抵御对抗样本攻击的指纹室内定位方法

2022-11-30张学军鲍俊达何福存盖继扬田丰黄海燕

北京航空航天大学学报 2022年11期

张学军,鲍俊达,何福存,盖继扬,田丰,黄海燕

(1.兰州交通大学电子与信息工程学院,兰州 730070; 2.陕西师范大学计算机科学学院,西安 710062)

随着物联网和无线通信技术的蓬勃发展,室内位置服务已成为大众生活中不可或缺的一部分,如室内导航、健康感知、活动识别、灾害管理与救援等[1]。目前,众多室内定位技术利用无线局域网的相关特征来进行定位,常用的技术有WiFi[2]、蓝牙[3]、红外线[4]和超声设备[5]等。Bahl和Padmanabhan[6]提出了一种基于无线射频信号的用户定位与跟踪系统RADAR,能够为用户提供高精度的室内定位服务。然而,室内环境的复杂性(如物体遮挡、人员流动和电子设备干扰等)导致射频信号无法覆盖全区域,很难向所有用户提供同等质量的定位服务。得益于基础设施成熟、易部署、低成本和低功耗等优势,基于接收信号强度(received signal strength,RSS)的指纹室内定位技术成为主流[1-2],其核心是发现指纹信号强度和位置之间的映射关系。但是,基于RSS的指纹室内定位技术易受室内多径效应、衍射等影响,仅能提供6～8m的定位精度。深度学习(deep learning,DL)利用其强大的特征抽取和分类能力有效获取指纹信号强度和位置之间的映射关系,克服指纹定位受室内环境影响而性能下降的缺陷,在指纹室内定位技术中得到了广泛应用[7-8]。

基于深度学习的RSS指纹室内定位方法使用包含定位终端和定位云服务器的云架构来实现室内定位[9]。Hsieh等[7]提出了基于RSS指纹数据和信道状态信息(channel state information,CSI)的深度学习室内定位方法,将一个矩形室内房间平面划分成若干区域,每个子区域都被视为一个类,从而将室内定位服务形式化为一个深度学习分类问题,并使用多层感知机(multi-layer perception,MLP)和卷积神经网络(convolutional neural network,CNN)估计用户在房间中的位置,该方法在保证网络规模轻量化的同时取得了较好的定位性能。Wang等[8]提出了一个基于深度卷积神经网络(deep convolutional neural networks,DCNN)的商用5GHz WiFi室内定位方法CiFi,先利用5G WiFi的CSI相位差数据估计到达角,并用到达角构建了16个大小为60×60的图像,再将这16个图像输入DCNN来训练离线阶段的权重,大大提高了室内定位模型的性能。但是,云作为一个不可信的实体,可能会获知深度学习模型的相关参数,生成最优的对抗性噪声,并将其添加至用户提交的RSS指纹数据中,导致深度学习分类模型返回错误的定位服务,使得定位系统服务质量下降,甚至失效。例如,Patil等[10]分别通过快速梯度符号攻击、投影梯度下降攻击和动量迭代攻击对构建的室内定位深度学习模型进行主动攻击,验证了对抗样本攻击极大地降低了楼层分类和室内定位预测的性能,但没有给出防御方法。

目前,在计算机视觉、网络流量分析等领域,学者们针对对抗样本攻击提出了对抗训练、防御蒸馏、对抗样本检测及强化网络等防御方法[11],但缺乏专门针对室内定位领域的防御方法。刘西蒙等[12]对深度学习中的代表性对抗攻击及典型的防御策略进行了详细分析和总结,指出目前该领域仍没有一个能有效抵御对抗样本攻击的防御策略。王滨等[13]针对CNN网络流量分类器遭受对抗样本攻击的问题,提出了一种批次对抗训练的方法,利用训练过程反向传播误差的特点,在一次反向传播过程中同时完成样本梯度和参数梯度的计算,抵御白盒攻击的同时提高了训练效率。Xie等[14]提出在模型前向传播时利用随机化来抵御对抗样本攻击,如采用随机调整和随机填充等,取得了一定的防御效果。Liu等[15]结合模型融合与随机化提出了随机自组装(random selfensemble,RSE)的防御方法,在神经网络模型中加入随机噪声层,并将多个随机噪声的预测结果融合在一起来增强模型鲁棒性。基于RSE防御方法,Lecuyer等[16]提出了基于差分隐私(differential privacy,DP)的隐藏式安全防御机制PixelDP,该机制在深度神经网络模型中加入满足DP的噪声层,随机化网络的计算结果,使对抗样本中满足l范式的扰动对模型输出的影响保持在DP稳定输出期望界限范围内。虽然上述方法能在一定程度上防御对抗样本攻击,但是其在面对数据特征单一、高维的RSS指纹室内定位数据时,容易出现过拟合、学习能力低等问题,导致定位模型在实时定位阶段的泛化能力和鲁棒性差,难以向用户提供可靠、稳定的定位服务。

针对以上问题,本文提出了一种抵御对抗样本攻击的基于深度学习的RSS指纹室内定位方法(deep learning based fingerprint indoor localization method against adversarial samples attack,AdvILoc)。AdvILoc通过DP技术,在室内定位深度学习网络中加入满足ε-DP的噪声层,随机化模型泛化的计算结果,为用户提供满足ε-DP且经过鲁棒性认证的室内定位服务。同时,通过在全连接层后添加Dropout层,随机失活全连接层中部分神经元,削弱神经元节点间的联合适应性,在训练过程中正则化模型损失参数,避免模型过拟合、学习能力低等问题,提高了模型鲁棒性。实验验证了在实时定位阶段,AdvILoc在抵御对抗样本攻击的同时,仍能为用户提供高效的室内定位服务。

1 预备知识

1.1 对抗样本攻击

对抗样本攻击[17]是针对机器学习模型的一类主动攻击,通过故意在输入数据中添加人类肉眼无法察觉的扰动生成输入数据对抗样本,使模型以高置信度输出一个错误的分类结果。

C＆W攻击[18]是对抗样本攻击中最常用的对抗样本生成算法。针对室内定位深度学习模型,该算法通过求解最优化算式(1)生成对抗样本攻击。

式中:x为原始RSS指纹数据(灰度图见图1(a));x′为对应x生成的RSS指纹数据对抗样本(灰度图见图1(b));y为正确标签;y′为目标标签;C为训练好的室内定位CNN分类器。

图1 RSS指纹数据x与其经过C＆W攻击生成的对抗样本x′的灰度图及其直方图Fig.1 Grayscale and histogram of RSS fingerprint data x and its’samples x′generated by C＆W attack

式(1)表明,恶意攻击者依据C的相关参数,利用原始RSS指纹数据x生成其对抗样本x′,同时能确保x′与x之间存在难以察觉的细微扰动,但经过C的泛化可得到不同的定位结果y′与y。显然,在图1(a)、(b)中,无法用肉眼看出x′与x之间的差别。为此,图1(c)、(d)给出了x与x′的图像直方图来观察其差异性,可以看出,x和经过C＆W生成的对抗样本x′的数据分布明显不同,将x′与x输入C中会得到不同的分类结果,后续实验结果也验证了2张RSS指纹数据灰度图像经模型泛化后得到了不同的定位结果。

1.2 鲁棒性

如果一个多分类深度学习模型f:Rn→κ的预测结果对部署中可能遇到的一些看似合理输入的细微变化均不敏感,则认为该模型对对抗样本攻击具有鲁棒性[16]。

按照文献[16],将输入x映射到y的函数表示为Q,称其为评分函数;将给出输入x最终预测的函数表示为f,称其为预测过程。

定义1鲁棒性。给定输入x,假设对∀α∈Bp(L),如果f(x)=f(x+α),则称多分类模型f对输入x上大小为L的p-范数攻击不敏感或鲁棒,这等价于:

1.3 差分隐私

DP[19]是Dwork和Roth针对统计数据库的隐私泄露问题提出的一种隐私保护技术。DP是指为了防止数据库的计算输出中单个敏感记录的信息泄露,将随机性引入数据库计算中,确保2个相邻数据库的查询输出之间相差不大,从而隐藏个别记录的敏感信息。

定义2ε-DP。设有一个随机算法A,O是A的所有可能输出构成的集合,D和D′为任意2个相邻数据集,且ρ(D,D′)≤1。对S∈O,如果随机算法A满足ε-DP,则

式中:ε为隐私预算;ρ为海明度量,即计算2个数据库中不同条目的个数;P(·)为概率分布。

ε-DP有2个关键属性:

1)后处理属性。满足ε-DP的计算输出,其后续的任何计算同样满足ε-DP。

2)输出期望稳定属性。满足ε-DP算法的有界输出期望对输入的微小变化不敏感。

定义3输出期望稳定界限[16]。假设一个输出界限为A(x)∈[0,b],b∈R+的随机算法A满足ε-DP,则算法A输出的期望值满足:

2 AdvILoc方法设计

2.1 系统架构

针对恶意攻击者利用指纹室内定位深度学习模型参数生成的对抗样本对定位模型进行干扰,极大程度改变了模型的分类结果,导致室内定位的服务质量下降甚至失效。AdvILoc综合考虑云服务器的不可信及室内定位环境的复杂性等因素,结合RSS指纹数据单一且高维的特征,运用隐藏式安全保护机制,通过在离线训练阶段向指纹室内定位深度学习模型中添加满足ε-DP噪声层,以确保模型的输出处于输出期望稳定界限范围内,使模型具有高鲁棒性,实现抵御对抗样本攻击。系统架构如图2所示。

图2 抵御对抗样本攻击室内定位系统架构Fig.2 Architecture of indoor localization system against adversarial sample attack

系统架构分为终端设备层和云服务器层。基于深度学习的RSS指纹室内定位方法分为离线训练和在线定位2个阶段。在离线训练阶段,终端用户为了使用室内定位服务,自愿将个人的RSS指纹数据上传至云服务器。云服务器接收到RSS指纹数据后,进行定位模型训练。在线定位阶段,云服务器使用训练好的模型为用户提供高效、可信的定位服务。

1)终端设备层。用户拥有智能终端设备(如智能手机、平板、智能监控设备等)。每个终端设备都具有计算和通信模块,用于从室内区域(如大型购物中心、地下停车场、展览厅等)的多个无线传感器信标(如WiFi、蓝牙等)收集RSS指纹数据。在线定位和离线训练阶段,用户将收集的RSS指纹数据集用皮尔逊相关系数[20](Pearson correlation coefficient,PCC)剔除弱相关的访问点(access point,AP),并将其转换为灰度图后发送给云服务器。

2)云服务器层。作为控制中心,其具有强大的存储和计算能力。离线训练阶段,其负责接收用户终端设备层上传的RSS指纹灰度图像,训练并保存抵御对抗样本攻击的指纹室内定位深度学习模型;在线定位阶段,云服务器为用户提供可抵御对抗样本攻击的高质量室内定位服务。

2.2 定位模型

文献[16]提出了一种抵御对抗样本攻击的图像分类CNN网络(见图3),但其在面对特征单一、高维的RSS指纹数据时,存在过拟合和学习能力低等问题。

为此,AdvILoc在借鉴图3网络结构的基础上,对网络架构和模型进行了优化,设计了一个能抵御对抗样本攻击的指纹室内定位CNN模型RssDP,如图4所示。

图3 抵御对抗样本攻击的卷积神经网络结构[16]Fig.3 Framework of CNN against adversarial samples attack[16]

图4 抵御对抗样本攻击的指纹室内定位深度学习模型Fig.4 Indoor localization DL model against adversarial sample attacks

相较于图3中的CNN网络,RssDP通过添加1个池化层和1个全连接层,并将噪声层放置在第1个全连接层之后来优化网络结构。其中,池化层主要对卷积层提取的特征进行压缩;全连接层则将压缩后的特征映射到目标结果;由于对抗样本攻击主要是在深度学习过程中对模型进行干扰,将噪声层调至第1个全连接层之后,定位模型抵御对抗样本攻击的效果会更好。在模型优化方面,为了提高RssDP模型的泛化能力,AdvILoc通过添加Dropout层与模型参数正则化措施对RssDP进一步优化。其中,Dropout层可随机将一定比例的神经元失活,降低模型对部分神经元的依赖,再通过正则化模型损失函数,不断优化模型参数,提升模型鲁棒性。因此,RssDP不仅提升了模型鲁棒性,而且解决了模型过拟合和泛化能力低的问题。

2.2.1 噪声层

推论1g(·)的敏感度。给定输入和输出的一些距离指标(分别为p-范数、1-范数),g(·)的敏感度Δp,1定义为输入变化产生的输出的最大变化,表示为

式中:x为原始RSS指纹数据;x′为x生成的对抗样本。

因为对抗样本攻击源于对CNN的概率评分函数Q(x)=(y1(x),y2(x),…,yK(x))的干扰,而对抗样本的脆弱性源于Q(x)对输入p-范数变化的无限敏感性,所以通过在第1个全连接层的计算结果上添加满足ε-DP的噪声,随机化计算结果。根据ε-DP的后处理属性,通过添加噪声将Q(x)转换为满足ε-DP随机概率评分函数,使模型输出期望针对输入中的细微扰动满足有界不敏感性,则基于RssDP构建的指纹室内定位深度学习模型可抵御对抗样本攻击,本文定义为ε-RssDP。

2.2.2 模型优化

为提高ε-RssDP的鲁棒性和泛化能力,防止模型发生过拟合,AdvILoc从2个方面对RssDP网络进行了优化,即添加Dropout层和使用模型参数正则化。

1)Dropout层优化。AdvILoc通过在模型网络的第1个全连接层和第2个全连接层后添加Dropout层,使25%的神经元失活,以降低模型对部分神经元的依赖,防止模型发生过拟合,提高模型鲁棒性。

2)模型参数正则化优化。AdvILoc通过正则化CNN网络的交叉熵损失函数[16],不断优化模型参数,提高模型泛化能力,即

通过网络优化,AdvILoc提高了ε-RssDP的鲁棒性和泛化能力,防止模型发生过拟合现象。2.2.3 在线定位算法

1)终端设备层。用户U在请求定位服务时,先将自己实时获取的RSS指纹数据x根据PCC值剔除弱相关的AP点,并转换为图像数据集,再发送给云服务器。

2)云服务器层。将接收到用户U的服务请求输入到已训练好的model(·)中,实时为用户提供定位服务。其中,model(·)为存储到云服务器上抵御对抗样本攻击的室内定位深度学习模型,为用户提交的服务请求,Stype为提供给用户U的定位服务反馈。具体描述如下。

算法1抵御对抗样本攻击的室内定位方法。

输入:x、Δ、L、ε。

输出:Stype。

步骤1根据PCC值剔除x中弱相关的AP点,并将其转换为图像数据集。

步骤2将上传至云服务器。

步骤3云服务器接收。

步骤4Stype←model()//模型预测。模型噪声层的前一隐藏层的输出结果g(x)经过满足ε-DP且大小为noise(Δ,L,ε)的噪声层后,输出期望稳定界限内的定位结果Stype。

步骤5发送Stype至终端设备层。

3 安全性分析

本节使用DP技术与鲁棒性条件对AdvILoc进行安全性分析。

ε-DP为指纹室内定位深度学习模型提供鲁棒性认证的前提是建立满足ε-DP的概率评分函数。首先,在给定输入样本的情况下,输入特征值(RSS指纹数据)的模型预测同样满足ε-DP。然后,结合定义3与定义1,为模型提供严格的鲁棒性证明。

定理1AdvILoc能够提供经过严格鲁棒性认证的ε-DP保护。

结合定义1,针对RSS指纹数据的对抗样本,ε-RssDP满足认证鲁棒性。

假设遵循p-范数指标的随机算法A(x)满足ε-DP,则

定义x′:=x+α,且根据式(7)得

结合式(7)得

故得出

因此,AdvILoc能够提供经过严格鲁棒性认证的ε-DP保护,即攻击者无法通过对抗样本对模型的输出结果产生影响,保证了模型的有效性和高质量的室内定位服务。证毕

4 实验结果与分析

4.1 实验配置

实验采用TensorFlow库来构建室内定位深度学习模型,并选择SGDM优化器作为模型的优化方法。SGDM算法解决了梯度下降不稳定、易陷入鞍点的缺点,并可以加快训练速度,减小震荡。迭代次数为5000批次,每批次大小为128。硬件环境为:Inter(R)Core(TM)i7-10750H CPU@2.20GHz,NVIDIA GeForce GTX1660Ti显卡,16GB RAM,6GB显存。

4.2 数据集及预处理

实验采用Mall[21]和UJIIndoorLoc[22]2个RSS指纹数据集来验证AdvILoc的有效性。

1)Mall数据集。采自一个31.8m×14.95m的购物中心区域,整个区域被划分为10个子区域。在所有位置采集点附近共部署了22个BLE信标,可以稳定检测到来自35个WiFi AP的信号。Mall数据集包含7000个有效样本,每个样本都包含一个区域ID和57维RSS特征(22维蓝牙特征和35维WiFi特征)。

2)UJIIndoorLoc数据集。采自University Jaume I的一个390m×270m区域的4层建筑,该数据集包含19937个训练样本和1111个测试样本,每个样本包含一个楼层ID和520维的WiFi RSS指纹数据。

基于深度学习的RSS指纹室内定位方法的核心是发现指纹数据与位置点之间的映射关系。实际中,靠近用户终端设备位置采集的AP信号较强,相反,远离终端设备位置采集的AP信号较弱,甚至不可用[23],因此需要对RSS数据进行预处理。针对2个RSS指纹数据集,通过计算位置点与RSS信号强度的PCC值来剔除弱相关甚至不可用的AP,再将其转换成灰度图像。具体数据预处理步骤如下:

步骤1将室内区域分为N个均匀小区域,即LN=[l1,l2,…,lN];用户在室内区域通过终端设备接收的M条RSS指纹信息表示为RM=[r1,r2,…,rM],rj=[r1,r2,…,rm,li](1≤j≤M)表示用户在区域li中m个AP收集到的第j条RSS指纹数据;室内区域中K个AP的RSS指纹信息表示为WK,即WK=[w1,w2,…,wK]。

从图5中可以看出,Mall数据集转化为灰度图像最主要的一个步骤是剔除弱相关的AP,提高RSS指纹数据的可用性。利用HP[24]将RSS指纹数据重构为灰度图像,可以使数据更加适用于深度学习训练,提高模型对RSS指纹数据特征的学习能力,进而提高模型的泛化能力。

图5 Mall数据集预处理Fig.5 Preprocessing of Mall datasets

4.3 评价指标

采用模型性能、定位准确率和认证准确率3个指标来评估ε-RssDP的性能。准确率表示定位模型预测正确的比例,用于评估CNN的性能;认证准确率表示经过鲁棒性认证且预测正确的样本个数占总样本个数的比率,用于评估认证防御模型的性能[25-27]。

1)模型性能。室内定位深度学习模型的训练精度Precision与训练损失Loss。

2)定位准确率。

式中:n为测试集大小;iscorrect(xi)表示对测试样本xi的预测的判断函数,如果xi的预测判断为正确标签,则返回1,否则返回0。

步骤3计算每一个R和c的哈达玛乘积(HP)[24],并将每一个1×K的HP矩阵HPi重塑为m×m的RSS指纹灰度图像。

图5给出了Mall数据集重构为灰度图像的具体过程。

式中:robustsize(scores,ε,L)函数返回经过认证的鲁棒性大小;scores为xi经过模型后得到的概率预测分数;鲁棒性阈值T为模型在C＆W攻击下取得最小精度时的攻击大小。将返回值与鲁棒性阈值T进行比较,大于T返回1,小于T返回0,再与iscorrect(xi)返回值取交集,若均为1,则返回1,若不相同,则返回0。

4.4 实验及结果分析

4.4.1 隐私预算ε对定位模型的影响

为了测试隐私预算ε对定位模型的影响,在UJIIndoorLoc数据集及Mall数据集上分别进行对比实验。训练集与测试集按7∶3划分。实验中,设定L=1.0,ε取值为[0.1,1.0],实验结果如图6所示。

图6(a)、(b)给出了2个数据集上不同ε对定位模型性能的影响。可以看出,在UJIIndoorLoc数据集和Mall数据集上,随着模型训练迭代次数的不断增加,模型训练精度均逐步上升,并且不同的ε导致模型训练精度曲线上升幅度不一致。这是因为σ=2Δp,1L/ε,当L一定时,ε越大σ的值越小,即添加噪声越少,对模型性能的影响越小,同理ε越小,对模型性能的影响越大。另外,在Mall数据集上,当ε≥0.5时,随着迭代次数的增加,模型训练精度曲线有明显的上升幅度,且当ε=1.0时,模型训练精度达到最大值65%。在UJIIndoorLoc数据集上存在近似的结果,且当ε=1.0时,模型训练精度达到最大值99.2%,因此当ε=1.0时,在2个数据集上模型性能均可达到最佳。另外,图6(a)与图6(b)中的模型训练精度曲线存在明显的差异,这是因为UJIIndoorLoc数据集在规模与特征维数上均远大于Mall数据集,更多的样本特征为模型训练提供了从输入到输出的更优确定性映射关系,进而获得了性能更优的定位模型。

图6 不同隐私预算ε对模型性能的影响Fig.6 Effects of different privacy budgets ε on model performance

表1给出了2个数据集下,随着ε的不断增大,噪声尺度σ及模型认证准确率CA的变化情况。可以看出,随着ε的不断增大,σ不断减小,模型认证准确率CA逐步增大。在Mall数据集上,随着ε的不断增大,模型的认证准确率CA呈逐步上升的趋势,ε=1.0时模型的认证准确率CA达到最大。在UJIIndoorLoc数据集上,当ε≥0.4时,模型的认证准确率CA均处于73%左右,故不同ε构建的模型鲁棒性相近。结合图6,当ε=1.0时模型训练精度达到最大,故ε=1.0时构建的定位模型鲁棒性最优。

表1 不同隐私预算ε下室内定位模型的认证准确率Table1 Certified accuracy of indoor localization model under different privacy budgets ε

图7(a)、(b)给出了在2个数据集上,C＆W攻击下不同隐私预算ε对模型定位准确率ACC的影响。可以看出,ε=0.1和ε=0.2时的模型定位准确率ACC没有明显下降,即模型抵御对抗样本的能力较强,但是模型的定位准确率ACC仅有10%,存在模型失效的问题。同时,在UJIIndoorLoc数据集上明显表现出,当ε≥0.4时,C＆W攻击下不同ε对应的模型定位准确率ACC下降趋势近似且都比较平缓,在Mall数据集上,当ε=1.0时,模型定位准确率ACC下降最为平缓。这说明模型抵御对抗样本攻击的效果较好。

图7 C＆W攻击下不同隐私预算ε对模型定位准确率的影响Fig.7 Effection of different privacy budgets ε on model localization accuracy under C＆W attack

ε=1.0时,模型认证准确率CA及定位准确率ACC均可达到最优,且为了保证L与攻击大小Lattack之间的关联性,确保ε对L的影响最小,故选取ε=1.0为后续实验的隐私预算。

4.4.2 不同约束攻击界限L构建的模型性能比较

本节实验分别在UJIIndoorLoc数据集和Mall数据集上测试定位模型在不同约束攻击界限L的性能对比,训练集与测试集同样按照7∶3的比例划分,ε=1.0。参考文献[16],约束攻击界限L取值为{0,0.03,0.1,0.3,1.0}。经过多次实验,C＆W攻击下模型均在鲁棒性阈值T=0.02范围之内达到最小精度,故设定T的最大值为0.02。其中,L=0表示模型没有添加噪声层,即模型没有采用防御措施,本文将没有采用防御措施的室内定位深度学习模型定义为Baseline。实验结果如图8所示。

从图8(a)、(b)中可以看出,随着模型训练迭代次数的增加,不同约束攻击界限L下模型的精度都在逐步上升,损失逐步下降。这是因为模型添加噪声层的影响,噪声层添加噪声的大小取决于约束攻击界限L,即L越大,添加噪声越多,模型性能越差;L越小,添加噪声越少,模型性能越好。但是,当L取最大值时,Mall数据集下的模型精度依旧保持在85%以上,UJIIndoorLoc数据集下模型精度几乎没有下降,因此噪声层对模型性能并没有产生明显的不利影响。另外,由于UJIIndoorLoc数据集在规模与特征维数上均远大于Mall数据集,更多的样本特征为模型训练提供了从输入到输出的更优确定性映射关系,进而获得了性能更优的定位模型。因此,在Mall、UJIIndoorLoc两个数据集上模型性能变化程度存在明显差异。

图8 不同p-范数约束攻击界限L对模型性能的影响Fig.8 Impact of constraint attack bounds L of different p-norm on model performance

表2给出了室内定位深度学习模型在不同约束攻击界限L下的认证准确率CA的对比数据。可以看出,当L=0.03时,模型在2个数据集中都取得了最佳的认证准确率CA,且均大于60.0%。同时,结合图8中L=0.03时的室内定位深度学习模型训练精度与L=0时相比没有明显的下降,故当L=0.03时,可构建最优的室内定位深度学习模型。

表2 室内定位深度学习模型在不同约束攻击界限L下的认证准确率对比Table2 Certified accuracy of indoor localization DL model under different constraint attack boundaries L

图9(a)、(b)给出了2个数据集下L=0,0.03时构建的室内定位深度学习模型在C＆W攻击下定位准确率ACC的实验对比结果。其中,Baseline表示基于L=0构建的室内定位深度学习模型。从图9中可以得出,在2个数据集上,随着约束攻击界限L的增大,Baseline与本文方法的定位准确率均呈下降趋势,且本文方法均比Baseline呈现的曲线下降趋势更加平稳,即斜率更小。因此,AdvILoc能够提供经过严格鲁棒性认证的室内定位深度学习模型。

图9 C＆W攻击下不同约束攻击界限L对模型定位准确率的影响Fig.9 Effection of different constraint attack boundary L on localization accuracy of model under C＆W attack

4.4.3 与基于PixelDP的室内定位模型鲁棒性比较

为了验证在PixelDP[16]网络基础上,经过Dropout层及模型参数正则化优化的模型在Mall数据集和UJIIndoorLoc数据集上的表现情况,实验分别进行了认证准确率CA和C＆W攻击下定位准确率ACC的比较评价。图10和图11给出了2个数据集上,当L=0.03时,AdvILoc与基于PixelDP的室内定位模型在认证准确率CA及C＆W攻击下定位准确率ACC的对比结果。其中,Baseline-本文方法表示当L=0时优化的室内定位模型,Baseline-Pixel和Baseline-PixelDP表示当L=0时基于PixelDP的室内定位模型,本文方法表示优化后基于ε-RssDP的抵御对抗样本攻击的室内定位模型,Pixel和PixelDP表示基于PixelDP构建的抵御对抗样本攻击的室内定位模型。

图11 C＆W攻击下AdvILoc与基于PixelDP的室内定位模型定位准确率的对比Fig.11 Comparison of localization accuracy between AdvILoc under C＆W attack with indoor localization model based on PixelDP

从图10(a)、(b)中可以看出,在Mall数据集上,鲁棒性阈值T=0.01时Baseline-本文方法的认证准确率CA比Baseline-PixelDP低8%;而在UJIIndoorLoc数据集上,Baseline-本文方法的认证准确率CA比Baseline-Pixel高3%。但是,随着鲁棒性阈值T的不断增大,由于Dropout层及模型参数正则化模型优化措施,在2个数据集上,本文方法的认证准确率CA较PixelDP和Pixel下降均更加平稳,且在Mall数据集上,当T=0.01时本文方法的认证准确率CA仍可达到43.9%,即本文方法在攻击大小为0.01的C＆W攻击下最小精度仍可取得43.9%。在UJIIndoorLoc数据集上,当鲁棒性阈值T=0.013时本文方法的认证准确率CA仍可达到69.9%,即本文方法在攻击大小为0.013的C＆W攻击下最小精度仍可取得69.9%。然而,当鲁棒性阈值T=0.007及T=0.01时,PixelDP和Pixel的认证准确率CA已降为0。因此,在面向对抗样本攻击时,本文方法鲁棒性更强,防御效果更佳。

从图11(a)、(b)中可以看出,C＆W攻击下,在2个数据集上,随着攻击大小Lattack不断增大,Baseline-本文方法定位准确率比Baseline-PixelDP和Baseline-Pixel下降更加平稳。其中,在Mall数据集上,当攻击大小Lattack＜0.01时,本文方法比PixelDP下降更平稳。虽然,当攻击大小Lattack＞0.055时,PixelDP定位准确率高于本文方法,但是最终定位准确率相差小于1%;在UJIIndoorLoc数据集上呈现了相近的实验结果,当攻击大小Lattack=0.5时,Baseline-本文方法比Baseline-Pixel下降更平稳,且当攻击大小Lattack＜0.9时,相较于Pixel,本文方法取得更加良好的表现。虽然当0.9＜Lattack＜1.2时,Pixel准确率高于本文方法,但最终定位准确率相差小于5%。

表3给出了AdvILoc与基于PixelDP的室内定位模型计算效率的对比。可以看出,在2个数据集上,Pixel与本文方法的训练时间和测试时间相近,在Mall数据集上本文方法的模型训练时间比Pixel仅高0.9702s,这是因为相较Pixel,本文方法添加了Dropout层及模型参数正则化对模型进行了优化,所以训练时间较长。在UJIIndoorLoc数据集上,本文方法的训练时间比Pixel仅低0.1800s,这是因为相较Mall数据集,UJIIndoor-Loc数据集规模更大,且Pixel没有池化层对特征进行压缩,所以相较于本文方法全连接层进行线性计算时,时间更长。但在2个数据集上,2种方法的测试时间基本相近。

表3 AdvILoc与基于PixelDP的室内定位模型计算效率对比Table3 Comparative evaluation of calculation efficiency between AdvILoc and indoor localization model based on PixelDP

综上,相较于基于PixelDP的室内定位模型,AdvILoc在保证时间开销的同时,泛化能力、鲁棒性更优。

4.4.4 不同室内定位深度学习模型鲁棒性比较

为了验证AdvILoc网络ε-RssDP的有效性,与基于CNN[8]、MLP[7]室内定位模型进行了比较。图12和图13给出了2个数据集上,在L=0.03的条件下,ε-RssDP与CNN[8]、MLP[7]室内定位深度学习模型的认证准确率和C＆W攻击下模型定位准确率的对比实验结果。其中,Baseline-本文方法表示当L=0时的ε-RssDP;Baseline-MLP表示当L=0时基于文献[7]的室内定位模型;Baseline-CNN表示基于当L=0时基于文献[8]中的深度学习网络构建的室内定位模型,本文方法表示ε-RssDP,MLP表示基于文献[7]深度学习网络构建的抵御对抗样本攻击的室内定位模型,CNN表示基于文献[8]深度学习网络构建的抵御对抗样本攻击的室内定位模型。

图12 ε-RssDP与基于CNN、MLP的室内定位深度学习模型认证准确率的对比Fig.12 Certified accuracy between ε-RssDP and indoor localization DL model based on CNN and MLP

图13 C＆W攻击下ε-RssDP与基于CNN、MLP的室内定位深度学习模型定位准确率的对比Fig.13 Comparison of positioning accuracy between ε-RssDP and indoor localization DL model based on CNN and MLP network under C＆W attack

从图12(a)中可以看出,在Mall数据集上,Baseline-本文方法、Baseline-CNN与Baseline-MLP的认证准确率CA相近,均达到了55%以上。随着鲁棒性阈值T的不断增大,当T=0.011时,本文方法与CNN的认证准确率CA已降为0,而当T=0.016时,MLP的认证准确率CA才降为0。这是因为:虽然在网络结构上相较于MLP,本文方法、CNN添加了卷积层、池化层来提升模型提取特征的能力,但是Mall数据集的规模较小、特征较少,本文方法、CNN中学习到卷积层提取出的特征相较MLP学习的少,使本文方法、CNN模型的泛化能力较差。然而,当T＜0.011时,本文方法、CNN模型的认证准确率CA均远大于MLP,达到40%以上,甚至本文方法的认证准确率CA达到了最大。从图12(b)中可以看出,在UJIIndoorLoc数据集上,由于数据集特征多样且丰富,Baseline-本文方法与Baseline-CNN的认证准确率相近,均达到了78%以上,但Baseline-MLP的认证准确率不足50%。随着鲁棒性阈值T不断增大,本文方法的认证准确率始终比CNN、MLP方法下降更平稳,且当T=0.012时,本文方法的认证准确率仍可达到68.9%。综上,相较于CNN、MLP,本文方法鲁棒性更强,抵御对抗样本攻击的效果更佳。

从图13(a)可以看出,在Mall数据集上,C＆W攻击下,随着攻击大小Lattack不断增大,Baseline-本文方法曲线和Baseline-CNN曲线均低于Baseline-MLP曲线,且本文方法、MLP下降趋势相近且比CNN平稳,但一直低于MLP。这同样是因为本文方法、CNN添加了卷积层、池化层来提升模型提取特征的能力,但是Mall数据集的规模较小、特征较少,本文方法、CNN中学习到卷积层提取出的特征相较MLP少,使本文方法、CNN模型的鲁棒性较差。但是同时有卷积层的本文方法和CNN,随着攻击大小Lattack不断增大,本文方法的定位准确率一直大于CNN的定位准确率。从图13(b)可以看出,在UJIIndoorLoc数据集上,C＆W攻击下,随着攻击大小Lattack不断增大,由于CNN在网络结构上比ε-RssDP多添加了一个卷积层,使得特征提取能力更优,Baseline-本文方法曲线比Baseline-CNN下降更快。但是,由于ε-RssDP中添加Dropout层及模型参数正则化措施来提升模型的性能和鲁棒性,本文方法比CNN、MLP模型定位准确率下降平缓。

表4给出了在2个数据集上,在L=0.03的条件下,ε-RssDP与CNN[8]、MLP[7]室内定位深度学习模型的计算效率的对比实验结果。可以看出,在2个数据集上,Pixel与本文方法的模型训练时间和模型测试时间相近,在Mall数据集上,本文方法的模型训练时间比CNN高2.1505s,但是比MLP低0.3464s,这是因为相较于本文方法、CNN,MLP的网络架构没有卷积层、池化层对特征进行提取与压缩,且Mall数据集的规模较小、特征较少,所以全连接层进行线性计算时,MLP的时间开销更多。然而,在UJIIndoorLoc数据集上,本文方法的模型训练时间比CNN仅高4.6698s,比MLP仅高4.0694s,这是因为较Mall数据集,UJIIndoorLoc数据集规模更大,本文方法与CNN经过卷积层和池化层提取与压缩后的特征数据较多,且本文方法进行了Dropout与模型参数正则化优化,所以本文方法的时间开销较多,但是在2个数据集上,3种方法的测试时间开销相近。

表4 ε-RssDP与基于CNN、MLP网络结构构建的室内定位深度学习模型计算效率的对比Table4 Comparative evaluation of calculation efficiency between ε-RssDP and indoor localization DL model based on CNN and MLP network structure

综上,ε-RssDP在认证准确率与C＆W攻击下的模型定位准确率方面均有较好表现,且相较于CNN、MLP,ε-RssDP在保证时间开销的同时,模型鲁棒性更强。