[发明专利]一种基于GAN的医学诊断模型对抗攻击方法

说明书

本发明针对人工智能医疗影像诊断模型的安全性问题，公开了一种基于GAN的医学诊断模型对抗攻击方法。首先是对采集到的医学病理影像搭建基于ResNet‑101的高精度残差神经网络诊断模型，然后构建基于GAN的对抗攻击网络模型，该对抗攻击网络包括一个生成器G和一个判别器D，其中生成器G用于对输入的医学影像通过叠加高维随机噪声扰动x进而生成医学影像对抗样本，判别器D用于鉴别对抗样本的真实性，通过使用一种基于特征提取图像块的PatchGAN判别器，设计包括残差块、扩张卷积和通道注意力机制三层特征块作为特征提取的主要方法，让不同尺度的卷积核感受野使用该方法都能够提取到更精细化的特征图信息，得到最有效的输入医学影像扰动区域，从而提高医疗诊断模型的对抗攻击有效性，进而可以对医学诊断模型进行加固和防御对抗攻击。

技术领域

本发明涉及深度学习的人工智能安全领域，具体地，涉及一种基于GAN的医学诊断模型对抗攻击方法。

背景技术

随着AI技术的发展，特别是深度学习DeepLearning算法，最近已成为智能医疗的理想解决方案选择。使用AI医学影像辅助诊断病情能够极大提高疾病的诊断水平与效率。虽然现在医学诊断系统在DeepLesion等大型医学数据集上的识别准确率及表现良好，但是研究发现，在训练完毕的医学诊断模型中添加处理过后的对抗样本数据集，将会导致医疗模型产生致命性的错误。

传统的对抗攻击方法主要有两种，第一种是基于梯度的生成方式如FGSM和PGD等一系列FGSM的变体，主要思想是按照深度学习模型的梯度变化最大的方向添加图像扰动；第二种是基于优化的生成方式如CW和JSMA等，通过计算样本的预测值与真实值之间的损失函数，在迭代训练过程中将网络参数固定下来，把对抗样本当做唯一需要训练的参数，通过反向传递过程调整对抗样本。当前的深度学习系统通常出于安全原因不允许对模型进行白盒访问，只允许对模型进行查询访问，即将模型视作黑盒，使用传统对抗攻击方法的大多数黑盒攻击的成功率都不高。

GoodFellow等人提出了通过对抗过程来优化生成模型的新框架生成对抗网络GAN，GAN作为生成模型之一，同样可以生成对抗样本，其表现出来的对数据分布的良好的学习能力，使得GAN在对抗攻击样本生成方面具有很大的潜力。医学图像通过GAN进行合成时，生成对抗网络由生成网络和判别网络组成，能够捕捉到描述高水平医学图像的语义特征信息。通过采用对抗神经网络生成对抗样本也可以验证医学模型的健壮性及衡量医学模型的置信度，并可以解决医学图像样本量过小的问题。

结合医学图像的特殊性，使用GAN生成的对抗样本来进行对抗攻击，可以很好解决黑盒对抗攻击时的对抗样本可迁移问题，并且提高了对抗攻击的收敛速度，对抗攻击的有效性也优于使用传统对抗攻击的方法，随着大规模医疗诊断模型的落地，GAN在AI医疗安全领域的使用会更加的广泛。

发明内容

本发明的目的是提供一种基于GAN的医学诊断模型对抗攻击方法，针对医学病理影像构建AI模型，利用生成式对抗神经网络来生成对抗样本，使用对抗样本对AI医学模型进行攻击和对抗，对医学数据集进行扩充和增强，让AI医学诊断模型能够更好的满足医学场景需求，增强医学模型健壮性和诊断能力，解决医学数据集存在的数量过少和类不平衡问题，提高模型健壮性，显著提高计算机辅助医疗诊断的能力，并且加固AI模型的安全性。

本发明的一种基于GAN的医学诊断模型对抗攻击方法，具体包括如下步骤：

(1)构建面向医学病理影像诊断的残差神经网络目标模型，具体实施过程：

搭建ResNet-101迁移学习目标模型，构建残差单元，调节模型训练参数；

训练过程中选用Adam+SGD梯度下降策略，先使用Adam快速下降算法，再使用SGD调优；

直到目标模型达到最佳准确率后保存黑盒目标模型。

(2)基于模型蒸馏技术进行黑盒攻击，具体实施过程：