Adversarial Machine Learning in Wireless Communications - Basics and two examples
Publiceringsdatum: 2023-01-12
Rapportnummer: FOI-R--5427--SE
Sidor: 30
Skriven på: Engelska
Forskningsområde:
- Ledningsteknologi
Nyckelord:
- AI
- maskininlärning
- AML
- trådlös kommunikation
Sammanfattning
Maskininlärning (ML) har introducerats i kommersiella standarder och system för trådlös kommunikation och användandet av ML för kommunikation förväntas öka i framtiden. Dock finns fortfarande många utmaningar för att göra det robust och pålitligt. ML-algoritmer är kända för att vara sårbara mot attacker från motståndare (eng. adversarial attacks). En sådan attack är en skapad mängd indata till en ML-algoritm med syfte att få algoritmen att ge felaktiga utdata. En attack kan riktas mot en MLalgoritm som nyttjas av ett kommunikationssystem, men kan också utnyttjas av ett kommunikationssystem, till exempel för att undvika signalklassificering. Begreppet adversarial ML (AML) avser attacker mot ML-modeller och åtgärder för att motverka sådana attacker. Målet med denna rapport är att presentera en översikt över olika aspekter av AML i trådlös kommunikation samt att bygga fördjupad kunskap om två utvalda exempel på AML i telekommunikation. Det finns ett stort antal olika typer av attacker mot ML-baserade modeller och flertalet motmedel som är effektiva mot några av dessa attacker. Dock är nästan alla motmedel effektiva endast mot vissa attacker och försvarar inte mot andra starka eller tidigare osedda attacker. Ett exempel på att utnyttja attacker mot ML-baserad signalklassificering, för att undvika klassificering eller upptäckt, studeras i denna rapport. Attacken, som riktas mot en modulationsklassificerare, utförs i sändaren genom att addera en liten avvikelse till den modulerade kommunikationssignalen innan den skickas. Detta koncept, att medvetet addera en avvikelse till den egna kommunikationssignalen, är ett exempel på LPI/LPD-kommunikation. Attacken påverkar inte bara klassificeringsnoggrannheten, utan ökar också bitfelshalten hos den avsedda kommunikationsmottagaren. Genom att träna ett motattacknät på attacken kan bitfelshalten minskas. Detta ger sändaren en möjlighet att addera en liten avvikelse till kommunikationssignalen i syfte att lura modulationsklassificeraren samtidigt som den kan kommunicera till den avsedda mottagaren. Framtida utökningar av denna studie inkluderar modellering av kanalen mellan sändare och mottagare och utvärdering av ytterligare neurala nät-arkitekturer och typer av attacker. En annan viktig aspekt är att studera hur frekvensspektrumet påverkas samt tekniker för att uppnå önskade spektrala egenskaper. En studie av ett end-to-end-lärande system visar att önskad robusthet mot attacker inte alltid uppnås. Detta arbete visar att konventionell BPSK-modulation och Hamming (7,4)-kod med mjuk avkodning presterar bättre än den studerade generative adversarial network (GAN)-modellen. Därmed håller inte den tidigare rapporterade slutsatsen att GAN-modellen är bättre än det konventionella systemet, och utvecklingen av bättre presterande ML-modeller bör fortsätta.