论文速览 | IEEE INFOCOM 2023 | Universal Targeted Adversarial Attacks Against mmWave-based Human Activit

论文速览 | IEEE INFOCOM 2023 | Universal Targeted Adversarial Attacks Against mmWave-based Human Activity Recognition | 针对毫米波人体活动识别系统的通用目标对抗性攻击

1 引言

在当今智能化、物联网化的时代，人体活动识别(Human Activity Recognition, HAR) 技术已经成为了人机交互、健康监测、用户认证等众多应用的基石。随着技术的发展，基于毫米波(mmWave) 的HAR系统因其高分辨率和良好的隐私保护能力而备受青睐。然而，就像一枚硬币的两面，技术的进步往往伴随着新的安全挑战。

本文通过设计巧妙的对抗性攻击(Adversarial Attacks) ，揭示了毫米波HAR系统潜在的安全漏洞，为未来系统的安全性改进指明了方向。

2 动机

在深入探讨论文内容之前，我们不妨先思考一个问题：为什么要研究对毫米波HAR系统的对抗性攻击？这就像是一个"白帽黑客"的思维模式：通过模拟可能的攻击，来发现系统的潜在漏洞，从而在实际应用中提前做好防范。

论文的主要动机可以概括为以下几点：

现有研究的局限性 ：目前对毫米波HAR系统的对抗性攻击研究主要集中在非目标攻击上，而且通常只针对特定的HAR模型。这就像是只研究了城墙的一个缺口，而忽视了整体防御体系。

目标攻击的重要性 ：相比于简单的误分类，目标攻击能够引导系统产生指定的错误输出，这在某些场景下可能会造成更严重的后果。就像是把"打开保险箱"误识别为"喝水"和误识别为"输入密码"，后者显然更具潜在危险性。

通用性扰动的效率 ：针对每个样本单独设计扰动在实际攻击中效率低下。设计通用的扰动，就像是制作了一把"万能钥匙"，能够大大提高攻击的效率。

黑盒攻击的现实意义 ：在实际场景中，攻击者往往无法获取目标模型的完整信息。研究黑盒攻击能够更好地模拟真实世界的攻击场景。

系统安全性的提升 ：通过研究这些攻击方法，我们可以更好地了解系统的弱点，从而设计出更加鲁棒的HAR系统。

3 方法

论文提出了一系列创新的方法来实现对毫米波HAR系统的对抗性攻击。这些方法就像是一位熟练的魔术师，通过巧妙的"障眼法"来欺骗观众的眼睛。让我们一起来解析这些"魔术技巧"：

3.1 对抗性样本生成

对抗性样本的生成是整个攻击的核心。这个过程可以形象地比喻为"化妆"：我们要给原始样本添加一些"妆容"（扰动），使其看起来还是原来的样子，但却能够欺骗HAR系统。

具体来说，对抗性样本的生成可以表示为以下优化问题：

\text{minimize } D(x, x + \delta), \text{ such that } f(x + \delta) = z

其中，x是原始样本，\delta是添加的扰动，f是HAR模型，z是目标类别，D是衡量扰动大小的距离度量。

为了更好地解决这个优化问题，作者将其重新表述为：

\text{minimize } L(x + \delta) + \lambda * D(x, x + \delta)

这里，L代表对抗性损失，用于衡量攻击的成功率；D代表扰动损失，用于限制扰动的大小；\lambda是平衡两者的权重。

3.2 针对毫米波数据的优化

毫米波数据有其独特的特性，因此需要一些特殊的处理：

裁剪(Clipping) ：确保生成的对抗性样本在有效范围内。就像是给"化妆"设定了一个界限，不能化得太夸张。

离散化(Discretization) ：由于毫米波数据通常是离散的，我们需要将连续的扰动转换为离散值。这就像是将连续的色彩调整为有限的色阶。

自然样式优化 ：通过最小化扰动内部元素的欧几里得距离和扰动与原始样本之间的Chamfer距离，使得生成的对抗性样本更加自然。这就像是让"化妆"后的效果更加自然，不易被察觉。

3.3 通用扰动生成

为了提高攻击的效率，作者提出了一种生成通用扰动的方法。这就像是制作了一个"万能变声器"，可以适用于不同的声音输入。

具体算法如下：

1. 初始化扰动\delta为0
2. 随机选择一个训练样本\Omega_j
3. 如果当前扰动能成功攻击\Omega_j，则继续
4. 否则，计算额外需要的扰动\Delta\delta_j
5. 更新扰动：\delta \leftarrow \delta + \Delta\delta_j
6. 重复步骤2-5，直到在训练集上达到预定的成功率
   

3.4 黑盒攻击

在黑盒场景下，攻击者无法直接访问目标模型。为了解决这个问题，作者提出了两个创新方法：

知识蒸馏(Knowledge Distillation, KD) ：通过KD训练一个替代模型，以模仿目标模型的行为。这就像是通过观察魔术师的表演来学习魔术技巧。

生成对抗网络(Generative Adversarial Network, GAN) ：当只能获取部分训练数据时，使用GAN生成更多的伪样本。这就像是通过有限的线索，推理出整个魔术的原理。

4 实验和结果

论文在两个典型的毫米波HAR数据集上进行了大量实验，结果令人瞩目：

样本特定攻击 ：

 * 非目标攻击：在两个数据集上均达到接近100%的攻击成功率。
 * 目标攻击：平均成功率达96%。  

通用攻击 ：

 * 体素数据集：平均成功率90%。
 * 热图数据集：平均成功率94%。  

扰动大小 ：

 * 体素数据集：L2范数大多数低于30。
 * 热图数据集：L2范数大多数低于6000。

4. 黑盒攻击 ：
   • 基本黑盒设置：当置信度参数k=40时，非目标、目标和通用攻击的成功率分别超过80%、80%和75%。
   • 部分数据可用设置：使用GAN-KD方法，仅利用20%的原始训练数据，非目标攻击成功率达到76.5%。

这些结果就像是魔术师成功地欺骗了观众的眼睛，展示了所提出方法的有效性和实用性。

5 不足和未来展望

尽管本文提出的方法取得了显著的成果，但仍然存在一些值得进一步研究的方向：

防御机制研究 ：本文主要关注攻击方法，未来可以深入研究如何防御这些攻击，提高系统的鲁棒性。

更多场景测试 ：当前的实验主要集中在健身活动识别上，未来可以扩展到更多的应用场景，如老年人跌倒检测、安全监控等。

实时攻击研究 ：目前的方法主要针对离线生成的对抗性样本，未来可以探索如何在实时系统中实施攻击。

多模态融合 ：很多实际系统可能结合了多种传感器数据，研究如何在多模态系统中实现对抗性攻击是一个有趣的方向。

伦理和法律问题 ：随着这类研究的深入，可能需要探讨相关的伦理和法律问题，以确保技术的负责任使用。

6 总结

本文如同一位"白帽黑客"，通过设计巧妙的对抗性攻击，揭示了毫米波HAR系统潜在的安全漏洞。主要贡献可以总结为：

1. 首次系统地研究了针对毫米波HAR系统的目标对抗性攻击。
2. 提出了适用于不同数据表示（体素和热图）的通用攻击方法。
3. 设计了高效的通用扰动生成算法，提高了攻击的实用性。
4. 探索了黑盒攻击场景，提出了基于知识蒸馏和GAN的解决方案。
5. 通过大量实验验证了所提方法的有效性，平均攻击成功率超过90%。

这项研究就像是为毫米波HAR系统打了一剂"疫苗"，通过揭示潜在的安全风险，为未来设计更加安全、鲁棒的系统指明了方向。正如一位智者所说：“知己知彼，百战不殆”，只有充分认识到系统的弱点，我们才能构建更加坚固的防御体系。