Устойчивость нейронных сетей к состязательным атакам при распознавании биомедицинских изображений

  • Дмитрий Михайлович Войнов Белорусский государственный университет, пр. Независимости, 4, 220030, г. Минск, Беларусь https://orcid.org/0000-0002-8637-5828
  • Василий Алексеевич Ковалев Объединенный институт проблем информатики НАН Беларуси, ул. Сурганова, 6, 220012, г. Минск, Беларусь
DOI: https://doi.org/10.33581/2520-6508-2020-3-60-72

Аннотация

В настоящий момент большинство исследований и разработок в области глубокого обучения концентрируются на повышении точности распознавания, в то время как проблема состязательных атак на глубокие нейронные сети и их последствий пока не получила должного внимания. Данная статья посвящена экспериментальной оценке влияния различных факторов на устойчивость нейронных сетей к состязательным атакам при решении задач распознавания биомедицинских изображений. На обширном материале, включающем более чем 1,45 млн радиологических и гистологических изображений, исследуется эффективность атак, подготовленных с помощью алгоритма спроецированного градиентного спуска (PGD), алгоритма «глубокого обмана» (DeepFool) и алгоритма Карлини – Вагнера (CW). Анализируются результаты атак обоих типов (по методам белого и черного ящика) на нейронные сети с архитектурами InceptionV3, Densenet121, ResNet50, MobileNet и Xception. Основной вывод работы заключается в том, что проблема состязательных атак актуальна для задач распознавания биомедицинских изображений, поскольку протестированные алгоритмы успешно атакуют обученные нейронные сети так, что их точность падает ниже 15 %. Установлено, что при тех же величинах злонамеренных возмущений изображения алгоритм PGD менее эффективен, чем алгоритмы DeepFool и CW. При использовании в качестве метрики сравнения изображений L2-нормы алгоритмы DeepFool и CW генерируют атакующие изображения близкого качества. В трех из четырех задач распознавания радиологических и гистологических изображений атаки по методу черного ящика с использованием алгоритма PGD показали низкую эффективность.

Биографии авторов

Дмитрий Михайлович Войнов, Белорусский государственный университет, пр. Независимости, 4, 220030, г. Минск, Беларусь

магистрант кафедры дискретной математики и алгоритмики факультета прикладной математики и информатики. Научный руководитель – В. А. Ковалев

Василий Алексеевич Ковалев, Объединенный институт проблем информатики НАН Беларуси, ул. Сурганова, 6, 220012, г. Минск, Беларусь

кандидат технических наук; заведующий лабораторией анализа биомедицинских изображений

Литература

  1. Recht B, Roelofs R, Schmidt L, Shankar V. Do CIFAR-10 classifiers generalize to CIFAR-10? arXiv:1806.00451 [Preprint]. 2018 [cited 2020 August 27]: [25 p.]. Available from: https://arxiv.org/abs/1806.00451.
  2. Akhtar N, Mian AS. Threat of adversarial attacks on deep learning in computer vision: a survey. IEEE Access. 2018;6:14410–14430. DOI: 10.1109/ACCESS.2018.2807385.
  3. Litjens G, Kooi T, Bejnordi BE, Setio AAA, Ciompi F, Ghafoorian M, et al. A survey on deep learning in medical image analysis. Medical Image Analysis. 2017;42:60–88. DOI: 10.1016/j.media.2017.07.005.
  4. Ker J, Wang L, Rao J, Lim T. Deep learning applications in medical image analysis. IEEE Access. 2018;6:9375–9389. DOI: 10.1109/ACCESS.2017.2788044.
  5. Madry A, Makelov A, Schmidt L, Tsipras D, Vladu A. Towards deep learning models resistant to adversarial attacks. arXiv:1706.06083v4 [Preprint]. 2017 [cited 2020 August 27]: [28 p.]. Available from: https://arxiv.org/abs/1706.06083.
  6. Ozdag M. Adversarial attacks and defenses against deep neural networks: a survey. Procedia Computer Science. 2018;140:152–161. DOI: 10.1016/j.procs.2018.10.315.
  7. Wang H, Yu C-N. A direct approach to robust deep learning using adversarial networks. arXiv:1905.09591v1 [Preprint]. 2019 [cited 2020 August 27]: [15 p.]. Available from: https://arxiv.org/abs/1905.09591.
  8. Xu W, Evans D, Qi Y. Feature squeezing: detecting adversarial examples in deep neural networks. arXiv:1704.01155v2 [Preprint]. 2017 [cited 2020 August 27]: [15 p.]. Available from: https://arxiv.org/abs/1704.01155.
  9. Moosavi-Dezfooli S-M, Fawzi A, Frossard P. DeepFool: a simple and accurate method to fool deep neural networks. arXiv:1511.04599v3 [Preprint]. 2015 [cited 2020 August 27]: [9 p.]. Available from: https://arxiv.org/abs/1511.04599.
  10. Szegedy C, Zaremba W, Sutskever I, Bruna J, Erhan D, Goodfellow I, et al. Intriguing properties of neural networks. In: 2nd International conference on learning representations; 2014 April 14–16; Banff, Canada. Banff: Springer; 2014. p. 1–10.
  11. Carlini N, Wagner D. Towards evaluating the robustness of neural networks. In: 2017 IEEE symposium on security and privacy; 2017 June 26; San Jose, CA, USA. [S. l.]: IEEE; 2017. p. 39–57. DOI: 10.1109/SP.2017.49.
  12. Goodfellow IJ, Shlens J, Szegedy C. Explaining and harnessing adversarial examples. arXiv:1412.6572v3 [Preprint]. 2015 [cited 2020 August 27]: [11 p.]. Available from: https://arxiv.org/abs/1412.6572v3.
Опубликован
2020-12-08
Ключевые слова: глубокое обучение, состязательные атаки, биомедицинские изображения
Как цитировать
Войнов, Д. М., & Ковалев, В. А. (2020). Устойчивость нейронных сетей к состязательным атакам при распознавании биомедицинских изображений. Журнал Белорусского государственного университета. Математика. Информатика, 3, 60-72. https://doi.org/10.33581/2520-6508-2020-3-60-72
Выпуск
№ 3 (2020): Журнал Белорусского государственного университета. Математика. Информатика
Раздел
Теоретические основы информатики

Copyright (c) 2020 Журнал Белорусского государственного университета. Математика. Информатика

Лицензия Creative Commons

Это произведение доступно по лицензии Creative Commons «Attribution-NonCommercial» («Атрибуция — Некоммерческое использование») 4.0 Всемирная.

Авторы, публикующиеся в данном журнале, соглашаются со следующим:

  1. Авторы сохраняют за собой авторские права на работу и предоставляют журналу право первой публикации работы на условиях лицензии Creative Commons Attribution-NonCommercial. 4.0 International (CC BY-NC 4.0).
  2. Авторы сохраняют право заключать отдельные контрактные договоренности, касающиеся неэксклюзивного распространения версии работы в опубликованном здесь виде (например, размещение ее в институтском хранилище, публикацию в книге) со ссылкой на ее оригинальную публикацию в этом журнале.
  3. Авторы имеют право размещать их работу в интернете (например, в институтском хранилище или на персональном сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению и большему количеству ссылок на данную работу. (См. The Effect of Open Access).