采用GAN的肺部疾病診斷模型黑盒可遷移性對(duì)抗攻擊方法

王小銀,王丹,孫家澤,楊宜康

(1. 西安郵電大學(xué)計(jì)算機(jī)學(xué)院,710121,西安; 2. 西安郵電大學(xué)陜西省網(wǎng)絡(luò)數(shù)據(jù)分析與智能處理重點(diǎn)實(shí)驗(yàn)室,710121,西安; 3. 西安交通大學(xué)自動(dòng)化科學(xué)與工程學(xué)院,710121,西安)

受氣候環(huán)境和生活習(xí)慣等因素影響,全球肺部疾病的發(fā)病率在逐年攀升,并且隨著大流行疾病新冠肺炎的爆發(fā),嚴(yán)重威脅了全球近80億人的生命安全,因此準(zhǔn)確識(shí)別肺部疾病極為重要。在傳統(tǒng)醫(yī)療診斷中,醫(yī)生通過對(duì)患者的表征及其相關(guān)的醫(yī)學(xué)影像進(jìn)行分析,但容易受到人為及環(huán)境因素的影響,因此僅通過人工技術(shù)難以精準(zhǔn)快速地診斷病情。隨著人工智能在醫(yī)學(xué)領(lǐng)域的發(fā)展,基于深度學(xué)習(xí)的計(jì)算機(jī)輔助診斷技術(shù)在醫(yī)療診斷方面表現(xiàn)出了明顯的優(yōu)勢(shì)和強(qiáng)大的生命力[1],醫(yī)生可以快速地獲得計(jì)算機(jī)的輔助診斷結(jié)果作為參考,有利于更準(zhǔn)確地做出最終的診斷與決策[2]。

深度神經(jīng)網(wǎng)絡(luò)(deep neural network,DNN)在醫(yī)學(xué)圖像分類中表現(xiàn)出了令人矚目的性能,提高了對(duì)疾病的識(shí)別精度和工作效率。但是,由于其本身的不可解釋性和脆弱性,被研究人員證實(shí)容易受到對(duì)抗攻擊的影響,進(jìn)而導(dǎo)致網(wǎng)絡(luò)的安全性和魯棒性受到威脅,因此其在疾病診斷中的實(shí)際應(yīng)用仍值得商議[3]。

2013年,Szegedy等[4]證明了在原樣本上添加輕微擾動(dòng)會(huì)使模型以高置信度被錯(cuò)誤分類,因此引發(fā)了人們對(duì)DNN泛化能力的質(zhì)疑,限制了深度學(xué)習(xí)在關(guān)鍵安全環(huán)境中的應(yīng)用[5]。目前,研究人員已經(jīng)提出了一系列不同的方法來進(jìn)行對(duì)抗攻擊。Goodfellow等[6]提出了快速梯度符號(hào)法(fast gradient sign method,FGSM),該方法在梯度變化的最大方向生成對(duì)抗擾動(dòng)并添加到原圖像中,使模型被錯(cuò)誤分類。在FGSM基礎(chǔ)上衍生了投影梯度下降法(project gradient descent,PGD)[7],該算法目前是公認(rèn)的最強(qiáng)白盒攻擊方法。此外,Carlini等[8]提出了一種基于優(yōu)化的攻擊方法(Carlini&Wagner,C&W),利用不同范數(shù)來限制擾動(dòng)無法被察覺。Xiao等[9]受生成對(duì)抗網(wǎng)絡(luò)(generative adversarial networks,GAN)的啟發(fā),利用生成模型提出了生成對(duì)抗樣本網(wǎng)絡(luò)(AdvGAN),該方法生成的對(duì)抗樣本不僅更容易混淆目標(biāo)網(wǎng)絡(luò),人眼看起來也更加逼真。與基于梯度和優(yōu)化的方法相比,生成模型減少了對(duì)抗樣本的生成時(shí)間,并且也不需要獲取更多的背景知識(shí),適合攻擊難度較高的半白盒和黑盒攻擊。然而,現(xiàn)有的生成方法在醫(yī)學(xué)圖像上具有兩個(gè)明顯的缺點(diǎn):①與自然圖像不同,醫(yī)學(xué)圖像具有復(fù)雜的生物紋理從而導(dǎo)致對(duì)抗擾動(dòng)的敏感區(qū)域更多,因此僅使用原始的GAN網(wǎng)絡(luò)無法提取圖像中更深層次的特征信息,不能完全捕捉肺部圖像特征的語義信息,生成能力受限;②大多數(shù)攻擊算法只能在白盒場景中執(zhí)行有效攻擊,并且需要對(duì)模型的體系結(jié)構(gòu)和參數(shù)進(jìn)行無限次訪問,在設(shè)置更實(shí)際的黑盒對(duì)抗場景時(shí)無法獲得高攻擊成功率[10]。

為了解決上述問題,本文提出了一種基于GAN的黑盒可遷移性對(duì)抗攻擊方法,以有效地生成對(duì)抗樣本。針對(duì)肺部影像構(gòu)建深度學(xué)習(xí)目標(biāo)模型,利用生成對(duì)抗網(wǎng)絡(luò)生成對(duì)抗樣本,并運(yùn)用無數(shù)據(jù)黑盒對(duì)抗攻擊框架實(shí)現(xiàn)可遷移性對(duì)抗攻擊,獲得高黑盒攻擊成功率,提高對(duì)抗樣本的可遷移性和攻擊性能。與其他黑盒攻擊場景下基于GAN的對(duì)抗方法進(jìn)行實(shí)驗(yàn)對(duì)比,結(jié)果表明本文方法生成的對(duì)抗樣本攻擊效果更好,生成的圖像也更接近于真實(shí)圖像。

1 GAN網(wǎng)絡(luò)對(duì)抗攻擊

1.1 生成對(duì)抗網(wǎng)絡(luò)

GAN是一種有效的深度生成模型,由生成器G和判別器D組成,如圖1所示。

圖1 GAN網(wǎng)絡(luò)架構(gòu)Fig.1 The network architecture diagram of GAN

生成器G用于學(xué)習(xí)真實(shí)圖像的數(shù)據(jù)分布x～p(x),合成以假亂真的圖像G(z)。判別器D負(fù)責(zé)判斷輸入圖像的真假,為生成器提供指導(dǎo)信息。GAN損失表示為

Ez～p(z)[log(1-D(G(z)))]

(1)

在訓(xùn)練過程中,生成器G和判別器D通過交替優(yōu)化的方式互相學(xué)習(xí),以提高自身的生成能力和判別能力。直至判別器不足以區(qū)分真實(shí)圖像和偽造圖像,即生成器能夠生成最為逼真的假樣本時(shí),博弈雙方達(dá)到納什平衡狀態(tài)。

1.2 對(duì)抗攻擊

盡管DNN診斷模型具有高性能,但研究發(fā)現(xiàn)其容易受到對(duì)抗攻擊的影響。根據(jù)攻擊場景,將對(duì)抗攻擊分為白盒攻擊和黑盒攻擊。在白盒場景中執(zhí)行攻擊,可以訪問目標(biāo)模型的網(wǎng)絡(luò)結(jié)構(gòu)、訓(xùn)練參數(shù)等。但是,由于隱私和安全性,這種攻擊場景在現(xiàn)實(shí)中通常不可用[11]。在執(zhí)行更為實(shí)際的黑盒攻擊時(shí),既可以通過查詢目標(biāo)模型直接實(shí)施攻擊,也可以利用對(duì)抗樣本的可遷移性訓(xùn)練替代模型生成對(duì)抗樣本來欺騙目標(biāo)模型。由于無法直接獲取目標(biāo)模型的訓(xùn)練數(shù)據(jù),Truong等[12]提出了在無數(shù)據(jù)黑盒場景中訓(xùn)練替代模型:生成模型負(fù)責(zé)合成輸入圖像,并在合成圖像上訓(xùn)練替代模型來模仿目標(biāo)模型。在訓(xùn)練過程中,替代模型和生成模型分別嘗試最小化和最大化替代模型和目標(biāo)模型之間的匹配率,直至替代模型收斂。然而,準(zhǔn)確量化替代模型和生成模型之間的分歧非常困難,而且不穩(wěn)定的訓(xùn)練過程會(huì)導(dǎo)致模型難以收斂甚至崩潰,繼而無法在實(shí)踐中達(dá)到理想的納什均衡點(diǎn)。

因此,本文利用一個(gè)更優(yōu)的黑盒攻擊框架:改變生成模型和替代模型之間的博弈,讓雙方不用在最小化-最大化中直接競爭,使生成模型和替代模型具有相對(duì)獨(dú)立的優(yōu)化過程,并且通過平衡數(shù)據(jù)分布和促進(jìn)數(shù)據(jù)多樣性來緩解替代模型在訓(xùn)練過程中出現(xiàn)的模型崩潰問題,使替代模型可以更快更穩(wěn)定地收斂到目標(biāo)模型,實(shí)現(xiàn)可遷移性對(duì)抗攻擊。

2 肺部疾病診斷模型黑盒對(duì)抗攻擊

本文提出了一種基于GAN的肺部疾病診斷模型黑盒可遷移性對(duì)抗攻擊方法BA-GAN。構(gòu)建肺部疾病診斷目標(biāo)模型,利用無數(shù)據(jù)黑盒對(duì)抗攻擊框架(data-free black-box adversarial attack, DBAA)獲得替代模型,實(shí)現(xiàn)黑盒可遷移性對(duì)抗攻擊。利用AI-GAN(attack-inspired GAN)方法生成對(duì)抗樣本,其中:使用殘差神經(jīng)網(wǎng)絡(luò)(ResNet)作為生成器的基本骨架,并設(shè)計(jì)帶有擴(kuò)張卷積的殘差塊[13]和輕量高效的金字塔分割注意力機(jī)制(pyramid split attention,PSA)[14]對(duì)生成器進(jìn)行改進(jìn)優(yōu)化,以提高網(wǎng)絡(luò)的特征表達(dá)能力;設(shè)置帶有輔助分類器的判別器對(duì)生成的樣本進(jìn)行分類,并且添加攻擊者對(duì)判別器實(shí)施對(duì)抗訓(xùn)練,增強(qiáng)對(duì)抗樣本的攻擊能力和穩(wěn)定GAN的訓(xùn)練。整體對(duì)抗攻擊流程如圖2所示。

圖2 肺部疾病診斷模型對(duì)抗攻擊流程Fig.2 The flow chart of adversarial attack

2.1 黑盒對(duì)抗攻擊框架

構(gòu)建無數(shù)據(jù)黑盒攻擊框架,具體包括數(shù)據(jù)合成和替代模型蒸餾兩個(gè)階段。在對(duì)抗攻擊時(shí)使用模型蒸餾技術(shù),對(duì)未知的診斷模型進(jìn)行參數(shù)學(xué)習(xí)和模型復(fù)制,實(shí)現(xiàn)對(duì)未知網(wǎng)絡(luò)模型的高可靠攻擊,增加對(duì)攻擊對(duì)象的遷移性與通用性[15]。無數(shù)據(jù)黑盒對(duì)抗攻擊框架如圖3所示。

在第一階段,生成器G合成分布接近于目標(biāo)訓(xùn)練所需的數(shù)據(jù)X。為了緩解替代模型在訓(xùn)練過程中容易崩潰的問題以及提高替代模型的準(zhǔn)確率,引入最大化信息熵和隨機(jī)標(biāo)簽平滑策略,生成損失表示為

(2)

LG=Lce+αLH

(3)

在第二階段,替代模型用合成的數(shù)據(jù)進(jìn)行訓(xùn)練,從而有效地模仿目標(biāo)模型。對(duì)替代模型和目標(biāo)模型采用蒸餾技術(shù),蒸餾損失表示為

Ld=CE(T(X),S(X))

(4)

式中:T(X)表示目標(biāo)模型的輸出;S(X)表示蒸餾替代模型的輸出。

圖3 無數(shù)據(jù)黑盒對(duì)抗攻擊框架Fig.3 Data-free black box adversarial attack framework

為了獲得高攻擊成功率,使替代模型和目標(biāo)模型具有高度一致的決策邊界來促進(jìn)替代模型的訓(xùn)練,需要在蒸餾過程中對(duì)兩種類型數(shù)據(jù)多加關(guān)注[16]。第一類是目標(biāo)模型和替代模型邊界之間具有決策分歧的數(shù)據(jù),給予這些數(shù)據(jù)更多權(quán)重有助于彌合兩個(gè)決策邊界之間的差距,由此引入邊界支持損失Lb

(5)

另一類是目標(biāo)模型和替代模型決策邊界更加接近的數(shù)據(jù),對(duì)這類數(shù)據(jù)給予更多權(quán)重可確保在替代模型上對(duì)抗樣本可以繼續(xù)朝著目標(biāo)模型的方向移動(dòng),由此引入對(duì)抗樣本支持損失Lv

(6)

在模型蒸餾過程中要使得目標(biāo)函數(shù)最小化來確保替代模型的輸出結(jié)果逐漸逼近于目標(biāo)模型,用β1和β2控制損失占比,目標(biāo)函數(shù)表示為

L=Ld+β1Lb+β2Lv

(7)

通過優(yōu)化合成圖像的蒸餾目標(biāo),得到特征非常接近黑盒目標(biāo)模型的替代模型,然后對(duì)經(jīng)過蒸餾提煉的網(wǎng)絡(luò)使用白盒攻擊的方式進(jìn)行攻擊,生成攻擊性能最優(yōu)的對(duì)抗樣本。相比于基于查詢的黑盒攻擊方式,該方法能在查詢預(yù)算有限的情況下顯著提高黑盒攻擊方式下的對(duì)抗成功率,并且利用替代模型制作對(duì)抗樣本消耗的計(jì)算資源更少,在實(shí)踐中更為現(xiàn)實(shí)。

2.2 基于AI-GAN的對(duì)抗樣本生成方法

構(gòu)造基于GAN的對(duì)抗樣本生成模型,由生成器G、雙頭判別器D、攻擊者、輔助分類器和攻擊模型組成。采用AI-GAN方法生成對(duì)抗樣本的整體架構(gòu),如圖4所示。

圖4 AI-GAN整體架構(gòu)Fig.4 The overall architecture diagram of AI-GAN

生成器G和判別器D均以端到端的方式進(jìn)行訓(xùn)練。生成器G將原始肺部圖像x和目標(biāo)類別t作為輸入以生成對(duì)抗擾動(dòng)G(x,t),疊加到原始圖像x上獲得對(duì)抗樣本Xpert,并在L2范數(shù)的約束下盡可能減小擾動(dòng),從而保證生成圖像的真實(shí)性。為了增強(qiáng)對(duì)抗樣本的攻擊能力,添加了攻擊者進(jìn)行對(duì)抗訓(xùn)練。在判別器中設(shè)置了輔助分類器來提高攻擊效率,因此判別器既可以區(qū)分圖像的真?zhèn)涡?也可以對(duì)樣本進(jìn)行正確分類。一旦GAN網(wǎng)絡(luò)訓(xùn)練結(jié)束后,就可以設(shè)置不同的目標(biāo)類別對(duì)模型執(zhí)行半白盒和黑盒攻擊,并且能在保持圖像質(zhì)量的前提下顯著提高對(duì)抗樣本的攻擊性能。

2.2.1 判別器網(wǎng)絡(luò)結(jié)構(gòu)

基于GAN的生成方法不能像基于梯度的方法一樣直接在分類決策邊界上運(yùn)行,并且隨著圖像大小的增加,攻擊性能會(huì)急劇下降,這是由于分類空間和生成空間存在的潛在差異引起的。因此,本文的判別器采用AC-GAN的判別器[17],在原始判別器中引入了分類器來關(guān)聯(lián)生成器,將生成器中的高級(jí)特征空間與分類器的分類特征空間對(duì)齊,此時(shí)生成空間中的擾動(dòng)可以映射到原始圖像的分類空間以保證對(duì)抗攻擊發(fā)生在模型的決策邊界上,提高攻擊效率。

將攻擊者添加到訓(xùn)練過程中,增強(qiáng)了判別器的健壯性和魯棒性,從而有助于穩(wěn)定和加速整個(gè)訓(xùn)練。最終,判別器的損失函數(shù)由3部分組成:用于區(qū)分真實(shí)/擾動(dòng)圖像產(chǎn)生的損失LS,攻擊者和生成器生成的對(duì)抗樣本產(chǎn)生的分類損失La和Lg,分別定義為

LS=E[logP(Xreal)]+E[logP(Xpert)]

(8)

La=E[logP(C=y|Xadv)]

(9)

Lg=E[logP(C=y|Xpert)]

(10)

式中y代表真實(shí)的標(biāo)簽。最大化損失函數(shù)Ls+La+Lg促使生成圖像無限逼近于真實(shí)圖像,從而保證對(duì)抗樣本的質(zhì)量。

2.2.2 生成器網(wǎng)絡(luò)結(jié)構(gòu)

生成器采用ResNet-50作為基本模型,利用編碼-解碼結(jié)構(gòu)進(jìn)行特征提取,并且設(shè)計(jì)基于擴(kuò)張卷積的殘差塊和金字塔分割注意力機(jī)制以提高特征表達(dá)能力,在解決深度神經(jīng)網(wǎng)絡(luò)退化問題時(shí)還能有效地增大卷積核的感受野。在醫(yī)學(xué)圖像中,由于病變區(qū)域或模型感知的潛在疾病表達(dá)區(qū)域改變?cè)诠糁衅饹Q定性作用,所以將針對(duì)自然圖像的攻擊方法應(yīng)用到醫(yī)學(xué)圖像特征中缺乏特異性,因此引入金字塔分割注意力機(jī)制,使擾動(dòng)更多地集中發(fā)生在病變區(qū)域,生成有針對(duì)性的對(duì)抗擾動(dòng)。生成器和判別器的網(wǎng)絡(luò)結(jié)構(gòu)如圖5所示。

生成器的損失函數(shù)由攻擊目標(biāo)模型的交叉熵?fù)p失Lt和判別損失LD組成,定義為

Lt=E[logP(C=t|Xpert)]

(11)

LD=E[logP(C=t|Xpert)]

(12)

式中t是目標(biāo)攻擊的類別。最大化損失函數(shù)Lt+LD-LS使對(duì)抗樣本在攻擊過程中的結(jié)果更接近于期望值。

在原始圖像輸入和生成器輸出之間引入金字塔分割注意力機(jī)制,該注意力模塊能夠充分提取多尺度特征圖的空間信息,實(shí)現(xiàn)跨維度通道的注意力特征交互。PSA模塊主要通過4個(gè)步驟實(shí)現(xiàn),如圖6所示。

圖5 生成器和判別器網(wǎng)絡(luò)結(jié)構(gòu)Fig.5 The network structure diagram of generator and discriminator

圖6 金字塔分割注意力機(jī)制Fig.6 The pyramid split attention mechanism

(1)利用SPC模塊將通道切分為S組,然后針對(duì)每個(gè)通道特征圖上的空間信息進(jìn)行多尺度特征提取,獲得多尺度特征圖

F=Cat( [F0,F1,…,FS-1])

(13)

(2)采用SEWeight模塊提取不同尺度特征圖的通道注意力[18],得到每個(gè)尺度上的通道注意力向量

Zi=SEWeight(Fi),i=0,1,2,…,S-1

(14)

為了不破壞原始通道注意力向量的跨維度融合,以串聯(lián)的方式獲得整個(gè)多尺度通道注意力向量

Z=Z0⊕Z1⊕…⊕ZS-1

(15)

(3)使用Softmax函數(shù)對(duì)多尺度通道注意力向量進(jìn)行特征重新標(biāo)定,得到新的多尺度通道交互注意力權(quán)重

(16)

(4)對(duì)重新校準(zhǔn)的權(quán)重和相應(yīng)的特征圖按像素進(jìn)行點(diǎn)乘操作,輸出一個(gè)多尺度特征信息加權(quán)之后的特征圖

O=Cat( [Y0,Y1,…,YS-1])

(17)

式中Yi=tiFi,Yi的多尺度信息表示能力更加豐富。

使用PSA模塊替換ResNet-50殘差塊中的3×3卷積,從而獲得高效的金字塔分割注意模塊(EPSA)。EPSA可以提高模型在更細(xì)粒度上的多尺度特征表示能力,捕捉遠(yuǎn)程通道之間的相互依賴關(guān)系,提升網(wǎng)絡(luò)性能。

3 實(shí)驗(yàn)結(jié)果與分析

在黑盒場景設(shè)置下,將本文方法BA-GAN與其他4種基于GAN的對(duì)抗方法在肺部疾病診斷模型上的攻擊效果進(jìn)行比較,通過對(duì)抗攻擊成功率、可遷移性以及樣本生成質(zhì)量指標(biāo)對(duì)攻擊性能進(jìn)行評(píng)估。設(shè)置消融實(shí)驗(yàn)來驗(yàn)證生成模型中各模塊的必要性和有效性。

3.1 數(shù)據(jù)集

使用新冠肺炎數(shù)據(jù)集[19]和Chest X-ray14數(shù)據(jù)集,圖像均是從公開可用的數(shù)據(jù)集和已發(fā)表的文章中收集的,Chest X-ray14數(shù)據(jù)集中包含14種病理:肺不張、心臟肥大、滲出、浸潤、腫塊、肺結(jié)節(jié)、普通肺炎、氣胸、肺實(shí)變、水腫、肺氣腫、纖維變性、胸膜增厚和肺疝。

3.2 構(gòu)建肺部疾病診斷目標(biāo)模型

對(duì)新冠肺炎數(shù)據(jù)集和Chest X-ray14數(shù)據(jù)集按照7∶1∶2的比例劃分為訓(xùn)練集、驗(yàn)證集和測試集。為充分解決訓(xùn)練數(shù)據(jù)的不均衡問題,使用隨機(jī)翻轉(zhuǎn)、平移以及不同縮放比例進(jìn)行不同程度的數(shù)據(jù)增廣,經(jīng)過數(shù)據(jù)增廣后各單類疾病基本到達(dá)平衡。

構(gòu)建肺部疾病診斷目標(biāo)模型CheXNet,以DenseNet169網(wǎng)絡(luò)為基本骨架,利用3×3小卷積替換7×7大卷積減少模型參數(shù)量,并通過密集連接充分提取肺部圖像中的紋理邊緣信息,將全連接層的輸出維度修改為15,使用Sigmoid非線性激活函數(shù)實(shí)現(xiàn)對(duì)模型最終的分類輸出,完成肺部X-Ray圖像的多種疾病智能診斷。改進(jìn)CheXNet模型架構(gòu)如圖7所示。

圖7 改進(jìn)CheXNet模型架構(gòu)Fig.7 The model architecture of improved CheXNet

模型在訓(xùn)練時(shí),將圖像統(tǒng)一采樣為224×224的分辨率,設(shè)置Batch_size為32,并根據(jù)ImageNet數(shù)據(jù)集上預(yù)訓(xùn)練的權(quán)重初始化模型,采用Momentum和SGD算法進(jìn)行優(yōu)化迭代,初始學(xué)習(xí)率為10-5,每次驗(yàn)證損失在趨于穩(wěn)定一個(gè)周期后,學(xué)習(xí)率衰減為原來的1/10,直至目標(biāo)模型達(dá)到收斂狀態(tài)后保存目標(biāo)模型。

肺部疾病目標(biāo)模型的診斷正確率如表1所示?？梢钥闯?改進(jìn)CheXNet模型在各種疾病上的診斷準(zhǔn)確度明顯超過了對(duì)比模型,能實(shí)現(xiàn)對(duì)多種肺部疾病的精準(zhǔn)診斷,可以作為下一階段對(duì)抗攻擊的目標(biāo)模型。

表1 肺部疾病目標(biāo)模型的診斷正確率

3.3 肺部疾病診斷模型對(duì)抗攻擊

3.3.1 對(duì)比實(shí)驗(yàn)及結(jié)果分析

使用改進(jìn)CheXNet模型作為目標(biāo)模型,訓(xùn)練DenseNet121網(wǎng)絡(luò)作為替代模型,使用CycleGAN的生成器模型合成數(shù)據(jù)[23]。為了對(duì)比DBAA在黑盒攻擊場景下的效果,與3種先進(jìn)的黑盒攻擊方法JPBA[24]、DaST[25]和DFME進(jìn)行比較,并設(shè)置無目標(biāo)對(duì)抗攻擊和有針對(duì)性的目標(biāo)攻擊兩種方式,結(jié)果如表2所示。可以看出:在相同的對(duì)抗樣本生成方法下,本文提出的黑盒對(duì)抗攻擊框架DBAA的平均對(duì)抗攻擊成功率高于其他3種黑盒攻擊方法;在相同的黑盒攻擊方式下,本文提出的對(duì)抗樣本生成方法AI-GAN的對(duì)抗攻擊成功率高于其他4種基于GAN的對(duì)抗樣本生成方法。

表2 5種對(duì)抗方法的無目標(biāo)和目標(biāo)平均對(duì)抗攻擊成功率

表3展示了常見的肺部疾病在BA-GAN方法下的黑盒攻擊成功率?？梢钥闯?本文對(duì)抗攻擊方法BA-GAN能顯著地提高黑盒攻擊方式下的對(duì)抗成功率,能有效地欺騙肺部疾病診斷模型進(jìn)而產(chǎn)生錯(cuò)誤的診斷結(jié)果。

表3 常見肺部疾病在BA-GAN方法下的對(duì)抗攻擊成功率

BA-GAN不僅增強(qiáng)了對(duì)抗攻擊性能,也提高了對(duì)抗樣本的可遷移性?？蛇w移性是衡量替代模型生成的對(duì)抗樣本遷移到未知內(nèi)部信息的黑盒目標(biāo)模型上的能力。表4展示了黑盒攻擊場景下4種基于GAN的攻擊方法以及BA-GAN生成的對(duì)抗樣本的非目標(biāo)遷移攻擊成功率和目標(biāo)遷移攻擊成功率。可以看出,BA-GAN生成的對(duì)抗樣本具有一定的遷移能力,可以顯著轉(zhuǎn)移到其他未知的目標(biāo)模型上,即生成的對(duì)抗樣本能以黑盒形式攻擊其他未知的網(wǎng)絡(luò)模型并取得高攻擊成功率。

表4 對(duì)抗樣本的可遷移性

AdvGAN、AdvGAN++、Natural-GAN、Rob-GAN和BA-GAN的對(duì)抗攻擊效果對(duì)比如圖8所示?？梢钥闯?隨著迭代輪數(shù)的增加,BA-GAN攻擊模型的收斂速度更快,且設(shè)置在黑盒場景DBAA下的無目標(biāo)對(duì)抗攻擊對(duì)抗成功率達(dá)到了79.34%,優(yōu)于其他4種基于GAN的對(duì)抗攻擊方法,因此BA-GAN的對(duì)抗攻擊效果更佳。

圖8 5種方法對(duì)抗攻擊效果對(duì)比Fig.8 The comparison diagram of adversarial attack

圖9可視化了原始肺部圖像、不同方法生成的對(duì)抗樣本以及改變的像素點(diǎn),使用紅色標(biāo)注與原圖相比發(fā)生改變的像素點(diǎn),用綠色標(biāo)注未改變的像素點(diǎn)。計(jì)算結(jié)果顯示,AdvGAN、AdvGAN++、Natural-GAN、Rob-GAN和BA-GAN生成的對(duì)抗樣本與原圖相比像素?cái)?shù)改變了55.01%、49.88%、35.69%、42.72%和25.65%。由實(shí)驗(yàn)結(jié)果可知,本文BA-GAN方法能以更少地改變攻擊目標(biāo)中的像素來達(dá)到成功攻擊的目的,并且生成的對(duì)抗樣本更真實(shí)自然。

圖9 5種方法對(duì)抗樣本可視化對(duì)比Fig.9 Visualization of adversarial samples

為了評(píng)估生成的對(duì)抗樣本圖像質(zhì)量,使用FID(Frechet inception distance score)分?jǐn)?shù)[26]、結(jié)構(gòu)相似度(structural similarity, SSIM)、L2范數(shù)以及峰值信噪比(peak signal to noise ratio, PSNR)對(duì)上述5種對(duì)抗攻擊方法進(jìn)行實(shí)驗(yàn)對(duì)比。

FID分?jǐn)?shù)是一種評(píng)估生成圖像質(zhì)量的指標(biāo),用來計(jì)算原始圖像和生成圖像之間的相似度。在無目標(biāo)攻擊任務(wù)下,5種對(duì)抗方法的FID分?jǐn)?shù)如圖10所示?？梢钥闯?BA-GAN的FID分?jǐn)?shù)中位數(shù)最小、上四分位點(diǎn)和下四分位點(diǎn)相比于其他4種方法也較小,其次是Natural-GAN,然后是Rob-GAN、AdvGAN++和AdvGAN。根據(jù)小提琴圖的概率密度和分布狀態(tài)可知,該方法生成的對(duì)抗樣本與原始圖像計(jì)算的FID分?jǐn)?shù)值最小,表明生成的對(duì)抗樣本更接近于原始圖像,具有更清晰的紋理細(xì)節(jié),人眼看起來更加自然。

圖10 對(duì)抗攻擊方法的FID分?jǐn)?shù)對(duì)比Fig.10 FID scores comparison diagram of adversarial methods

結(jié)構(gòu)相似度是一種從亮度、結(jié)構(gòu)和對(duì)比度3個(gè)方面綜合評(píng)價(jià)圖像的指標(biāo),5種對(duì)抗方法的結(jié)構(gòu)相似度指數(shù)如圖11所示。可以看出,BA-GAN和Natural-GAN的結(jié)構(gòu)相似度隨著迭代輪數(shù)的增加顯著優(yōu)于其他方法,比只添加了攻擊者的Rob-GAN、使用原始GAN網(wǎng)絡(luò)的AdvGAN和AdvGAN++方法在生成方面能力更強(qiáng),表明通過優(yōu)化生成器的網(wǎng)絡(luò)結(jié)構(gòu),可以進(jìn)一步提高網(wǎng)絡(luò)性能。

圖11 對(duì)抗攻擊方法的結(jié)構(gòu)相似度對(duì)比Fig.11 SSIM comparison diagram of adversarial methods

L2范數(shù)是為了提高模型的抗過擬合能力而被加入到損失函數(shù)中的擾動(dòng)約束,能定量判斷攻擊結(jié)果是否符合視覺的感知判斷。5種對(duì)抗方法的L2范數(shù)變化趨勢(shì)如圖12所示?？梢钥闯?在攻擊程度趨于收斂時(shí),對(duì)抗擾動(dòng)幅度也在減小。BA-GAN方法計(jì)算出的擾動(dòng)量明顯小于其他4方法,生成的對(duì)抗樣本與原始圖像更加接近,質(zhì)量更高,對(duì)抗攻擊效果也更加可信。

圖12 對(duì)抗攻擊方法的L2約束對(duì)比Fig.12 L2-norms comparison diagram of adversarial methods

峰值信噪比是一種基于誤差敏感的圖像質(zhì)量評(píng)價(jià)指標(biāo),圖13展示了BA-GAN與其他4種對(duì)抗攻擊方法的峰值信噪比?？梢钥闯?Natural-GAN和BA-GAN的峰值信噪比高于其他3種方法,說明通過修改生成器的結(jié)構(gòu),充分提取圖像空間中的特征關(guān)系可以很好地提高GAN網(wǎng)絡(luò)的性能,生成的對(duì)抗樣本與原始圖像的特征分布更加接近,視覺效果更好。

圖13 對(duì)抗攻擊方法的峰值信噪指數(shù)對(duì)比Fig.13 PSNR comparison diagram of adversarial methods

3.3.2 消融實(shí)驗(yàn)及結(jié)果分析

為了驗(yàn)證本文BA-GAN的有效性,需要進(jìn)一步分析對(duì)抗樣本生成模型中關(guān)鍵模塊對(duì)實(shí)驗(yàn)結(jié)果的影響。為此,設(shè)計(jì)相關(guān)的消融實(shí)驗(yàn),主要探究在BA-GAN上移除擴(kuò)張卷積的殘差塊(DR)、金字塔分割注意力機(jī)制(PSA)、AC-GAN判別器(AC)和PGD攻擊者(ATT)對(duì)對(duì)抗樣本生成的影響,最后根據(jù)實(shí)驗(yàn)結(jié)果分析各模塊的重要性。

為了確保驗(yàn)證的合理性,實(shí)驗(yàn)中用到的模型采用完全相同的訓(xùn)練參數(shù),并且都設(shè)置在黑盒攻擊場景下。針對(duì)目標(biāo)攻擊和無目標(biāo)攻擊兩種方式,分別從對(duì)抗攻擊成功率和對(duì)抗樣本添加的平均擾動(dòng)量來驗(yàn)證對(duì)抗樣本生成模型中各個(gè)模塊的必要性,實(shí)驗(yàn)結(jié)果如表5所示。

由表5可知,在移除擴(kuò)張卷積的殘差塊和金字塔注意力機(jī)制后,攻擊成功率明顯下降,擾動(dòng)也顯著增加,說明在生成器中引入擴(kuò)張卷積的殘差塊能在特征提取時(shí)增大感受野和提取多尺度上下文信息,比使用普通卷積的性能更好。引入的金字塔分割注意力機(jī)制能在多尺度通道注意力間建立一種長距離的特征依賴關(guān)系,從而彌補(bǔ)了僅使用擴(kuò)張卷積獲取的遠(yuǎn)距離信息沒有相關(guān)性的弊端,因此缺失這兩個(gè)模塊后對(duì)于目標(biāo)攻擊任務(wù)和非目標(biāo)攻擊任務(wù),對(duì)抗攻擊成功率分別下降了7%和10%,平均擾動(dòng)分別增加了4.92和5.89。相比于移除DR和PSA,移除AC和ATT的攻擊效果略微下降,說明使用AC-GAN判別器和添加攻擊者對(duì)對(duì)抗樣本的攻擊能力和生成質(zhì)量有一定的提升,但效果有限。一方面是因?yàn)樵贕AN的判別器中添加分類網(wǎng)絡(luò)以實(shí)現(xiàn)在分類特征空間中引起攻擊的難度較大,另一方面是因?yàn)椴捎肞GD攻擊者雖然能控制擾動(dòng)在一定的范圍內(nèi),但需要對(duì)梯度進(jìn)行多步迭代才能獲取最優(yōu)值。消融實(shí)驗(yàn)結(jié)果證明了本文提出的對(duì)抗樣本生成模型中各模塊的優(yōu)越性,說明使用BA-GAN方法生成的對(duì)抗樣本在對(duì)抗攻擊時(shí)獲得的高黑盒攻擊成功率更加可靠,圖像擾動(dòng)更小。

表5 消融實(shí)驗(yàn)結(jié)果

4 結(jié) 論

本文提出了一種基于GAN的肺部疾病診斷模型黑盒可遷移性對(duì)抗攻擊方法BA-GAN,在無目標(biāo)對(duì)抗攻擊和有針對(duì)性對(duì)抗攻擊兩種方式下,該方法能在查詢次數(shù)有限、更嚴(yán)格的黑盒場景中實(shí)現(xiàn)可遷移性對(duì)抗攻擊,并取得較高的攻擊成功率。改進(jìn)后的對(duì)抗樣本生成方法相比于其他傳統(tǒng)基于GAN的攻擊方法更能捕捉肺部圖像的語義特征信息和紋理細(xì)節(jié),生成的對(duì)抗樣本更加真實(shí),并且可遷移性更高。

自從發(fā)現(xiàn)DNN存在對(duì)抗擾動(dòng)的問題后,基于DNN的臨床診斷模型更容易被攻擊者欺騙,導(dǎo)致醫(yī)療模型產(chǎn)生致命性錯(cuò)誤,進(jìn)而誤導(dǎo)醫(yī)生做出錯(cuò)誤的決策[27],因此本文提出的對(duì)抗攻擊方法是為了更好地幫助深度神經(jīng)網(wǎng)絡(luò)抵御未知的惡意攻擊,進(jìn)而訓(xùn)練出更穩(wěn)健、更具解釋性的模型,并且為加固深度學(xué)習(xí)模型在醫(yī)療領(lǐng)域的安全性和魯棒性提供了參考方案。在進(jìn)一步的研究中,需要測試更多的醫(yī)療診斷模型,優(yōu)化訓(xùn)練方法,提高黑盒對(duì)抗成功率。但是,在開發(fā)用于醫(yī)學(xué)成像的DNN模型及其實(shí)際應(yīng)用時(shí),需要更加謹(jǐn)慎仔細(xì)地考慮。