新冠肺炎CT影像的DNN对抗攻击研究

胡 耿，蔡延光

广东工业大学自动化学院，广州 510006

2019年12月起，武汉地区部分医院出现多起新型冠状病毒肺炎（COVID-19）[1]，随后席卷全国。COVID-19归为“β 冠状病毒”属，具有诊断困难、诊断周期长等特点，为了节省医务人员的宝贵时间，文献[2]利用深度神经网络构建模型，智能识别COVID-19 患者的胸部CT影像[3]，进行自动化诊断。

随着人工智能技术的发展，深度学习[4]在图像数据相关任务上的显著成功引人瞩目，越来越多的研究人员参与其中，出现了许多性能优越的神经网络架构。然而，当运用于如医疗这种安全等级高的领域时，深度神经网络的安全性显得尤为重要。DNN对抗攻击研究表明，现有的神经网络系统存在安全性问题、鲁棒性存在问题。例如，基于梯度的对抗攻击算法，为针对相关图像数据，利用梯度信息，向良性样本中增加各种各样的扰动，达到梯度异常的效果，进而制作出各种不同的对抗样本。这部分的对抗样本对比良性样本，不易被人类感知系统所察觉，但却能被神经网络系统的决策体系判定成假阴样本。相对于其他基于梯度的对抗攻击方法，本文方法不需要增加额外的计算负担，同时也不需要增加额外的人类先验知识，且具有通用性的优点。

1 相关工作

1.1 基于深度学习的卷积神经网络

在卷积神经网络中，通过局部连接将所有的神经元关联起来，取代人工提取图像特征。VGGNet[5]凭借7.3%的Top-5 错误率在2014 年ILSVRC 取得了第二名的成绩，其拥有卷积层13个以及全连接层2个。相比于2012年ILSVRC的冠军网络——包含5个卷积层和3个全连接层的AlexNet[4]，VGGNet 一方面通过加深网络，另一方面提出了增加正则后的7×7卷积层效果，其相当于叠加3个3×3的卷积层，从而获得了更佳的性能和更少的参数。He等[6]首先提出使用Resnet block（残差块）解决深度网络性能退化问题；文献[7]在inceptionV3 结构中提出了通过连续非对称卷积核，同时增加卷积与池化并行的设计，提升网络性能，达到优化结构的目的。对于硬注意力机制，简单地对图像特定区域进行擦除，就可实现硬注意力；但是，其不可微的问题导致梯度下降算法进行学习，为了解决此问题，大量软注意力机制被提出。文献[8]通过将Squeeze结合Excitation，实现了通道维度的参数可学习的注意力机制。

1.2 针对DNN的对抗攻击

早在2014 年，文献[9]就提出了深层矩阵空间中线性关系的观点，引起了广泛的关注。首先，根据攻击者对于攻击的目标模型获取信息的多少，对抗攻击可分为黑盒威胁攻击、白盒威胁攻击、灰盒威胁攻击。获取信息包括网络结构、梯度数字空间信息、参数权重等。文献[10]提出了一种如何生成对抗样本的方法，针对的是良性样本的梯度空间，通过生成有效扰动的对抗样本，以达到误导神经网络使其错误预测的目的，属于基于梯度的方法；如果能够持续通过FGSM进行更新攻击目标的梯度，所以文献[11]提出了一种I-FGSM算法，解决了单次攻击的问题，从而实现了可迭代式，但对于缓解梯度下降过程中陷入局部最优的问题，并没有提供解决方案，但是文献[12]中，讨论了添加动量后的梯度攻击算法的有效性，提出的MI-FGSM大大提高算法的效率。

2 针对注意力引导机制神经网络的对抗攻击策略

2.1 AMDRC-Net

2.1.1 残差单元与空洞残差卷积单元

对于新冠肺炎CT图像分类网络深度与性能退化的矛盾，如图1 所示。通过使用残差结构，其中的跳跃连接，解决了因网络加深而产生的网络性能退化问题。其组成包括两部分：第一部分为恒等映射；第二部分为瓶颈结构，即首先经过一个卷积核为1×1 的2D Conv，随后通过3×3卷积核的2D Conv，然后又进过一个卷积核为1×1 的2D Conv，与此同时，不同卷积操作之间均进行BN[13]操作与Relu操作。

图1 残差单元Fig.1 Residual unit

对于新冠肺炎CT 图像分辨率与感受野的矛盾，本文算法通过设计扩张残差结构，如图2所示。其与残差结构不同的是，如图3所示，通过增加3×3的扩张卷积，成功建模更大的感受野，一定程度上解决了感受野单一的缺陷。

图2 残差空洞单元Fig.2 Residual dilated unit

图3 3×3卷积和3×3残差卷积Fig.3 3×3 conv and 3×3 dilated conv

2.1.2 整体结构

对于DNN 中基础卷积操作，其天然存在过于关注新冠肺炎CT 图像局部区域计算的缺陷。针对此缺陷，AMDRC-Net中的MS（长短注意力引导的多路聚合空间编码）大大缓解了其不足。相比较一般的通道注意力机制，本文长短注意力特点在于使用了并行的通道注意力与空间注意力，将特征图Conv4_x分别与并行注意力模块得到的缩放系数进行相乘，然后进行对经过注意力模块后的新特征图Conv4_x进行concat（拼接）操作。如图4所示，在通道注意力模块中：着重关注不同通道的权重分配，如式（4），输入尺寸为H×W×C的Conv4_x，经过AvgPool（平均池化）和MaxPool（最大池化），大小转换为1×1×C，考虑到需要充分利用两个池化操作获取到的不同信息，故增加参数共享的MLP（多层感知机），然后通过激活函数σ得到缩放因子，最后与最初的新冠肺炎CT 图像特征图Conv4_x 进行相乘；空间注意力模块与之不同的是：着重关注空间信息的权重分配，具体操作为输入尺寸H×W×C的Conv4_x，转换后的大小为H×W×1；最后，自注意力模块网络提供新冠肺炎CT图像长距离建模的作用。其具体计算过程如下：

图4 注意力引导机制示意图Fig.4 Diagram of attention mechanism

式（1）为通道注意力模块表达式；如（2）所示，其为激活函数sigmoid 表达式；式（3）为MLP 公式，其中，σ表示sigmoid，F为特征图，如Conv4_x，同时，其中3×3表示使用的为3×3卷积核，AvgPool为平均池化操作，MaxPool为最大池化操作；式（4）为自注意力公式，yi,C(x),f(xi,xj),g(xj)依次表示输出矩阵、标准化操作、输入矩阵、特征值。

2.1.3 损失函数

如图5 所示，AMDRC-Net 中的S(a)模块建模过程分为五阶段，最后的新冠肺炎CT 图像特征进入全连接层进行3 分类。分类器使用softmax loss，本质上为：将输入新冠肺炎CT图像转化为在概率空间中的对数似然的大小。其通过前向传播和反向传播将损失值（loss value）最小化，softmax 损失函数可以有效区分类间差异，为网络提供非线性化表达能力，此时，softmax 将全连接层输出的N维向量(N=3)进行归一化（所有维度值之和为1）处理，N维向量中的值分别表示预测标签的概率值。

图5 多重聚合空间编码结构Fig.5 Coding structure of multiple aggregation space

具体计算过程如（5）所示，在表达式中，LS表示对softmax 的结果采用梯度下降的损失函数，n表示总输入训练数据，xi表示输入数据，yj表示输入新冠肺炎CT 图像所属类别，C表示训练数据所属类别总数，W与b表示网络模型训练学习的参数。

2.2 A-IM-FGSM

随着对抗攻击方法的研究，基于梯度方法往往存在单一性问题，即沿着梯度增大、增加噪声等单一方向设计方法。受启发于DNN 对抗攻击最新研究，考虑到卷积神经网络中存在的长距离语义关系问题，本文研究通过注意力机制为新冠CT 图像自适应增减扰动，降低人为感知性，同时导致DNN误判。

其他很多研究通过迭代的方法沿着梯度上升，寻找对抗扰动生成对抗样本，最后成功进行攻击，其通过将单步改为迭代寻求最优解，虽然一定程度缓解了梯度方法的边界性，但并没有很好地解决运行速度和实用性问题。不同于需要基于物理空间的对抗攻击方法，本文针对注意力引导神经网络的特点，通过在数字空间设计软约束性模块，达到误导神经网络的效果，直接效果就是降低其识别新冠肺炎CT图像的准确率。

对于迭代式的梯度攻击方法，针对的是良性样本全局数字空间，最后求得梯度攻击的最优解，得到的新冠肺炎CT 图像存在易被人为感知的问题。与此同时，不需要生成人眼可辨的对抗扰动，且不需要在良性样本生成全局特定噪声，本文研究一种基于松弛化的攻击器，只在网络关注的区域增加对抗扰动，降低攻击被发现的风险；且通过其中的注意力感知器，确保了攻击器针对模型关注的新冠肺炎CT 图像部分信息，确保合适的感知损失函数的有效性。不需要引入额外约束，从而缓解时间复杂的问题，且保证有效性。本文提出的A-IM-FGSM具体过程如下：

算法注意力引导机制DNN对抗攻击算法

3 实验结果和分析

3.1 新型冠状肺炎CT数据集

本实验采用的数据来自COVID-19 Chest X-ray Database 的新冠肺炎CT 影像数据，数据库中的数据收集于40 余篇论文，其中的图像数据均为RGB 三通道图像，如图7所示，为训练数据中部分数据样本示意图，其中三类CT影像样本数量分别为：新冠肺炎病例219张，其他肺炎病例1 345 张，正常1 341 张。考虑COVID-19 Chest X-ray Database的特点，实验训练集、验证集划分为80%和20%。通过模型从图像中提取特征信息，使用ImageNet 1000分类的预训练权重，在CT影像数据上迁移训练，进行3 分类，最后在验证集上进实验测试。此外，模型训练时均使用同样的数据增强方法。

3.2 实验环境和评价指标

针对新冠肺炎图像数据完成模型训练的实验设备：CPU为Intel@CoreTMi7-8700 CPU @ 3.20 GHz×12；GPU为NVIDIA GeForce 1080Ti；操作系统为ubuntu16.04；实验实现通过python，图形显卡驱动依赖为cuda 9.0。

在模型分类性能方面，使用的直观有效的性能评估指标acc1（average precision），如（6）所示；在对抗攻击算法方面，如（7）所示（为降低人为发现图像变化的可能性，使用的距离度量公式为L2范数，即良性样本与对抗样本对应像素空间的最大差别不超过32）：

3.3 针对注意力引导机制神经网络的改进对抗攻击策略实验

首先，实验中将AMDRC-Net 与其他几种深度神经网络模型进行对比；随后，进行注意力可视化实验；然后通过使用A-I-FGSM进行单一模型攻击实验，其分为白盒攻击和黑盒攻击。

3.3.1 对比实验

为了进一步分析文中网络结构的性能，在本文所用的图像数据集上，设计对比实验，从不同模型配置和消融实验双方面衡量，其分为两部分：在第一部分中，对AMDRC-Net 等模型进行对比测试；在第二部分中，进行注意力消融实验。其均使用预训练模型，控制batch size（批处理大小）相同，每训练一轮记录一次数据。通过本文网络架构取得了最高的性能。如图6 所示，分别表示本文网络的训练轮数与acc 关系曲线、训练轮数与loss 关系曲线、训练集混淆矩阵、验证集混淆矩阵。

图6 训练曲线和混淆矩阵Fig.6 Training curve and confusion matrix

表1 展示了不同网络之间的测评结果，分别为GoogleNet、VGG16、Resnet50、SE、AMDRC-Net 的验证集top-1 准确率；表2 为AMDRC-Net 中注意力机制的消融实验，测试模型分别表示：MS（无注意力机制AMDRC-Net）、channel attention、spatial attention、longshort guided attention。

表1 图像分类模型对比实验Table 1 Comparison experiment of image classification model

表2 针对注意力机制的消融实验Table 2 Ablation experiment for attention mechanism

3.3.2 可视化实验

为了缓解DNN存在的黑盒问题，在可视化实验中，通过对模型参数使用激活热力图[14]，可以直观显示DNN网络模型关注区域，如图7 所示，分别为普通注意力的激活图、原图、本文网络注意力的激活图。从中可以看出，本文注意力对CONVID-19、NORMAL、Viral Pneumonia三类特征学习得更好，学到的类别特征更精确、更丰富，即注意力热图中的激活点更精确、更丰富。

图7 本文模型和普通注意力的热力图对比Fig.7 Comparison of activation maps between this model and normal attention

3.3.3 对抗攻击实验

如图8所示，本文提出基于改进注意力机制的对抗攻击算法，通过对良性样本添加对抗扰动，生成对抗样本。从而导致DNN 对测试目标失去分类能力。如表2所示，最后进行的实验表明，白盒攻击实验中，准确率下降达97%，黑盒攻击实验中，准确率下降达47%，对抗攻击效果显著。

图8 A-IM-FGSM生成的对抗样本Fig.8 Adversarial examples generated by A-IM-FGSM

4 结语

本文提出了一种AMDRC-Net 结构，在新冠肺炎图像数据集上达到最高准确率；提出了一种注意力引导机制的DNN对抗攻击策略A-IM-FGSM，保证高效攻击性能的同时，解决其他同类算法的单一性问题，且一定程度上针对新冠肺炎CT 影像数据，进一步降低攻击被发现的风险。目前，只在三大类的新冠肺炎图像数据进行模型训练，接下来研究将从细粒度任务角度出发，设计网络训练模型进行识别。在对抗攻击任务方面，未来可针对约束损失问题展开研究，通过增加额外的约束损失来逼近对抗扰动矩阵空间；也可针对数字空间和物理空间的区别，将物理空间扰动考虑在内。希望通过本文的研究，推动智能医疗，期待未来研究出更具鲁棒性、理论性更强的人工智能系统。