申请/专利权人：西安邮电大学

申请日：2021-05-18

公开（公告）日：2023-05-26

公开（公告）号：CN113178255B

主分类号：G06N3/094

分类号：G06N3/094;G16H50/20;G16H30/20;G06T7/00;G06V10/774;G06V10/764;G06V10/82;G06N3/0464;G06N3/048;G06N3/0455;G06N3/0475;G06N3/084

优先权：

专利状态码：有效-授权

法律状态：2023.05.26#授权;2021.09.24#实质审查的生效;2021.07.27#公开

摘要：本发明针对人工智能医疗影像诊断模型的安全性问题，公开了一种基于GAN的医学诊断模型对抗攻击方法。首先是对采集到的医学病理影像搭建基于ResNet‑101的高精度残差神经网络诊断模型，然后构建基于GAN的对抗攻击网络模型，该对抗攻击网络包括一个生成器G和一个判别器D，其中生成器G用于对输入的医学影像通过叠加高维随机噪声扰动x进而生成医学影像对抗样本，判别器D用于鉴别对抗样本的真实性，通过使用一种基于特征提取图像块的PatchGAN判别器，设计包括残差块、扩张卷积和通道注意力机制三层特征块作为特征提取的主要方法，让不同尺度的卷积核感受野使用该方法都能够提取到更精细化的特征图信息，得到最有效的输入医学影像扰动区域，从而提高医疗诊断模型的对抗攻击有效性，进而可以对医学诊断模型进行加固和防御对抗攻击。

主权项：1.一种基于GAN的医学诊断模型对抗攻击方法，其特征包括：A.使用GAN对抗网络动态蒸馏模型，实现高黑盒攻击成功率和有针对性的黑盒攻击，具体步骤如下：a1：选择基于Resnet-101模型搭建迁移学习神经网络目标模型，构建残差单元，调节模型训练参数；a2：构造GAN对抗攻击网络结构，主要由三部分组成:生成器G、判别器D和目标网络f；a3：在黑盒模型的输出基础上构建一个蒸馏网络f，蒸馏网络模型的目标为： 其中Ex为蒸馏网络和目标网络输出的期望值，fx和bx分别表示蒸馏模型和黑盒模型对给定训练医学图像的输出，H表示常用的交叉熵损失；a4：通过对所有训练图像的目标进行优化，得到一个非常接近黑盒的模型，然后对蒸馏网络进行攻击，并联合训练蒸馏模型f和生成器G；a5：训练一个条件对抗性网络CGAN，直接生成对抗扰动样本；a6：向生成器G输入真实医学图像x,叠加高维噪声后生成扰动x+Gx，将x+Gx送入判别器D，判别为原始数据或对抗样本；a7：攻击目标模型f，向f输入x+Gx，并输出损失，该损失在定向攻击时表示预测结果与目标结果间的距离，在非定向攻击时表示与真实类的距离，其中GAN的损失为：LGAN＝QxlogDx+Pxlog1-Dx+Gx其中Qx表示判别器输出的期望值，Px表示生成器输出的期望值，判别器D的目的是将被扰动的数据x+Gx与原始数据x区分开来，可以确保生成的对抗样本与真实图像的数据接近；a8：固定生成器G，训练蒸馏网络f，向黑盒模型输入用生成器G生成的扰动图像x+Gx，根据黑盒模型的输出，训练出蒸馏模型；B.在为医学对抗网络创建的整体端到端训练网络中，使用ResNet架构作为生成器模型，设计一个三层的特征提取块，主要是通过使用残差块、扩张卷积和通道注意力机制来对生成器的编码解码结构进行重组和优化，主要特征是：b1：编码器将输入图像编码之后进入特征提取块，通过不同尺度的感受野将特征图的信息给提取出来，得到输入图像最有效的扰动区域；b2：网络主体由残差块组成，每个残差块包含两个3*3卷积层，通过使用残差块结构来简化深度学习过程，增强梯度传播的同时也解决了深度神经网络的退化问题，残差块公式如下：xl+1＝xl+Fxl，Wl其中xl+1是这一层残差块的输入，xl为上层特征图输入值，Wl为权重参数，Fx是经过第一层线性变化并激活后的残差输出；b3：使用SE通道注意力机制来对通道特征进行调整，提高网络对扰动的识别能力；C.使用PatchGAN判别器给出预测的N*N矩阵，修改对抗网络为可判断输出图像二维矩阵的GAN验证器，其特征包括：c1：在判别器网络前几层设计一个参数权重共享架构，设计PatchGAN判别器网络结构以捕捉图像的局部连续性视觉特征和整体视觉特征；c2：在判别器网络参数权重共享架构之后，传统的GAN判别器被PatchGAN判别器取代，完全连接的PatchGAN层被添加在判别器网络的末端；c3：进而判别器会产生对抗损失，并反馈给生成网络；c4：使用PatchGAN保留局部连续性；D.在对抗攻击训练阶段，使用Adam优化器对生成器和判别器中的三个损失函数进行反向传播联合优化整体网络，其中的损失函数的特征如下：d1：图像重建损失函数Lrec描述真实图像与GAN合成的图像之间的距离： 其中M是样本数，y是预测的像素，x是真实图片的像素，WHC是图像的长宽比通道；d2：对抗攻击损失函数： 其中Ex～px为判别器对于x真实样本输出的期望值，Ey～pGx为生成器对于生成样本y输出的期望值，LGAN主要由训练阶段引入的PatchGAN中的判别器网络D的损失函数计算，并且生成器和判别器在训练时要使argminGmaxDLGANG,D最小,属于损失图像；d3：联合损失函数：L＝λ1Lrec+λ2Lg-adv+λ3Lp-adv其中Lg-adv是LGAN中生成器的期望分布，Lp-adv是LGAN中判别器的期望分布，L是对抗网络总的对抗损失，三个损失函数的每个分量由λ1、λ2、λ3系数控制。

全文数据：

权利要求：

百度查询： 西安邮电大学 一种基于GAN的医学诊断模型对抗攻击方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD