王小銀,呂碩,孫家澤,楊宜康

(1.西安郵電大學(xué)計算機(jī)學(xué)院,710121,西安;2.西安交通大學(xué)自動化科學(xué)與工程學(xué)院,710121,西安)

醫(yī)學(xué)影像對于醫(yī)療工作人員判別患者病情的發(fā)展具有重要意義,當(dāng)前臨床診斷中主要依賴醫(yī)療工作者的技術(shù)能力及醫(yī)療經(jīng)驗。隨著全球新冠疫情的大流行和當(dāng)前疾病的復(fù)雜程度,通過人工對醫(yī)學(xué)影像進(jìn)行判斷面臨著巨大的壓力和挑戰(zhàn)。伴隨著醫(yī)學(xué)影像技術(shù)和人工智能(artificial intelligence,AI)技術(shù)的發(fā)展,越來越多的研究人員把深度學(xué)習(xí)技術(shù)應(yīng)用在大規(guī)模醫(yī)學(xué)影像診斷任務(wù)中,AI醫(yī)學(xué)影像診斷模型已成為醫(yī)學(xué)影像分析和病情研判的重要支撐工具。深度學(xué)習(xí)中用到的最主要技術(shù)是深度神經(jīng)網(wǎng)絡(luò)(deep neural network,DNN),醫(yī)療工作人員通過借助DNN診斷模型,可以增強(qiáng)對疾病的識別精度和提高工作效率。

盡管DNN具有很高的性能,但其在疾病診斷中的實際應(yīng)用存在諸多安全威脅。在訓(xùn)練飽和的醫(yī)學(xué)診斷模型中添加對抗樣本進(jìn)行對抗攻擊后,將會使AI系統(tǒng)檢測異常。利用深度學(xué)習(xí)進(jìn)行診斷、決策或醫(yī)療保險賠償?shù)南到y(tǒng)都可以被惡意操縱,進(jìn)而導(dǎo)致醫(yī)療模型產(chǎn)生致命性的錯誤[1]。由此構(gòu)建的AI醫(yī)療診斷模型會存在難以快速篩查病情、難以保障診斷精準(zhǔn)度、模型安全性差等問題[2]。

研究人員已經(jīng)提出了許多不同的方法來進(jìn)行對抗攻擊。攻擊大致可以分為3類,基于梯度的迭代攻擊、基于優(yōu)化的迭代攻擊和基于生成對抗網(wǎng)絡(luò)(generative adversarial networks,GAN)的對抗攻擊方法?；谔荻鹊牡舭凑丈疃葘W(xué)習(xí)模型的梯度變化最大的方向添加圖像擾動。比如快速梯度符號法(fast gradient sign method,FGSM)[3]:通過在梯度上添加增量來使模型對樣本做出錯誤分類。迭代梯度攻擊法(project gradient descent,PGD)[4]:在FGSM算法基礎(chǔ)上,在梯度迭代過程中進(jìn)行多次迭代,控制擾動在規(guī)定的范圍?；趦?yōu)化的迭代攻擊,主要思想是在迭代訓(xùn)練過程中將網(wǎng)絡(luò)參數(shù)固定下來,把對抗樣本當(dāng)做唯一需要訓(xùn)練的參數(shù),通過反向傳遞過程調(diào)整對抗樣本。比如基于目標(biāo)函數(shù)置信度攻擊(Carlini&Wagner,C&W)[5]:使用約束范數(shù)進(jìn)行優(yōu)化對抗攻擊過程?；谏疃葘W(xué)習(xí)對抗擾動的攻擊方法(Jacobian-based saliency map attack,JSMA)[6]:在對抗攻擊時通過前向?qū)?shù)來調(diào)整干擾值進(jìn)而生成對抗樣本。GAN主要使用生成器和判別器結(jié)構(gòu)對樣本輸出進(jìn)行優(yōu)化。比如生成對抗樣本網(wǎng)絡(luò)(AdvGAN)[7]:核心思想是將干凈樣本通過GAN的生成器映射成對抗擾動,然后加在對應(yīng)的干凈樣本中,判別器負(fù)責(zé)判別輸入的樣本是否為對抗樣本。馬爾可夫判別器(Patch-GAN)[8]:判別器最后的輸出不是一個標(biāo)量值,而是一個N×N的二維矩陣,矩陣中的元素表示輸入圖像的局部區(qū)域,這樣訓(xùn)練使模型更加關(guān)注圖像細(xì)節(jié)。通道注意力對抗網(wǎng)絡(luò)(SE-GAN)[9]:一種利用多通道模型及語義輔助GAN生成同一場景在不同視角下的圖像,效果超過了大部分的模型。上述攻擊算法大多數(shù)是針對測試過程或測試數(shù)據(jù)集的,且需要一直對模型的體系結(jié)構(gòu)和參數(shù)進(jìn)行白盒訪問。大部分黑盒攻擊方法都是基于對抗樣本的可遷移性,成功率都不高。傳統(tǒng)生成醫(yī)學(xué)對抗樣本時無法真實地表征圖像中特征信息的全局關(guān)系,且醫(yī)學(xué)圖像的3通道的像素點比較多,所以如基于梯度的迭代攻擊和快速梯度符號法進(jìn)行簡單的編碼解碼結(jié)構(gòu)無法提取更深層次的特征。在生成醫(yī)學(xué)圖像對抗樣本時判別器的判別指標(biāo)不夠全面,不適用于精度要求高的醫(yī)學(xué)圖像。

綜上所述,所提對抗攻擊方法采用GAN網(wǎng)絡(luò)構(gòu)建醫(yī)學(xué)診斷模型的知識蒸餾對抗攻擊方法,對抗網(wǎng)絡(luò)采用生成器和判別器結(jié)構(gòu),實現(xiàn)更加有效的高黑盒攻擊成功率。與最新的基于GAN的對抗攻擊方法進(jìn)行攻擊效果比較,實驗結(jié)果表明所提方法的生成網(wǎng)絡(luò)能夠在較短的迭代中找到最優(yōu)解,生成結(jié)果更精準(zhǔn),圖像細(xì)節(jié)特征更優(yōu)。

1 醫(yī)學(xué)模型的對抗攻擊

1.1 生成對抗網(wǎng)絡(luò)

生成對抗網(wǎng)絡(luò)GAN是一種無監(jiān)督學(xué)習(xí)算法框架[10],其算法思想受啟發(fā)于二人零和博弈理論。GAN的網(wǎng)絡(luò)結(jié)構(gòu)主要由一個可以生成對抗樣本的生成器G和一個可以判別對抗樣本真實性的判別器D兩部分組成,模型結(jié)構(gòu)如圖1所示。

結(jié)合醫(yī)學(xué)圖像的特殊性,使用GAN生成的對抗樣本進(jìn)行對抗攻擊,可以很好解決黑盒對抗攻擊時的對抗樣本可遷移問題,并且提高了對抗攻擊的收斂速度,對抗攻擊的有效性也優(yōu)于使用傳統(tǒng)對抗攻擊的方法,隨著大規(guī)模醫(yī)療診斷模型的落地,GAN在AI醫(yī)療安全領(lǐng)域的使用會更加的廣泛[11]。

1.2 知識蒸餾對抗攻擊

模型蒸餾是模型壓縮和加速的技術(shù)之一,Ba等[12]提出知識蒸餾(knowledge distillation,KD)的概念,該模型能夠模擬原始模型的輸出,且具有較好的性能。Hinton等[13]實現(xiàn)了模型蒸餾的流程,證實了蒸餾模型能夠達(dá)到原始模型的泛化能力。Romero等[14]提出了知識蒸餾網(wǎng)絡(luò)模型(Hints Thin Nets,FitNet)方法,該方法得到的蒸餾網(wǎng)絡(luò)性能足以媲美原始網(wǎng)絡(luò)且參數(shù)量和計算開支顯著降低。

模型蒸餾技術(shù)可以通過對目標(biāo)模型進(jìn)行遷移學(xué)習(xí),利用模型壓縮技術(shù)復(fù)制目標(biāo)模型的網(wǎng)絡(luò)結(jié)構(gòu),從而對蒸餾模型進(jìn)行利用和遷移[15]。在對抗攻擊時使用模型蒸餾技術(shù)替代黑盒攻擊方式,能夠?qū)o法攻擊的未知網(wǎng)絡(luò)模型實現(xiàn)高可靠攻擊,并增加對攻擊對象的遷移性與通用性,可以對未知的醫(yī)學(xué)診斷模型進(jìn)行參數(shù)學(xué)習(xí)和模型復(fù)制,進(jìn)而對高精度醫(yī)學(xué)診斷模型實現(xiàn)有效對抗攻擊。

本文方法使用知識蒸餾模型對醫(yī)學(xué)診斷模型進(jìn)行對抗攻擊,運用模型蒸餾技術(shù)獲取診斷模型父模型的本地復(fù)制作為子模型,模擬父模型的輸出和決策分布。蒸餾模型構(gòu)造方式如圖2所示。

圖2 蒸餾模型構(gòu)造方式

主要通過對子模型和父模型的輸出結(jié)果計算交叉熵?fù)p失函數(shù),最小化此函數(shù)。通過反向傳播修改子模型的參數(shù),使得子模型的輸出逐漸逼近父模型,兩個模型關(guān)鍵層的權(quán)值向量能夠逐漸吻合,模型能夠?qū)W習(xí)到模型的決策能力。使用對抗攻擊方法針對子模型進(jìn)行對抗訓(xùn)練,優(yōu)化決策輸出函數(shù)從而達(dá)到攻擊效果最佳。將訓(xùn)練飽和的對抗攻擊模型對父模型進(jìn)行對抗攻擊,根據(jù)輸出判別對抗效果,能夠提高對抗攻擊的遷移性和通用性[16]。

2 醫(yī)學(xué)模型生成式網(wǎng)絡(luò)對抗攻擊

本文提出基于GAN的醫(yī)學(xué)診斷模型知識蒸餾對抗攻擊方法AmdGAN(Adversarial Medical GAN),使用知識蒸餾模型對目標(biāo)模型進(jìn)行復(fù)制,構(gòu)建生成對抗網(wǎng)絡(luò)。殘差神經(jīng)網(wǎng)絡(luò)(ResNet)架構(gòu)作為對抗攻擊的生成器模型[17],使用帶有擴(kuò)張卷積的殘差塊結(jié)構(gòu)[18],引入通道注意力機(jī)制(SENet)對生成器進(jìn)行修改,使用馬爾可夫判別器[19]網(wǎng)絡(luò)作為判別器。整體對抗攻擊流程圖如圖3所示。

圖3 對抗攻擊流程圖

2.1 知識蒸餾對抗攻擊架構(gòu)

構(gòu)建基于GAN的醫(yī)學(xué)診斷知識蒸餾對抗攻擊模型,包括生成器G和判別器D,對抗攻擊整體架構(gòu)如圖4所示。

圖4 對抗攻擊整體架構(gòu)圖

構(gòu)造擾動生成器G,有目標(biāo)攻擊下輸入目標(biāo)類別,輸出為該樣本所對應(yīng)的擾動,可對目標(biāo)模型進(jìn)行半白盒和黑盒攻擊。生成器G通過在原始醫(yī)學(xué)影像實例x疊加干擾噪聲后生成對抗樣本x+G(x),判別器D主要通過優(yōu)化損失函數(shù)進(jìn)而引導(dǎo)G的訓(xùn)練過程,并且通過最小化損失值從而保證對抗樣本的真實性,同時在擾動系數(shù)的限制下盡可能減小噪聲。攻擊目標(biāo)模型f,向f輸入x+G(x),并輸出損失,該損失在定向攻擊時表示預(yù)測結(jié)果與目標(biāo)結(jié)果間的距離,在非定向攻擊時表示與真實類的距離,其中GAN的損失為

LGAN=ExlogD(x)+Exlog{1-D[x+G(x)]}

(1)

式中:Ex為生成器和判別器的期望值;判別器D的目的是將被擾動的數(shù)據(jù)x+G(x)與原始數(shù)據(jù)x進(jìn)行區(qū)分,以確保生成的對抗樣本與真實圖像的數(shù)據(jù)接近。

使用知識蒸餾模進(jìn)行對抗攻擊,主要是使子模型擬合父模型的權(quán)值向量,較少地依賴對抗樣本的轉(zhuǎn)移性。使用模型蒸餾技術(shù)獲取目標(biāo)模型的本地復(fù)制,使用與白盒攻擊相同的攻擊方式對蒸餾模型進(jìn)行攻擊。根據(jù)醫(yī)學(xué)診斷場景構(gòu)建目標(biāo)模型父模型b的蒸餾子模型f,對于模型b和模型f來說,要使得模型蒸餾過程中的目標(biāo)函數(shù)最小化,即

(2)

式中:f(x)和b(x)分別代表同一張圖像在蒸餾模型和黑盒模型的輸出結(jié)果;H代表交叉熵?fù)p失。

通過最小化蒸餾過程目標(biāo)函數(shù),使得子模型f的輸出結(jié)果逐漸逼近父模型b,兩個模型的某些關(guān)鍵權(quán)值向量能夠逐漸吻合,子模型能夠?qū)W習(xí)到父模型的泛化能力。得到本地復(fù)制子模型f之后,可以使用白盒攻擊的方式對模型進(jìn)行攻擊。相較于傳統(tǒng)利用對抗樣本轉(zhuǎn)移性的黑盒攻擊方式,蒸餾模型能夠顯著提高黑盒攻擊方式下的攻擊成功率。

使用白盒攻擊方法對知識蒸餾后的目標(biāo)模型f進(jìn)行對抗攻擊,以生成具有最佳對抗攻擊效果的對抗樣本,最小化其損失值Ladv可以使對抗樣本在攻擊過程中的結(jié)果更接近于期望值。Ladv的定義如下

Ladv=Exlf[x+G(x),t]

(3)

式中:lf表示目標(biāo)模型f的損失函數(shù);在有目標(biāo)攻擊中,t為攻擊目標(biāo)。

2.2 生成器網(wǎng)絡(luò)結(jié)構(gòu)

生成器采用SENet通道注意力機(jī)制,使用SENet通道注意力機(jī)制對各通道的依賴性進(jìn)行建模以提高網(wǎng)絡(luò)的適應(yīng)能力。注意力機(jī)制包括3個部分:擠壓、激勵和注意。

2.2.1 擠壓操作流程

將全局空間信息壓縮到通道中,利用圖像特征的局部接受域,使用全局平均池生成通道特征信息。各通道的全局空間特征作為該通道的公式為

(4)

式中:u為局部接受域的信道描述符;i和j表示通道位;z由u通過HW收斂而產(chǎn)生,這些局部描述符的統(tǒng)計信息可以表達(dá)整個圖像的特征信息。

2.2.2 激勵操作流程

對各通道的聚合信息及依賴關(guān)系進(jìn)行捕獲,計算各通道的關(guān)聯(lián)程度,激勵函數(shù)為

s=F(z,W)=σ[g(z,W)]=σ[W2δ(W1z)]

(5)

式中:δ指ReLU函數(shù);W1、W2屬于通道描述符。

2.2.3 注意操作流程

將體系結(jié)構(gòu)中的殘差模塊更改為SENet注意力初始網(wǎng)絡(luò)后,與構(gòu)造好的ResNet殘差網(wǎng)絡(luò)進(jìn)行結(jié)合,從而使網(wǎng)絡(luò)能夠提高其對信息特征的敏感性,通過擠壓和激勵重新校準(zhǔn)濾波器響應(yīng)。生成器SE注意力機(jī)制網(wǎng)絡(luò)結(jié)構(gòu)如圖5所示。

圖5 生成器SE注意力機(jī)制網(wǎng)絡(luò)結(jié)構(gòu)

通過SENet對通道間的依賴關(guān)系進(jìn)行建模,可以自適應(yīng)的調(diào)整各通道的特征響應(yīng)值[20],將通道塊添加到構(gòu)造好的對抗攻擊網(wǎng)絡(luò)中,僅需要增加很小的計算消耗,就可以極大地提升網(wǎng)絡(luò)性能。

2.2.4 擴(kuò)張卷積網(wǎng)絡(luò)結(jié)構(gòu)

對生成器的特征通道塊采用擴(kuò)張卷積網(wǎng)絡(luò)結(jié)構(gòu),每層的第一組輸入進(jìn)行降采樣,卷積濾波器對偶數(shù)行和偶數(shù)列進(jìn)行評估。每一層的卷積層記為g,其中每一層通過特征映射擴(kuò)展到多個特征,每一層理想化的輸出公式是

(6)

式中:p對應(yīng)每一層的特征映射;gi表示組中的第i層;fi是對gi進(jìn)行特征過濾;a是輸入特征圖;b是輸出特征圖。

通過對圖像進(jìn)行上采樣操作來提高圖像的分辨率,改變g4、g5卷積層的卷積算子為兩個空洞卷積

(7)

原始的ResNet對輸入圖像每維下采樣32倍,使用擴(kuò)張卷積后對輸入圖像下采樣8倍。感受野和原ResNet對應(yīng)層一樣,可以幫助目標(biāo)模型對全局圖像特征進(jìn)行有效的識別,從而提高目標(biāo)識別的準(zhǔn)確率。

2.3 判別器網(wǎng)絡(luò)架構(gòu)

通過使用馬爾可夫判別器增強(qiáng)對抗樣本的圖像紋理細(xì)節(jié)[21],對抗網(wǎng)絡(luò)判別器的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖6所示。將醫(yī)學(xué)影像分割為P1,P2,…,Pn切片,使用判別器對每個切片進(jìn)行差別化判定作為判別結(jié)果,將n個判別結(jié)果進(jìn)行加權(quán)平均輸出更為精確的全局判別結(jié)果。

圖6 馬爾可夫判別器的網(wǎng)絡(luò)結(jié)構(gòu)圖

使用馬爾可夫判別器修改原始GAN對抗網(wǎng)絡(luò)的判別器,以單標(biāo)量輸出判別結(jié)果決定圖像真實性。通過使用L1損耗,生成器不僅可以欺騙判別器,還可以減小L1與真實輸入的距離,從而捕獲圖像紋理的局部連續(xù)性和圖像中的普遍全局特征。對抗攻擊損失的函數(shù)為

(8)

3 實驗結(jié)果與評價

將本文方法AmdGAN與主流的基于GAN的對抗攻擊方法在對醫(yī)學(xué)影像診斷模型進(jìn)行對抗攻擊時的攻擊效果進(jìn)行比較,將AmdGAN與AdvGAN、Patch-GAN、SE-GAN方法進(jìn)行比較,通過對抗攻擊成功率、對抗網(wǎng)絡(luò)整體評價指標(biāo)來對該方法的攻擊效果進(jìn)行評價。

3.1 數(shù)據(jù)集

使用新冠肺炎數(shù)據(jù)集(COVID-19 Radiography Database,CD)[22]、糖尿病視網(wǎng)膜病變圖像數(shù)據(jù)集(DRIMDB,DB)[23]、皮膚癌數(shù)據(jù)集(Dermatoscopic,DC)[24]、醫(yī)學(xué)領(lǐng)域數(shù)據(jù)集(MedMNIST,MT)[25]分別構(gòu)建醫(yī)學(xué)診斷模型,這些數(shù)據(jù)集公開可用,并且在醫(yī)學(xué)深度學(xué)習(xí)領(lǐng)域具有代表性。

3.2 構(gòu)建醫(yī)學(xué)診斷目標(biāo)模型

構(gòu)建面向醫(yī)學(xué)影像診斷的殘差神經(jīng)網(wǎng)絡(luò)目標(biāo)模型,使用AmdGAN在數(shù)據(jù)集上根據(jù)病人的醫(yī)學(xué)影像構(gòu)建醫(yī)學(xué)影像數(shù)據(jù)集,醫(yī)學(xué)影像數(shù)據(jù)集的訓(xùn)練集和測試集劃分比例為8∶2。

分別使用VGG-16、ResNet-50、ResNet-101、ResNet-152搭建遷移學(xué)習(xí)目標(biāo)模型,構(gòu)建殘差單元,調(diào)節(jié)模型訓(xùn)練參數(shù)。在訓(xùn)練過程中選用Adam+SGD梯度下降策略,Adam用作快速下降算法,SGD用作調(diào)優(yōu)。模型訓(xùn)練時均使用同樣的數(shù)據(jù)增強(qiáng)方法,訓(xùn)練目標(biāo)模型直至達(dá)到收斂狀態(tài)后保存目標(biāo)模型。醫(yī)學(xué)影像目標(biāo)模型診斷正確率結(jié)果如表1所示。

表1 醫(yī)學(xué)影像目標(biāo)模型診斷正確率

根據(jù)實驗結(jié)果,ResNet-152在醫(yī)學(xué)影像識別正確率和平均正確率較高,并且對于數(shù)據(jù)集的適應(yīng)能力和識別穩(wěn)定性高于VGG-16、ResNet-50和ResNet-101。在下一階段選擇ResNet-152目標(biāo)模型和適應(yīng)性較好的CD數(shù)據(jù)集進(jìn)行對抗攻擊。

3.3 醫(yī)學(xué)模型對抗攻擊

為驗證知識蒸餾方法在黑盒對抗攻擊場景下的效果,實驗組使用知識蒸餾方法獲取本地模型,對照組利用直接查詢的方式對黑盒模型進(jìn)行攻擊。訓(xùn)練深度神經(jīng)網(wǎng)絡(luò)、卷積神經(jīng)網(wǎng)絡(luò)和一個對照的醫(yī)學(xué)診斷目標(biāo)模型網(wǎng)絡(luò),知識蒸餾黑盒對抗攻擊方法采用前后的對抗攻擊成功率如表2所示。使用知識蒸餾方法的對抗成功率比直接查詢方式高38.1%。

表2 知識蒸餾對抗攻擊對比

通過攻擊目標(biāo)模型,并進(jìn)行對抗攻擊測試,迭代次數(shù)Epoch設(shè)置為300,測試集數(shù)量為600張醫(yī)學(xué)影像。通過控制數(shù)據(jù)集相同輸入變量,將AmdGAN和單獨使用GAN網(wǎng)絡(luò)的AdvGAN、使用SENet作為生成器模型的SE-GAN、使用馬爾可夫判別器作為判別器的Patch-GAN對抗攻擊方法進(jìn)行對抗攻擊實驗。圖7為進(jìn)行對抗攻擊時的效果對比圖。AmdGAN在對抗攻擊實驗中,對抗攻擊的成功率為92.6%,而其他3種模型在72%～78%之間,對抗攻擊成功率上優(yōu)于其他主流的基于GAN的對抗攻擊策略,對抗攻擊效果顯著。

圖7 對抗攻擊效果對比圖

調(diào)整測試集從400張到2 000張數(shù)量之間分別對AmdGAN和另外3種攻擊方法進(jìn)行測試,表3為調(diào)整對抗攻擊測試樣本數(shù)量后的4種方法進(jìn)行對抗后的診斷模型對抗攻擊成功率。

表3 在9種不同規(guī)模數(shù)據(jù)集對診斷模型的對抗攻擊成功率

AmdGAN在小樣本和大樣本數(shù)據(jù)集時對抗攻擊成功率在92.6%左右波動,而其他3種對抗攻擊方式的對抗攻擊成功率在80%左右,且成功率依賴于樣本數(shù)量。隨著樣本數(shù)量的增加,AmdGAN的對抗攻擊成功率比較穩(wěn)定,攻擊模型收斂速度更快,在小樣本和大樣本時對抗攻擊成功率都很高。

3.4 對抗攻擊網(wǎng)絡(luò)模型評價

在對抗攻擊領(lǐng)域,對抗生成的圖像缺乏良好的定量評估指標(biāo),GAN的評價指標(biāo)要能夠量化生成的樣本和真實樣本之間的差異性,并且可以評估生成的對抗樣本圖像的質(zhì)量,保證生成樣本的準(zhǔn)確性和多樣性。使用均方誤差(mean square error,MSE)、最大平均差異(kernel maximum mean discrepancy,kernel MMD)、峰值信噪比(peak signal to noise ratio,PSNR)、結(jié)構(gòu)相似性(structural similarity,SSIM)[26]來評估該方法對抗攻擊的效果。

綜合評價AmdGAN和其他3種方法的均方誤差指數(shù),圖8為4種對抗方法的均方誤差評價,由圖可知該方法的均方誤差較小,說明使用AmdGAN生成的對抗樣本在對抗攻擊時的攻擊成功率更加可信,預(yù)測精確度也最高。

圖8 4種對抗方法的均方誤差評價

4種對抗方法的最大平均差異評價如圖9所示。圖像中的4種方法最大平均差異在4.1～4.7之間,AdvGAN和Patch-GAN的變化趨勢相似,最大平均差異過高即說明GAN網(wǎng)絡(luò)結(jié)構(gòu)不佳。AmdGAN和SE-GAN的變化趨勢相似并且最大平均差異差距很小,表明通過改變生成器的結(jié)構(gòu)為SE通道注意力機(jī)制可以很好的提高GAN網(wǎng)絡(luò)的性能,生成的對抗樣本和原始圖像的分布會更加接近,生成的圖片的質(zhì)量越好。

圖9 4種對抗方法的最大平均差異評價

綜合評價AmdGAN和其他3種方法的峰值信噪比指數(shù),4種對抗方法的峰值信噪比評價如圖10所示,其中SE-GAN和AmdGAN的峰值信噪比優(yōu)于其他兩種方法,說明通過修改生成器結(jié)構(gòu)在圖像保留真實度方面優(yōu)于原始GAN網(wǎng)絡(luò)和僅修改判別器結(jié)構(gòu)的Patch-GAN,AmdGAN采用了擴(kuò)張卷積和通道注意力,該方法的峰值信噪比收斂后在71 dB左右,優(yōu)于其他3種方法,圖像失真也最小,說明生成的對抗樣本更加接近真實圖像。

圖10 4種對抗方法的峰值信噪比評價

4種對抗方法的結(jié)構(gòu)相似性評價如圖11所示,由圖可知AmdGAN的結(jié)構(gòu)相似性中位數(shù)較大、下四分位點和上四分位點也較大,其次是SE-GAN,然后是Patch-GAN,AdvGAN的中位數(shù)最小。由基礎(chǔ)數(shù)據(jù)的核密度分布可知該方法生成的對抗樣本與真實圖像的紋理和全局內(nèi)容相匹配,生成的對抗樣本具有更清晰的細(xì)節(jié),并且圖像失真最小。

圖11 4種對抗方法的結(jié)構(gòu)相似性評價

3.5 實驗結(jié)果

實驗表明,對于一個訓(xùn)練完美的醫(yī)學(xué)影像診斷模型,通過添加微小的擾動,訓(xùn)練蒸餾網(wǎng)絡(luò)模型,再采用GAN就可以生成對抗樣本來誤導(dǎo)檢測結(jié)果,從而輕易攻擊成功醫(yī)學(xué)診斷模型。采用本文方法AmdGAN進(jìn)行醫(yī)學(xué)診斷模型的對抗攻擊的對抗攻擊成功率優(yōu)于使用AdvGAN、Patch-GAN、SE-GAN進(jìn)行對抗攻擊,在生成的對抗樣本真實度上也優(yōu)于其他3種方法。4種基于GAN的對抗攻擊方式整體效果上AmdGAN最優(yōu),Patch-GAN和SE-GAN的效果次之,使用基礎(chǔ)GAN網(wǎng)絡(luò)結(jié)構(gòu)的AdvGAN最差,說明通過修改判別器網(wǎng)絡(luò)為Patch架構(gòu)可以很好地增強(qiáng)對抗攻擊效果,通過使用通道注意力機(jī)制和擴(kuò)張卷積的殘差塊生成器結(jié)構(gòu)在提升對抗攻擊成功率的同時也可以讓生成的對抗樣本真實度顯著增加。

其他基于GAN的對抗攻擊不能有效的攻擊的原因可能是沒有關(guān)注到高分辨率醫(yī)學(xué)圖像的細(xì)節(jié)特征,傳統(tǒng)的基于GAN的判別器不能夠?qū)︶t(yī)學(xué)影像捕獲核心特征信息,并且在模型迭代訓(xùn)練時迭代下降的比較慢。本文方法主要是從上述方面對GAN進(jìn)行優(yōu)化和改進(jìn),從而達(dá)到了較優(yōu)的對抗性能。

4 結(jié)論與展望

本文提出一個基于GAN的醫(yī)學(xué)診斷模型對抗攻擊方法,經(jīng)過良好訓(xùn)練的生成器可以基于有限的數(shù)據(jù)集訓(xùn)練后用于特定的醫(yī)療對抗攻擊場景,對白盒模型和半白盒模型對抗攻擊的同時,也可以對無法訪問的黑盒模型進(jìn)行知識蒸餾模型攻擊。當(dāng)應(yīng)用AmdGAN來驗證醫(yī)學(xué)模型的安全性問題時,無需了解診斷模型的網(wǎng)絡(luò)架構(gòu),并且在不知道防御是否存在的情況下生成對抗樣本時,所生成的對抗樣本能夠保持較高的感知質(zhì)量,并且在攻擊成功率方面優(yōu)于同類對抗攻擊方法。

通過使用AmdGAN對醫(yī)學(xué)診斷模型進(jìn)行攻擊找到模型的脆弱性,可以指導(dǎo)模型針對性的防御。AmdGAN可以改善醫(yī)療診斷模型的識別結(jié)果,并且降低模型訓(xùn)練的成本,對于改善醫(yī)療診斷模型的安全問題以及促進(jìn)醫(yī)療行業(yè)發(fā)展具有重要的指導(dǎo)意義。在下一步的研究中,醫(yī)療從業(yè)者以及機(jī)器學(xué)習(xí)研究人員應(yīng)該共同致力于把對抗攻擊算法融入到醫(yī)療診斷系統(tǒng)中,從而能夠提高現(xiàn)階段醫(yī)療診斷的安全性和防止醫(yī)療欺詐。