Устойчивость нейронных сетей к состязательным атакам при распознавании биомедицинских изображений

В настоящий момент большинство исследований и разработок в области глубокого обучения концентрируются на повышении точности распознавания, в то время как проблема состязательных атак на глубокие нейронные сети и их последствий пока не получила должного внимания. Данная статья посвящена экспериментальной оценке влияния различных факторов на устойчивость нейронных сетей к состязательным атакам при решении задач распознавания биомедицинских изображений. На обширном материале, включающем более чем 1,45 млн радиологических и гистологических изображений, исследуется эффективность атак, подготовленных с помощью алгоритма спроецированного градиентного спуска ($PGD$), алгоритма «глубокого обмана» ($DeepFool$) и алгоритма Карлини – Вагнера ($CW$). Анализируются результаты атак обоих типов (по методам белого и черного ящика) на нейронные сети с архитектурами $InceptionV3, Densenet121, ResNet50, MobileNet$ и $Xception$. Основной вывод работы заключается в том, что проблема состязательных атак актуальна для задач распознавания биомедицинских изображений, поскольку протестированные алгоритмы успешно атакуют обученные нейронные сети так, что их точность падает ниже $15\%$. Установлено, что при тех же величинах злонамеренных возмущений изображения алгоритм $PGD$ менее эффективен, чем алгоритмы $DeepFool$ и $CW$. При использовании в качестве метрики сравнения изображений $L_{2}$-нормы алгоритмы$DeepFool$ и $CW$ генерируют атакующие изображения близкого качества. В трех из четырех задач распознавания радиологических и гистологических изображений атаки по методу черного ящика с использованием алгоритма $PGD$ показали низкую эффективность