Adversarial-Resilient RF Fingerprinting: A CNN-GAN Framework for Rogue Transmitter Detection

基本信息

• 论文ID: 2510.09663
• 标题: Adversarial-Resilient RF Fingerprinting: A CNN-GAN Framework for Rogue Transmitter Detection
• 作者: Raju Dhakal, Prashant Shekhar, Laxima Niure Kandel (Embry-Riddle Aeronautical University)
• 分类: cs.CR (Cryptography and Security), cs.AI (Artificial Intelligence)
• 发表时间: 2025年10月7日
• 论文链接: https://arxiv.org/abs/2510.09663

摘要

射频指纹识别(RFF)通过利用信号生成过程中硬件组件的独特缺陷，已发展成为设备身份认证的有效解决方案。本文提出了一个基于卷积神经网络(CNN)的框架，使用softmax概率阈值来检测恶意设备并识别合法设备。研究模拟了对手试图通过使用生成对抗网络(GAN)训练同相和正交(I/Q)样本来模仿合法设备RF特征的攻击场景。该方法使用从10个不同ADALM-PLUTO软件定义无线电(SDR)收集的I/Q样本进行验证，其中7个设备被认为是合法的，2个为恶意设备，1个用于验证以确定阈值。

研究背景与动机

问题定义

随着无线通信技术的快速发展，IoT、传感器网络、无人机等应用领域的设备数量激增，带来了严重的网络安全威胁，特别是在设备身份认证和网络访问管理方面。传统的密码学技术在资源受限环境中往往产生计算开销过大的问题。

研究重要性

1. 轻量级认证需求：IoT、传感器网络和UAV网络等资源受限环境需要轻量级的身份认证方法
2. 硬件指纹唯一性：每个无线设备在其传输信号中都具有由硬件组件缺陷产生的独特标识符
3. 对抗攻击威胁：攻击者可能不直接使用恶意设备，而是试图模仿合法设备的特征来获得网络访问权限

现有方法局限性

1. 单一攻击模型：现有研究要么只考虑真实恶意设备，要么只关注合成生成的样本作为恶意设备
2. 缺乏对抗鲁棒性：大多数方法未考虑攻击者使用GAN等技术模仿合法设备RF特征的情况
3. 实验局限性：许多研究仅在理想环境下验证，缺乏对真实对抗场景的考虑

核心贡献

1. 首创性框架：据作者所知，这是第一个使用真实设备I/Q样本和GAN合成样本验证分布外设备检测性能的工作
2. 双重攻击模型：同时考虑真实恶意设备和使用GAN模仿合法设备特征的攻击场景
3. CNN-GAN联合框架：提出结合CNN分类器和GAN生成器的完整解决方案
4. 实用阈值方法：开发基于softmax概率阈值的开集检测和闭集分类统一方法

方法详解

任务定义

输入：来自无线设备的I/Q信号样本 输出：

• 二元分类：区分合法设备vs恶意设备
• 多类分类：将检测为合法的设备分类到具体的设备类别 约束：需要处理未见过的恶意设备和GAN生成的模仿样本

模型架构

整体系统流程

系统包含两个主要阶段：

1. 训练阶段：CNN和GAN联合训练
2. 推理阶段：基于阈值的检测和分类

CNN架构设计

• 输入层：形状为(720, 2, 1)的I/Q样本
• 卷积层：32个滤波器，核大小(5,1)，ReLU激活，L2正则化，批归一化，最大池化(2,1)
• 全连接层：352个神经元，ReLU激活，L2正则化，0.3 dropout
• 输出层：7个神经元对应7个合法设备类别

GAN架构设计

生成器(G)：

• 输入：随机噪声向量
• 三个全连接层：2048, 4096, 1440神经元
• 前两层使用批归一化和ReLU激活
• 输出重塑为(720, 2)的I/Q样本

判别器(D)：

• 输入：(720, 2)的I/Q样本
• 两个1D卷积层：64和128滤波器，核大小7和5
• LeakyReLU激活(α=0.2)，0.3 dropout
• 全连接层：128神经元，最终输出单个logit

技术创新点

温度缩放Softmax

使用温度参数T控制概率分布的置信度：

p = softmax(z/T)

其中z是logits向量，最优温度T=2.5

阈值决策规则

ŷ = {
  -1 if p_max < threshold (分类为恶意)
  argmax_i p_i otherwise (分类为合法设备i)
}

特征匹配损失

生成器使用特征匹配损失训练，基于真实样本和生成样本的判别器特征平均值之间的距离。

实验设置

数据集

• 设备：11个ADALM-PLUTO SDR，其中1个作为接收器
• 信号：实时OFDM无线通信信号
• 数据量：每设备19,920帧，每帧72个I/Q样本的头部
• 预处理：10个连续帧合并为单帧(720个I/Q样本)，标准化处理

数据划分

• 合法设备：设备1-2和5-9(7个设备)
• 恶意设备：设备3和4(2个设备)
• 验证设备：设备10(仅用于阈值确定)
• 训练集：合法设备70%数据(9,760帧)
• 验证集：合法设备10%数据+验证设备全部数据(3,386样本)
• 测试集：合法设备20%数据+恶意设备全部数据+1000个GAN生成样本(7,774帧)

评价指标

• F1分数：用于恶意设备检测的主要指标
• 分类准确率：合法设备识别准确率
• Fréchet距离(FD)：评估GAN生成样本质量，FD=0.0545

实现细节

• CNN优化器：Adam，学习率0.00036，训练10轮
• GAN优化器：Adam，学习率0.001，训练3000轮
• 超参数调优：KerasTuner随机搜索，20次试验
• 最优阈值：θ*=0.1987

实验结果

主要结果

二元分类性能：

• 合法设备检测准确率：97.6%
• 恶意设备检测准确率：96.7%
• 恶意设备F1分数：0.9871

多类分类性能：

• 所有被检测为合法的设备都被正确分类到对应类别
• 大多数设备分类准确率超过97%
• 设备1和设备9达到近乎完美的分类效果

GAN生成质量验证

• I/Q星座图对比：生成样本(红色)与真实样本(蓝色)在I/Q平面上形成相似的聚类分布
• Fréchet距离：FD=0.0545，表明生成样本与真实样本分布接近
• 视觉验证：生成样本成功模仿了真实合法设备的RF信号特征

阈值分析

通过验证集确定的阈值θ*=0.1987有效分离了合法设备和恶意设备：

• 合法设备的最大softmax概率紧密聚集在高概率区域
• 恶意设备的概率分布在较低且更广泛的范围内

相关工作

RF指纹识别研究

1. 传统方法：Huang等人使用密度轨迹图和深度学习方法，但未考虑恶意设备检测
2. 大规模研究：Tong等人使用超过10,000个设备数据，但无法检测恶意设备
3. Siamese网络：Sun等人和Birnbach等人使用Siamese网络区分相似和不相似对

对抗学习框架

Roy等人提出RFAL框架使用GAN生成合成恶意样本，但未考虑真实恶意设备数据。

研究差距

现有工作要么只考虑真实恶意设备，要么只关注合成样本，缺乏对两种攻击类型的综合考虑。

结论与讨论

主要结论

1. 有效性验证：CNN-GAN框架成功检测真实和合成恶意设备，准确率超过96%
2. 对抗鲁棒性：系统能够抵御使用GAN模仿合法设备RF特征的攻击
3. 实用性：基于softmax阈值的方法实现了开集检测和闭集分类的统一

局限性

1. 设备规模限制：仅使用10个设备验证，实际网络可能涉及数百个设备
2. 静态环境：所有数据来自静态设备，未考虑移动节点对性能的影响
3. 室内环境：数据收集仅在室内实验室环境进行

未来方向

1. 扩展设备规模：在更大规模设备网络中验证方法的可扩展性
2. 移动场景：将移动节点纳入数据收集过程
3. 多环境验证：在不同的无线环境中测试方法鲁棒性

深度评价

优点

1. 创新性强：首次同时考虑真实和合成恶意设备的RF指纹识别框架
2. 实验充分：使用真实SDR设备收集数据，GAN生成质量有定量和定性验证
3. 方法实用：温度缩放和阈值方法简单有效，易于实际部署
4. 结果可信：多项指标验证，混淆矩阵清晰展示性能

不足

1. 实验规模：10个设备的实验规模相对较小，可扩展性有待验证
2. 环境单一：仅在室内静态环境测试，缺乏多样化场景验证
3. 对比不足：缺乏与其他先进方法的直接性能对比
4. 理论分析：对为什么该方法有效缺乏深入的理论分析

影响力

1. 学术价值：为RF指纹识别领域提供了新的对抗攻击防御思路
2. 实用价值：可应用于IoT、UAV等资源受限环境的设备认证
3. 可复现性：方法描述详细，实验设置清晰，具有良好的可复现性

适用场景

1. IoT网络：轻量级设备身份认证
2. 无人机通信：UAV网络安全认证
3. 传感器网络：分布式传感器设备管理
4. 工业4.0：工业无线设备安全接入

参考文献

论文引用了13篇相关文献，涵盖了RF指纹识别、深度学习、GAN和无线安全等关键领域的重要工作，为研究提供了坚实的理论基础。

总体评价：这是一篇在RF指纹识别领域具有创新性的工作，首次系统性地考虑了对抗攻击场景下的设备认证问题。尽管实验规模相对有限，但方法新颖，结果可信，为该领域的发展提供了有价值的贡献。