當前位置:
首頁 > 科技 > 哈佛醫學院解析:觸發醫學深度學習系統遭對抗攻擊的誘因有哪些?

哈佛醫學院解析:觸發醫學深度學習系統遭對抗攻擊的誘因有哪些?

科技 04-21

圖源:unsplash

原文來源:arXiv

作者:Samuel G. Finlayson、Isaac S. Kohane、Andrew L. Beam

「雷克世界」編譯:EVA

對抗樣本的發現引起了人們對深度學習系統的實際部署的關注。在本文中,我們認為,就貨幣激勵和技術脆弱性(monetary incentives and technical vulnerability)而言,醫學領域可能特別容易受到對抗攻擊的影響。為此,我們概述了醫療保健經濟及其針對欺詐所創立的激勵措施,我們將對抗攻擊擴展到三個流行的醫學成像任務,我們還提供了具體的例子以說明這些攻擊可以被實際執行的方法和原因。對於我們每一個具有代表性的醫學深度學習分類器,白盒和黑盒攻擊都是有效的,而且是人類難以察覺的。我們強烈建議在臨床環境中使用深度學習系統,並鼓勵對特定領域的防禦策略進行研究。

在過去六年里,深度學習已經改變了計算機視覺,並且已經在大量面向消費者的產品中得到了應用。令許多人感到興奮的是,這些方法將繼續擴大範圍,而且新的工具和產品將通過深度學習的使用得到改善。深度學習的一個特別令人興奮的應用領域是在臨床應用中。近期有許多備受矚目的深度學習例子在放射學、病理學和眼科學任務中取得了與人類醫生同等的地位。在某些情況下,這些演算法的性能超過了大多數個體醫生在進行面對面比較時的能力。這導致一些人推測,醫學成像的整個專業,如放射學和病理學,可能會被徹底改造或完全消失。此外,在2018年4月11日,人們朝著這個未來邁出了重要的一步:美國食品和藥物管理局(the U.S. Food and Drug Administration, FDA)宣布批准了第一個計算機視覺演算法,該演算法可以在沒有人類臨床醫生介入的情況下被用於醫學診斷。

圖1:對抗樣本的概述:通過添加一個精心設計的干擾,能夠將一張模型正確歸類為良性的圖像轉換為網路100%確信為惡性的圖像

與醫學深度學習的進步並行的是,所謂「對抗樣本」的發現揭示了即使是最先進的學習系統也存在漏洞。對抗樣本——被設計為會導致錯誤分類的輸入——已經迅速成為機器學習社區中最受歡迎的研究領域之一。雖然人們對對抗樣本的許多興趣來源於它們能夠闡明當前深度學習方法中可能存在的局限性的能力,但對抗樣本還是受到了關注,因為它們可能對在虛擬和物理環境中部署這些演算法造成網路安全威脅。然而,在以往的研究中,科學家們尚未徹底解決在醫學背景下發生對抗攻擊的可能性。

考慮到美國醫療保健的巨大成本,將昂貴的人類「趕出圈子」並用一種極其廉價和高度精確的深度學習演算法取代他或她,似乎是一種明智的做法。這種做法看起來尤其誘人,鑒於最近的一項研究發現,醫生和護理人員的薪酬是美國醫療保健成本相對於其他發達國家而言較高的主要驅動因素之一。然而,考慮到目前這些演算法的脆弱性,醫學成像任務廣泛自動化的實現過程中存在一個未被重視的缺點:如果我們認真地考慮將人類醫生完全「趕出圈子」(現在在一個設置中至少有通過美國食品和藥物管理局的法律制裁,後續可能會有更多的行動),我們也不得不考慮對抗攻擊可能會如何為欺詐和危害帶來新的機會。事實上,即使在循環過程中有人類存在,任何利用機器學習演算法進行診斷、決策或賠償的臨床系統都可能受到對抗樣本的操縱。

圖2:對抗樣本生成的特徵結果。顯示在每幅圖像左下角的百分比表示模型指定該圖像患病的概率。綠色=模型在該圖像上是正確的。紅色=模型不正確。可以看出,在每種情況下,人類不可感知的變化足以使分類器對錯誤的分類100%自信

在本文中,我們認為,醫療保健尤其容易受到對抗攻擊的影響,並且存在巨大的誘因去激勵潛在的不良行為者實施這些攻擊。我們將以往的對抗樣本研究結果擴展到三種以最先進的醫學分類器為模型的醫學深度學習系統中,並且我們提供了關於醫學中對抗攻擊可能性範圍的觀點。由於醫療保健系統很複雜,而且管理過程可能顯得錯綜複雜,人們可能難以想像這些攻擊是如何實施的。

因此,為了在實際案例中對危害的抽象可能性進行具象化,我們描述了一個展望,在其中,許多任務已經通過深度學習實現完全自動化,並給出可能由對抗攻擊所導致的欺詐行為的具體例子。我們的目標是提供使對抗攻擊成為威脅的醫療管道的不同特徵的背景,同時證明這些攻擊在真實的醫學深度學習系統中的實際可行性。我們希望,對醫學中對抗樣本潛在危害認識的增強能夠鼓勵機器學習社區致力於解決方案的研究,使這些技術能夠安全地部署在醫療保健領域。

可以說,使用深度學習改善醫療保健和醫學的發展前景是非常令人興奮的。我們之所以這麼樂觀是因為,如果這些技術能夠得以明智地實施,就可以改善結果並降低成本。有鑒於此,不出意外地,數十家私營公司和大型醫療中心已經開始努力在臨床實踐環境中部署深度學習分類器。隨著這種發展趨勢的推進,醫學深度學習演算法將不可避免地在已經擁有數十億美元的醫療信息技術行業中佔據優勢。然而,醫療保健經濟的大規模發展也為欺詐行為帶來了重大發展機遇和誘因。

在這項研究中,我們概述了對抗樣本之所以能夠在醫療領域造成不成比例的巨大威脅的系統性和技術性原因。我們也證明了我們所認為的第一個在醫療系統上執行對抗性攻擊的例子。我們希望我們的研究結果有助於促進計算機科學家和醫療專業人士之間對於對抗樣本威脅的討論研究。對於機器學習研究人員,我們建議對那些設計用以確保攻擊不可行或至少可以追溯識別的基礎設施和演算法解決方案進行研究。對於醫療服務提供者、付款人和政策制定者,我們希望這些實際案例可以激發人們有意義的討論,以探討這些演算法究竟應該如何融入臨床生態系統,儘管他們目前很容易受到此類攻擊。

原文鏈接:https://arxiv.org/pdf/1804.05296.pdf


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 雷克世界 的精彩文章:

Sentient提出基於深度多任務學習的偽任務增強,提高深度學習性能

TAG:雷克世界 |