研究方法

本项目的技术方案和研究方法详解。

研究目标

1. 揭示风险: 深入研究对抗攻击对银屑病诊断模型的威胁
2. 设计防御: 提出提升医学模型对抗鲁棒性的方法
3. 开源贡献: 提供完整的工程化实现

技术框架

三层架构

┌─────────────────────────┐
│ 应用层：医学诊断和防御  │
├─────────────────────────┤
│ 方法层：SAMOO 攻击算法  │
├─────────────────────────┤
│ 基础层：深度学习模型    │
└─────────────────────────┘

SAMOO 算法

算法概述

SAMOO 是一种基于多目标优化的对抗攻击方法。

目标：

• $f_1$: 最大化攻击成功率
• $f_2$: 最小化扰动强度

约束：

• 生成的对抗样本必须有效
• 像素值保持在 [0, 255] 范围内

优化框架

minimize: L(f_attack) + λ × L(f_sparse)

其中：
- L(f_attack): 攻击损失（分类错误）
- L(f_sparse): 稀疏性损失（修改最少像素）
- λ: 权衡参数

关键特性

特性	说明
稀疏性	仅修改少量关键像素 (~2%)
黑盒攻击	无需访问模型梯度
多目标	在成功率和稀疏性间权衡
泛化性	适用于CNN和Vision-Language模型

评估指标

攻击指标

$$\text{成功率}=\frac{\text{攻击成功的样本数}}{\text{总样本数}}\times 100\mathrm{\%}$$$$\text{稀疏性}=\frac{\text{修改的像素数}}{H\times W\times C}$$$${\text{扰动强度}}_{L_2}=\parallel {\mathbf{x}}_{adv}-{\mathbf{x}}_{orig}{\parallel }_2$$$${\text{扰动强度}}_{L_{\mathrm{\infty }}}=\underset{i}{max}|{\mathbf{x}}_{adv,i}-{\mathbf{x}}_{orig,i}|$$

模型选择

ResNet50

优势：

• CNN 架构，速度快
• ImageNet 预训练
• 研究充分

劣势：

• 单模态
• 需要大量标注数据

SigLIP

优势：

• Vision-Language 模型
• 0-shot 学习能力
• 可用自然语言描述类别

劣势：

• 训练较慢
• 对数据要求敏感

研究创新点

1. 医学应用: 首次系统研究银屑病诊断的对抗鲁棒性
2. 算法融合: 融合 SAMOO 与医学影像特性
3. 多模态: 同步评估 CNN 和 Vision-Language 模型
4. 工程实现: 完整、可复现的开源实现

---

下一步: 算法详解 | 实验结果