[论文解读] Adversarial Exposure Attack on Diabetic Retinopathy Imagery Grading
本文提出了一种新颖的对抗性曝光攻击方法,通过操纵视网膜眼底图像的曝光度,以欺骗深度神经网络在糖尿病视网膜病变(DR)分级中的表现。通过将曝光攻击建模为拉普拉斯金字塔空间中的分段曝光融合,并引入卷积融合,该方法生成了外观自然且具有高迁移性的对抗性图像,在 MobileNet 和 EfficientNet 等模型上的迁移攻击成功率最高达到 84.6%。
Diabetic Retinopathy (DR) is a leading cause of vision loss around the world. To help diagnose it, numerous cutting-edge works have built powerful deep neural networks (DNNs) to automatically grade DR via retinal fundus images (RFIs). However, RFIs are commonly affected by camera exposure issues that may lead to incorrect grades. The mis-graded results can potentially pose high risks to an aggravation of the condition. In this paper, we study this problem from the viewpoint of adversarial attacks. We identify and introduce a novel solution to an entirely new task, termed as adversarial exposure attack, which is able to produce natural exposure images and mislead the state-of-the-art DNNs. We validate our proposed method on a real-world public DR dataset with three DNNs, e.g., ResNet50, MobileNet, and EfficientNet, demonstrating that our method achieves high image quality and success rate in transferring the attacks. Our method reveals the potential threats to DNN-based automatic DR grading and would benefit the development of exposure-robust DR grading methods in the future.
研究动机与目标
- 研究基于深度学习的糖尿病视网膜病变(DR)分级系统在图像曝光操纵下的脆弱性。
- 解决在通过曝光调节生成有效对抗性样本的同时保持图像自然性的挑战。
- 提升对抗性样本在不同预训练模型(如 ResNet50、MobileNet、EfficientNet)上的迁移能力。
- 通过在拉普拉斯金字塔空间中将曝光建模为融合问题,实现高图像质量与高攻击成功率之间的平衡。
- 揭示自动化 DR 诊断中与曝光相关的鲁棒性差距,并指导开发具备曝光鲁棒性的模型。
提出的方法
- 提出基于乘法扰动的曝光攻击作为基线方法,揭示了在保持图像自然性方面面临的挑战。
- 提出对抗性分段曝光融合(BEF),将攻击建模为在拉普拉斯金字塔空间中对分段曝光序列进行逐元素融合,以提升图像真实感。
- 开发卷积分段曝光融合(CBEF),将逐元素乘法扩展为可学习的卷积核,以提升迁移能力。
- 在拉普拉斯金字塔域中应用该方法,以保留多尺度图像结构并确保感知质量。
- 通过可微优化调节曝光参数,生成能误导深度神经网络但对人类观察者而言外观自然的对抗性样本。
- 在公开的 DR 数据集上,使用 SOTA 模型(如 ResNet50、MobileNet 和 EfficientNet)验证了该方法的有效性。
实验结果
研究问题
- RQ1是否能够通过对抗性方式操纵图像曝光,在保持图像自然性的同时误导深度神经网络在糖尿病视网膜病变分级中的表现?
- RQ2金字塔层级融合(L)如何影响基于曝光的对抗性攻击中图像质量与攻击成功率之间的权衡?
- RQ3将逐元素融合扩展为卷积操作在多大程度上提升了对抗性样本在不同 DNN 架构间的迁移能力?
- RQ4卷积分段曝光融合中的卷积核大小 K 对迁移攻击成功率有何影响?
- RQ5基于曝光的对抗性攻击是否能够揭示自动化 DR 诊断系统中的关键鲁棒性漏洞?
主要发现
- 基于乘法扰动的曝光攻击无法保持图像自然性,凸显了结构化融合方法的必要性。
- 对抗性分段曝光融合(BEF)提升了图像质量,但随着金字塔层级 L 的增加,迁移能力下降,当 L 从 1 增加到 5 时,MobileNet 上的迁移成功率从 45.2% 降至 8.6%。
- 卷积分段曝光融合(CBEF)显著增强了迁移能力:当 L=3 时,MobileNet 和 EfficientNet 上的迁移攻击成功率分别达到 84.6% 和 81.8%,优于 BEF 在较高 L 层级下的表现。
- CBEF 中的卷积核大小 K 呈非单调影响:当 L=3 时,K=3 时成功率最高,而 K=1(等价于 BEF)性能最低,表明空间自适应融合具有优势。
- 当 L=3 且 K=3 时,CBEF 在使用 ResNet50 生成的对抗性样本攻击 MobileNet 时,实现了 84.6% 的最高迁移成功率。
- 结果表明,CBEF 成功平衡了高图像质量与高迁移能力,使其成为探测医学影像系统鲁棒性的有力候选方法。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。