一种基于查询的医学图像分割神经网络的黑盒攻击方法与流程

技术特征：
1.一种基于查询的医学图像分割神经网络的黑盒攻击方法，其特征在于，该方法采用基于查询的攻击方法向医学图像分割神经网络模型发起攻击，并根据被攻击模型对查询的反馈结果动态调整扰动的构造模式，最终生成使得被攻击模型产生错误分割结果的对抗样本；该方法具体包括如下步骤：步骤s1：设置初始扰动和扰动模式分布的初始参数；步骤s2：在扰动模式分布中采样，根据采样结果构造扰动并生成对抗样本；步骤s3：将所述对抗样本输入医学图像分割神经网络，根据医学图像分割神经网络的输出判断是否终止迭代：若未满足迭代终止条件则进入步骤s4，否则攻击终止；步骤s4：计算目标函数对扰动模式分布参数的梯度，根据该梯度信息利用梯度上升更新扰动模式分布的参数；步骤s5：更新扰动并结束本轮迭代，返回步骤s2并进入下一轮迭代。2.根据权利要求1所述的基于查询的医学图像分割神经网络的黑盒攻击方法，其特征在于，所述步骤s1中初始扰动r0定义为与图片x有相同维度、且每个分量随机置为-∈或∈的张量，所述维度包括通道数c，高度h和宽度w；∈表示允许扰动的最大无穷范数，图片x的每个分量为取值为0到1之间的实数，具体表示为：x∈[0,1]
c
×
h
×
w
，r0∈{-ε,ε}
c
×
h
×
w
所述步骤s1中的扰动模式分布d为二维独立的正态分布，其概率密度函数表示如下：其中p(s；μ，c)表示均值为μ、协方差为c的概率密度函数；(
·
)
t
表示转置运算；|
·
|表示矩阵的行列式运算；c-1
表示c的逆矩阵；扰动模式分布d的参数包括均值μ和协方差c；二维均值向量μ的初始值设置为(0，0)，协方差矩阵c的初始值设置为3.根据权利要求2所述的基于查询的医学图像分割神经网络的黑盒攻击方法，其特征在于，所述步骤s2具体包括：步骤s21：从扰动模式分布d中采样得到样本点s＝(s1,s2)，其中的s1和s2分别表示二维向量s的两个分量；步骤s22：采用sigmoid函数将样本点s的坐标变换到[0,1]范围内，所述sigmoid函数为：其中s为sigmoid函数的输入变量，变换后的样本点为其中，分别表示s
t
的两个分量；步骤s23：将s
t
映射到图片x上的i行j列像素p
′
处，采用的映射规则为：其中表示向下取整；步骤s24：取上一轮迭代的扰动r
n-1
中以p
′
为中心、s为边长的正方形区域，并随机执行
如下两个动作中的一个：将张量r
n-1
中在所述正方形区域内的每个分量都设置为-ε，或将张量r
n-1
中在所述正方形区域内的每个分量都设置为ε；执行动作后得到当轮迭代的扰动r
n
；步骤s25：将当轮迭代的扰动r
n
与图片x相加，得到当轮迭代的对抗样本x
n
。4.根据权利要求3所述的基于查询的医学图像分割神经网络的黑盒攻击方法，其特征在于，所述步骤s3中迭代终止条件具体包括“达到允许的最大查询次数”和“对抗样本中所有前景像素都被划分为错误的类别”，只要满足其中任意一个迭代终止条件即可终止迭代。5.根据权利要求4所述的基于查询的医学图像分割神经网络的黑盒攻击方法，其特征在于，所述步骤s4中所述目标函数定义为前景戴斯系数，图片x的标签y是高度和宽度分别为h和w、且每个分量是取值为1到q之间整数的二维张量，其中q表示x中的像素类别总数；将图片x输入所述医学图像分割神经网络f中得到的输出f(x)是高度和宽度分别为h和w、且每个分量都取值为0到1之间实数的二维张量，其表示x中的每个像素在1到q个类别中的最高置信度，具体表示为：y∈{1,2,...,q}
h
×
w
，f(x)∈[0,1]
h
×
w
所述图片x上的前景戴斯系数为：其中(
·
)
ij
表示二维张量的i行j列元；图片x的前景像素掩码m是高度和宽度分别为h和w、且每个分量是取值为0到1之间实数的二维张量，具体定义为：其中x
ij
表示图片x的i行j列像素；所述步骤s4具体包括：步骤s41：计算对抗样本x
n
上的前景戴斯系数，并将(x
n
,fd(f(x
n
),y))放入经验池，其中x
n
表示当轮迭代中构造的对抗样本；步骤s42：从经验池中取出最近k轮迭代中的对抗样本及其前景戴斯系数：其中x
n-k
表示第n-k轮迭代中构造的对抗样本；步骤s43：计算目标函数对扰动模式分布参数μ和c的梯度：其中和分别表示前景戴斯系数fd在扰动模式分布d上的数学期望对扰动模式分布的参数μ和c的梯度；p
μ
(
·
)和p
c
(
·
)分别为μ和c的边缘概率密度函数；s
n-k
为n-k轮迭代从d中的采样并经过sigmoid函数变换后的样本点；
步骤s44：采用梯度上升法更新d的参数μ和c：其中α
μ
和α
c
分别为梯度上升法为μ和c采用的学习率，以上两式表示将箭头右侧更新后的参数赋值给箭头左侧更新前的参数。6.根据权利要求5所述的基于查询的医学图像分割神经网络的黑盒攻击方法，其特征在于，所述步骤s5具体包括：若fd(f(x
n
),y)＜fd(f(x
n-1
),y)，则保持r
n
不变并返回步骤s2，否则将r
n
回退为r
n-1
并返回步骤s2；随后将当前迭代次数n加1并进入下一轮迭代。

技术总结
本发明公开了一种基于查询的医学图像分割神经网络的黑盒攻击方法，该方法通过建立概率分布来学习扰动的构造模式，在迭代中不断构造新的扰动并生成对抗样本向被攻击模型发起查询，根据被攻击模型的反馈动态地调整概率分布的参数，从而在更少的查询次数内生成使被攻击模型出现严重分割误差的对抗样本。本发明充分利用了图片标签中提供的先验信息，这些信息有助于在攻击时聚焦于图片中关键的前景像素上，从而避免了不必要的查询，使攻击更具隐蔽性；同时根据被攻击模型的反馈动态调整扰动的构造模式，即具备自适应能力，其生成的对抗样本相比现有的其他方法能使医学图像分割神经网络产生更大的分割误差。网络产生更大的分割误差。网络产生更大的分割误差。


技术研发人员：徐行 李思远 沈复民 杨阳
受保护的技术使用者：电子科技大学
技术研发日：2021.12.13
技术公布日：2022/3/25