保障医学诊断安全性：探索对抗性攻击评估医学图像分析模型的重要性

保障医学诊断安全性：探索对抗性攻击评估医学图像分析模型的重要性

在当今数字化医疗领域，人工智能技术的应用已经成为医学诊断和治疗的重要工具。然而，随着人工智能技术的不断发展，对抗性攻击也逐渐成为医学图像分析模型面临的一项严峻挑战。想象一下，如果医学图像分析模型受到对抗性攻击，可能会导致误诊或错误的治疗建议，对患者的健康造成严重影响。因此，评估模型的鲁棒性和安全性变得至关重要

模型鲁棒性

模型对于输入样本扰动和对抗样本的性能，可以简单的理解为模型抵御外界攻击的安全性与内部的可靠性。

对抗性攻击

定义

通过在输入图像中人为引入视觉上无法察觉的扰动使得模型以高置信度给出错误的输出。

类别

• 白盒攻击：攻击者拥有目标模型的全部信息，也可以无限制地访问目标网络模型的推理输出。
• 灰盒（半白盒）攻击：主要集中在构建生成模型，以生成针对目标网络模型的对抗示例。一般来说，灰盒攻击者在白盒环境中训练对抗生成器，而在推理（对抗生成）阶段不需要访问目标网络模型。
• 黑盒攻击：只能通过有限的查询次数访问网络模型输出，对数据集及模型不完全了解。
• 无盒（受限黑盒）攻击：无法访问目标诊断模型，数据集及模型结构未知。

辅助诊断模型的对抗性攻击实例

• Fast Gradient Sign Method（FGSM)

在白盒环境下，通过求出模型对输入的导数，然后用符号函数得到其具体的梯度方向，接着乘以一个步长，得到的"扰动"加在原来的输入上就得到了在FGSM攻击下的样本。

• Projected Gradient Descent（PGD)

一种迭代攻击，相当于FGSM的迭代版本，即，FGSM是仅仅做一次迭代，而PGD是做多次迭代，每次迭代都向着梯度反方向前进一小步并将扰动投影到规定范围内。

其中，χ是原始输入图像；χ^(t+1)是t+1时刻的添加了扰动的对抗性例子； S表示范围；α表示原始样本的灰度偏移比例；sgn为符号函数，自变量>0时取1，小于0时取-1；∇为取偏导数；L(θ,χ,y)是模型所适合的损失函数，例如分类模型的交叉熵损失。

• CW

一个基于优化的攻击，主要调节的参数是c和k , c用来调节两个损失函数，k是置信度。它的优点在于，可以调节置信度，生成的扰动小，可以破解很多的防御方法。原理详解

• Square Attack

一种基于随机搜索的优化迭代攻击。在黑盒环境下，首先选择要修改的正方形的边长KaTeX parse error: Undefined control sequence: \ce at position 1: \̲c̲e̲{h^i}，并以类似于基于梯度的优化中的步长减小的方式根据先验固定调度而减小。然后在每次迭代时对随机更新δ进行采样，如果它改进了目标函数，则将该更新添加到当前迭代中。如果所得到的损失，小于迄今为止的最佳损失，则接受该改变，否则丢弃该改变。一旦发现对抗性示例，算法就会停止。

• Auto Attack (AA)

两个PGD的变体与FAB attack以及Square attack结合形成一个无参数、计算负担得起且与用户无关的互补攻击集合。

对抗性防御

用于医学图像分析的对抗性防御方法分为五类：对抗性训练、对抗性检测、图像级预处理、特征增强和知识提取。

• 对抗性训练已被证明是抵御对抗性例子的最有效方法，可以通过将对抗性示例扩充为训练示例来轻松实现。
• 对抗性检测旨在在应用阶段将对抗性示例与输入示例区分开来。
• 图像级预处理旨在图像级预处理旨在去除对抗性示例中视觉上难以察觉的扰动，同时不影响干净示例的后续推理。不需要重新训练或修改医学模型对输入的医学图像进行预处理实现。
• 特征增强方法侧重于特征级处理，以减轻对抗性效应，这可以通过额外的模块或新颖的框架来进行。
• 知识提取方法从大规模模型中提取轻量级和对抗性稳健的模型，用于部署在实时医疗保健应用中。

挑战和未来

• 现有的医疗对抗性攻击和防御方法主要基于定制的评估指标和设置，这可能会导致疗效和效率评估方面的困难。需要建立一个开放的稳健性评估标准基准。
• 鲁棒精度的提高不可避免地会导致干净示例的性能下降。如何在不影响干净准确性的情况下提高医学模型的对抗性稳健性需要进一步研究。
• 目前的医学对抗性防御方法，尤其是对抗性训练，大多需要昂贵的计算成本。降低计算成本可以进一步促进拥有适度计算资源的组织能够进行的对抗性防御，从而更好地为社区服务。
• 现有的方法主要将自然图像的对抗性防御方法直接转移到医学成像领域，很少有针对医学图像量身定制的防御方法来增强计算机辅助诊断系统的对抗性鲁棒性。需要开发为医学图像分析量身定制的防御。
• 对抗性例子的威胁也可能造成与计算机辅助诊断系统相关的信任危机。

参考论文：Adversarial Attack and Defense for Medical Image Analysis: Methods and Applications.

文章持续更新，可以关注微公【医学图像人工智能实战营】获取最新动态，一个关注于医学图像处理领域前沿科技的号。坚持以实践为主，手把手带你做项目，打比赛，写论文。凡原创文章皆提供理论讲解，实验代码，实验数据。只有实践才能成长的更快，关注我们，一起学习进步~

我是Tina, 我们下篇博客见~

白天工作晚上写文，呕心沥血

觉得写的不错的话最后，求点赞，评论，收藏。或者一键三连