王小銀,王丹,孫家澤,楊宜康

(1. 西安郵電大學(xué)計算機(jī)學(xué)院,710121,西安; 2. 西安郵電大學(xué)陜西省網(wǎng)絡(luò)數(shù)據(jù)分析與智能處理重點(diǎn)實(shí)驗室,710121,西安; 3. 西安交通大學(xué)自動化科學(xué)與工程學(xué)院,710121,西安)

受氣候環(huán)境和生活習(xí)慣等因素影響,全球肺部疾病的發(fā)病率在逐年攀升,并且隨著大流行疾病新冠肺炎的爆發(fā),嚴(yán)重威脅了全球近80億人的生命安全,因此準(zhǔn)確識別肺部疾病極為重要。在傳統(tǒng)醫(yī)療診斷中,醫(yī)生通過對患者的表征及其相關(guān)的醫(yī)學(xué)影像進(jìn)行分析,但容易受到人為及環(huán)境因素的影響,因此僅通過人工技術(shù)難以精準(zhǔn)快速地診斷病情。隨著人工智能在醫(yī)學(xué)領(lǐng)域的發(fā)展,基于深度學(xué)習(xí)的計算機(jī)輔助診斷技術(shù)在醫(yī)療診斷方面表現(xiàn)出了明顯的優(yōu)勢和強(qiáng)大的生命力[1],醫(yī)生可以快速地獲得計算機(jī)的輔助診斷結(jié)果作為參考,有利于更準(zhǔn)確地做出最終的診斷與決策[2]。

深度神經(jīng)網(wǎng)絡(luò)(deep neural network,DNN)在醫(yī)學(xué)圖像分類中表現(xiàn)出了令人矚目的性能,提高了對疾病的識別精度和工作效率。但是,由于其本身的不可解釋性和脆弱性,被研究人員證實(shí)容易受到對抗攻擊的影響,進(jìn)而導(dǎo)致網(wǎng)絡(luò)的安全性和魯棒性受到威脅,因此其在疾病診斷中的實(shí)際應(yīng)用仍值得商議[3]。

2013年,Szegedy等[4]證明了在原樣本上添加輕微擾動會使模型以高置信度被錯誤分類,因此引發(fā)了人們對DNN泛化能力的質(zhì)疑,限制了深度學(xué)習(xí)在關(guān)鍵安全環(huán)境中的應(yīng)用[5]。目前,研究人員已經(jīng)提出了一系列不同的方法來進(jìn)行對抗攻擊。Goodfellow等[6]提出了快速梯度符號法(fast gradient sign method,FGSM),該方法在梯度變化的最大方向生成對抗擾動并添加到原圖像中,使模型被錯誤分類。在FGSM基礎(chǔ)上衍生了投影梯度下降法(project gradient descent,PGD)[7],該算法目前是公認(rèn)的最強(qiáng)白盒攻擊方法。此外,Carlini等[8]提出了一種基于優(yōu)化的攻擊方法(Carlini&Wagner,C&W),利用不同范數(shù)來限制擾動無法被察覺。Xiao等[9]受生成對抗網(wǎng)絡(luò)(generative adversarial networks,GAN)的啟發(fā),利用生成模型提出了生成對抗樣本網(wǎng)絡(luò)(AdvGAN),該方法生成的對抗樣本不僅更容易混淆目標(biāo)網(wǎng)絡(luò),人眼看起來也更加逼真。與基于梯度和優(yōu)化的方法相比,生成模型減少了對抗樣本的生成時間,并且也不需要獲取更多的背景知識,適合攻擊難度較高的半白盒和黑盒攻擊。然而,現(xiàn)有的生成方法在醫(yī)學(xué)圖像上具有兩個明顯的缺點(diǎn):①與自然圖像不同,醫(yī)學(xué)圖像具有復(fù)雜的生物紋理從而導(dǎo)致對抗擾動的敏感區(qū)域更多,因此僅使用原始的GAN網(wǎng)絡(luò)無法提取圖像中更深層次的特征信息,不能完全捕捉肺部圖像特征的語義信息,生成能力受限;②大多數(shù)攻擊算法只能在白盒場景中執(zhí)行有效攻擊,并且需要對模型的體系結(jié)構(gòu)和參數(shù)進(jìn)行無限次訪問,在設(shè)置更實(shí)際的黑盒對抗場景時無法獲得高攻擊成功率[10]。

為了解決上述問題,本文提出了一種基于GAN的黑盒可遷移性對抗攻擊方法,以有效地生成對抗樣本。針對肺部影像構(gòu)建深度學(xué)習(xí)目標(biāo)模型,利用生成對抗網(wǎng)絡(luò)生成對抗樣本,并運(yùn)用無數(shù)據(jù)黑盒對抗攻擊框架實(shí)現(xiàn)可遷移性對抗攻擊,獲得高黑盒攻擊成功率,提高對抗樣本的可遷移性和攻擊性能。與其他黑盒攻擊場景下基于GAN的對抗方法進(jìn)行實(shí)驗對比,結(jié)果表明本文方法生成的對抗樣本攻擊效果更好,生成的圖像也更接近于真實(shí)圖像。

1 GAN網(wǎng)絡(luò)對抗攻擊

1.1 生成對抗網(wǎng)絡(luò)

GAN是一種有效的深度生成模型,由生成器G和判別器D組成,如圖1所示。

圖1 GAN網(wǎng)絡(luò)架構(gòu)Fig.1 The network architecture diagram of GAN

生成器G用于學(xué)習(xí)真實(shí)圖像的數(shù)據(jù)分布x～p(x),合成以假亂真的圖像G(z)。判別器D負(fù)責(zé)判斷輸入圖像的真假,為生成器提供指導(dǎo)信息。GAN損失表示為

Ez～p(z)[log(1-D(G(z)))]

(1)

在訓(xùn)練過程中,生成器G和判別器D通過交替優(yōu)化的方式互相學(xué)習(xí),以提高自身的生成能力和判別能力。直至判別器不足以區(qū)分真實(shí)圖像和偽造圖像,即生成器能夠生成最為逼真的假樣本時,博弈雙方達(dá)到納什平衡狀態(tài)。

1.2 對抗攻擊

盡管DNN診斷模型具有高性能,但研究發(fā)現(xiàn)其容易受到對抗攻擊的影響。根據(jù)攻擊場景,將對抗攻擊分為白盒攻擊和黑盒攻擊。在白盒場景中執(zhí)行攻擊,可以訪問目標(biāo)模型的網(wǎng)絡(luò)結(jié)構(gòu)、訓(xùn)練參數(shù)等。但是,由于隱私和安全性,這種攻擊場景在現(xiàn)實(shí)中通常不可用[11]。在執(zhí)行更為實(shí)際的黑盒攻擊時,既可以通過查詢目標(biāo)模型直接實(shí)施攻擊,也可以利用對抗樣本的可遷移性訓(xùn)練替代模型生成對抗樣本來欺騙目標(biāo)模型。由于無法直接獲取目標(biāo)模型的訓(xùn)練數(shù)據(jù),Truong等[12]提出了在無數(shù)據(jù)黑盒場景中訓(xùn)練替代模型:生成模型負(fù)責(zé)合成輸入圖像,并在合成圖像上訓(xùn)練替代模型來模仿目標(biāo)模型。在訓(xùn)練過程中,替代模型和生成模型分別嘗試最小化和最大化替代模型和目標(biāo)模型之間的匹配率,直至替代模型收斂。然而,準(zhǔn)確量化替代模型和生成模型之間的分歧非常困難,而且不穩(wěn)定的訓(xùn)練過程會導(dǎo)致模型難以收斂甚至崩潰,繼而無法在實(shí)踐中達(dá)到理想的納什均衡點(diǎn)。

因此,本文利用一個更優(yōu)的黑盒攻擊框架:改變生成模型和替代模型之間的博弈,讓雙方不用在最小化-最大化中直接競爭,使生成模型和替代模型具有相對獨(dú)立的優(yōu)化過程,并且通過平衡數(shù)據(jù)分布和促進(jìn)數(shù)據(jù)多樣性來緩解替代模型在訓(xùn)練過程中出現(xiàn)的模型崩潰問題,使替代模型可以更快更穩(wěn)定地收斂到目標(biāo)模型,實(shí)現(xiàn)可遷移性對抗攻擊。

2 肺部疾病診斷模型黑盒對抗攻擊

本文提出了一種基于GAN的肺部疾病診斷模型黑盒可遷移性對抗攻擊方法BA-GAN。構(gòu)建肺部疾病診斷目標(biāo)模型,利用無數(shù)據(jù)黑盒對抗攻擊框架(data-free black-box adversarial attack, DBAA)獲得替代模型,實(shí)現(xiàn)黑盒可遷移性對抗攻擊。利用AI-GAN(attack-inspired GAN)方法生成對抗樣本,其中:使用殘差神經(jīng)網(wǎng)絡(luò)(ResNet)作為生成器的基本骨架,并設(shè)計帶有擴(kuò)張卷積的殘差塊[13]和輕量高效的金字塔分割注意力機(jī)制(pyramid split attention,PSA)[14]對生成器進(jìn)行改進(jìn)優(yōu)化,以提高網(wǎng)絡(luò)的特征表達(dá)能力;設(shè)置帶有輔助分類器的判別器對生成的樣本進(jìn)行分類,并且添加攻擊者對判別器實(shí)施對抗訓(xùn)練,增強(qiáng)對抗樣本的攻擊能力和穩(wěn)定GAN的訓(xùn)練。整體對抗攻擊流程如圖2所示。

圖2 肺部疾病診斷模型對抗攻擊流程Fig.2 The flow chart of adversarial attack

2.1 黑盒對抗攻擊框架

構(gòu)建無數(shù)據(jù)黑盒攻擊框架,具體包括數(shù)據(jù)合成和替代模型蒸餾兩個階段。在對抗攻擊時使用模型蒸餾技術(shù),對未知的診斷模型進(jìn)行參數(shù)學(xué)習(xí)和模型復(fù)制,實(shí)現(xiàn)對未知網(wǎng)絡(luò)模型的高可靠攻擊,增加對攻擊對象的遷移性與通用性[15]。無數(shù)據(jù)黑盒對抗攻擊框架如圖3所示。

在第一階段,生成器G合成分布接近于目標(biāo)訓(xùn)練所需的數(shù)據(jù)X。為了緩解替代模型在訓(xùn)練過程中容易崩潰的問題以及提高替代模型的準(zhǔn)確率,引入最大化信息熵和隨機(jī)標(biāo)簽平滑策略,生成損失表示為

(2)

LG=Lce+αLH

(3)

在第二階段,替代模型用合成的數(shù)據(jù)進(jìn)行訓(xùn)練,從而有效地模仿目標(biāo)模型。對替代模型和目標(biāo)模型采用蒸餾技術(shù),蒸餾損失表示為

Ld=CE(T(X),S(X))

(4)

式中:T(X)表示目標(biāo)模型的輸出;S(X)表示蒸餾替代模型的輸出。

圖3 無數(shù)據(jù)黑盒對抗攻擊框架Fig.3 Data-free black box adversarial attack framework

為了獲得高攻擊成功率,使替代模型和目標(biāo)模型具有高度一致的決策邊界來促進(jìn)替代模型的訓(xùn)練,需要在蒸餾過程中對兩種類型數(shù)據(jù)多加關(guān)注[16]。第一類是目標(biāo)模型和替代模型邊界之間具有決策分歧的數(shù)據(jù),給予這些數(shù)據(jù)更多權(quán)重有助于彌合兩個決策邊界之間的差距,由此引入邊界支持損失Lb

(5)

另一類是目標(biāo)模型和替代模型決策邊界更加接近的數(shù)據(jù),對這類數(shù)據(jù)給予更多權(quán)重可確保在替代模型上對抗樣本可以繼續(xù)朝著目標(biāo)模型的方向移動,由此引入對抗樣本支持損失Lv

(6)

在模型蒸餾過程中要使得目標(biāo)函數(shù)最小化來確保替代模型的輸出結(jié)果逐漸逼近于目標(biāo)模型,用β1和β2控制損失占比,目標(biāo)函數(shù)表示為

L=Ld+β1Lb+β2Lv

(7)

通過優(yōu)化合成圖像的蒸餾目標(biāo),得到特征非常接近黑盒目標(biāo)模型的替代模型,然后對經(jīng)過蒸餾提煉的網(wǎng)絡(luò)使用白盒攻擊的方式進(jìn)行攻擊,生成攻擊性能最優(yōu)的對抗樣本。相比于基于查詢的黑盒攻擊方式,該方法能在查詢預(yù)算有限的情況下顯著提高黑盒攻擊方式下的對抗成功率,并且利用替代模型制作對抗樣本消耗的計算資源更少,在實(shí)踐中更為現(xiàn)實(shí)。

2.2 基于AI-GAN的對抗樣本生成方法

構(gòu)造基于GAN的對抗樣本生成模型,由生成器G、雙頭判別器D、攻擊者、輔助分類器和攻擊模型組成。采用AI-GAN方法生成對抗樣本的整體架構(gòu),如圖4所示。

圖4 AI-GAN整體架構(gòu)Fig.4 The overall architecture diagram of AI-GAN

生成器G和判別器D均以端到端的方式進(jìn)行訓(xùn)練。生成器G將原始肺部圖像x和目標(biāo)類別t作為輸入以生成對抗擾動G(x,t),疊加到原始圖像x上獲得對抗樣本Xpert,并在L2范數(shù)的約束下盡可能減小擾動,從而保證生成圖像的真實(shí)性。為了增強(qiáng)對抗樣本的攻擊能力,添加了攻擊者進(jìn)行對抗訓(xùn)練。在判別器中設(shè)置了輔助分類器來提高攻擊效率,因此判別器既可以區(qū)分圖像的真?zhèn)涡?也可以對樣本進(jìn)行正確分類。一旦GAN網(wǎng)絡(luò)訓(xùn)練結(jié)束后,就可以設(shè)置不同的目標(biāo)類別對模型執(zhí)行半白盒和黑盒攻擊,并且能在保持圖像質(zhì)量的前提下顯著提高對抗樣本的攻擊性能。

2.2.1 判別器網(wǎng)絡(luò)結(jié)構(gòu)

基于GAN的生成方法不能像基于梯度的方法一樣直接在分類決策邊界上運(yùn)行,并且隨著圖像大小的增加,攻擊性能會急劇下降,這是由于分類空間和生成空間存在的潛在差異引起的。因此,本文的判別器采用AC-GAN的判別器[17],在原始判別器中引入了分類器來關(guān)聯(lián)生成器,將生成器中的高級特征空間與分類器的分類特征空間對齊,此時生成空間中的擾動可以映射到原始圖像的分類空間以保證對抗攻擊發(fā)生在模型的決策邊界上,提高攻擊效率。

將攻擊者添加到訓(xùn)練過程中,增強(qiáng)了判別器的健壯性和魯棒性,從而有助于穩(wěn)定和加速整個訓(xùn)練。最終,判別器的損失函數(shù)由3部分組成:用于區(qū)分真實(shí)/擾動圖像產(chǎn)生的損失LS,攻擊者和生成器生成的對抗樣本產(chǎn)生的分類損失La和Lg,分別定義為

LS=E[logP(Xreal)]+E[logP(Xpert)]

(8)

La=E[logP(C=y|Xadv)]

(9)

Lg=E[logP(C=y|Xpert)]

(10)

式中y代表真實(shí)的標(biāo)簽。最大化損失函數(shù)Ls+La+Lg促使生成圖像無限逼近于真實(shí)圖像,從而保證對抗樣本的質(zhì)量。

2.2.2 生成器網(wǎng)絡(luò)結(jié)構(gòu)

生成器采用ResNet-50作為基本模型,利用編碼-解碼結(jié)構(gòu)進(jìn)行特征提取,并且設(shè)計基于擴(kuò)張卷積的殘差塊和金字塔分割注意力機(jī)制以提高特征表達(dá)能力,在解決深度神經(jīng)網(wǎng)絡(luò)退化問題時還能有效地增大卷積核的感受野。在醫(yī)學(xué)圖像中,由于病變區(qū)域或模型感知的潛在疾病表達(dá)區(qū)域改變在攻擊中起決定性作用,所以將針對自然圖像的攻擊方法應(yīng)用到醫(yī)學(xué)圖像特征中缺乏特異性,因此引入金字塔分割注意力機(jī)制,使擾動更多地集中發(fā)生在病變區(qū)域,生成有針對性的對抗擾動。生成器和判別器的網(wǎng)絡(luò)結(jié)構(gòu)如圖5所示。

生成器的損失函數(shù)由攻擊目標(biāo)模型的交叉熵?fù)p失Lt和判別損失LD組成,定義為

Lt=E[logP(C=t|Xpert)]

(11)

LD=E[logP(C=t|Xpert)]

(12)

式中t是目標(biāo)攻擊的類別。最大化損失函數(shù)Lt+LD-LS使對抗樣本在攻擊過程中的結(jié)果更接近于期望值。

在原始圖像輸入和生成器輸出之間引入金字塔分割注意力機(jī)制,該注意力模塊能夠充分提取多尺度特征圖的空間信息,實(shí)現(xiàn)跨維度通道的注意力特征交互。PSA模塊主要通過4個步驟實(shí)現(xiàn),如圖6所示。

圖5 生成器和判別器網(wǎng)絡(luò)結(jié)構(gòu)Fig.5 The network structure diagram of generator and discriminator

圖6 金字塔分割注意力機(jī)制Fig.6 The pyramid split attention mechanism

(1)利用SPC模塊將通道切分為S組,然后針對每個通道特征圖上的空間信息進(jìn)行多尺度特征提取,獲得多尺度特征圖

F=Cat( [F0,F1,…,FS-1])

(13)

(2)采用SEWeight模塊提取不同尺度特征圖的通道注意力[18],得到每個尺度上的通道注意力向量

Zi=SEWeight(Fi),i=0,1,2,…,S-1

(14)

為了不破壞原始通道注意力向量的跨維度融合,以串聯(lián)的方式獲得整個多尺度通道注意力向量

Z=Z0⊕Z1⊕…⊕ZS-1

(15)

(3)使用Softmax函數(shù)對多尺度通道注意力向量進(jìn)行特征重新標(biāo)定,得到新的多尺度通道交互注意力權(quán)重

(16)

(4)對重新校準(zhǔn)的權(quán)重和相應(yīng)的特征圖按像素進(jìn)行點(diǎn)乘操作,輸出一個多尺度特征信息加權(quán)之后的特征圖

O=Cat( [Y0,Y1,…,YS-1])

(17)

式中Yi=tiFi,Yi的多尺度信息表示能力更加豐富。

使用PSA模塊替換ResNet-50殘差塊中的3×3卷積,從而獲得高效的金字塔分割注意模塊(EPSA)。EPSA可以提高模型在更細(xì)粒度上的多尺度特征表示能力,捕捉遠(yuǎn)程通道之間的相互依賴關(guān)系,提升網(wǎng)絡(luò)性能。

3 實(shí)驗結(jié)果與分析

在黑盒場景設(shè)置下,將本文方法BA-GAN與其他4種基于GAN的對抗方法在肺部疾病診斷模型上的攻擊效果進(jìn)行比較,通過對抗攻擊成功率、可遷移性以及樣本生成質(zhì)量指標(biāo)對攻擊性能進(jìn)行評估。設(shè)置消融實(shí)驗來驗證生成模型中各模塊的必要性和有效性。

3.1 數(shù)據(jù)集

使用新冠肺炎數(shù)據(jù)集[19]和Chest X-ray14數(shù)據(jù)集,圖像均是從公開可用的數(shù)據(jù)集和已發(fā)表的文章中收集的,Chest X-ray14數(shù)據(jù)集中包含14種病理:肺不張、心臟肥大、滲出、浸潤、腫塊、肺結(jié)節(jié)、普通肺炎、氣胸、肺實(shí)變、水腫、肺氣腫、纖維變性、胸膜增厚和肺疝。

3.2 構(gòu)建肺部疾病診斷目標(biāo)模型

對新冠肺炎數(shù)據(jù)集和Chest X-ray14數(shù)據(jù)集按照7∶1∶2的比例劃分為訓(xùn)練集、驗證集和測試集。為充分解決訓(xùn)練數(shù)據(jù)的不均衡問題,使用隨機(jī)翻轉(zhuǎn)、平移以及不同縮放比例進(jìn)行不同程度的數(shù)據(jù)增廣,經(jīng)過數(shù)據(jù)增廣后各單類疾病基本到達(dá)平衡。

構(gòu)建肺部疾病診斷目標(biāo)模型CheXNet,以DenseNet169網(wǎng)絡(luò)為基本骨架,利用3×3小卷積替換7×7大卷積減少模型參數(shù)量,并通過密集連接充分提取肺部圖像中的紋理邊緣信息,將全連接層的輸出維度修改為15,使用Sigmoid非線性激活函數(shù)實(shí)現(xiàn)對模型最終的分類輸出,完成肺部X-Ray圖像的多種疾病智能診斷。改進(jìn)CheXNet模型架構(gòu)如圖7所示。

圖7 改進(jìn)CheXNet模型架構(gòu)Fig.7 The model architecture of improved CheXNet

模型在訓(xùn)練時,將圖像統(tǒng)一采樣為224×224的分辨率,設(shè)置Batch_size為32,并根據(jù)ImageNet數(shù)據(jù)集上預(yù)訓(xùn)練的權(quán)重初始化模型,采用Momentum和SGD算法進(jìn)行優(yōu)化迭代,初始學(xué)習(xí)率為10-5,每次驗證損失在趨于穩(wěn)定一個周期后,學(xué)習(xí)率衰減為原來的1/10,直至目標(biāo)模型達(dá)到收斂狀態(tài)后保存目標(biāo)模型。

肺部疾病目標(biāo)模型的診斷正確率如表1所示?？梢钥闯?改進(jìn)CheXNet模型在各種疾病上的診斷準(zhǔn)確度明顯超過了對比模型,能實(shí)現(xiàn)對多種肺部疾病的精準(zhǔn)診斷,可以作為下一階段對抗攻擊的目標(biāo)模型。

表1 肺部疾病目標(biāo)模型的診斷正確率

3.3 肺部疾病診斷模型對抗攻擊

3.3.1 對比實(shí)驗及結(jié)果分析

使用改進(jìn)CheXNet模型作為目標(biāo)模型,訓(xùn)練DenseNet121網(wǎng)絡(luò)作為替代模型,使用CycleGAN的生成器模型合成數(shù)據(jù)[23]。為了對比DBAA在黑盒攻擊場景下的效果,與3種先進(jìn)的黑盒攻擊方法JPBA[24]、DaST[25]和DFME進(jìn)行比較,并設(shè)置無目標(biāo)對抗攻擊和有針對性的目標(biāo)攻擊兩種方式,結(jié)果如表2所示?？梢钥闯?在相同的對抗樣本生成方法下,本文提出的黑盒對抗攻擊框架DBAA的平均對抗攻擊成功率高于其他3種黑盒攻擊方法;在相同的黑盒攻擊方式下,本文提出的對抗樣本生成方法AI-GAN的對抗攻擊成功率高于其他4種基于GAN的對抗樣本生成方法。

表2 5種對抗方法的無目標(biāo)和目標(biāo)平均對抗攻擊成功率

表3展示了常見的肺部疾病在BA-GAN方法下的黑盒攻擊成功率。可以看出,本文對抗攻擊方法BA-GAN能顯著地提高黑盒攻擊方式下的對抗成功率,能有效地欺騙肺部疾病診斷模型進(jìn)而產(chǎn)生錯誤的診斷結(jié)果。

表3 常見肺部疾病在BA-GAN方法下的對抗攻擊成功率

BA-GAN不僅增強(qiáng)了對抗攻擊性能,也提高了對抗樣本的可遷移性。可遷移性是衡量替代模型生成的對抗樣本遷移到未知內(nèi)部信息的黑盒目標(biāo)模型上的能力。表4展示了黑盒攻擊場景下4種基于GAN的攻擊方法以及BA-GAN生成的對抗樣本的非目標(biāo)遷移攻擊成功率和目標(biāo)遷移攻擊成功率?？梢钥闯?BA-GAN生成的對抗樣本具有一定的遷移能力,可以顯著轉(zhuǎn)移到其他未知的目標(biāo)模型上,即生成的對抗樣本能以黑盒形式攻擊其他未知的網(wǎng)絡(luò)模型并取得高攻擊成功率。

表4 對抗樣本的可遷移性

AdvGAN、AdvGAN++、Natural-GAN、Rob-GAN和BA-GAN的對抗攻擊效果對比如圖8所示?？梢钥闯?隨著迭代輪數(shù)的增加,BA-GAN攻擊模型的收斂速度更快,且設(shè)置在黑盒場景DBAA下的無目標(biāo)對抗攻擊對抗成功率達(dá)到了79.34%,優(yōu)于其他4種基于GAN的對抗攻擊方法,因此BA-GAN的對抗攻擊效果更佳。

圖8 5種方法對抗攻擊效果對比Fig.8 The comparison diagram of adversarial attack

圖9可視化了原始肺部圖像、不同方法生成的對抗樣本以及改變的像素點(diǎn),使用紅色標(biāo)注與原圖相比發(fā)生改變的像素點(diǎn),用綠色標(biāo)注未改變的像素點(diǎn)。計算結(jié)果顯示,AdvGAN、AdvGAN++、Natural-GAN、Rob-GAN和BA-GAN生成的對抗樣本與原圖相比像素數(shù)改變了55.01%、49.88%、35.69%、42.72%和25.65%。由實(shí)驗結(jié)果可知,本文BA-GAN方法能以更少地改變攻擊目標(biāo)中的像素來達(dá)到成功攻擊的目的,并且生成的對抗樣本更真實(shí)自然。

圖9 5種方法對抗樣本可視化對比Fig.9 Visualization of adversarial samples

為了評估生成的對抗樣本圖像質(zhì)量,使用FID(Frechet inception distance score)分?jǐn)?shù)[26]、結(jié)構(gòu)相似度(structural similarity, SSIM)、L2范數(shù)以及峰值信噪比(peak signal to noise ratio, PSNR)對上述5種對抗攻擊方法進(jìn)行實(shí)驗對比。

FID分?jǐn)?shù)是一種評估生成圖像質(zhì)量的指標(biāo),用來計算原始圖像和生成圖像之間的相似度。在無目標(biāo)攻擊任務(wù)下,5種對抗方法的FID分?jǐn)?shù)如圖10所示?？梢钥闯?BA-GAN的FID分?jǐn)?shù)中位數(shù)最小、上四分位點(diǎn)和下四分位點(diǎn)相比于其他4種方法也較小,其次是Natural-GAN,然后是Rob-GAN、AdvGAN++和AdvGAN。根據(jù)小提琴圖的概率密度和分布狀態(tài)可知,該方法生成的對抗樣本與原始圖像計算的FID分?jǐn)?shù)值最小,表明生成的對抗樣本更接近于原始圖像,具有更清晰的紋理細(xì)節(jié),人眼看起來更加自然。

圖10 對抗攻擊方法的FID分?jǐn)?shù)對比Fig.10 FID scores comparison diagram of adversarial methods

結(jié)構(gòu)相似度是一種從亮度、結(jié)構(gòu)和對比度3個方面綜合評價圖像的指標(biāo),5種對抗方法的結(jié)構(gòu)相似度指數(shù)如圖11所示?？梢钥闯?BA-GAN和Natural-GAN的結(jié)構(gòu)相似度隨著迭代輪數(shù)的增加顯著優(yōu)于其他方法,比只添加了攻擊者的Rob-GAN、使用原始GAN網(wǎng)絡(luò)的AdvGAN和AdvGAN++方法在生成方面能力更強(qiáng),表明通過優(yōu)化生成器的網(wǎng)絡(luò)結(jié)構(gòu),可以進(jìn)一步提高網(wǎng)絡(luò)性能。

圖11 對抗攻擊方法的結(jié)構(gòu)相似度對比Fig.11 SSIM comparison diagram of adversarial methods

L2范數(shù)是為了提高模型的抗過擬合能力而被加入到損失函數(shù)中的擾動約束,能定量判斷攻擊結(jié)果是否符合視覺的感知判斷。5種對抗方法的L2范數(shù)變化趨勢如圖12所示?？梢钥闯?在攻擊程度趨于收斂時,對抗擾動幅度也在減小。BA-GAN方法計算出的擾動量明顯小于其他4方法,生成的對抗樣本與原始圖像更加接近,質(zhì)量更高,對抗攻擊效果也更加可信。

圖12 對抗攻擊方法的L2約束對比Fig.12 L2-norms comparison diagram of adversarial methods

峰值信噪比是一種基于誤差敏感的圖像質(zhì)量評價指標(biāo),圖13展示了BA-GAN與其他4種對抗攻擊方法的峰值信噪比?？梢钥闯?Natural-GAN和BA-GAN的峰值信噪比高于其他3種方法,說明通過修改生成器的結(jié)構(gòu),充分提取圖像空間中的特征關(guān)系可以很好地提高GAN網(wǎng)絡(luò)的性能,生成的對抗樣本與原始圖像的特征分布更加接近,視覺效果更好。

圖13 對抗攻擊方法的峰值信噪指數(shù)對比Fig.13 PSNR comparison diagram of adversarial methods

3.3.2 消融實(shí)驗及結(jié)果分析

為了驗證本文BA-GAN的有效性,需要進(jìn)一步分析對抗樣本生成模型中關(guān)鍵模塊對實(shí)驗結(jié)果的影響。為此,設(shè)計相關(guān)的消融實(shí)驗,主要探究在BA-GAN上移除擴(kuò)張卷積的殘差塊(DR)、金字塔分割注意力機(jī)制(PSA)、AC-GAN判別器(AC)和PGD攻擊者(ATT)對對抗樣本生成的影響,最后根據(jù)實(shí)驗結(jié)果分析各模塊的重要性。

為了確保驗證的合理性,實(shí)驗中用到的模型采用完全相同的訓(xùn)練參數(shù),并且都設(shè)置在黑盒攻擊場景下。針對目標(biāo)攻擊和無目標(biāo)攻擊兩種方式,分別從對抗攻擊成功率和對抗樣本添加的平均擾動量來驗證對抗樣本生成模型中各個模塊的必要性,實(shí)驗結(jié)果如表5所示。

由表5可知,在移除擴(kuò)張卷積的殘差塊和金字塔注意力機(jī)制后,攻擊成功率明顯下降,擾動也顯著增加,說明在生成器中引入擴(kuò)張卷積的殘差塊能在特征提取時增大感受野和提取多尺度上下文信息,比使用普通卷積的性能更好。引入的金字塔分割注意力機(jī)制能在多尺度通道注意力間建立一種長距離的特征依賴關(guān)系,從而彌補(bǔ)了僅使用擴(kuò)張卷積獲取的遠(yuǎn)距離信息沒有相關(guān)性的弊端,因此缺失這兩個模塊后對于目標(biāo)攻擊任務(wù)和非目標(biāo)攻擊任務(wù),對抗攻擊成功率分別下降了7%和10%,平均擾動分別增加了4.92和5.89。相比于移除DR和PSA,移除AC和ATT的攻擊效果略微下降,說明使用AC-GAN判別器和添加攻擊者對對抗樣本的攻擊能力和生成質(zhì)量有一定的提升,但效果有限。一方面是因為在GAN的判別器中添加分類網(wǎng)絡(luò)以實(shí)現(xiàn)在分類特征空間中引起攻擊的難度較大,另一方面是因為采用PGD攻擊者雖然能控制擾動在一定的范圍內(nèi),但需要對梯度進(jìn)行多步迭代才能獲取最優(yōu)值。消融實(shí)驗結(jié)果證明了本文提出的對抗樣本生成模型中各模塊的優(yōu)越性,說明使用BA-GAN方法生成的對抗樣本在對抗攻擊時獲得的高黑盒攻擊成功率更加可靠,圖像擾動更小。

表5 消融實(shí)驗結(jié)果

4 結(jié) 論

本文提出了一種基于GAN的肺部疾病診斷模型黑盒可遷移性對抗攻擊方法BA-GAN,在無目標(biāo)對抗攻擊和有針對性對抗攻擊兩種方式下,該方法能在查詢次數(shù)有限、更嚴(yán)格的黑盒場景中實(shí)現(xiàn)可遷移性對抗攻擊,并取得較高的攻擊成功率。改進(jìn)后的對抗樣本生成方法相比于其他傳統(tǒng)基于GAN的攻擊方法更能捕捉肺部圖像的語義特征信息和紋理細(xì)節(jié),生成的對抗樣本更加真實(shí),并且可遷移性更高。

自從發(fā)現(xiàn)DNN存在對抗擾動的問題后,基于DNN的臨床診斷模型更容易被攻擊者欺騙,導(dǎo)致醫(yī)療模型產(chǎn)生致命性錯誤,進(jìn)而誤導(dǎo)醫(yī)生做出錯誤的決策[27],因此本文提出的對抗攻擊方法是為了更好地幫助深度神經(jīng)網(wǎng)絡(luò)抵御未知的惡意攻擊,進(jìn)而訓(xùn)練出更穩(wěn)健、更具解釋性的模型,并且為加固深度學(xué)習(xí)模型在醫(yī)療領(lǐng)域的安全性和魯棒性提供了參考方案。在進(jìn)一步的研究中,需要測試更多的醫(yī)療診斷模型,優(yōu)化訓(xùn)練方法,提高黑盒對抗成功率。但是,在開發(fā)用于醫(yī)學(xué)成像的DNN模型及其實(shí)際應(yīng)用時,需要更加謹(jǐn)慎仔細(xì)地考慮。