[发明专利]一种基于GAN的医学诊断模型对抗攻击方法

权利要求书

1.一种基于GAN的医学诊断模型对抗攻击方法，其特征包括：

A.使用GAN对抗网络动态蒸馏模型，实现高黑盒攻击成功率和有针对性的黑盒攻击，具体步骤如下：

a1：选择基于Resnet-101模型搭建迁移学习神经网络目标模型，构建残差单元，调节模型训练参数；

a2：构造GAN对抗攻击网络结构，主要由三部分组成:生成器G、判别器D和目标网络f；

a3：在黑盒模型的输出基础上构建一个蒸馏网络f，蒸馏网络模型的目标为：

其中E_x为蒸馏网络和目标网络输出的期望值，f(x)和b(x)分别表示蒸馏模型和黑盒模型对给定训练医学图像的输出，H表示常用的交叉熵损失；

a4：通过对所有训练图像的目标进行优化，得到一个非常接近黑盒的模型，然后对蒸馏网络进行攻击，并联合训练蒸馏模型f和生成器G；

a5：训练一个条件对抗性网络CGAN，直接生成对抗扰动样本；

a6：向生成器G输入真实医学图像x,叠加高维噪声后生成扰动x+G(x)，将x+G(x)送入判别器D，判别为原始数据或对抗样本；

a7：攻击目标模型f，向f输入x+G(x)，并输出损失，该损失在定向攻击时表示预测结果与目标结果间的距离，在非定向攻击时表示与真实类的距离，其中GAN的损失为：

LGAN＝Q_x log D(x)+P_x log(1-D(x+G(x)))

其中Q_x表示判别器输出的期望值，P_x表示生成器输出的期望值，判别器D的目的是将被扰动的数据x+G(x)与原始数据x区分开来，可以确保生成的对抗样本与真实图像的数据接近；

a8：固定生成器G，训练蒸馏网络f，向黑盒模型输入用生成器G生成的扰动图像x+G(x)，根据黑盒模型的输出，训练出蒸馏模型；

B.在为医学对抗网络创建的整体端到端训练网络中，使用ResNet架构作为生成器模型，设计一个三层的特征提取块，主要是通过使用残差块、扩张卷积和通道注意力机制来对生成器的编码解码结构进行重组和优化，主要特征是：

b1：编码器将输入图像编码之后进入特征提取块，通过不同尺度的感受野将特征图的信息给提取出来，得到输入图像最有效的扰动区域；

b2：网络主体由残差块组成，每个残差块包含两个3*3卷积层，通过使用残差块结构来简化深度学习过程，增强梯度传播的同时也解决了深度神经网络的退化问题，残差块公式如下：

x_l+1＝x_l+F(x_l，W_l)

其中x_l+1是这一层残差块的输入，x_l为上层特征图输入值，W_l为权重参数，F(x)是经过第一层线性变化并激活后的残差输出；

b3：使用SE通道注意力机制来对通道特征进行调整，提高网络对扰动的识别能力；

C.使用PatchGAN判别器给出预测的N*N矩阵，修改对抗网络为可判断输出图像二维矩阵的GAN验证器，其特征包括：

c1：在判别器网络前几层设计一个参数权重共享架构，设计PatchGAN判别器网络结构以捕捉图像的局部连续性视觉特征和整体视觉特征；

c2：在判别器网络参数权重共享架构之后，传统的GAN判别器被PatchGAN判别器取代，完全连接的PatchGAN层被添加在判别器网络的末端；

c3：进而判别器会产生对抗损失，并反馈给生成网络；

c4：使用PatchGAN保留局部连续性；

D.在对抗攻击训练阶段，使用Adam优化器对生成器和判别器中的三个损失函数进行反向传播联合优化整体网络，其中的损失函数的特征如下：

d1：图像重建损失函数L_rec描述真实图像与GAN合成的图像之间的距离：

其中M是样本数，y是预测的像素，x是真实图片的像素，WHC是图像的长宽比通道；

d2：对抗攻击损失函数：

其中E_x～p(x)为判别器对于x真实样本输出的期望值，E_y～pG(x)为生成器对于生成样本y输出的期望值，L_GAN主要由训练阶段引入的PatchGAN中的判别器网络D的损失函数计算，并且生成器和判别器在训练时要使arg min_Gmax_DL_GAN(G,D)最小,属于损失图像；

d3：联合损失函数：

L＝λ₁L_rec+λ₂L_g-adv+λ₃L_p-adv

其中L_g-adv是L_GAN中生成器的期望分布，L_p-adv是L_GAN中判别器的期望分布，L是对抗网络总的对抗损失，三个损失函数的每个分量由λ₁、λ₂、λ₃系数控制。