一种基于查询的医学图像分割神经网络的黑盒攻击方法与流程

1.本发明属于医学图像分割中的对抗攻击领域，具体涉及一种基于查询的医学图像分割神经网络的黑盒攻击方法。


背景技术：

2.医学图像分割是医学图像处理和语义分割的交叉任务。其目标是从医学图像中识别出器官或病变部位并标识具体位置以便后续处理。医学图像分割经常作为其他医学图像处理任务的前置任务，因此在计算机辅助诊断领域有着广泛的应用。
3.对抗攻击最早出现在图像识别领域。对抗攻击方法通过向图像添加人眼不可见的微小扰动，就能让强大的神经网络模型产生错误的输出，添加了扰动的图像称为对抗样本。随着对抗攻击技术的发展，目标检测、语义分割和图像检索等领域中也发现了对抗样本的存在。
4.根据攻击者对被攻击模型的了解程度，现有的对抗攻击方法可分为如下两类：
5.1)白盒攻击方法：此类攻击方法假设攻击者已知被攻击模型的全部信息，包括模型的网络结构及参数、训练数据集等。这意味着攻击者能够通过反向传播算法获得被攻击模型的梯度信息，并利用梯度信息轻松地生成对抗样本。较有代表性的fgsm(fast gradient sign method，快速梯度下降法)就属于此类攻击方法。
6.2)黑盒攻击方法：此类攻击方法假设攻击者仅能获取目标模型的部分信息。相比白盒攻击方法，黑盒攻击方法的限制更多、难度更大，但更贴近于实际情况，因而具有更高的研究价值。根据方法的原理，黑盒攻击方法可进一步分为基于迁移性/查询的攻击方法。
7.不同于自然图像分割任务，医学图像分割任务对精度的要求更高。轻微的分割误差足以改变诊断结果，引发严重的医疗后果。这意味着医学图像分割神经网络更易受到对抗样本的攻击。研究医学图像分割领域的对抗攻击方法，尤其是黑盒攻击方法有重要的应用价值，不仅能排除潜在威胁、消除医疗安全隐患，也有助于训练出更加健壮的医学神经网络模型。


技术实现要素：

8.本发明的目的在于弥补医学图像分割领域中黑盒对抗攻击方法的空白，提供一种基于查询的医学图像分割神经网络的黑盒攻击方法；通过向被攻击模型发起有限次查询，根据模型反馈动态地调整扰动的构造模式，最终生成使模型产生错误分割结果的对抗样本。
9.本发明提出的一种基于查询的医学图像分割神经网络的黑盒攻击方法，通过建立概率分布学习扰动的构造模式，在迭代中不断构造新的扰动并生成对抗样本向被攻击模型发起查询，根据被攻击模型的反馈调整概率分布的参数，从而在更少的查询次数内生成使被攻击模型出现严重分割误差的对抗样本。该方法具体包括如下步骤：
10.步骤s1：设置初始扰动和扰动模式分布的初始参数；
11.步骤s2：在扰动模式分布中采样，根据采样结果构造扰动并生成对抗样本；
12.步骤s3：将所述对抗样本输入医学图像分割神经网络，根据医学图像分割神经网络的输出判断是否终止迭代，若未满足迭代终止条件则进入步骤s4，否则攻击终止；
13.步骤s4：计算目标函数对扰动模式分布参数的梯度，根据该梯度信息利用梯度上升更新扰动模式分布的参数；
14.步骤s5：更新扰动并结束本轮迭代，返回步骤s2并进入下一轮迭代。
15.进一步地，所述步骤s1中初始扰动r0定义为与图片x有相同维度(通道数为c，高度为h，宽度为w)、且每个分量随机置为-∈或∈的张量；∈表示可允许扰动最大无穷范数。图片x的每个分量为取值为0到1之间实数。具体表示为：
16.x∈[0,1]c×h×w，r0∈{-ε,ε}c×h×w。
[0017]
进一步地，所述步骤s1中的扰动模式分布d为至少有一个参数的二维连续概率分布。
[0018]
进一步地，所述步骤s2中具体包括：
[0019]
步骤s21：从扰动模式分布d中采样得到样本点s＝(s1,s2)，其中的s1和s2分别表示二维向量s的两个分量；
[0020]
步骤s22：将s映射到图片上的i行j列像素p
′
处，采用的映射规则为：
[0021][0022]
其中表示向下取整；
[0023]
步骤s23：取上一轮迭代的扰动r
n-1
中以p
′
为中心、s为边长的正方形区域，并随机执行如下两个动作中的一个：将张量r
n-1
中在所述正方形区域内的每个分量(每个分量指的是张量的分量)都设置为-ε；或将张量r
n-1
中在所述正方形区域内的每个分量都设置为ε。执行动作后得到新的扰动(即当轮迭代的扰动)rn；
[0024]
步骤s24：将新的扰动rn与图片x相加，得到对抗样本xn。
[0025]
进一步地，所述步骤s3中迭代终止条件具体包括“达到可允许的最大查询次数”以及“对抗样本中所有前景像素都被划分为错误类别”，只要满足其中一个条件即可结束迭代。
[0026]
进一步地，所述步骤s4中目标函数定义为前景戴斯系数。图片x的标签y是高度和宽度分别为h和w、且每个分量是取值为1到q之间整数的二维张量，其中q表示x中的像素类别总数。将图片x输入医学图像分割神经网络f中得到的输出f(x)是高度和宽度分别为h和w、且每个分量都取值为0到1之间实数的二维张量，其表示x中的每个像素在1到q个类别中的最高置信度，具体表示为：
[0027]
y∈{1,2,...,q}h×w，f(x)∈[0,1]h×w。
[0028]
所述图片x上的前景戴斯系数为：
[0029][0030]
其中(
·
)
ij
表示二维张量的i行j列元；图片x的前景像素掩码m是高度和宽度分别
为h和w、且每个分量是取值为0到1之间实数的二维张量，具体定义为：
[0031][0032]
其中x
ij
表示图片x的i行j列像素。
[0033]
进一步地，所述步骤s4中具体包括：
[0034]
步骤s41：计算对抗样本xn上的前景戴斯系数，并将(xn,fd(f(xn),y))放入经验池；其中xn表示本轮迭代中构造的对抗样本；
[0035]
步骤s42：从经验池中取出最近k轮迭代中的对抗样本及其前景戴斯系数：
[0036][0037]
其中x
n-k
表示第n-k轮迭代中构造的对抗样本。
[0038]
步骤s43：计算目标函数对扰动模式分布参数的梯度：
[0039][0040]
其中表示前景戴斯系数fd在扰动模式分布d上的数学期望对扰动模式分布的参数ω的梯度；s
n-k
为n-k轮迭代中从扰动模式分布中的采样结果；p
ω
(
·
)为扰动模式分布的概率密度函数；ω为扰动模式分布参数。
[0041]
步骤s44：采用梯度上升法更新d的参数ω：
[0042][0043]
其中α表示梯度上升法采用的学习率。上式表示将更新后的参数(即箭头右端)赋值给更新前的参数(即箭头左端)；
[0044]
步骤s5具体包括：若fd(f(xn),y)＜fd(f(x
n-1
),y)，则保持rn不变并返回步骤s2，否则将rn回退为r
n-1
并返回步骤s2。随后将迭代次数加1并进入下一轮迭代。
[0045]
本发明充分利用了图片标签中提供的先验信息，这些信息有助于在攻击时聚焦于图片中关键的前景像素上，从而避免了不必要的查询，使攻击更具隐蔽性。本发明根据被攻击模型的反馈动态调整扰动的构造模式，即具备自适应能力，其生成的对抗样本相比现有的其他方法能使医学图像分割神经网络产生更大的分割误差。
附图说明
[0046]
图1为本发明的实现流程图；
[0047]
图2为本发明实施例中的原理说明图；
[0048]
图3为本发明实施例在来自jsrt和scr数据库的胸透数据集上的攻击效果展示图。
具体实施方式
[0049]
下面结合附图对本发明的具体实施方式进行描述，以便本领域的技术人员能够更好地理解本发明。
[0050]
本发明提出一种基于查询的医学图像分割神经网络的黑盒攻击方法，其工作流程图见图1，该方法具体包括如下步骤：
[0051]
步骤s1：设置初始扰动和扰动模式分布的初始参数；
[0052]
步骤s2：在扰动模式分布中采样，根据采样结果构造扰动并生成对抗样本；
[0053]
步骤s3：将所述对抗样本输入医学图像分割神经网络，根据医学图像分割神经网络的输出判断是否终止迭代，若未满足迭代终止条件则进入步骤s4，否则攻击终止；
[0054]
步骤s4：计算目标函数对扰动模式分布参数的梯度，根据该梯度信息利用该梯度上升更新扰动模式分布的参数；
[0055]
步骤s5：更新扰动并结束本轮迭代，返回步骤s2并进入下一轮迭代。
[0056]
所述步骤s1中初始扰动r0定义为与图片x有相同维度(通道数为c，高度为h，宽度为w)、且每个分量随机置为-∈或∈的张量；∈表示可允许扰动最大无穷范数，图片x的每个分量为取值为0到1之间实数。其中：
[0057]
x∈[0,1]c×h×w，r0∈{-ε,ε}c×h×w[0058]
所述步骤s1中的扰动模式分布d为二维独立的正态分布，其概率密度函数如下：
[0059][0060]
其中p(s；μ，c)表示均值为μ、协方差为c的概率密度函数；(
·
)
t
表示向量的转置运算；|
·
|表示矩阵的行列式运算；c-1
表示c的逆矩阵。扰动模式分布的参数具体包括均值μ和协方差c；二维均值向量μ的初始值设置为(0，0)，协方差矩阵c的初始值设置为
[0061]
所述步骤s2中具体包括：
[0062]
步骤s21：从扰动模式分布d中采样得到样本点s＝(s1,s2)，其中的s1和s2分别表示二维向量s的两个分量；
[0063]
步骤s22：采用sigmoid函数将样本点坐标变换到[0,1]范围内，所述sigmoid函数为：
[0064][0065]
其中s为sigmoid函数的输入变量。变换后的样本点为
[0066]
步骤s23：将s
t
映射到图片x上的i行j列像素p
′
处，采用的映射规则为：
[0067][0068]
其中表示向下取整；
[0069]
步骤s24：取上一轮迭代的扰动r
n-1
中以p
′
为中心、s为边长的正方形区域，并随机执行如下两个动作中的一个：将张量r
n-1
中在所述正方形区域内的每个分量都设置为-ε，或将张量r
n-1
中在所述正方形区域内的每个分量都设置为ε。执行动作后得到新的(当轮迭代)扰动rn；
[0070]
步骤s25：将新的扰动rn与图片x相加，得到对抗样本xn。
[0071]
所述步骤s3中迭代终止条件具体包括“达到可允许的最大查询次数”和“对抗样本中所有前景像素都被划分为错误的类别”，只要满足其中任意一个条件即可结束迭代。
[0072]
所述步骤s4中目标函数定义为前景戴斯系数。图片x的标签y是高度和宽度分别为
h和w、且每个分量是取值为1到q之间整数的二维张量，其中q表示x中的像素类别总数。将图片x输入医学图像分割神经网络f中得到的输出f(x)是高度和宽度分别为h和w、且每个分量都取值为0到1之间实数的二维张量，其表示x中的每个像素在1到q个类别中的最高置信度。其中：
[0073]
y∈{1,2,...,q}h×w，f(x)∈[0,1]h×w。
[0074]
所述图片x上的前景戴斯系数为：
[0075][0076]
其中(
·
)
ij
表示二维张量的i行j列元；图片x的前景像素掩码m是高度和宽度分别为h和w、且每个分量是取值为0到1之间实数的二维张量，具体定义为：
[0077][0078]
其中x
ij
表示图片x的i行j列像素；
[0079]
所述步骤s4具体包括：
[0080]
步骤s41：计算对抗样本xn上的前景戴斯系数，并将(xn,fd(f(xn),y))放入经验池，其中xn表示本轮迭代中构造的对抗样本；
[0081]
步骤s42：从经验池中取出最近k轮迭代中的对抗样本及其前景戴斯系数：
[0082][0083]
其中x
n-k
表示第n-k轮迭代中构造的对抗样本。
[0084]
步骤s43：计算目标函数对扰动模式分布参数μ和c的梯度：
[0085][0086]
其中和分别表示前景戴斯系数fd在扰动模式分布d上的数学期望对扰动模式分布的参数μ和c的梯度(ω具体表示为μ和c)；p
μ
(
·
)和pc(
·
)分别为μ和c的边缘概率密度函数。s
n-k
为n-k轮迭代从d中的采样并经过sigmoid函数变换后的样本点。
[0087]
步骤s44：采用梯度上升法更新d的参数μ和c：
[0088][0089]
其中α
μ
和αc分别为梯度上升法为μ和c采用的学习率。以上两式表示将更新后的参数(即公式右端)赋值给更新前的参数(即公式左端)。
[0090]
步骤s5具体包括：若fd(f(xn),y)＜fd(f(x
n-1
),y)，则保持rn不变并返回步骤s2，否则将rn回退为r
n-1
并返回步骤s2。随后将当前迭代次数n加1并进入下一轮迭代。
[0091]
实施例：
[0092]
如图2所示，本发明提供了一种基于查询的医学图像分割神经网络的黑盒攻击方法，将对抗样本的生成问题转换为等价的优化问题，即最小化前景戴斯系数的数学期望，找到的最优解就是使被攻击模型产生错误分割结果的对抗样本。为了使生成的对抗样本不被察觉，需要将搜索空间限制在原图片的ε无穷范数邻域内。
[0093]
黑盒攻击方法假设被攻击模型的结构与参数未知，因而无法借助梯度信息求解上述优化问题。随机搜索算法是一种迭代式的无梯度优化方法，其具体流程为：在每轮迭代中，在当前迭代点处沿随机方向选取观察点，若观察点处的目标函数值低于迭代点，则以观察点替换迭代点，否则保留迭代点；随后进入下一次迭代，直到达到可允许的最大迭代次数。
[0094]
本发明在随机搜索算法的基础上引入模式分布，该分布建模了搜索空间中的每个可行解处取得较小目标函数值的概率。建立模式分布后，每轮迭代中即可沿着以大概率取得较小目标函数值的可行解方向选取新的观察点，从而提高搜索效率。为达到该目的，模式分布会在迭代过程中根据采样的可行解位置及相应的目标函数值进行更新。
[0095]
在为医学图像分割神经网络生成对抗样本时，应着重考虑图片中的前景像素而忽略背景像素，这是因为背景像素类别的改变并不会对被攻击模型产生严重的安全威胁。为此本发明在戴斯系数的基础上引入前景像素掩码，由此得到的前景戴斯系数不会因背景像素类别的改变而降低，避免了在背景像素上浪费有限的查询次数的情况。
[0096]
本实施例选取unet、unet-attention和cople-net三种经典的医学图像分割神经网络作为被攻击模型，在来自jsrt与scr数据库的胸透数据集上测试攻击效果。unet是图像分割领域中最常用的神经网络模型，也是其他许多分割网络的前身。unet-attention在unet的基础上引入了注意力机制，以浅层特征监督深层特征，使模型在识别过程中逐渐聚焦于待分割区域。cople-net在unet的基础上引入了桥接层和aspp模块，减轻了语义鸿沟并使模型能够在多尺度目标的分割任务中取得更好的性能。来自jsrt与scr数据库的胸透数据集包含了247张胸透图片及其标签。为了方便使用，图片被统一缩放为256
×
256的尺寸，像素值是0-255之间的无符号整数。标签提供了像素级别的类别信息，标识了每个像素所属的类别，具体包括前景(心脏)和背景(其他)。
[0097]
本实施例中使用前景戴斯系数在所有对抗样本上的平均值来评估本发明所提出方法的攻击效果，前景戴斯系数越低说明对抗样本中被错误分类的前景像素所占比例越大，即攻击效果越好。为了更好地展示本发明的优越性，本实施例中也测试了未引入扰动模式分布的随机搜索算法在攻击医学图像分割神经网络时的效果。从表1中可以看出，相同查询次数下前景戴斯系数在本发明生成对抗样本上的均值要明显低于其在随机搜索算法生成的对抗样本上的均值，这说明相比随机搜索算法，本发明在攻击医学图像神经网络时有更好的效果。
[0098]
表1本发明与随机搜索算法在攻击医学图像神经网络时的效果对比
[0099][0100][0101]
如图3所示，对于三张不同的胸透图片(a)，(b)，(c)，本发明生成的对抗样本与正常图片间的区别几乎无法通过人眼分辨，但却能使医学图像分割神经网络预测结果中的前景区域(即图片中的白色区域)明显减小，这说明本发明生成的对抗样本能够在不被人察觉的情况下对医学图像分割神经网络产生足够的安全威胁，证实了本发明所提出的方法的有效性。
[0102]
尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。