Logo BSU

Пожалуйста, используйте этот идентификатор, чтобы цитировать или ссылаться на этот документ: https://elib.bsu.by/handle/123456789/253940
Заглавие документа: Устойчивость нейронных сетей к состязательным атакам при распознавании биомедицинских изображений
Другое заглавие: The stability of neural networks under condition of adversarial attacks to biomedical image classification / D. M. Voynov, V. A. Kovalev
Авторы: Войнов, Д. М.
Ковалев, В. А.
Тема: ЭБ БГУ::ЕСТЕСТВЕННЫЕ И ТОЧНЫЕ НАУКИ::Математика
Дата публикации: 2020
Издатель: Минск : БГУ
Библиографическое описание источника: Журнал Белорусского государственного университета. Математика. Информатика = Journal of the Belarusian State University. Mathematics and Informatics. - 2020. - № 3. - С. 60-72
Аннотация: В настоящий момент большинство исследований и разработок в области глубокого обучения концентрируются на повышении точности распознавания, в то время как проблема состязательных атак на глубокие нейронные сети и их последствий пока не получила должного внимания. Данная статья посвящена экспериментальной оценке влияния различных факторов на устойчивость нейронных сетей к состязательным атакам при решении задач распознавания биомедицинских изображений. На обширном материале, включающем более чем 1,45 млн радиологических и гистологических изображений, исследуется эффективность атак, подготовленных с помощью алгоритма спроецированного градиентного спуска (PGD), алгоритма «глубокого обмана» (DeepFool) и алгоритма Карлини – Вагнера (CW). Анализируются результаты атак обоих типов (по методам белого и черного ящика) на нейронные сети с архитектурами InceptionV3, Densenet121, ResNet50, MobileNet и Xception. Основной вывод работы заключается в том, что проблема состязательных атак актуальна для задач распознавания биомедицинских изображений, поскольку протестированные алгоритмы успешно атакуют обученные нейронные сети так, что их точность падает ниже 15 %. Установлено, что при тех же величинах злонамеренных возмущений изображения алгоритм PGD менее эффективен, чем алгоритмы DeepFool и CW. При использовании в качестве метрики сравнения изображений L2-нормы алгоритмы DeepFool и CW генерируют атакующие изображения близкого качества. В трех из четырех задач распознавания радиологических и гистологических изображений атаки по методу черного ящика с использованием алгоритма PGD показали низкую эффективность.
Аннотация (на другом языке): Recently, the majority of research and development teams working in the field deep learning are concentrated on the improvement of the classification accuracy and related measures of the quality of image classification whereas the problem of adversarial attacks to deep neural networks attracts much less attention. This article is dedicated to an experimental study of the influence of various factors on the stability of convolutional neural networks under the condition of adversarial attacks to biomedical image classification. On a very extensive dataset consisted of more than 1.45 million of radiological as well as histological images we assess the efficiency of attacks performed using the projected gradient descent (PGD), DeepFool and Carlini – Wagner (CW) methods. We analyze the results of both white and black box attacks to the commonly used neural architectures such as InceptionV3, Densenet121, ResNet50, MobileNet and Xception. The basic conclusion of this study is that in the field of biomedical image classification the problem of adversarial attack stays sharp because the methods of attacks being tested are successfully attacking the above-mentioned networks so that depending on the specific task their original classification accuracy falls down from 83–97 % down to the accuracy score of 15 %. Also, it was found that under similar conditions the PGD method is less successful in adversarial attacks comparing to the DeepFool and CW methods. When the original images and adversarial examples are compared using the L2-norm, the DeepFool and CW methods generate the adversarial examples of similar maliciousness. In addition, in three out of four of black-box attacks, the PGD method has demonstrated lower attacking efficiency.
URI документа: https://elib.bsu.by/handle/123456789/253940
ISSN: 1561-834X
DOI документа: https://doi.org/10.33581/2520-6508-2020-3-60-72
Лицензия: info:eu-repo/semantics/openAccess
Располагается в коллекциях:2020, №3

Полный текст документа:
Файл Описание РазмерФормат 
60-72.pdf4,35 MBAdobe PDFОткрыть
Показать полное описание документа Статистика Google Scholar



Все документы в Электронной библиотеке защищены авторским правом, все права сохранены.