一种在MIMO雷达中利用相位调制传输通信信息的方案，具体是利用不同的加权向量表示不同的相位，其中有一个加权向量为基准向量，其他加权向量乘以方向矢量后与它和方向矢量乘积的比值的相角即为PSK符号。后续文献[101]提出通过交换雷达波形在不同天线上的位置来进行通信，亦即利用置换矩阵(permutation matrix)携带了信息。这一方案对于雷达的发射波束成型性能没有任何影响，因为雷达波形本身没有发生任何变化。2017年，美国堪萨斯大学的Mccormick等人^[102]利用凸优化方法设计MIMO一体化信号，使得在最小化发射功率的同时，能够将雷达信号和通信信号分别发射至指定角度。值得注意的是，这一优化问题可以解析求解。进一步地，还可以利用交替投影算法来逼近指定的恒包络参考波形，使一体化信号满足恒包络特性。同年，在其后续工作^[103]中，Mccormick等人^[102]利用基于软件无线电的硬件平台，演示验证了文献[102]中的一体化波形设计方法。这也是MIMO雷达通信一体化波形首次得到硬件试验验证。

在以上MIMO雷达通信一体化方案中，注意到一个通信符号通常由一个或多个雷达脉冲所表示，这使得通信速率基本上与雷达的脉冲重复频率(Pulse Repetition Frequency, PRF)相当，从而只能支持kbps-Mbps速率的通信应用，难以提供Gbps级别的传输速率。此外，基于雷达副瓣调制的一体化方案仅能支持视距通信。这是因为在非视距信道中，由雷达副瓣发送到通信接收机的符号将会受到其他方向到达的多径干扰而产生严重失真。因此，文献[104]讨论了在非视距信道下MIMO雷达与MU-MIMO通信系统的一体化波束成形问题。其中，通信信号被直接用于雷达探测，一个通信符号即代表一个雷达快时间采样点，因此不会影响下行通信速率。通过优化设计一体化波束成形矩阵，可以在产生符合雷达探测要求的波束图样的同时满足下行通信用户的SINR约束。文献[105,106]进一步讨论了MIMO雷达通信一体化系统的恒包络波形设计问题，其目的是在最小化通信用户间干扰的同时，满足雷达波形的相似性约束和恒包络约束。作者提出一种快速的分支定界算法来求解非凸优化问题，该算法能够在短时间内找到全局最优解。

(4) 5G时代的雷达通信一体化系统。尽管学界已对雷达通信一体化进行了充分的研究，现有的一体化方案大多基于sub-6 GHz系统及相关应用。为应对无线设备与服务的爆炸性增长，5G网络将利用毫米波频段的大带宽来成百上千倍地提高容量。与此同时，5G时代的毫米波基站将被赋予感知功能，可被用于包括V2X网络在内的多种新兴应用场景。目前，毫米波频段的雷达通信一体化是该领域的一个新的研究方向。文献[107,108]提出利用60 GHz频段的IEEE 802.11ad WLAN协议来实现雷达感知功能。由于WLAN协议一般基于室内场景，且适用于小规模天线阵列，其只能支持较短距离的目标探测。为克服毫米波信号较高的路径损耗，通常需要采用大规模天线阵列(mMIMO)来进行波束成形。更进一步地，mMIMO阵列的高自由度使得毫米波频段的雷达通信一体化成为可能。文献[109]首次分析了mMIMO雷达的检测性能。其仿真结果显示，mMIMO雷达仅需要单个雷达信号快拍即可达到采用多快拍的普通MIMO雷达的性能，且不易受到未知干扰的影响。

值得注意的是，毫米波和大规模天线阵列所带来的性能增益建立在更高的硬件和计算资源消耗上。在全数字大规模天线阵列的情形下，由于所需要的毫米波射频链路数量巨大，这一资源消耗将尤其显著。为解决这一问题，通常在毫米波基站中采用所谓的模数混合波束成型结构^[110-113]。此结构仅需少量射频链路，通过移相器网络与大规模天线阵列相连接，而不需要每根天线都与一个单独的射频链路相连，从而达到降低射频链路成本和功耗的目的^[114]。注意到这一思想不仅在通信领域，也在雷达领域的研究中有所体现，即所谓的phased-MIMO雷达^[115]。这种雷达结合了相控阵雷达和全数字MIMO雷达的优势，将天线阵列划分为多个子阵列，在子阵列之间传输独立的数字波形，在子阵列上进行相控阵波束成型^[116]。如此一来，在保留了MIMO雷达高自由度的同时，可以通过控制子阵列的相位来将信号能量集中在感兴趣的目标方向，从而提高回波的信干噪比。与通信中的混合模数阵列类似，phased-MIMO雷达能够在全数字和全模拟波束成型之间取得性能折中。

考虑到混合波束成型与phased-MIMO雷达之间的天然联系，在5G毫米波基站中融合两种技术具有极大的潜力，且有助于多种新兴应用的发展，包括车联网和massive MIMO定位等。目前已有工作中，文献[117]提出了一种基于毫米波混合波束成型架构的雷达通信一体化系统，并讨论了其信道估计、上下行通信、雷达目标搜索与跟踪等多个方面的一体化传输与接收算法。单个模拟天线阵列通常用来生成定向的窄波束，在雷达通信一体化系统中，这种使用方式使得雷达探测方向局限于通信方向。为了支持不同方向的通信和目标探测，文献[118]提出了一个多波束方案：单个模拟阵生成的波束包含两个以上的主瓣，除非通信和雷达扫描方向重合。其中一个方向固定的子波束指向通信接收机，剩余一个或多个子波束每个数据包改变一次方向用作雷达扫描。波束生成和更新、雷达探测的算法都在文献[118]中做了探讨。两个子波束的多种共性合成的方法在文献[118-120]中做了深入研究，以实现在同时满足通信和雷达性能要求下的多波束波形优化。波束成形的系数量化方法和性能分析在文献[119]中做了探讨。国内方面，电子科技大学的罗渝悦对混合波束成型体制下的雷达通信一体化传输方法进行了总结^[121]。文献[122,123]进一步提出利用大规模MIMO毫米波基站作为路边单元，对多个车辆同时进行定位与通信。由于采用雷达回波对波束成型进行辅助，相比传统的基于纯通信协议的波束跟踪能够极大地减少导频的开销，从而提升了通信速率。

5.   结论与展望

本文围绕雷达通信频谱共享(RCSS)的两个研究方向，即雷达通信共存和雷达通信一体化，做了深入而全面的综述。本文首先列举了RCSS技术的多种应用场景，然后分别对共存系统与一体化系统的最新研究进展进行了梳理。尽管在这两方面都已有相当多的研究工作，本领域仍然存在一些挑战和开放问题亟待解决，举例如下：

(1) 安全和隐私问题。在共存场景下，商用通信系统经常需要与雷达共享频谱，这使得敏感信息存在泄漏的风险。在一体化场景下，雷达目标有可能是潜在窃听者，能够截取包含通信信息的雷达探测波形。为应对这些情况，需要进一步发展与RCSS技术相匹配的物理层安全技术^[124-126]。目前在一体化系统的物理层安全方面有一些初期的工作，可参见文献[127-130]。

(2) 机器学习方法。在雷达通信一体化接收机设计中，一个最重要的问题就是如何在噪声和干扰存在的情况下区分雷达与通信信号。传统的信号处理方法适用于信号模型比较精确的场景，在模型未知的场景下，往往需要采用机器学习方法来完成信号分类的工作。例如，如果雷达与通信信号在统计特性上存在区别，可以采用独立成分分析(Independent Component Analysis, ICA)进行分类。文献[73]提出了基于压缩感知理论的算法来进行两种信号的分类与处理。

(3) 通信与感知一体化信息论。为刻画雷达通信一体化系统的性能极限，需要发展通信与感知一体化的信息论来统一两者的数学模型。目前，已有工作提出了“估计速率”来描述雷达的估计性能，然而，这一指标与雷达的常用性能指标，例如检测概率、虚警概率和均方误差等联系尚不明确。因此还需要进一步考虑基于雷达实际功能的信息论性能指标，并进一步揭示其与通信信息论的联系。

(4) 面向高动态场景的新型一体化波形。在未来高移动性场景中，多普勒频偏对现有基于OFDM技术的雷达通信一体化信号的通信性能产生严重影响。这对能有效抵抗快速移动环境的新型信号波形设计提出了要求。目前，有学者提出了基于正交时频空间(Orthogonal Time Frequency Space, OTFS)的新型调制方式，通过在时延-多普勒域传输信号有效解决时变信道的影响。有关OTFS的初步研究可以参考文献[131,132]。

图 1 雷达目标对抗样本示例

Figure 1. Radar target adversarial sample

下载: 全尺寸图片幻灯片

图 2 深度模型识别原理图

Figure 2. Recognition process of deep neural network

下载: 全尺寸图片幻灯片

图 3 对抗攻击方法分类

Figure 3. Categories of adversarial attack

下载: 全尺寸图片幻灯片

图 4 基于全距离单元扰动^[63]的HRRP对抗攻击示意图

Figure 4. All-range-cell^[63] adversarial attacks on radar HRRP

下载: 全尺寸图片幻灯片

图 5 基于特定距离单元扰动^[66]的HRRP对抗攻击示意图

Figure 5. Certain-range-cell^[66] adversarial attacks on radar HRRP

下载: 全尺寸图片幻灯片

图 6 对抗防御方法分类

Figure 6. Categories of adversarial defense

下载: 全尺寸图片幻灯片

图 7 基于优化目标函数的防御方法

Figure 7. Adversarial defense based on optimizing objective function

下载: 全尺寸图片幻灯片

表 1 基于属性散射中心模型的典型雷达二维像对抗攻击方法

Table 1. Typical radar image adversarial attacks based on attribute scattering center model

方法	干净样本	扰动	对抗样本	关键技术
文献[46]				散射中心提取，空域形变
文献[47]				单散射中心攻击
文献[48]				改进OMP算法，黑盒攻击

下载: 导出CSV

表 2 雷达二维像对抗攻击研究现状

Table 2. Summary of adversarial attacks on radar two-dimensional image

文献	攻击先验	扰动范数	验证模型	数据集	攻击特异性	优缺点
[33]	白盒	${L_\infty }$	VGG^[50] ResNet^[51] DenseNet^[52] GoogleNet^[53] InceptionV3^[54]	MSTAR SENSAR^[58]	非定向	验证光学方法的适用性和差异性，未结合雷达像特性
[34]	白盒	${L_0}$	A-ConvNet^[10]	MSTAR	非定向
[35]	白盒	${L_2}/{L_\infty }$	自定义CNN	MSTAR	非定向
[36]	白盒	${L_2}$	ResNet	MSTAR	定向/非定向	结合了雷达像自身特性和识别场景，未考虑对抗样本的物理实现问题
[37]	白盒/黑盒	${L_2}/{L_0}$	A-ConvNet ResNet	MSTAR OpenSARship^[59]	定向/非定向
[38]	白盒	${L_0}$	ResNet VGG MobleNet-v2^[55]	So2Sat-LCZ42^[60]	非定向
[40]	黑盒	${L_\infty }$	AlexNet^[56] ResNet DenseNet VGG A-ConvNet	MSTAR SARSIM^[61]	非定向
[41]	白盒	${L_\infty }$	CNN	MSTAR	非定向	对扰动区域进行初步限制，未建立扰动像素与雷达信号的对应关系
[42]	白盒/黑盒	${L_2}$	GoogleNet DenseNet InceptionV3 ResNet	MSTAR	非定向
[43]	白盒	${L_2}$	自定义CNN	MSTAR	非定向
[44]	黑盒	${L_\infty }$	AconvNet VGG ResNet DenseNet InceptionV4^[57]	MSTAR	非定向
[46]	白盒	双线性变换	ResNet MobileNet-v2	MSTAR	非定向	考虑了单帧静止目标对抗样本的物理实现，未考虑目标运动过程中的扰动变化
[47]	白盒	${L_0}/{L_2}/{L_\infty }$	A-convNet VGG ResNet DenseNet MobileNet-v2	MSTAR SARBake^[62]	非定向
[48]	黑盒	${L_2}$	VGG ResNet MobileNet	MSTAR	非定向

下载: 导出CSV

表 3 雷达一维像对抗攻击研究现状

Table 3. Summary of adversarial attacks on radar HRRP

文献	攻击先验	扰动方式	验证模型	数据集	攻击目标	特点
[63]	白盒	全距离单元	自定义CNN	3类飞机目标：雅克42；塞斯纳S/II；安26	非定向	仅设计数字域攻击，未考虑物理实现性
[64]	白盒	全距离单元	自定义CNN	3类飞机目标：雅克42；塞斯纳 S/II；安26	定向/非定向
[65]	白盒/黑盒	全距离单元	自定义CNN；全连接网络	MSTAR数据集的HRRP还原数据^[67]	定向/非定向
[66]	白盒/黑盒	特定距离单元	AlexNet ResNet DenseNet InceptionNet	3类飞机目标：雅克42；塞斯纳S/II；安26	定向/非定向	较好的物理实现性，未考虑目标姿态等因素带来的影响

下载: 导出CSV

表 4 雷达像识别对抗防御方法

Table 4. Summary of adversarial defense in radar image recognition

防御层级	文献	验证模型	数据集	可防御	优缺点
输入端	[73]	ResNet	UC-Merced^[90]	FGSM/PGD^[91]/CW^[20]/ DeepFool^[19]/ HopSkipJump^[92]/ Square^[93]	仅需在数据端操作，影响干净样本识别率
输入端	[74]	ResNet DenseNet MobileNet ShuffleNet A-ConvNet	MSTAR OpenSAR-Ship^[59]	FGSM/PGD/DeepFool/ CW/SparseFool^[94]/ HopSkipJump/Square	仅需在数据端操作，影响干净样本识别率
模型端	[77]	A-ConvNet VGG ResNet ShuffleNet	MSTAR^[11]	FGSM^[17]/PGD	已知攻击类型时防御效果好，训练耗时
	[47]	A-ConvNet	MSTAR SARBake^[62]	PGD/SMGAA^[47]	已知攻击类型时防御效果好，训练耗时
	[78]	自定义CNN	MSTAR	DeepFool	具有较好的可解释性，难以兼容主流模型
	[79]	SAR-BagNet^[80] ResNet	MSTAR	FGSM/PGD/ CW/DeepFool	具有较好的可解释性，难以兼容主流模型
输出端	[87]	VGG ResNet DenseNet	MSTAR SARBake	FGSM/BIM^[18]/ CW/DeepFool	无需更改模型结构，难以单独胜任识别任务
	[88]	ResNet	MSTAR	FGSM/BIM/ CW/DeepFool
	[89]	VGG ResNet DenseNet	MSTAR SARBake	FGSM/BIM/ CW/DeepFool

下载: 导出CSV

参考文献(109)

[1]	ZHU Xiaoxiang, MONTAZERI S, ALI M, et al. Deep learning meets SAR: Concepts, models, pitfalls, and perspectives[J]. IEEE Geoscience and Remote Sensing Magazine, 2021, 9(4): 143–172. doi: 10.1109/MGRS.2020.3046356
[2]	GOODFELLOW I J, SHLENS J, and SZEGEDY C. Explaining and harnessing adversarial examples[J]. arXiv preprint arXiv: 1412. 6572, 2014.
[3]	孙浩, 陈进, 雷琳, 等. 深度卷积神经网络图像识别模型对抗鲁棒性技术综述[J]. 雷达学报, 2021, 10(4): 571–594. doi: 10.12000/JR21048 SUN Hao, CHEN Jin, LEI Lin, et al. Adversarial robustness of deep convolutional neural network-based image recognition models: A review[J]. Journal of Radars, 2021, 10(4): 571–594. doi: 10.12000/JR21048
[4]	XU Yonghao, BAI Tao, YU Weikang, et al. AI security for geoscience and remote sensing: Challenges and future trends[J]. IEEE Geoscience and Remote Sensing Magazine, 2023, 11(2): 60–85. doi: 10.1109/MGRS.2023.3272825
[5]	CAO Dongsheng, HUANG Jianhua, YAN Jun, et al. Kernel k-nearest neighbor algorithm as a flexible SAR modeling tool[J]. Chemometrics and Intelligent Laboratory Systems, 2012, 114: 19–23. doi: 10.1016/j.chemolab.2012.01.008
[6]	袁莉, 刘宏伟, 保铮. 基于中心矩特征的雷达HRRP自动目标识别[J]. 电子学报, 2004, 32(12): 2078–2081. doi: 10.3321/j.issn:0372-2112.2004.12.036 YUAN Li, LIU Hongwei, and BAO Zheng. Automatic target recognition of radar HRRP based on central moments features[J]. Acta Electronica Sinica, 2004, 32(12): 2078–2081. doi: 10.3321/j.issn:0372-2112.2004.12.036
[7]	SAEPULOH A, KOIKE K, and OMURA M. Applying Bayesian decision classification to Pi-SAR polarimetric data for detailed extraction of the geomorphologic and structural features of an active volcano[J]. IEEE Geoscience and Remote Sensing Letters, 2012, 9(4): 554–558. doi: 10.1109/LGRS.2011.2174611
[8]	LI Min, ZHOU Gongjian, ZHAO Bin, et al. Sparse representation denoising for radar high resolution range profiling[J]. International Journal of Antennas and Propagation, 2014, 2014: 875895. doi: 10.1155/2014/875895
[9]	CHEN Wenchao, CHEN Bo, PENG Xiaojun, et al. Tensor RNN with Bayesian nonparametric mixture for radar HRRP modeling and target recognition[J]. IEEE Transactions on Signal Processing, 2021, 69: 1995–2009. doi: 10.1109/TSP.2021.3065847
[10]	CHEN Sizhe, WANG Haipeng, XU Feng, et al. Target classification using the deep convolutional networks for SAR images[J]. IEEE Transactions on Geoscience and Remote Sensing, 2016, 54(8): 4806–4817. doi: 10.1109/TGRS.2016.2551720
[11]	ROSS T D, WORRELL S W, VELTEN V J, et al. Standard SAR ATR evaluation experiments using the MSTAR public release data set[C]. SPIE 3370, Algorithms for Synthetic Aperture Radar Imagery, Orlando, USA, 1998: 566–573.
[12]	PEI Jifang, HUANG Yulin, HUO Weibo, et al. SAR automatic target recognition based on multiview deep learning framework[J]. IEEE Transactions on Geoscience and Remote Sensing, 2018, 56(4): 2196–2210. doi: 10.1109/TGRS.2017.2776357
[13]	SUN Yuanshuang, WANG Yinghua, LIU Hongwei, et al. SAR target recognition with limited training data based on angular rotation generative network[J]. IEEE Geoscience and Remote Sensing Letters, 2020, 17(11): 1928–1932. doi: 10.1109/LGRS.2019.2958379
[14]	HUANG Zhongling, PAN Zongxu, and LEI Bin. What, where, and how to transfer in SAR target recognition based on deep CNNs[J]. IEEE Transactions on Geoscience and Remote Sensing, 2020, 58(4): 2324–2336. doi: 10.1109/TGRS.2019.2947634
[15]	FU Kun, ZHANG Tengfei, ZHANG Yue, et al. Few-shot SAR target classification via metalearning[J]. IEEE Transactions on Geoscience and Remote Sensing, 2022, 60: 2000314. doi: 10.1109/TGRS.2021.3058249
[16]	SZEGEDY C, ZAREMBA W, SUTSKEVER I, et al. Intriguing properties of neural networks[C]. 2nd International Conference on Learning Representations, Banff, Canada, 2014.
[17]	GOODFELLOW I J, SHLENS J, and SZEGEDY C. Explaining and harnessing adversarial examples[C]. 3rd International Conference on Learning Representations, San Diego, USA, 2015: 1050.
[18]	KURAKIN A, GOODFELLOW I J, and BENGIO S. Adversarial Examples in the Physical World[M]. YAMPOLSKIY R V. Artificial Intelligence Safety and Security. New York: Chapman and Hall/CRC, 2018: 99–112.
[19]	MOOSAVI-DEZFOOLI S M, FAWZI A, and FROSSARD P. DeepFool: A simple and accurate method to fool deep neural networks[C]. 2016 IEEE Conference on Computer Vision and Pattern Recognition, Las Vegas, USA, 2016: 2574–2582.
[20]	CARLINI N and WAGNER D. Towards evaluating the robustness of neural networks[C]. 2017 IEEE Symposium on Security and Privacy (SP), San Jose, USA, 2017: 39–57.
[21]	PAPERNOT N, MCDANIEL P, JHA S, et al. The limitations of deep learning in adversarial settings[C]. 2016 IEEE European Symposium on Security and Privacy (EuroS&P), Saarbruecken, Germany, 2016: 372–387.
[22]	SU Jiawei, VARGAS D V, and SAKURAI K. One pixel attack for fooling deep neural networks[J]. IEEE Transactions on Evolutionary Computation, 2019, 23(5): 828–841. doi: 10.1109/TEVC.2019.2890858
[23]	POURSAEED O, KATSMAN I, GAO Bicheng, et al. Generative adversarial perturbations[C]. 2018 IEEE/CVF Conference on Computer Vision and Pattern Recognition, Salt Lake City, USA, 2018: 4422–4431.
[24]	DU Chuan and ZHANG Lei. Adversarial attack for SAR target recognition based on UNet-generative adversarial network[J]. Remote Sensing, 2021, 13(21): 4358. doi: 10.3390/rs13214358
[25]	XIAO Chaowei, LI Bo, ZHU Junyan, et al. Generating adversarial examples with adversarial networks[C]. 27th International Joint Conference on Artificial Intelligence, Stockholm, Sweden, 2018: 3905–3911.
[26]	ILYAS A, ENGSTROM L, ATHALYE A, et al. Black-box adversarial attacks with limited queries and information[C]. 35th International Conference on Machine Learning, Stockholm, Sweden, 2018: 2142–2151.
[27]	GUO Chuan, GARDNER J R, YOU Yurong, et al. Simple black-box adversarial attacks[C]. 36th International Conference on Machine Learning, Long Beach, USA, 2019: 2484–2493.
[28]	TASHIRO Y, SONG Y, ERMON S. Diversity can be transferred: Output diversification for white-and black-box attacks[C]. The 34th International Conference on Neural Information Processing Systems. 2020: 4536–4548.
[29]	GUO Wei, TONDI B, and BARNI M. A master key backdoor for universal impersonation attack against DNN-based face verification[J]. Pattern Recognition Letters, 2021, 144: 61–67. doi: 10.1016/j.patrec.2021.01.009
[30]	GU Tianyu, LIU Kang, DOLAN-GAVITT B, et al. BadNets: Evaluating backdooring attacks on deep neural networks[J]. IEEE Access, 2019, 7: 47230–47244. doi: 10.1109/ACCESS.2019.2909068
[31]	BREWER E, LIN J, and RUNFOLA D. Susceptibility & defense of satellite image-trained convolutional networks to backdoor attacks[J]. Information Sciences, 2022, 603: 244–261. doi: 10.1016/j.ins.2022.05.004
[32]	ISLAM S, BADSHA S, KHALIL I, et al. A triggerless backdoor attack and defense mechanism for intelligent task offloading in multi-UAV systems[J]. IEEE Internet of Things Journal, 2023, 10(7): 5719–5732. doi: 10.1109/JIOT.2022.3172936
[33]	LI Haifeng, HUANG Haikuo, CHEN Li, et al. Adversarial examples for CNN-based SAR image classification: An experience study[J]. IEEE Journal of Selected Topics in Applied Earth Observations and Remote Sensing, 2021, 14: 1333–1347. doi: 10.1109/JSTARS.2020.3038683
[34]	周隽凡, 孙浩, 雷琳, 等. SAR图像稀疏对抗攻击[J]. 信号处理, 2021, 37(9): 1633–1643. doi: 10.16798/j.issn.1003-0530.2021.09.007 ZHOU Junfan, SUN Hao, LEI Lin, et al. Sparse adversarial attack of SAR image[J]. Journal of Signal Processing, 2021, 37(9): 1633–1643. doi: 10.16798/j.issn.1003-0530.2021.09.007
[35]	WANG Lulu, WANG Xiaolei, MA Shixin, et al. Universal adversarial perturbation of SAR images for deep learning based target classification[C]. 2021 IEEE 4th International Conference on Electronics Technology (ICET), Chengdu, China, 2021: 1272–1276.
[36]	DU Chuan, HUO Chaoying, ZHANG Lei, et al. Fast C&W: A fast adversarial attack algorithm to fool SAR target recognition with deep convolutional neural networks[J]. IEEE Geoscience and Remote Sensing Letters, 2022, 19: 4010005. doi: 10.1109/LGRS.2021.3058011
[37]	ZHANG Fan, MENG Tianying, XIANG Deliang, et al. Adversarial deception against SAR target recognition network[J]. IEEE Journal of Selected Topics in Applied Earth Observations and Remote Sensing, 2022, 15: 4507–4520. doi: 10.1109/JSTARS.2022.3179171
[38]	徐延杰, 孙浩, 雷琳, 等. 基于稀疏差分协同进化的多源遥感场景分类攻击[J]. 信号处理, 2021, 37(7): 1164–1170. doi: 10.16798/j.issn.1003-0530.2021.07.005 XU Yanjie, SUN Hao, LEI Lin, et al. Multi-source remote sensing classification attack based on sparse differential coevolution[J]. Journal of Signal Processing, 2021, 37(7): 1164–1170. doi: 10.16798/j.issn.1003-0530.2021.07.005
[39]	RONNEBERGER O, FISCHER P, and BROX T. U-net: Convolutional networks for biomedical image segmentation[C]. 18th International Conference on Medical Image Computing and Computer-Assisted Intervention, Munich, Germany, 2015: 234–241.
[40]	PENG Bowen, PENG Bo, YONG Shaowei, et al. An empirical study of fully black-box and universal adversarial attack for SAR target recognition[J]. Remote Sensing, 2022, 14(16): 4017. doi: 10.3390/rs14164017
[41]	DANG Xunwang, YAN Hua, HU Liping, et al. SAR image adversarial samples generation based on parametric model[C]. 2021 International Conference on Microwave and Millimeter Wave Technology (ICMMT), Nanjing, China, 2021: 1–3.
[42]	DU M, BI D, DU M, et al. Local aggregative attack on SAR image classification models[J]. Authorea Preprints, 2022.
[43]	MENG Tianying, ZHANG Fan, and MA Fei. A target-region-based SAR ATR adversarial deception method[C]. 2022 7th International Conference on Signal and Image Processing (ICSIP), Suzhou, China, 2022: 142–146.
[44]	PENG Bowen, PENG Bo, ZHOU Jie, et al. Speckle-variant attack: Toward transferable adversarial attack to SAR target recognition[J]. IEEE Geoscience and Remote Sensing Letters, 2022, 19: 4509805. doi: 10.1109/LGRS.2022.3184311
[45]	GERRY M J, POTTER L C, GUPTA I J, et al. A parametric model for synthetic aperture radar measurements[J]. IEEE Transactions on Antennas and Propagation, 1999, 47(7): 1179–1188. doi: 10.1109/8.785750
[46]	ZHOU Junfan, FENG Sijia, SUN Hao, et al. Attributed scattering center guided adversarial attack for DCNN SAR target recognition[J]. IEEE Geoscience and Remote Sensing Letters, 2023, 20: 4001805. doi: 10.1109/LGRS.2023.3235051
[47]	PENG Bowen, PENG Bo, ZHOU Jie, et al. Scattering model guided adversarial examples for SAR target recognition: Attack and defense[J]. IEEE Transactions on Geoscience and Remote Sensing, 2022, 60: 5236217. doi: 10.1109/TGRS.2022.3213305
[48]	QIN Weibo, LONG Bo, and WANG Feng. SCMA: A scattering center model attack on CNN-SAR target recognition[J]. IEEE Geoscience and Remote Sensing Letters, 2023, 20: 4003305. doi: 10.1109/LGRS.2023.3253189
[49]	LIU Hongwei, JIU Bo, LI Fei, et al. Attributed scattering center extraction algorithm based on sparse representation with dictionary refinement[J]. IEEE Transactions on Antennas and Propagation, 2017, 65(5): 2604–2614. doi: 10.1109/TAP.2017.2673764
[50]	SIMONYAN K and ZISSERMAN A. Very deep convolutional networks for large-scale image recognition[C]. 3rd International Conference on Learning Representations, San Diego, USA, 2014.
[51]	HE Kaiming, ZHANG Xiangyu, REN Shaoqing, et al. Deep residual learning for image recognition[C]. 2016 IEEE Conference on Computer Vision and Pattern Recognition, Las Vegas, USA, 2016: 770–778.
[52]	HUANG Gao, LIU Zhuang, VAN DER MAATEN L, et al. Densely connected convolutional networks[C]. 2017 IEEE Conference on Computer Vision and Pattern Recognition, Honolulu, USA, 2017: 2261–2269.
[53]	SZEGEDY C, LIU Wei, JIA Yangqing, et al. Going deeper with convolutions[C]. 2015 IEEE Conference on Computer Vision and Pattern Recognition, Boston, USA, 2015: 1–9.
[54]	SZEGEDY C, VANHOUCKE V, IOFFE S, et al. Rethinking the inception architecture for computer vision[C]. 2016 IEEE Conference on Computer Vision and Pattern Recognition, Las Vegas, USA, 2016: 2818–2826.
[55]	SANDLER M, HOWARD A, ZHU Menglong, et al. MobileNetV2: Inverted residuals and linear bottlenecks[C]. 2018 IEEE/CVF Conference on Computer Vision and Pattern Recognition, Salt Lake City, USA, 2018: 4510–4520.
[56]	KRIZHEVSKY A, SUTSKEVER I, and HINTON G E. ImageNet classification with deep convolutional neural networks[J]. Communications of the ACM, 2017, 60(6): 84–90. doi: 10.1145/3065386
[57]	SZEGEDY C, IOFFE S, VANHOUCKE V, et al. Inception-v4, inception-ResNet and the impact of residual connections on learning[C]. Thirty-First AAAI Conference on Artificial Intelligence, San Francisco, USA, 2017: 4278–4284.
[58]	SCHMITT M, HUGHES L H, and ZHU X X. The SEN1–2 dataset for deep learning in Sar-optical data fusion[J]. ISPRS Annals of the Photogrammetry, Remote Sensing and Spatial Information Sciences, 2018, 4: 141–146. doi: 10.5194/isprs-annals-IV-1-141-2018
[59]	HUANG Lanqing, LIU Bin, LI Boying, et al. OpenSARShip: A dataset dedicated to Sentinel-1 ship interpretation[J]. IEEE Journal of Selected Topics in Applied Earth Observations and Remote Sensing, 2018, 11(1): 195–208. doi: 10.1109/JSTARS.2017.2755672
[60]	ZHU Xiaoxiang, HU Jingliang, QIU Chunping, et al. So2Sat LCZ42: A benchmark data set for the classification of global local climate zones [Software and Data Sets][J]. IEEE Geoscience and Remote Sensing Magazine, 2020, 8(3): 76–89. doi: 10.1109/MGRS.2020.2964708
[61]	MALMGREN-HANSEN D, KUSK A, DALL J, et al. Improving SAR automatic target recognition models with transfer learning from simulated data[J]. IEEE Geoscience and remote sensing Letters, 2017, 14(9): 1484–1488. doi: 10.1109/LGRS.2017.2717486
[62]	MALMGREN-HANSEN D and NOBEL-JØRGENSEN M. Convolutional neural networks for SAR image segmentation[C]. 2015 IEEE International Symposium on Signal Processing and Information Technology (ISSPIT), Abu Dhabi, United Arab Emirates, 2015: 231–236.
[63]	YUAN Yijun, WAN Jinwei, and CHEN Bo. Robust attack on deep learning based radar HRRP target recognition[C]. 2019 Asia-Pacific Signal and Information Processing Association Annual Summit and Conference (APSIPA ASC), Lanzhou, China, 2019: 704–707.
[64]	万锦伟. 基于深度网络的HRRP目标识别与对抗攻击研究[D]. [博士论文], 西安电子科技大学, 2020. WAN Jinwei. Research on HRRP target recognition and adversarial attacks based on deep neural networks[D]. [Ph. D. dissertation], Xidian University, 2020.
[65]	HUANG Teng, CHEN Yongfeng, YAO Bingjian, et al. Adversarial attacks on deep-learning-based radar range profile target recognition[J]. Information Sciences, 2020, 531: 159–176. doi: 10.1016/j.ins.2020.03.066
[66]	DU Chuan, CONG Yulai, ZHANG Lei, et al. A practical deceptive jamming method based on vulnerable location awareness adversarial attack for radar HRRP target recognition[J]. IEEE Transactions on Information Forensics and Security, 2022, 17: 2410–2424. doi: 10.1109/TIFS.2022.3170275
[67]	GAO Fei, HUANG Teng, WANG Jun, et al. A novel multi-input bidirectional LSTM and HMM based approach for target recognition from multi-domain radar range profiles[J]. Electronics, 2019, 8(5): 535. doi: 10.3390/electronics8050535
[68]	YANG Yuzhe, ZHANG Guo, XU Zhi, et al. ME-Net: Towards effective adversarial robustness with matrix estimation[C]. 36th International Conference on Machine Learning, Long Beach, USA, 2019: 7025–7034.
[69]	WANG Yutong, ZHANG Wenwen, SHEN Tianyu, et al. Binary thresholding defense against adversarial attacks[J]. Neurocomputing, 2021, 445: 61–71. doi: 10.1016/j.neucom.2021.03.036
[70]	LeCun Y. The MNIST database of handwritten digits[EB/OL]. http://yann.lecun.com/exdb/mnist/, 1998.
[71]	MUSTAFA A, KHAN S H, HAYAT M, et al. Image super-resolution as a defense against adversarial attacks[J]. IEEE Transactions on Image Processing, 2020, 29: 1711–1724. doi: 10.1109/TIP.2019.2940533
[72]	AGARWAL A, SINGH R, VATSA M, et al. Image transformation-based defense against adversarial perturbation on deep learning models[J]. IEEE Transactions on Dependable and Secure Computing, 2021, 18(5): 2106–2121. doi: 10.1109/TDSC.2020.3027183
[73]	孙浩, 徐延杰, 陈进, 等. 基于自监督对比学习的深度神经网络对抗鲁棒性提升[J]. 信号处理, 2021, 37(6): 903–911. doi: 10.16798/j.issn.1003-0530.2021.06.001 SUN Hao, XU Yanjie, CHEN Jin, et al. Self-supervised contrastive learning for improving the adversarial robustness of deep neural networks[J]. Journal of Signal Processing, 2021, 37(6): 903–911. doi: 10.16798/j.issn.1003-0530.2021.06.001
[74]	XU Yanjie, SUN Hao, CHEN Jin, et al. Adversarial self-supervised learning for robust SAR target recognition[J]. Remote Sensing, 2021, 13(20): 4158. doi: 10.3390/rs13204158
[75]	SONG Chuanbiao, HE Kun, LIN Jiadong, et al. Robust local features for improving the generalization of adversarial training[C]. 8th International Conference on Learning Representations, Addis Ababa, Ethiopia, 2020.
[76]	ZHANG Hongyang, YU Yaodong, JIAO Jiantao, et al. Theoretically principled trade-off between robustness and accuracy[C]. 36th International Conference on Machine Learning, Long Beach, USA, 2019: 7472–7482.
[77]	INKAWHICH N, DAVIS E, MAJUMDER U, et al. Advanced techniques for robust SAR ATR: Mitigating noise and phase errors[C]. 2020 IEEE International Radar Conference (RADAR), Washington, USA, 2020: 844–849.
[78]	WAGNER S, PANATI C, and BRÜGGENWIRTH S. Fool the COOL-on the robustness of deep learning SAR ATR systems[C]. 2021 IEEE Radar Conference (RadarConf21), Atlanta, USA, 2021: 1–6.
[79]	LI Peng, HU Xiaowei, FENG Cunqian, et al. SAR-AD-BagNet: An interpretable model for SAR image recognition based on adversarial defense[J]. IEEE Geoscience and Remote Sensing Letters, 2023, 20: 4000505. doi: 10.1109/LGRS.2022.3230243
[80]	LI Peng, FENG Cunqian, HU Xiaowei, et al. SAR-BagNet: An ante-hoc interpretable recognition model based on deep network for SAR image[J]. Remote Sensing, 2022, 14(9): 2150. doi: 10.3390/rs14092150
[81]	HENDRYCKS D and GIMPEL K. Early methods for detecting adversarial images[C]. 5th International Conference on Learning Representations, Toulon, France, 2017.
[82]	FEINMAN R, CURTIN R R, SHINTRE S, et al. Detecting adversarial samples from artifacts[OL]. https://arxiv.org/abs/1703.00410.
[83]	MA Xingjun, LI Bo, WANG Yisen, et al. Characterizing adversarial subspaces using local intrinsic dimensionality[C]. 6th International Conference on Learning Representations, Vancouver, Canada, 2018.
[84]	LEE K, LEE K, LEE H, et al. A simple unified framework for detecting out-of-distribution samples and adversarial attacks[C]. 32nd International Conference on Neural Information Processing Systems, Montréal, Canada, 2018: 7167–7177.
[85]	ZHAO Chenxiao, FLETCHER P T, YU Mixue, et al. The adversarial attack and detection under the fisher information metric[C]. Thirty-Third AAAI Conference on Artificial Intelligence, Honolulu, USA, 2019: 5869–5876.
[86]	COHEN G, SAPIRO G, and GIRYES R. Detecting adversarial samples using influence functions and nearest neighbors[C]. 2020 IEEE/CVF Conference on Computer Vision and Pattern Recognition, Seattle, USA, 2020: 14441–14450.
[87]	ZHANG Zhiwei, LIU Shuowei, GAO Xunzhang, et al. An empirical study towards SAR adversarial examples[C]. 2022 International Conference on Image Processing, Computer Vision and Machine Learning (ICICML), Xi’an, China, 2022: 127–132.
[88]	ZHANG Zhiwei, LIU Shuowei, GAO Xunzhang, et al. Improving adversarial detection methods for SAR image via joint contrastive cross-entropy training[C]. 4th International Academic Exchange Conference on Science and Technology Innovation (IAECST), Guangzhou, China, 2022: 1107–1110.
[89]	ZHANG Zhiwei, GAO Xunzhang, LIU Shuowei, et al. Energy-based adversarial example detection for SAR images[J]. Remote Sensing, 2022, 14(20): 5168. doi: 10.3390/rs14205168
[90]	YANG Yi and NEWSAM S. Bag-of-visual-words and spatial extensions for land-use classification[C]. 18th SIGSPATIAL International Conference on Advances in Geographic Information Systems, San Jose, USA, 2010: 270–279.
[91]	MADRY A, MAKELOV A, SCHMIDT L, et al. Towards deep learning models resistant to adversarial attacks[C]. 6th International Conference on Learning Representations, Vancouver, Canada, 2018.
[92]	CHEN Jianbo, JORDAN M I, and WAINWRIGHT M J. HopSkipJumpAttack: A query-efficient decision-based attack[C]. 2020 IEEE Symposium on Security and Privacy (SP), San Francisco, USA, 2020: 1277–1294.
[93]	ANDRIUSHCHENKO M, CROCE F, FLAMMARION N, et al. Square attack: A query-efficient black-box adversarial attack via random search[C]. 16th European Conference on Computer Vision, Glasgow, UK, 2020: 484–501.
[94]	MODAS A, MOOSAVI-DEZFOOLI S M, and FROSSARD P. SparseFool: A few pixels make a big difference[C]. 2019 IEEE/CVF Conference on Computer Vision and Pattern Recognition, Long Beach, USA, 2019: 9079–9088.
[95]	YUAN Xuejing, CHEN Yuxuan, ZHAO Yue, et al. Commandersong: A systematic approach for practical adversarial voice recognition[C]. 27th USENIX Conference on Security Symposium, Baltimore, USA, 2018: 49–64.
[96]	DAS N, SHANBHOGUE M, CHEN S T, et al. ADAGIO: Interactive experimentation with adversarial attack and defense for audio[C]. Joint European Conference on Machine Learning and Knowledge Discovery in Databases, Dublin, Ireland, 2019: 677–681.
[97]	DOAN K, LAO Y, and LI P. Backdoor attack with imperceptible input and latent modification[J]. Advances in Neural Information Processing Systems, 2021, 34: 18944–18957.
[98]	BAGDASARYAN E and SHMATIKOV V. Blind backdoors in deep learning models[C]. 30th USENIX Security Symposium, 2021: 1505–1521.
[99]	DOAN K, LAO Yingjie, ZHAO Weijie, et al. LIRA: Learnable, imperceptible and robust backdoor attacks[C]. 2021 IEEE/CVF International Conference on Computer Vision (ICCV), Montreal, Canada, 2021: 11946–11956.
[100]	SAHA A, SUBRAMANYA A, and PIRSIAVASH H. Hidden trigger backdoor attacks[C]. 34th AAAI Conference on Artificial Intelligence, New York, USA, 2020: 11957–11965.
[101]	SHUMAILOV I, SHUMAYLOV Z, KAZHDAN D, et al. Manipulating SGD with data ordering attacks[C]. 34th International Conference on Neural Information Processing Systems, 2021: 18021–18032.
[102]	SOURI H, FOWL L, CHELLAPPA R, et al. Sleeper agent: Scalable hidden trigger backdoors for neural networks trained from scratch[J]. Advances in Neural Information Processing Systems, 2022, 35: 19165–19178.
[103]	DOAN B G, ABBASNEJAD E, and RANASINGHE D C. Februus: Input purification defense against Trojan attacks on deep neural network systems[C]. Annual Computer Security Applications Conference, Austin, USA, 2020: 897–912.
[104]	WANG Bolun, YAO Yuanshun, SHAN S, et al. Neural cleanse: Identifying and mitigating backdoor attacks in neural networks[C]. 2019 IEEE Symposium on Security and Privacy (SP), San Francisco, USA, 2019: 707–723.
[105]	GIRSHICK R. Fast r-CNN[C]. 2015 IEEE International Conference on Computer Vision, Santiago, Chile, 2015: 1440–1448.
[106]	REDMON J, DIVVALA S, GIRSHICK R, et al. You only look once: Unified, real-time object detection[C]. 2016 IEEE Conference on Computer Vision and Pattern Recognition, Las Vegas, USA, 2016: 779–788.
[107]	CHOW K H, LIU Ling, LOPER M, et al. Adversarial objectness gradient attacks in real-time object detection systems[C]. 2020 Second IEEE International Conference on Trust, Privacy and Security in Intelligent Systems and Applications (TPS-ISA), Atlanta, USA, 2020: 263–272.
[108]	WANG Yajie, LV Haoran, KUANG Xiaohui, et al. Towards a physical-world adversarial patch for blinding object detection models[J]. Information Sciences, 2021, 556: 459–471. doi: 10.1016/j.ins.2020.08.087
[109]	张磊, 陈晓晴, 郑熠宁, 等. 电磁超表面与信息超表面[J]. 电波科学学报, 2021, 36(6): 817–828. doi: 10.12265/j.cjors.2021218 ZHANG Lei, CHEN Xiaoqing, ZHENG Yining, et al. Electromagnetic metasurfaces and information metasurfaces[J]. Chinese Journal of Radio Science, 2021, 36(6): 817–828. doi: 10.12265/j.cjors.2021218

施引文献

期刊类型引用(7)

1.	宋永坤，晏天兴，张可，刘显，戴永鹏，金添. 基于点云时空特征的超宽带雷达轻量化人体行为识别方法. 雷达学报(中英文). 2025(01): 1-15 . 百度学术
2.	王秉路，靳杨，张磊，郑乐，周天飞. 基于多传感器融合的协同感知方法. 雷达学报. 2024(01): 87-96 . 本站查看
3.	陈小龙，何肖阳，邓振华，关键，杜晓林，薛伟，苏宁远，王金豪. 雷达微弱目标智能化处理技术与应用. 雷达学报. 2024(03): 501-524 . 本站查看
4.	翟相龙，王旋，王雁冰，王峰. 基于两阶段注意力层Transformer的弹道目标多站融合识别. 现代雷达. 2024(07): 37-44 . 百度学术
5.	但波，宋伟健，薛永华，卢中原. 基于Transformer的舰船高分辨距离像目标识别. 舰船电子工程. 2024(07): 25-28 . 百度学术
6.	郭文杰，吴振华，曹宜策，张强，张磊，杨利霞. 多域浅层特征引导下雷达有源干扰多模态对比识别方法. 雷达学报. 2024(05): 1004-1018 . 本站查看
7.	赵春雷，姚嘉嵘，李京效，戚张行，魏汇赞. 地基雷达空中目标识别方法研究综述. 空天预警研究学报. 2023(05): 313-320+334 . 百度学术