A look at adversarial attacks on radio waveforms from discrete latent space

要約

デジタル無線波形を個別の潜在スペースにマッピングするVQVAEを設計し、元のデータの完全に分類可能な再構築を生成すると、ここでは、高SNR無線蛍光（RF）データポイントで敵対的な攻撃が実行されたときにVQVAEの攻撃抑制特性を分析します。
デジタル変調された波形クラスのサブセットからの振幅変調をターゲットにするために、最初に、値が敵対的に変化した相と直前の成分の間の位相を維持する敵対的な攻撃を作成します。
位相が保存されていないのと同じ強度の敵対的な攻撃と比較します。
元のデータに100％の精度を提供するようにトレーニングされた分類器で、このような敵対例の分類精度をテストします。
VQVAEが攻撃の強さを抑制する能力を評価するために、敵対的なデータポイントのVQVAEによる再構築の分類器の精度を評価し、VQVAEが攻撃の有効性を大幅に低下させることを示します。
また、攻撃されたデータのI/Q平面図、それらの再構成、および元のデータを比較します。
最後に、複数の方法とメトリックを使用して、VQVAE潜在スペースの確率分布を攻撃の有無にかかわらず比較します。
攻撃強度を変えると、攻撃を検出するのに役立つかもしれない離散空間の興味深い特性が観察されます。

要約(オリジナル)

Having designed a VQVAE that maps digital radio waveforms into discrete latent space, and yields a perfectly classifiable reconstruction of the original data, we here analyze the attack suppressing properties of VQVAE when an adversarial attack is performed on high-SNR radio-frequency (RF) data-points. To target amplitude modulations from a subset of digitally modulated waveform classes, we first create adversarial attacks that preserve the phase between the in-phase and quadrature component whose values are adversarially changed. We compare them with adversarial attacks of the same intensity where phase is not preserved. We test the classification accuracy of such adversarial examples on a classifier trained to deliver 100% accuracy on the original data. To assess the ability of VQVAE to suppress the strength of the attack, we evaluate the classifier accuracy on the reconstructions by VQVAE of the adversarial datapoints and show that VQVAE substantially decreases the effectiveness of the attack. We also compare the I/Q plane diagram of the attacked data, their reconstructions and the original data. Finally, using multiple methods and metrics, we compare the probability distribution of the VQVAE latent space with and without attack. Varying the attack strength, we observe interesting properties of the discrete space, which may help detect the attacks.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google