文摘

深层神经网络(款)提供性能优良的图像识别、语音识别、视频识别和模式分析。这些神经网络通常是应用于医学领域预测或分类患者的疾病。这样一个网络,U-Net模型,显示出良好的性能在数据分割和是一个重要的医学成像技术。然而,深层神经网络等应用在医学上很容易攻击敌对的例子。敌对的例子是通过添加少量的噪声样本创建一个原始数据样本,人类很难看到,但诱发错误分类的目标模型。在本文中,我们提出AdvU-Net,方法生成一个敌对的示例针对U-Net模型用于分割。根据ε性能进行了分析,使用快速梯度信号方法(FGSM)产生敌对的例子。我们使用2012位ISBI数据集和TensorFlow机器学习库。在实验中,当一个敌对的例子是使用一个生成ε值为0.3时,像素误差是3.54或更高版本,原样品的像素误差维持在0.15或更少。

1。介绍

深入学习算法已经彻底改变了计算机图像处理领域。特别是,深层神经网络(1)已经开始吸引注意力,结果显示超过现有的机器学习模型的性能分类任务。

在医学领域,在放射学、病理学、眼科的研究最近发表在深度学习技术(2)提供性能相当于医生。例如,在研究糖尿病视网膜病变诊断(3使用眼底图像,结果表明,谷歌的机器学习技术提供相同或更好的性能比由眼科医生提供。

的目的基于医学图像处理的计算机辅助诊断系统是协助医生在阅读和诊断图像通过检测病变或展示对于一个给定的医学图像分类结果。在这样的系统中,一个重要的角色是扮演的分割技术。深度学习主要应用在检测任务,需要剪一个医学图像的特定区域。然而,这些深层神经网络有缺点。例如,如果攻击者故意修改图像通过添加少量的噪声优化的医疗数据,尽管医生不会注意到任何问题,图像可以分割错误的图像分割模型。图片修改以这样一种方式被称为一个敌对的例子。敌对的例子(4- - - - - -6)原样品已经修改添加少量的噪声,人类很难看到,但引发误分类目标模型。mis-segmentation的图像分割模型被用于医学应用程序可以直接导致对病人的健康问题,对抗的例子可能是一个严重的威胁为深度学习模型用于医学领域。敌对的例子的上下文中主要研究了图像分类模型;这项研究是为数不多的,涉及到图像分割模型。

在本文中,我们提出AdvU-Net,方法产生敌对的示例针对U-Net模型(7用于图像分割。评估方法,攻击效果和分割结果对抗为例分析了不同的ε值快速梯度方法(FGSM)[迹象8),这是一个方法产生敌对的例子。本研究首次分析对手的例子基于位ISBI 2012数据集和生成U-Net模型用于图像分割。此外,与以往的研究不同,本研究分析了敌对的例子表现在像素误差ε的价值,这是表明,与现有的方法,该方法允许mis-segmentation程度控制。本文的贡献如下。首先,我们提出了一代的敌对的例子针对U-Net模型用于医学领域。我们描述了该方法的原理及其系统产生敌对的例子。第二,我们报告实验结果进行验证该方法使用位ISBI 2012数据集和U-Net模型。第三,我们分析了图像失真以及像素误差和对抗噪声的产生敌对的例子系统根据ε的价值。本研究首先使用2012位ISBI数据集的分析。此外,我们提到可能的应用中,该方法可能被用作攻击的方法。

本文的其余部分组织如下。部分2评论相关概念。节3,一代的对抗性的例子解释道。部分4对实验环境提供信息和报告实验结果。讨论了部分5节中,6,并给出了结论。

2。相关概念

本节提供的描述目标模型U-Net和对抗的例子。

2.1。U-Net模型

U-Net [7)是一个端到端的全面卷积网络(9在生物医学领域用于图像分割。U-Net由一对对称的网络,一个获取图像的整体信息内容,另一个用于执行本地化。特别是U-Net列车高效地通过数据增加和显示先进的性能与各种医疗数据集。U-Net模型的结构包括一个承包路径和一个广阔的道路。缔约路径用来捕获图像的背景下,在广阔的道路,upsampled特性图,和上下文特征映射收缩路径中捕获的结合特性映射进行准确的定位。U-Net模型中有大量的功能渠道upsampling过程;这意味着上下文可以传播到连续层与相应的决议。在这个模型中,只使用每个卷积的有效部分,一个“有效的”是一个分割图,其中包含完整的上下文。这使平滑细分U-Net模型,使用overlap-tile技术。

2.2。敌对的例子

敌对的例子是在一项研究首次提出Szegedy et al。4]。他们的研究表明,深度学习模型有一个弱点对图像分类的问题,添加少量的噪声,不能被人眼可以导致一个图像分类错误的模型。在攻击使用一个敌对的例子中,预测结果的深度学习分类模型的图像可以改变,和假与高可靠性的预测报告。

这种攻击方法(10,11)可以根据信息分类知道目标模型,预期的错误分类的特异性的敌对的例子,以及使用的失真度量。首先,了解目标模型的信息决定是否攻击是一个白盒攻击(12- - - - - -16)或黑箱攻击(17- - - - - -21]。在白盒攻击,所有的信息被攻击者的目标模型,包括模型的结构、参数和输出概率值对应于可能的结果值。在黑盒攻击中,攻击者没有目标模型的信息。

第二,目标对抗的误分类示例的特异性确定攻击目标或没有针对性。在一个有针对性的攻击(5,22,23),分类错误是敌对的例子是设计的模型作为一个特定的攻击者选择的目标类。在一个没有针对性攻击(24- - - - - -26),分类错误是敌对的例子是设计以外的任何类的原始类(即。,任何无效的类)。untargeted-attack方法的优点是产生敌对的例子用更少的迭代和失真小于一个有针对性的攻击方法。

失真度量(5,27- - - - - -30.)是一种描述对抗的例子生成方法的第三条道路。这些可能包括 , , ,定义如下: 在哪里 原样品, 是敌对的例子。与这些失真值越小,原样品之间的失真就越少 和对抗的例子

现有对抗的例子生成方法(31日- - - - - -35)的上下文中研究了图像识别;对图像分割的研究一直缺乏模型。在本文中,我们提出一个方法来生成一个敌对的示例针对U-Net模型,这是一个图像分割模型。像素错误,我们分析图像分割和对抗噪声的敌对的例子根据ε的价值。

3所示。方法

1显示了该方法的架构,AdvU-Net。FGSM被用作一个敌对的例子生成方法。变压器调节原样品,并提供目标模型。该方法增加了一些噪声通过变压器原样品和使用反馈模型。人类的眼睛,声音很小,但它会导致图像mis-segmented的模型。


图1
方法该方法的概述,AdvU-Net。

在数学方面,快速梯度方法(FGSM)[迹象8)发现 通过 : 在哪里 是一个目标函数, 是目标类, 是一种对抗性的例子。在FGSM,敌对的例子是根据价值的生成 从输入图像 通过梯度上升。梯度上升方法简单但具有良好的性能。

4所示。实验装置和评价

本节描述实验环境,提出了敌对的例子为U-Net生成结果。我们使用了TensorFlow [36机器学习库和一个Xeon e5 - 2609 1.7 - ghz服务器。

4.1。数据集

实验中使用的数据集是位ISBI 2012数据集37),用于医学图像的分割。它由30个数据项和相应的标签,从连续切片透射电子显微镜(ssTEM)数据集的初孵若虫果蝇幼虫腹神经索(VNC)。microcube措施大约 微米的分辨率 nm /像素。标签是二进制和由黑白图像,分割对象的白色和黑色。测试是由 - - - - - -使用数据项的6折交叉验证方法。虽然项目的数量在2012位ISBI数据集很小,增加的数据U-Net模型提供了非常高的性能。

4.2。目标模型

目标模型是一个U-Net模型用于数据分割。其结构如表所示1。亚当算法(38作为模型的优化算法,和ReLU39)是用来激活函数。参数值如表所示2

表1
目标模型的体系结构。
表2
目标模型的参数。
4.3。一代的对抗性的例子

FGSM被用来对抗的例子一代方法。敌对的例子产生了一系列ε值从0.1到0.9,为每个ε值30敌对的例子。这使得它可以分析的像素误差目标模型和对抗的敌对的噪声为每个ε值生成示例。

4.4。实验结果

在本节中,敌对的示例图片,对抗噪声,输出结果根据ε,原标签和产出之间的像素误差结果FGSM生成的对抗性的例子进行了分析。

4.1.1。视觉对比原始样本图像和对抗的例子形象三例病例

3显示图像的原始样本,敌对的噪音,和敌对的例子。ε值被设置为0.3为每个数据样本产生敌对的噪音。表中可以看出,在人类感知方面,几乎没有区别原样品及其相应的对抗的例子。虽然很难理解原样品之间的差别和敌对的例子中,每一个敌对的例子的细分目标模型是不正确的。

表3
原始样本图像,敌对的噪音,和敌对的示例图像三例病例。
10/24/11。比较目标模型的图像分割性能原始样本和对抗的例子

4比较原始的标签与输出结果对应的原始样本和敌对的例子。敌对的示例使用一个生成ε值为0.3。表中可以看出,原始样本的输出结果类似于相应的原始标签,因此,样本似乎正确分割。另一方面,它可以被比较与原标签,敌对的例子是不正确地分割。因此,对抗的例子(敌对的噪音)mis-segmented的模型。

表4
比较原始的标签和原始样品和对抗性的例子的输出结果。
4.4.3。分析目标模型的图像分割性能根据ε值对抗的例子

5敌对的例子显示图像和输出结果根据ε值。表中可以看出,随着ε值增加,敌对的示例模型分割的变得不那么好。另一方面,它也可以看到,随着ε值增加,敌对的例子图像的畸变增加。因此,当产生敌对的例子,有必要选择一个适当的ε值找到点分割性能退化没有明显的人类感知的图像失真。可以看出,当ε值用于生成对抗的例子是0.3,人类产生的噪声是难以辨别,和敌对的例子是不分割的模型。

表5
图像和输出结果根据ε值对抗的例子。
4.4.4。分析目标模型的图像分割性能敌对的例子根据ε值的像素错误

2展示了原始之间的像素错误标签和对抗性的例子的输出结果根据ε值。像素的像素误差的区别是原标签和分段输出,应用 指标。从像素误差图,它的输出结果可以看出,敌对的例子有一个更大的像素错误比原来的标签。另外,可以看出随着ε增加,像素误差增加。可以看出,优惠点的像素分割的模型误差显著增加,而人类感知保持在一个ε值为0.3。基于这些结果,这是发现,敌对的例子降低模型的分割性能。


图2
像素误差之间的原始标签和对抗性的例子的输出结果根据ε值。

5。讨论

5.1。假设

该方法假定一个白盒攻击,目标分类器被攻击者的信息。这是因为FGSM需要获得目标模型的反馈。白盒的攻击,所有的信息都知道的参数模型,模型的结构,对于一个给定的输入值,结果和相关的概率值。因此,攻击者创造了一个对抗性的例子只在一个场景,在该场景中,所有的信息目标模型。

5.2。ε

在FGSM,ε是一个参数,控制对抗噪声的数量。代的对抗性的例子,当ε增加时,像素误差增加目标模型的分割结果。另一方面,对抗噪声的数量增加了对抗的例子也增加的ε增大。因此,重要的是要选择一个值ε产生一个足够高的像素细分误差的模型,但不允许敌对的噪声被人眼识别。从研究结果可以看到,一个ε值大约0.3提供了一个有利的交易。

5.3。像素错误

上的性能的原始样本,结果对抗的例子的像素误差进行了分析。从这个分析的结果,可以看出,原样品的像素误差很低,为0.15。敌对的例子,另一方面,可以看出像素误差时ε成了大于3.54大于0.3。因此,证明了该模型没有提供很好的分割结果对抗的例子。

5.4。应用程序

拟议中的对抗性的例子生成方法可以用作攻击的方法在医学领域对抗的例子会导致误分类。在本研究进行实验分析敌对的例子中创建细分的背景下,肿瘤磁共振成像和识别的一个重要技术在医学领域。如果分割不当执行结果的应用对抗的例子在这样的医疗项目,它可以构成严重威胁病人接受医疗服务。风险也出现在激光辅助张大时手术(LASIK)和其他激光治疗依赖于图像分割。在军事环境中,该方法可以应用在暗杀行动威胁到一个特定的人。

5.5。限制

为了产生敌对的例子FGSM,反馈目标模型是必需的。在黑盒攻击的情况下,反馈是没有收到从目标模型,生成的对抗性的例子FGSM是有限的。当产生敌对的例子,可以获得测试数据,和额外的时间是需要添加实时对抗的噪音。

6。结论

在本文中,我们提出了AdvU-Net,方法生成一个敌对的例子目标U-Net模型用于分割。在这项研究中,敌对的例子使用方法分析了对生成像素误差,图像失真,ε值,敌对的噪音。使用该方法,可以生成一个敌对的例子使用的图像分割模型在医学领域,和U-Net模型的脆弱性敌对的例子是证实。

在未来的研究中,调查与其他数据集可以扩大到包括实验。此外,对抗的例子可以应用到医学数据使用生成敌对的净(40]。最后,这将是有用的开发可能的防御方法用于医学领域。

数据可用性

使用的数据来支持本研究的发现可以从相应的作者要求后接受。

的利益冲突

作者宣称没有利益冲突。

确认

本研究支持的AI研发中心的韩国军事学院,韩国Hwarang-Dae研究所军事学院,基础科学研究项目通过韩国国家研究基金会(NRF)由教育部(2021 r1i1a1a01040308)。