CT-GAN:利用深度学习恶意篡改三维医学图像

CT-GAN:利用深度学习恶意篡改三维医学图像

引用

Mirsky Y , Mahler T , Shelef I , et al. CT-GAN: Malicious Tampering of 3D Medical Imagery using Deep Learning[J]. 2019.

摘要

2018 年,诊所和医院遭受了多次攻击,导致重大数据泄露和医疗服务中断。有权访问医疗记录的攻击者可以做的远不止持有这些数据以换取赎金或在黑市上出售这些数据。本文将展示攻击者如何使用深度学习从三维医学扫描中添加或删除医疗状况证据。攻击者可能为了阻止政治候选人、破坏研究、实施保险诈骗、实施恐怖主义行为甚至谋杀而实施这一行为。本文使用三维条件 GAN 实现了攻击,并展示了框架(CT-GAN)是如何实现自动化的。虽然整体很复杂,三维医学扫描非常大,但 CT-GAN 可以在毫秒内获得逼真的结果。为了评估这次袭击,本文专注于从 CT 扫描中注入和删除肺癌。并展示了三位放射科专家和一个最先进的深度学习人工智能是如何对该攻击高度敏感的。

1.介绍

医学成像是一种非侵入性的过程,为医学检查、分析和治疗目的,产生身体内部的视觉效果。在某些情况下,需要进行体积(3D)扫描来诊断某些情况。产生详细三维医学图像的两种最常用技术是磁共振成像(MRI)和 CT(计算机断层扫描)。MRI 和 CT 扫描仪都是医学领域必不可少的工具。MRI 和 CT 扫描仪的相似之处在于,它们都通过沿身体轴面(从前到后)对身体进行多次 2D 扫描来创建 3D 图像。两者的区别在于磁共振成像使用强磁场,CT 使用 X 射线。因此,这两种模式捕获身体组织的方式不同:磁共振成像用于诊断骨、关节、韧带、软骨和椎间盘突出的问题。CT 用于诊断癌症、心脏病、阑尾炎、肌肉骨骼疾病、创伤和传染病。

1.1脆弱性

医疗系统的安全性一直落后于现代标准。这部分是因为医疗安全政策主要针对数据隐私(访问控制),而不是数据安全(可用性/完整性)。一些 PAC 通过 web 访问解决方案有意或无意地暴露于 Internet。一些示例产品包括 Centricity PACS(GE 医疗)、IntelliSpace(飞利浦)、Synapse Mobility(富士胶片)和 PowerServer(RamSoft)。在 Shodan.io 上快速搜索可以发现 1849 台医学图像(DICOM)服务器和 842 台 PACS 服务器暴露在互联网上。

1.2威胁

能够访问医学图像的攻击者可以更改内容以导致误诊。具体来说,攻击者可以添加或删除某些医疗状况的证据。图 1 说明了攻击者在扫描中注射/移除肺癌的过程。

CT-GAN:利用深度学习恶意篡改三维医学图像

图 1 通过在调查和诊断阶段之间篡改医疗图像,放射科医生和报告医生都相信攻击者设置的谬误

在本文中,将重点介绍从 CT 扫描中注入和去除肺癌。表 1 总结了攻击者这样做的动机、目标和效果。本文研究这种攻击的原因是因为肺癌很常见,死亡率最高。因此,由于其影响,攻击者可能会操纵肺癌来实现其目标。同时注意到,本文中提出的威胁、攻击和对策也适用于磁共振成像和医疗条件,而非上述情况。

CT-GAN:利用深度学习恶意篡改三维医学图像

表 1 攻击者在 3D 医学图像中注射/移除证据的动机和目标摘要

1.3攻击

在本文中,展示了攻击者如何通过三维 CT 扫描现实地注入和移除医疗条件。该框架称为 CT-GAN,使用两个条件 GAN(cGAN)在 3D 图像上进行绘画。对于注入,cGAN 在不健康样本上进行训练,以便生成器始终相应地完成图像。相反,为了去除,另一个 cGAN 仅在健康样本上训练。

为了验证这次袭击的威胁,训练 CT-GAN 注入/去除肺癌,并聘请了三名放射科医生诊断 70 次篡改和 30 次真实的 CT 扫描。放射学家诊断 99%的注射患者患有恶性肿瘤,94%的癌症切除患者健康。在告知放射科医生发病后,他们仍然误诊了 60%的注入患者和 87%的切除患者。除了放射科医生之外,还展示了 CT-GAN 如何成为一种有效的对抗性机器学习攻击。发现最先进的肺癌筛查模型对 100%被篡改的患者进行了误诊。因此,一些放射学家使用的癌症筛查工具也容易受到这种攻击。

1.4贡献

据本文所知,还没有显示攻击者如何以真实和自动化的方式恶意改变 3D 医学图像的内容。因此,这是第一次公开、演示和验证攻击者操纵 3D 医学图像的威胁的综合研究。本文的贡献如下:

攻击模型:本文首先介绍了攻击者如何渗透 PACS 网络,然后使用恶意软件自动篡改 3D 医学图像的攻击模型。本文还系统地概述了攻击、漏洞、攻击向量、动机和攻击目标。最后,通过在医院内进行穿透试验,本文将中间设备中的人与实际 CT 扫描仪连接起来,证明了一种可能的攻击向量。通过执行 pen 测试,可以深入了解现代医院内部网络的安全性。

攻击实施:本文首次演示 GANs 如何通过适当的预处理,有效、真实地将肺癌注入到大型 3D CT 扫描中或从中移除肺癌。同时还评估了该算法在多大程度上可以欺骗人类和机器:放射科医生和最先进的人工智能。

应对措施:本文列举了各种可用于减轻威胁的应对措施。还为读者提供了可以立即实施的最佳做法和配置,以帮助防止这种攻击。

2.背景:GANs

最基本的 GAN 由两个神经网络组成:生成器(G)和鉴别器(D)。GAN 的目标是生成视觉上与样本数据分布 X(即一组图像)中的真实图像相似的新图像。G 的输入是从先验分布 P(z)(例如,高斯分布)中提取的随机噪声向量 z。G 的输出表示为 x_g,是一个预期与 X 中的图像具有视觉相似性的图像。让由 θ_g 参数化的 G 学习的非线性函数表示为 x_g=G(z;θ_g)。D 的输入为真实图像 x_r∈X 或生成的图像 x_g∈G(Z;θ_g)。D 的输出是 x_g 为真或假的概率。让由 θ_d 参数化的 D 学习的非线性函数表示为 x_d=D(x;θ_d)。图 2 顶部显示了经典 GAN 的配置。

CT-GAN:利用深度学习恶意篡改三维医学图像

图 2 经典 GAN(上图)和用于绘制的 cGAN 设置的示意图

3.相关工作

3.1篡改医学图像

许多工作已经提出了检测医学图像中伪造的方法,但没有一项工作专注于攻击本身。最常见的图像伪造方法是:将内容从一个图像复制到另一个图像(图像拼接),复制同一图像中的内容以掩盖或添加内容(复制移动),以及增强图像以赋予其不同的感觉(图像修饰)。

复制移动攻击可用于掩盖证据或复制现有证据(如肿瘤)。然而,重复的证据会引起怀疑,因为放射科医生会仔细分析每一个发现的实例。图像拼接可用于将证据从一次扫描复制到另一次扫描。然而,CT 扫描仪具有明显的局部噪声模式,这在视觉上是显而易见的。复制的模式不符合本地模式,因此引起怀疑。更重要的是,拷贝移动和图像拼接技术都是使用二维图像编辑软件(如 Photoshop)执行的。这些工具需要人为手动编辑扫描。即使攻击者拥有专业技能,也很难真实地准确注入和移除癌症。这是因为人体是复杂多样的。另一个需要考虑的问题是 CT 扫描是 3D 而不是 2D,这增加了难度。

3.2医学图像中的 GANs

由于隐私法,很难获得用于训练模型和学生的医疗扫描。因此,GANs 在该领域的主要关注点是扩充(扩展)数据集。一种方法是将图像从一种模态转换为另一种模态。例如,在某些文献中,作者使用 CGAN 将 CT 图像的 2D 切片转换为正电子发射断层扫描(PET)图像。在另一些文献中,作者使用带有 cGAN 架构的完全卷积网络演示了类似的概念。

这些工作在以下方面与本文的工作形成了对比:

1. 本文首次介绍使用 GANs 作为篡改 3D 图像的方法。其他的工作集中于合成癌症样本,以促进分类器、实验和训练学生,但不用于恶意攻击。本文还概述了如何在现代医疗系统中完成攻击。

2. 以上所有工作要么生成扫描的小区域,而不需要周围物体的背景,要么生成分辨率非常低的完整二维扫描。在没有上下文的情况下生成的样本无法真实地“粘贴”回任何任意医学扫描。本文在现有实体中真实地生成/删除内容。本文的方法可以修改全分辨率 3D 扫描,并且该方法也可以轻松地扩展到 2D。

3. 本文评估了 GAN 在全 3D 肺癌筛查中如何能骗过专家放射科医生和最先进的人工智能。

4.攻击模型

4.1网络拓扑

为了讨论攻击向量,必须首先介绍 PACS 网络拓扑。图 3 显示了医院中使用的 PACS 的常见网络配置。该拓扑结构基于 PACS 文献、PACS 企业解决方案(如 Carestream)以及本文对各医院进行的调查。注意到,私人诊所的拓扑结构可能简单得多,有时直接连接到互联网。

CT-GAN:利用深度学习恶意篡改三维医学图像

图 3 医院 PACS 的网络概述

4.2攻击场景

攻击场景如下:攻击者希望通过注入/移除医疗证据来实现表 1 中列出的目标之一。为了造成目标效应,攻击者将在放射科医生进行诊断之前改变目标 CT 扫描的内容。攻击者可以通过将静态数据或动态数据作为目标来实现这一点。

静态数据指的是存储在 PACS 服务器或放射科医生个人计算机(保存以供以后查看)上的 DICOM 文件。在某些情况下,DICOM 文件存储在 DVD 上,然后由患者或外部医生传输到医院。尽管攻击者可能会交换 DVD,但更可能通过网络进行交互。运动中的数据指的是通过网络传输的 DICOM 文件或由应用程序(如 DICOM 查看器)加载到易失性存储器中的 DICOM 文件。

4.3目标资产

要捕获/修改医疗扫描,攻击者必须至少破坏图 3 中编号的一个资产。通过破坏(1-4)中的一个,攻击者可以访问每个扫描。通过泄露(5)或(6),攻击者只能访问扫描的子集。RIS(3)可以让攻击者完全控制 PACS 服务器(2),但前提是攻击者可以获得正确的凭据或利用 RIS 软件。模式和 PACS 服务器(4)之间的网络布线可用于安装中间人设备。如果数据未加密(或协议有缺陷),此设备可以修改运动中的数据。在所有情况下,攻击者都可能用自定义恶意软件感染目标资产,如图 4 所示。

CT-GAN:利用深度学习恶意篡改三维医学图像

图 4 自动恶意软件的篡改过程

4.4攻击向量

通常,攻击向量涉及设施网络的远程或本地渗透。

远程渗透:攻击者可能能够利用面向 Internet 的元素中的漏洞进行攻击,从而使攻击者能够从 Internet 直接访问 PACS。另一个载体是执行社会工程攻击。例如,针对部门行政助理的矛式网络钓鱼攻击通过后门感染其工作站,或针对技术人员的网络钓鱼攻击让其安装欺诈性更新。

如果攻击者知道放射科医生在他或她的个人计算机上分析扫描,那么攻击者可以用恶意软件远程感染放射科医生的设备或 DICOM 查看器。攻击者可以以虚假的借口进入现场,例如作为需要对 CT 扫描仪进行诊断的飞利浦技术人员。攻击者还可能雇佣内部人员。最近的一份报告显示,56%的医疗行业网络攻击来自内部威胁。

4.5攻击演示

为了演示攻击者如何访问和操作 CT 扫描,本文对医院的放射科进行了渗透测试。pen 测试是在参与医院的完全许可下进行的。为了访问所有 CT 扫描,使用树莓派 3B 对 CT 扫描仪进行了中间人攻击。树莓派提供了一个 USB 到以太网适配器,并配置为无源网桥(无网络标识符)。树莓派还被配置为用于后门访问的隐藏 Wi-Fi 接入点。同时还打印了 CT 扫描仪制造商的 3D 徽标,并将其粘在树莓派上,使其不那么显眼。Pen 测试的步骤如下:首先,在晚上等到清洁人员开门。然后找到了 CT 扫描仪的房间,并在扫描仪工作站和 PACs 网络之间安装了树莓派桥接器(图 3 中的位置#2)。最后,将树莓派桥隐藏在地板的一个检修面板下。整个安装过程耗时 30 秒完成。此时,攻击者可以直接截获扫描,或通过 PACS 向其他子系统执行横向移动,并在其中安装恶意软件。为了验证可以拦截和操纵扫描,扫描了一个医疗假人(图 5)。发现虚拟机的扫描通过网络发送了两次:一次通过 TCP 以明文形式发送到内部 web 查看服务,另一次使用 TLSv1.2 发送到 PACS 存储服务器。然而,令人惊讶的是,TLS 传输的有效载荷也是明文的。此外,在 10 分钟内,由于包含以明文发送的 HTTP POST 消息的多播以太网通信,本文获得了超过 27 名工作人员和医生的用户名和密码。

CT-GAN:利用深度学习恶意篡改三维医学图像

图 5 左图:用于验证攻击的 CT 扫描仪和医疗假人。右上角:用于拦截扫描的 Pi 桥。右下:假人的一个切片,由 CT 扫描仪发送,并由树莓派桥接器截取

5. CT-GAN框架

5.1神经架构

为了准确捕捉注入和移除的概念,使用了一个由两个 CGAN 组成的框架:一个用于注射癌症(GAN_inj)和一个用于移除癌症(GAN_rem)。GAN_inj 和 GAN_rem 都是深 3D 卷积 CGAN,经过训练,可以在 323 维体素的样本上进行绘制。对于完成掩码,将输入样本中心的 163 个立方体归零。为了将一个大的肺结节注射到 CT 扫描中,对 GAN_inj 进行了直径至少为 10mm 的癌症样本训练。结果,经过训练的生成器完成了具有相似大小结节的样本长方体。为了去除癌症,GAN_rem 使用相同的结构进行训练,但样本仅包含良性肺结节(直径<3mm)。

图 6 说明了用于 GAN_inj 和 GAN_rem 的模型架构(层和配置)。总的来说,θ_g 和 θ_d 分别有 1.626 亿和 2690 万个可训练参数(总计 1.895 亿)。

CT-GAN:利用深度学习恶意篡改三维医学图像

图 6 用于注入(GAN_inj)和移除(GAN_rem)网络的网络架构、层和参数

5.2训练 CT-GAN

为了创建 GAN_inj 的训练集,从 CT 扫描中提取了直径在 10mm 到 16mm 之间的所有结节(总共 169 个)。为了增加训练样本的数量,进行了数据扩充:对于 169 个长方体样本中的每一个,(1)翻转 x、y 和 xy 平面上的长方体,(2)在 xy 平面上的每个方向上移动长方体 4 个像素,(3)以 6 度的间隔将长方体旋转 360 度。这为每个样本产生了额外的 66 个实例。最终的训练集有 11323 个训练样本。

为了创建 GAN_rem 的训练集,首先选择了放射学家没有检测到结节的干净 CT 扫描。在这些扫描中,使用结节检测算法来发现良性微结节。在检测到的微小结节中,随机选择 867 个结节,并执行与上述相同的数据增强。最终的训练集有 58089 个样本。

在训练 GAN 之前,所有样本都经过缩放、均衡和归一化预处理。这两位政府官员在各自的数据集上接受了 200 个 epoch 的培训,批量为 50 个样本。每个 GAN 使用 GPU 的全部内存在 NVIDIA GeForce GTX TITAN X 上完成了 26 个小时的训练。图 7 显示了在经历了 150 个 epoch 后,GAN_inj 能够很好地描绘癌症模式。

CT-GAN:利用深度学习恶意篡改三维医学图像

图 7 100 个 epoch 后的训练样本仅显示中间切片

5.3执行:篡改过程

为了注射/清除肺癌,需要进行前/后处理步骤。以下描述如图 8 所示的整个注入/移除过程:

1. 捕获数据:以原始或 DICOM 格式捕获 CT 扫描(作为静止数据或运动数据)。

2. 定位和切割:选择一个候选位置来注射/切除癌症,然后在其周围切出立方体 x_r^’。

3. 规模使用 3D 样条插值将 x_r^’缩放为原始的 1:1:1 比率。

4-5.均衡和正常化。直方图均衡化应用于立方体以增加对比度。

6.遮罩:在 x_r 的中心,一个 16^3 立方体被零遮罩以形成 x_r^*遮罩区域将由生成器绘制(完成),未遮罩区域是上下文。

7.注入/移除:x_r^*通过所选的鉴别器(G_inj 或 G_rem)创建具有新 3D 生成内容的新样本(x_g)。

8-10.反向预处理:x_g 是非标准化、非均匀化的,然后使用样条插值重新缩放回其原始比例,形成 x_g^’。

11 润色:插值的结果通常会使图像模糊。为了对放射科医生隐藏这一伪影,向样本中添加了高斯噪声:将 μ=0 和 σ 设置为采样的标准偏差 x_r^’。

12.粘贴:长方体 x_g^*被粘贴到 CT 扫描中的选定位置。

13.重复:如果攻击者正在切除癌症,则返回步骤 2,直到不再发现直径大于 3mm 的结节。如果攻击者正在注射癌症,则返回步骤 2,直到执行了四次注射。其原因是,如果存在四个直径大于 8mm 的孤立性肺结节,患者被诊断为癌症的风险在统计学上更大。

14.返回数据:扫描转换回原始格式(如 DICOM)并返回至源。

CT-GAN:利用深度学习恶意篡改三维医学图像

图 8 完整的癌症注射/清除过程

注入/去除过程的质量如图 9 和图 10 所示。图 9 给出了篡改前后的各种示例,图 10 提供了正在注射和移除的癌症的三维可视化。

CT-GAN:利用深度学习恶意篡改三维医学图像

图 9 样品注入(左)和移除(右)

CT-GAN:利用深度学习恶意篡改三维医学图像

图 10 在篡改 CT 扫描之前(蓝色)和之后(红色),注入(左侧)和移除(右侧)的 3D 样本

6.评估

6.1实验设置

为了评估这次攻击,本文招募了三名分别具有 2 年、5 年和 7 年经验的放射科医生(表示为 R1、R2 和 R3)。还使用了经过培训的肺癌筛查模型(表示为 AI),该深度学习模型赢得了 2017 年 Kaggle 数据科学赛(价值 100 万美元的肺癌诊断竞赛)。

该实验分为两个试验:盲法试验和开放试验。在盲法试验中,放射科医生被要求诊断 80 次完整的肺部 CT 扫描,但他们没有被告知试验的目的,也没有被告知某些扫描是被操纵的。在公开试验中,放射科医生被告知这次袭击,并被要求在 20 次 CT 扫描中识别假结节、真结节和切除结节。此外,放射科医生被要求对他们的决定的可信度进行评分。在每次试验后,本文给放射科医生一份问卷,以评估他们对这些攻击的敏感程度。在所有病例中,要求放射科医生仅检测和诊断直径大于 3mm 的肺结节。每个试验中使用的 CT 扫描集和本节中使用的符号见表 2。

CT-GAN:利用深度学习恶意篡改三维医学图像

表 2 扫描和相关符号的摘要

注意到,使用三名放射科医生是医学研究中的常见做法。此外,发现放射科医生(和 AI)对每个患者和每个结节的诊断都非常赞同。通过计算 Fliess'kappa(一种统计的跨层可靠性度量)来验证这种一致性,该度量产生了 0.84 的优秀 kappa(p 值<0.0001)。因此,增加更多的放射科医生可能不会影响结果。

6.2结果:盲法试验

图 11 的顶部总结了盲法试验的攻击成功率。总的来说,癌症注入和癌症去除的平均成功率分别为 99.2%和 95.8%。放射科医生被欺骗的更少,主要是由于人为错误(例如,丢失一个结节)。当被问到时,没有一位放射科医生报告扫描有任何异常,R2 除外,他注意到在一次切除(FB)区域有一些噪音。这可能是由于“注意力不集中失明”,即在从事不同任务(搜索大结节)时,可能会错过一个明显的事件(伪影)。

CT-GAN:利用深度学习恶意篡改三维医学图像

图 11 攻击成功率-两次试验

关于注入癌症(FM),放射科医生的共识是,三分之一的注入需要立即手术/活检,所有注入都需要后续治疗/转诊。当被问及 FM 患者的总体恶性程度时,放射科医生说,几乎所有的病例都有明显的恶性,如果不治疗,会给患者带来风险。图 12 总结了放射学家对 FM 患者的评分。一个有趣的观察结果是,随着放射科医生经验的增加,恶性肿瘤的评级也增加。最后注意到,如果 CT-GAN 仅针对恶性程度高和/或直径较大的样本进行训练,攻击者可能会增加注入的总体恶性程度。

CT-GAN:利用深度学习恶意篡改三维医学图像

图 12 注射癌的恶性肿瘤(FM)-盲法试验

6.3结果:开放性试验

在表 4 中,展示了放射科医生在了解攻击的情况下的攻击检测性能。图 13 总结了这些结果,并提供了放射科医生的准确度(ACC)和曲线下面积(AUC)。AUC 为 1.0 表示完美的二元分类器,而 AUC 为 0.5 表示随机猜测。结果表明,放射科医生始终无法区分真假癌症,也无法确定切除癌症的位置。

CT-GAN:利用深度学习恶意篡改三维医学图像

表 4 攻击检测混淆矩阵-按实例评估的开放试验

CT-GAN:利用深度学习恶意篡改三维医学图像

图 13 攻击检测性能-开放测试

关于攻击成功率(图 11 底部),对攻击的了解对癌症切除没有显著影响(从 90%到 95.8%)。然而,癌症注入的成功率受到了影响(从 99.2%下降到 70%)。此外,R2 还发现了一个特定的模式,它给出了几个实例。这是一个有希望的结果,因为它表明 CT-GAN 的一部分攻击可以通过教育放射科医生来减轻。然而,除了准确率低(61%用于检测注入 ,39%用于检测移除)外,还有大量的假正例。由于出错的可能性很高,放射科医生可能会选择不报告异常情况。从放射科医生给出的低置信度评分中也可以看出这一点(见图 14)。

CT-GAN:利用深度学习恶意篡改三维医学图像

图 14 侦查攻击的信心-开放性实验

6.4基准分析

如前所述,攻击者无法在图像上使用 Photoshop。这可能是由于时间限制:放射科医生可能在扫描完成后立即执行诊断,或者恶意软件可能在查看应用程序中并实时运行。这也可能是由于连接限制:许多 PAC 没有直接连接到 Internet。因此,攻击者需要用能够自动执行篡改的恶意软件感染 PACS。

基准攻击无法欺骗 R2 的原因是自动粘贴癌症的过程会产生明显的伪影。这是因为粘贴的样本忽略了周围的解剖结构,并且可能包含不一致的噪波图案(纹理)。图 15 示出了这些异常的一些示例,例如支气管切割、不一致的噪声模式和未对齐的边界。CT-GAN 不会产生这些伪影,因为它在绘画中使用了原始内容和周围解剖结构。

CT-GAN:利用深度学习恶意篡改三维医学图像

图 15 图中显示了使用无监督拼接攻击而不是 CT-GAN 时可能出现的伪影

7.评估

7.1预防

为了减轻这种威胁,管理员应该保护运动数据(DiM)和静止数据(DaR)。为了保护移动数据的安全,管理员应使用适当的 SSL 证书在其 PACS 网络中的主机之间启用加密。这似乎微不足道,但在本文进行 pen 测试的医院发现了这一缺陷后,求助于 PACS 软件供应商征求意见。该公司在全球拥有 2000 多台设备,向本文证实,他们的医院不在 PACS 中启用加密,因为“这不是常见做法”。本文还被告知,一些 PACS 根本不支持加密。为了确保 DaR 的安全,模态和放射科医生工作站上的服务器和防病毒软件应保持最新,管理员还应限制其 PACS 服务器与互联网的接触。

7.2检查

检测这种攻击的一种方法是数字水印(DW)。DW 是嵌入到图像中的隐藏信号,篡改会破坏信号,从而表明完整性丧失。对于医学图像,本课题已经进行了深入研究,可以提供一种定位篡改图像变化的方法。然而,本文没有发现任何实施 DW 技术的医疗设备或产品。这可能是因为它们给图像添加了噪声,这可能会损害医学分析。

对于无监督设置,也提出了几种方法。这些方法试图检测篡改图像中的异常(不一致)。为了检测这些不一致性,研究人员考虑了 JPEG 块、信号处理和压缩/重采样伪影。在文献中,模型仅使用真实图像数据集进行训练。在另一些文献中,作者提出了“noiseprint”,它使用连体网络从图像(PRNU)中提取相机独特的噪声模式,以发现不一致的区域。在他们的评估中,作者表明他们可以检测到 GAN 基修复。

虽然这些对策在某些情况下可能适用于 CT-GAN,但它们确实承认一些警告;也就是说,(1)医学扫描通常不被压缩,因此压缩方法是不相关的,(2)这些方法是在 2D 图像而不是 3D 体积图像上测试的,(3)CT/MR 成像系统产生的噪声模式与标准相机非常不同。例如,本文发现文献中的 PRNU 方法在本文篡改的 CT 扫描中不适用。这是因为 CT 图像的噪声模式被用于构造图像的 radon 变换所改变。作为未来的工作,本文计划研究如何将这些技术应用于检测 CT-GAN 等攻击。

8.总结

在本文中,本文介绍了攻击者使用深度学习修改三维医学图像的可能性。本文解释了这种攻击的动机,讨论了攻击向量(演示了其中一种),并提出了一个可以由恶意软件自主执行的操纵框架(CT-GAN)。作为一个案例研究,本文演示了攻击者如何使用互联网上的免费医学图像从全分辨率 3D CT 扫描中注入或移除肺癌。本文还评估了这次攻击,发现 CT-GAN 可以欺骗人类和机器:放射科医生和最先进的人工智能。本文还展示了应该如何警惕封闭世界的假设:如果人类专家和高级人工智能完全相信他们的观察结果,他们都可能被欺骗。

鸣谢

本文由南京大学软件学院 2021 级硕士颜昌粤翻译转述。

内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/134092.html

(0)

相关推荐