一种面向深度脑电身份认证模型的鲁棒性的评估和增强方法

摘要

本发明公开了一种面向深度脑电身份认证模型的鲁棒性的评估和增强方法。属于生物医学工程领域；其操作步骤：对公开的脑电信号进行去噪、滤波和伪迹去除等操作，得到预处理后的高质量脑电信号；利用白盒攻击中的梯度攻击和优化攻击方法计算出对抗扰动后，加在原始脑电信号上生成对抗样本；把对抗样本输入到网络模型中后，评估攻击后的网络模型分类性能；在原始样本和对抗样本中采用线性插值的数据混合方法，生成中间域的对抗样本；采用中间样本和对抗样本同时对网络对抗训练，提高网络对扰动的识别能力并增强鲁棒性。本发明所述的方法即利用白盒攻击评估了网络的鲁棒性，又提出了一种混合数据对抗训练增强防御机制，在一定程度上提高了模型的鲁棒性。

说明书

技术领域

本发明属于对脑电信号处理的生物医学工程领域，具体的是涉及了一种面向深度脑电身份认证模型的鲁棒性的评估和增强方法。

背景技术

随着社会进入数字化时代，身份认证在人们的工作和生活中变得至关重要。传统的认证技术，如密码和硬件令牌，可能被遗忘、丢失或被盗，导致身份泄漏或认证失败。这些问题可以通过使用生物特征识别技术来避免，如人脸、指纹和步态，这些技术已被广泛研究。然而，人脸图像很容易被捕获，指纹可能会不知不觉地附着在许多物体的表面，步态可以在不知不觉中被记录和分析，这可能会被恶意攻击利用。而脑电图信号拥有活体检测的特性，同时由于其具有抗胁迫性和非入侵等优点而备受关注。基于脑电图信号的身份认证技术采用波形处理、机器学习和深度学习等方法，其表现出的优异性能为这些技术从理论到实际应用提供了良好的基础。

然而，对抗攻击研究表明，机器学习分类器普遍存在安全性和可靠性的问题。在精心设计且不易察觉的噪声干扰下，深度学习模型会被误导输出错误的结果。当对EEG数据添加微小扰动时，EEG分析容易受到对抗性攻击。值得注意的是，基于脑电的干扰模块是可实现的，目前干扰脑电信号的框架BtleJuice研发出来，它是一种对蓝牙设备进行中间人攻击的框架，可用于拦截基于消费级EEG的BCI系统的数据，对其进行修改，然后将其发送到脑电设备。特别地，在脑电信号身份认证场景下，身份认证错误可能会导致金融业务中的巨额财产损失和军事战争中的错误开火等严重后果。

脑电身份认证模型中的对抗攻击主要集中于在信号处理模块到机器学习模型之间添加一个干扰模块，在原始信号上添加一个不易被察觉的扰动生成对抗样本，在模型测试阶段可以有效地欺骗模块，输出错误的人员身份类别。目前，关于脑电身份认证模型鲁棒性的相关研究仍然匮乏。如何确保脑电身份认证系统的安全可靠性是一个尚待解决的问题。为此，本发明针对脑电身份认证技术潜在的安全问题及防御措施进行了验证及解决。

发明内容

发明目的：本发明的目的在于提供了一种面向深度脑电身份认证模型的鲁棒性的评估和增强方法。

技术方案：本发明所述的一种面向深度脑电身份认证模型的鲁棒性的评估和增强方法，其具体操作步骤；

步骤(1)、对公开脑电数据集进行预处理，得到高质量的脑电信号；

步骤(2)、采用白盒攻击方法生成对抗扰动并加在原始信号上，生成对抗样本；

步骤(3)、对输入对抗样本后的模型分类结果进行评估，计算其准确率愚弄率和结构性相似指数；

步骤(4)、利用数据混合对抗训练方法，将中间域样本加入对抗训练中，从而得到提高鲁棒性后的模型分类器；

步骤(5)、在提高鲁棒性后的模型分类器上评估对抗样本输入后的准确率，以验证防御方法的有效性。

进一步的，在步骤(1)中，所述的预处理方法具体包括数据通道选择、信号过滤、降采样、切分数据与基线处理；

(1.1)、通道选择：脑电数据包含头皮上不同通道的数据，从中选出所需EEG信号对应的前32通道；

(1.2)、信号过滤：将信号过滤到所需频率范围，使用独立分量分析技术去除眼睛运动和肌肉运动的伪影；

(1.3)、降采样：公开数据集的采样范围为512Hz，为了提高计算效率重采样为128Hz；

(1.4)、切分数据与基线处理：为了扩充样本数量，将单个样本的尺寸定义为32×128的信号矩阵，并按照邻近且不相交的时间片平均将信号切分成63份；

将前三秒的基线数据平均值作为基线信号，对数据进行校正。

进一步的，在步骤(2)中，所述的白盒攻击方法主要分为梯度攻击和优化攻击；其中，所述梯度攻击分别为单步攻击快速梯度符号方法和迭代攻击投影梯度下降法，所述优化攻击为CW攻击。

进一步的，在步骤(3)中，将步骤(2)中通过攻击方法生成的对抗样本作为分类器的输入；

其中，所述的评估指标主要采用准确率、愚弄率和结构性相似指数；所述准确率和愚弄率用于评估性能变化，所述结构性相似指数用于评估扰动范围。

进一步的，在步骤(4)中，所述的数据混合方法，是在原始样本和对抗样本中随机选择两个样本，并以一定比例混合生成新的样本，同时对数据标签也按照相同比例混合后生成新的标签。

进一步的，在步骤(5)中，对抗训练利用(4)中生成的中间域样本与对抗样本一起回传输入给分类器模型，提高模型对对抗扰动的识别能力；

最终完成对抗训练后将对抗样本输入增强鲁棒性后的模型评估分类结果。

有益效果：本发明与现有技术相比，本发明的特点是：本发明提出的面向深度脑电身份认证模型的鲁棒性评估和增强系统，既评估了脑电身份认证模型的鲁棒性，结果表明基于脑电的身份认证系统存在潜在的安全风险，又提出了一种混合数据增强防御机制，在一定程度上提高了模型的鲁棒性。

附图说明

图1是本发明的总体流程图；

图2是本发明提出的混合数据增强防御机制实验流程图；

图3是本发明评估攻击结果的显著图可视化结果对比图；

图4是本发明评估攻击结果的特征图可视化结果对比图。

具体实施方式

为了更清楚地说明本发明的技术方案，下面结合附图对本发明的技术方案做进一步的详细说明：

如图所示，本发明所述的一种面向深度脑电身份认证模型的鲁棒性的评估和增强方法，其具体操作步骤如下：

步骤(1)，对脑电信号进行预处理；

具体包括：

(1.1)、通道选择：脑电数据包含头皮上不同通道的数据，从中选出所需EEG信号对应的前32通道；

(1.2)、信号过滤：将信号过滤到所需频率范围，使用独立分量分析技术去除眼睛运动和肌肉运动的伪影；

(1.3)、降采样：公开数据集的采样范围为512Hz，为了提高计算效率重采样为128Hz；

(1.4)、切分数据与基线处理：为了扩充样本数量，将单个样本的尺寸定义为32×128的信号矩阵，并按照邻近且不相交的时间片平均将信号切分成63份；

将前三秒的基线数据平均值作为基线信号，对数据进行校正；

步骤(2)、采用白盒攻击方法生成对抗扰动并加在原始信号上，生成对抗样本；

具体的，基于对模型结构和参数的了解，首先通过白盒攻击方法构建了一个由对抗信号组成的新数据集，该方法主要依赖于梯度的计算；

本发明主要采用基于梯度和基于优化的攻击技术生成，前者主要改变损失函数在反向传播中的梯度方向，以增大损失函数的值；

后者则试图在改变模型分类结果的前提下，尽可能减少扰动；

具体地，快速梯度符号法把最大化损失值作为目标函数，其用损失值对原始信号求偏导计算出梯度上升的方向乘以扰动系数来生成微小扰动加在原始信号上；投影梯度下降法在快速梯度符号法上进行了多步迭代，因为非线性模型只做一次迭代时，方向不一定完全正确；投影梯度下降法首先从原始样本的L

f(x

其中，c为惩罚因子，用于权衡分类结果和距离之间的关系，影响扰动约束和分类结果的占比；Z(x

步骤(3)、对输入对抗样本后的模型分类结果进行评估，计算其准确率愚弄率和结构性相似指数；

具体的，主要采取分类准确度、愚弄率和结构性相似指数作为主要评价指标；

其中，分类准确度和愚弄率用于评估模型鲁棒性，结构性相似指数用于评估对抗样本信号与原始信号之间的差异；愚弄率是在训练好的模型上输入对抗样本信号之后，正确分类的结果改变为错误类别的比例；愚弄率越高表明模型被攻击后的准确度下降越多，鲁棒性越差；结构性相似指数主要评估照明度、对比度和结构三个部分；公式表示为：

其中，u和σ代表图像的均值和方差，c

SSIM越大证明对抗信号与原始信号之间的相似性越高，越难以察觉对抗信号的干扰；

步骤(4)、利用数据混合对抗训练方法，将中间域样本加入对抗训练中，从而得到提高鲁棒性后的模型分类器；

具体的，为了提高对抗训练中样本的覆盖空间，在原始样本和对抗样本之间数据做线性插值生成中间样本：

其中，λ是服从参数都为α的贝塔分布，当α趋近于0时，贝塔分布变成二项分布，λ取值只有0和1，此时等价于没有进行数据增强；

对抗样本因为越过了决策边界导致分类错误，而本发明构造的样本更加靠近决策边界，在训练中可以促使非线性模型对决策边界有更加细化的感知和拟合能力；

步骤(5)、采用中间样本和对抗样本同时对网络对抗训练，提高网络对扰动的识别能力并增强鲁棒性；

具体的，对抗训练把生成的对抗样本添加到训练数据集中，模型在重新训练的过程中可以先学习一遍对抗样本从而对其有更好的辨别性；

对抗训练最大化扰动的同时最小化期望风险，本质上是一个最大最小化问题：

其中，θ表示模型参数，n表示训练样本的个数，f表示模型分类器，x

L＝λL

L

其中，cat为拼接操作，把原始样本和对抗样本一起训练。

实施例：

1、实验数据：DEAP数据集是一个基于观看音乐视频片段诱发刺激下产生的多通道大脑信号数据集，主要采集了32位参与者在观看40个音乐视频时的脑电图；该数据集的采样频率为512Hz，为了提高计算效率重采样为128Hz。经过40段视频采集后，得到32×40×40×8064的信号矩阵，其中32代表被试者数量，40分别代表音乐视频数量和电极通道，8064在128Hz的频率下包含63秒的数据；其中，前3秒为静默时间采集基线信号；

2、实验设定：

采用十折交叉验证验证法，将所有数据打乱平均分成十部分，任意选取一份作为测试数据，剩下九部分作为训练集；实验网络模型采用EEGNet、LSTM和Transformer；在快速梯度符号方法中，将扰动范围ε分别设置为2/range和3/range，range表示脑电信号采样值的动态范围，对于投影梯度下降方法，分别设置ε为2/range和4/range，迭代轮数t为20次和40次，CW攻击中采用L2距离度量函数。

3、实验结果(如表1、2所示)：

表1：不同攻击方法对模型指标的攻击结果

表2：防御方法对网络精度的提升结果

表1总结了不同攻击方法与攻击尺度对模型效果的影响，实验结果表明模型容易受到对抗性样本的影响；添加少量的扰动就会导致准确率的剧烈下降和愚弄率上升；虽然模型在原始信号上对身份识别任务表现出了较好的性能，但是在遭受到对抗样本攻击时，模型的精度都发生了不同程度的下降，在本发明任务场景下，模型的整体表现中最鲁棒的是EEGNet网络模型，在三种攻击方法下愚弄率均为最低，最低为41.8％，表明模型被欺骗的概率相对最小；模型准确度随着扰动阈值增大逐渐下降，同时对抗样本与原始样本之间的相似性也降低，但SSIM的结果表明生成的扰动对原始样本的改变是不易察觉的(整体均>0.95)。

采用本发明提出的方法和经典的对抗训练方法对快速梯度符号攻击进行了防御，性能结果如表2所示：相比于攻击后的模型，本发明所提方法在三个模型上分别提升了48.3％，62.1％和69.4％的准确性；相比于传统的对抗训练，本发明分别提高了1.2％，0.5％和2.1％的准确度，一定程度上验证了提出方法的有效性。

图3显示数据在经过EEGNet第一次卷积池化计算后生成的特征图，从图中可以看出对抗样本和原始样本在模型计算后提取的高维特征差距较大，关注的特征信息存在差异，导致网络将对抗样本分类错误。

图4的结果可以发现，添加扰动后的样本显著性图高亮区域发生了变化，表明对抗扰动的添加导致对梯度起作用的采样点发生改变，引导模型关注不重要的区域，进一步导致分类错误。

最后，应当理解的是，本发明中所述实施例仅用以说明本发明实施例的原则；其他的变形也可能属于本发明的范围；因此，作为示例而非限制，本发明实施例的替代配置可视为与本发明的教导一致；相应地，本发明的实施例不限于本发明明确介绍和描述的实施例。