文章地址:Metamorph: Injecting Inaudible Commands into Over-the-air V oice Controlled Systems
不开源
发现顶会的论文格式都一个样
前言介绍+系统设计说明+系统性能评估+相关工作综述+结论
作者探究了利用声音通信远程攻击神经网络的可能性
即播放人耳听不见的噪声悄悄地干扰语音合成的结果,希望起一个警示的作用
目前语音识别技术在很多领域迅猛发展
语音势识别:输入一段音频 I,输出一段文字 T, SR(I) = T
语音识别有一个问题,如果在I中加入一段人察觉不到的扰动,是不是可以影响输出的文本T?
can I +δ (an adversarial waveform that still sounds
like T to a human listener) played by a sender fool the SR
neural network at the receiver?
如果可以的话,就是一个严重的安全风险,别有用心之人会利用这个漏洞发起攻击,对自动驾驶、智能手机中的数据安全等都有威胁
下图就展示了一个干扰过程
令 H(I+δ) 为经历过信道失真后的信号,一般经历失真之后的信号就很难被识别出攻击者想要的 T‘ 了。如果能提前知道失真 H(·),就可以恢复T’,但是这不现实,因为这要求攻击者事先黑进受害设备,然后对其进行编程,发送一个反馈信号,传达H(·)。
因此,这篇paper探究的就是是否可以找到一种稳定的干扰 δ,在攻击者不知道H(·)的情况下也能稳定的影响语音识别系统的结果。
经作者实验,无线传输对于声学攻击的影响主要在于多径传播和设备硬件造成的频率选择性,虽然这两种频率选择源不能被精确 estimate,但是作者认为在达到信道的频率选择性起支配作用的距离之前,可以提取 aggregate distortion effect(聚合失真影响),一旦这种主要影响被提取,那么就可以将其加入声音合成(这里应该指δ的合成 )
基于以上思想,作者提出了 Metamorph with a “generate-and-clean” two-phase design.,那么是哪两步呢?
(1)收集一个小的 H(·) 测量数据集来生成初始 δ
(2)使用 domain adaptation algorithms 来改进 δ,以适应当前设备和环境的特征
作者认为这篇 paper 有着如下贡献:
(1)基于经验理解了 无线环境下限制 udio adversarial attacks 的因素
(2)针对限制无线攻击的挑战,提出了一系列有效的解决方案。
(3)开发了所设计系统的原型机,并且作了大量真实实验来评估其性能
