30、无线定位中的对抗机器学习

无线定位中的对抗机器学习

1 对抗攻击概述

对抗样本是对原始输入进行修改后的版本，通过故意添加扰动来迷惑机器学习技术。生成对抗样本时，会向干净输入添加对抗扰动，这些扰动经过精心计算，利用模型对微小变化的敏感性，诱导模型做出错误预测。

设 $x_i$ 表示输入数据（如 CSI 张量），$y$ 表示输出（如对象坐标），DNN 模型表示为 $F_θ$，其中 $θ$ 是模型的固定参数，损失函数表示为 $L$。攻击者的目标是通过最大化损失函数来降低 DNN 模型的性能，优化问题如下：
[η = \arg\max_η L(F_{θ^ }(x_i + η), F_{θ^ }(x_i))]
需要注意的是，在这种情况下，模型训练完成后不能调整参数 $θ^*$，这与后门攻击不同，后门攻击可以修改模型参数以植入后门。

1.1 攻击类型

• 白盒攻击 ：攻击者对目标模型有全面了解，包括模型架构、参数（如权重和偏置）、训练方法以及训练数据集。凭借这些信息，攻击者可以构建出非常有效的对抗样本，轻易欺骗模型。
• 黑盒攻击 ：攻击者对目标模型的架构和参数一无所知，只能访问模型的输入和输出。由于模型的内部工作机制对攻击者来说是“黑盒”，难以获取，因此创建有效的对抗样本更具挑战性。

1.2 对抗训练

对抗训练是一种广泛使用的防御技术，用于提高机器学习模型对对抗攻击的鲁棒性。其核心思想是在训练阶段加入对抗样本，增强训练过程。这样，模型能够学习并适应这些扰动，提高对未来攻击的抵御能力。 </